Introduzione

Il Gruppo di lavoro "articolo 29" per la protezione dei dati (in prosieguo"il Gruppo di lavoro" o "il Gruppo") accoglie favorevolmente le proposteadottate dalla Commissione europea tese a rafforzare la posizione degliinteressati, ad aumentare le responsabilità dei responsabili del trattamento ea consolidare la posizione delle autorità di controllo, tanto a livellonazionale che internazionale. Se ulteriormente migliorate, le norme propostepossono ridurre in modo significativo la frammentazione attuale e rafforzare laprotezione dei dati in Europa.

Il Gruppo di lavoro in particolare accoglie positivamentel'inserimento di disposizioni che incentivano i responsabili del trattamento adinvestire, sin dall'inizio, in una corretta protezione dei dati (ad esempiomediante le valutazioni d'impatto sulla protezione dei dati, la protezione findalla progettazione, la protezione di default). Le proposte attribuiscono unaprecisa responsabilità a coloro che trattano i dati personali durante l'interociclo d'informazione.

Il Gruppo sottolinea l'importanza delle norme tese a chiarire erafforzare i diritti degli interessati, segnatamente esplicitando il concettodi consenso, introducendo un principio generale di trasparenza e mezzi diricorso di più ampia portata. » altresì apprezzabile l'introduzione di unobbligo di notifica in caso di violazione dei dati, che garantisce coerenza trai vari settori.

Il Gruppo di lavoro si compiace anche del fatto che le propostearmonizzano i poteri e le competenze delle autorità di controllo affinchépossano garantire più efficacemente e, ove necessario, ottenere il rispettodegli obblighi, sia individualmente che cooperando tra loro, ad esempio potendoimporre sanzioni consistenti.

Nonostante abbia una visione globalmente positiva della propostadi regolamento, il Gruppo di lavoro ritiene che alcune sue parti debbano esserechiarite e perfezionate. Con riferimento alla direttiva sulla protezione deidati nei settori della cooperazione di polizia e giudiziaria, il Gruppo sirammarica dello scarso livello di ambizione della Commissione e sottolinea lanecessità di misure più incisive.

Il Gruppo di lavoro ha analizzato attentamente entrambe leproposte e nel presente parere intende fornire le sue prime reazioni generaliin merito. Nel parere sono messi in luce settori che appaiono problematici e,ove opportuno, vengono avanzati suggerimenti per dei miglioramenti. Seauspicabile, il Gruppo di lavoro è disponibile a formulare in futuro altripareri su determinati aspetti o disposizioni delle proposte.

Il Gruppo di lavoro invita il Consiglio e i membri del Parlamentoeuropeo a cogliere l'opportunità di migliorare entrambe le proposte e dirafforzare la tutela dei dati personali nell'Unione europea.

Osservazioni generali

Il regolamento si mostra all'altezza delle aspettative quanto allaproduzione di un testo che rifletta l'accresciuta importanza della protezionedei dati nell'ordinamento giuridico dell'Unione europea (articolo 16 deltrattato sul funzionamento dell'Unione europea, articolo8 della Carta deidiritti fondamentali dell'Unione europea). Esso fa propri, potenziandoli, iprincipi chiave della protezione dei dati, impone obblighi chiari ed uniformiai responsabili e agli incaricati del trattamento, facilita la liberacircolazione dei dati personali e offre un quadro giuridico rafforzato perl'applicazione uniforme del diritto da parte delle autorità di protezione deidati, i cui poteri sono stati ampliati.

Il Gruppo si rammarica che le sue osservazioni in merito allacompletezza non abbiano portato ad un solo strumento legislativo: nota infattiche, per motivi politici, la Commissione ha scelto di presentare una propostadi direttiva distinta per quanto riguarda il settore della polizia e dellagiustizia penale. La necessità di norme coerenti di alto livello per laprotezione dei dati, applicabili anche a detto settore, è più che mai evidente.Ad ogni modo, è chiaro che la nuova direttiva non deve portare a unabbassamento da parte degli Stati membri dei loro rispettivi standard diprotezione dei dati attualmente stabiliti per il settore della polizia e dellagiustizia penale. » altresì evidente che il nuovo quadro giuridico deve essereallineato ad altri accordi internazionali, compresa la Convenzione 108 delConsiglio d'Europa per la protezione delle persone con riguardo al trattamentoautomatizzato dei dati personali, e relativo protocollo aggiuntivo. Il Gruppodi lavoro propone di inserire un riferimento esplicito alla Convenzione 108 eal suo protocollo aggiuntivo nel preambolo del regolamento e in quello delladirettiva.

In pareri precedenti il Gruppo di lavoro ha messo in rilievo ilbisogno che il futuro quadro giuridico garantisca completezza. Da questo puntodi vista, rispetto al regolamento, la direttiva è deludente nella sua mancanzadi ambizione. Il fatto che siano stati presentati due strumenti giuridici nonimplica necessariamente che un quadro giuridico completo non sia piùrealizzabile, purché l'obiettivo sia lo stesso – ottenere un livelloelevato di protezione dei dati per i cittadini europei in generale – eche detti strumenti adottino un approccio comune per quanto riguarda, tral'altro, i principi della protezione dei dati, i diritti degli interessati egli obblighi dei responsabili e degli incaricati del trattamento.

Occorre un impegno forte da parte del legislatore europeo durante laprocedura legislativa per ravvicinare le disposizioni sostanziali delladirettiva a quelle del regolamento ed assicurare coerenza fra i testi.

Inoltre, le istituzioni dell'Unione dovrebbero essere vincolatedalle stesse norme che si applicano a livello degli Stati membri. Perciò,affinché la riforma sia effettivamente completa, il quadro per la protezionedei dati per le istituzioni dell'Unione europea, quale attualmente disciplinatodal regolamento (CE) n. 45/2001, dovrà essere allineato al futuro regolamentoquando questo entrerà in vigore.

Lo stesso ragionamento vale per le attuali norme specifiche per iltrattamento dei dati nell'ambito di quello che in passato era denominato "terzopilastro" dell'Unione, ad esempio rispetto alle agenzie UE come Europol edEurojust. Il Gruppo di lavoro non ignora le difficoltà pratiche che possonoderivare dal proporre una riforma generale dell'acquis esistente; allo stessotempo tuttavia ritiene che, a termine, lo stesso livello elevato di protezionedei dati debba essere applicabile a tutti i trattamenti di dati in questosettore, compresi quelli effettuati dagli organismi dell'Unione.

Ciò detto, il Gruppo prende nota dell'impegno della Commissione adassicurare, entro tre anni, una revisione di altri strumenti giuridici peridentificare la necessità di convergenza. Il Gruppo di lavoro raccomanda allegislatore di definire una scadenza molto più ravvicinata ed invita laCommissione a formulare tali proposte. Al contempo, il Gruppo riconosce che gliattuali sistemi di protezione dei dati per alcuni strumenti ed organismiesistenti vanno ben oltre quanto proposto nella direttiva. Come ricordato pergli Stati membri con situazioni simili, un allineamento dei sistemi attualialla direttiva non deve in nessun caso portare ad un abbassamento deglistandard esistenti di protezione dei dati.

Su un altro versante, il Gruppo di lavoro deplora il fatto che néil regolamento né la direttiva affrontano il problema della raccolta e deltrasferimento, da parte di privati o autorità pubbliche non incaricatedell'applicazione della legge, di dati in realtà destinati giustappunto alleattività di contrasto, nonché il problema del successivo uso di tali dati daparte delle autorità di polizia e giudiziarie. Negli ultimi dieci anni vari esempi(i dati PNR, la conservazione dei dati delle telecomunicazioni) hanno mostratochiaramente che sono necessarie condizioni severe, specialmente quando iltrattamento interviene in maniera strutturale. Lo stesso vale nell'altro senso:servono regole per garantire la protezione dei dati anche quando leinformazioni sono trasferite da autorità di contrasto o altre autorità"competenti" al settore privato o ad altre autorità pubbliche.

Infine, riguardo ad entrambi gli strumenti proposti, il Gruppoguarda con preoccupazione all'estensione dei poteri conferiti alla Commissioneper adottare atti delegati e di esecuzione. Benché riconosca la necessità chealcune questioni possano essere trattate più nei dettagli in un secondo tempo,il Gruppo di lavoro ritiene che ciò non riguardi ad esempio le norme sullenotifiche delle violazioni dei dati. Per garantire la certezza giuridica, glielementi essenziali dovrebbero essere inseriti nel regolamento stesso, comesancito dall'articolo 290 del TFUE.

Il regolamento

Elementi positivi

Ä In generale, il regolamento aumenta la chiarezza attraversodefinizioni più precise e disposizioni tese a garantire un'applicazione deldiritto più armonizzata, facilitando quindi la libera circolazione dei dati.

Ä Nei riguardi delle persone fisiche,il regolamento ne rafforza i diritti mediante una maggior trasparenza, un piùampio controllo sul trattamento, la minimizzazione dei dati, norme specificheper il trattamento dei dati personali dei minori, il rafforzamento del dirittodi accesso ai dati, del diritto ad opporsi al trattamento, del diritto allacancellazione dei dati ("diritto all'oblio"), il diritto alla portabilità deidati, ed un potenziato diritto ad accedere a mezzi di ricorso, sia tramite leautorità di protezione dei dati che tramite le autorità giurisdizionali.

Ä Per quanto concerne iresponsabili del trattamento, il regolamento apporta una semplificazione emaggior coerenza, presta un'attenzione più marcata alla loro responsabilità peri dati trattati e introduce la necessità di dimostrare dettaresponsabilizzazione attraverso la protezione fin dalla progettazione, laprotezione di default, le valutazioni d'impatto sulla vita privata, la nominadi un responsabile della protezione dei dati, l'obbligo di notificare leviolazioni di dati e l'adozione di un approccio cautelativo verso itrasferimenti internazionali. Inoltre, le norme vincolanti d'impresa sonoesplicitamente riconosciute come uno strumento per inquadrare i trasferimentiinternazionali.

Ä Con riferimento agli incaricati del trattamento, gli obblighi disicurezza dei dati trovano una loro base giuridica e viene introdotto l'obbligodell'incaricato di rispondere, al posto del responsabile del trattamento, diuna determinata operazione di trattamento qualora lo stesso incaricato vadaoltre le istruzioni ricevute dal responsabile in merito a detta operazione(pertinente nel caso dei fornitori di "cloud computing").

Ä Con riguardo alle autorità di protezione dei dati, il regolamentone rafforza maggiormente l'indipendenza e i poteri, tra cui le sanzioniamministrative e l'obbligo di consultare dette autorità in merito a misurelegislative; introduce anche disposizioni per garantire l'applicazionearmonizzata e, ove necessario, il rispetto delle norme, specialmente attraversoil "meccanismo di coerenza".

Ruolo della Commissione

Il Gruppo di lavoro nutre seri dubbi sulla portata dei potericonferiti alla Commissione per adottare atti delegati e atti di esecuzione,questione di rilevanza tanto maggiore quanto è in gioco un dirittofondamentale. Ovviamente, può risultare necessario lasciare talune questioni adatti delegati e/o di esecuzione. Non tutte quelle di cui agli articoli 86 e 87,però, sono questioni di dettaglio. Alcune disposizioni del regolamento (adesempio, quelle relative alla notifica di violazioni dei dati, all'assistenzareciproca, alla coerenza e all'esenzione dal diritto di informazione e daldiritto di accesso nel contesto del trattamento per finalità storiche,statistiche e di ricerca scientifica) non possono applicarsi senza che venganoadottati atti delegati o di esecuzione. Inoltre, altri atti delegati riguardanoil campo di applicazione materiale del regolamento, ad esempio l'articolo 6,paragrafo 1, lettera f), in combinato disposto con l'articolo 6, paragrafo 5,che consente alla Commissione di definire i "legittimi interessi" delresponsabile del trattamento in specifici settori e situazioni di trattamento.Per garantire la certezza giuridica, gli elementi essenziali devono essereinseriti nel regolamento stesso, come sancito dall'articolo 290 del TFUE.

In pratica, l'adozione di atti delegati o di esecuzione per unvasto numero di articoli può richiedere diversi anni e può costituire un motivodi incertezza giuridica per responsabili ed incaricati del trattamento, che siaspettano l'attuazione e linee direttrici concrete in tempi rapidi. Il Gruppoesorta la Commissione a definire quanto meno quali atti delegati e diesecuzione essa intenda adottare nel breve, medio e lungo periodo.

Malgrado il ruolo di custode dei trattati della Commissione, ilGruppo nutre altresì seri dubbi rispetto al ruolo previsto per quest'ultima neisingoli casi che sono stati trattati nell'ambito del meccanismo di coerenza,poiché tale ruolo lede la posizione indipendente delle autorità di protezionedei dati. Quando una questione è o è stata trattata dal comitato europeo per laprotezione dei dati (in prosieguo, anche "il comitato") secondo il meccanismodi coerenza, la Commissione dovrebbe avere la facoltà di esprimere la propria valutazionegiuridica ma dovrebbe in teoria astenersi dall'interferire. Potrebbe essereprevista una procedura che consenta alla Commissione e al comitato europeo diottenere dalla Corte di giustizia un parere sull'interpretazione delregolamento.

Ruolo delle autorità europee di protezione dei dati nelladefinizione delle strategie

Il Gruppo di lavoro ritiene che le proposte dovrebbero riflettereil ruolo decisivo che esso ha svolto finora e quello che può svolgere in futuroil comitato europeo per la protezione dei dati nella determinazione dellastrategia (ad esempio adottando linee direttrici o raccomandazioni).

All'articolo 66 si legge che il comitato, di propria iniziativa osu richiesta della Commissione, consiglia quest'ultima in merito a qualsiasi questionerelativa alla protezione dei dati personali ed esamina quelle relativeall'applicazione del regolamento. Ad avviso del Gruppo di lavoro, ciò comprendeanche altri strumenti legislativi e pertanto esso suggerisce di aggiungereall'articolo 66, paragrafo 1, lettera a), la frase "...e a qualunque misuraulteriore o specifica tesa a salvaguardare i diritti e le libertà delle personefisiche relativamente al trattamento dei dati personali, nonché a qualunquealtra misura proposta dall'Unione che incida su tali diritti e libertà."

Inoltre, il Gruppo suggerisce di creare la possibilità, non soloper la Commissione, ma anche per il Parlamento europeo, di richiedere un parereal comitato, aggiungendo all'articolo 66, paragrafo 1, lettera b), la menzione"e del Parlamento europeo".

Il Gruppo suggerisce con altrettanto vigore di includere l'obbligoper la Commissione di consultare in ogni caso il comitato relativamente alledecisioni di adeguatezza (all'articolo 41) e alle clausole tipo di protezionedei dati (all'articolo 42), nonché di consultare ed ottenere l'approvazione delcomitato in merito ai codici di condotta a livello europeo (all'articolo 48).Ad ogni modo, dovrebbe essere contemplato l'obbligo per la Commissione diconsultare il comitato in merito a tutti gli atti delegati e di esecuzione(agli articoli 86 e 87).

Le autorità nazionali dovrebbero conservare la facoltà dipredisporre linee direttrici e raccomandazioni da sottoporre al meccanismo dicoerenza in caso di incidenza sostanziale su altri Stati membri. Dovrebberoinoltre essere in grado di monitorare lo sviluppo di sistemi di certificazionemediante sigilli e contrassegni creati per tutelare le persone fisiche.

Soglie per le PMI

Il Gruppo di lavoro nota che in tutta la proposta di regolamentosono introdotte eccezioni e soglie al fine di limitare l'onere amministrativo ealleviare le conseguenze per le micro, piccole e medie imprese (MPMI). Sonointrodotte soglie nelle disposizioni che riguardano l'obbligo di designare unrappresentante nell'Unione europea (articolo 25), la documentazione (articolo24, paragrafo 4), la designazione dei responsabili della protezione dei dati(articolo35, paragrafo 1) e l'imposizione di sanzioni amministrative (articolo79, paragrafo 3). In aggiunta, la proposta prevede atti delegati e diesecuzione per consentire alla Commissione di occuparsi di altre materieattinenti alle MPMI: all'articolo 12, paragrafo 6, quanto alle procedure e aimeccanismi per l'esercizio dei diritti dell'interessato; all'articolo14, paragrafo7,riguardo all'obbligo di fornire informazioni all'interessato; all'articolo 22,paragrafo 4, in merito agli obblighi di verifica e di audit; e all'articolo 33,paragrafo 6, relativamente all'esecuzione di valutazioni d'impatto.

Il Gruppo è dell'avviso che l'interessato dovrebbe beneficiaredello stesso livello di protezione, a prescindere dalle dimensioni dell'impresache ne tratta i dati. Tuttavia, riconosce che alcuni degli obblighi propostipossano risultare onerosi per le MPMI. Perciò, pur riconoscendo in lineateorica le ragioni alla base dell'introduzione di dette soglie, il Gruppo dilavoro teme che le eccezioni introdotte possano portare, sia dal punto di vistapratico che rispetto alla protezione dei dati personali, a risultati incoerentie indesiderati. Il Gruppo ritiene che sarebbe più adeguata una soglia che tengaconto della natura e della portata del trattamento dei dati.

Effetti sul bilancio e sulle risorse

Il Gruppo di lavoro si compiace del fatto che, accrescendo lefunzioni tanto delle autorità di protezione dei dati che del comitato europeodi protezione dei dati, le proposte riconoscano il ruolo decisivo che possonosvolgere le autorità di protezione dei dati nel garantire il rispetto dellenorme. Il gruppo nutre però seri dubbi quanto al fatto che siano statesufficientemente riconosciute le ricadute sul bilancio derivanti da dettefunzioni accresciute. Affinché le autorità di protezione dei dati e il comitatopossano svolgere le loro funzioni, compresa l'assistenza reciproca e la cooperazionenell'ambito del meccanismo di coerenza, gli Stati membri devono impegnarsi afornire le necessarie risorse finanziarie, umane e tecniche.

A questo proposito, il Gruppo di lavoro suggerisce con vigore chesia condotta un'approfondita valutazione dell'aumento dei costi per le autoritàdi protezione dei dati e per garante europeo della protezione dei dati (inquanto provvede alle funzioni di segreteria del comitato) sulla base delleattuali proposte, in modo da chiarire cosa debba intendersi per "risorse umane,tecniche e finanziarie adeguate, locali e infrastrutture necessari" alleautorità di protezione dei dati, come riportato all'articolo 47, paragrafo 5.

Il Gruppo di lavoro si riserva di rivolgersi alla Commissione inuna corrispondenza separata per quanto riguarda gli scopi ed i parametri didetta valutazione d'impatto.

Disposizioni generali

Campo d'applicazione

Ai sensi dell'articolo 3, paragrafo 2, il regolamento si applicaanche al trattamento dei dati personali di residenti nell'Unione effettuato daun responsabile del trattamento che non è stabilito nell'Unione, quando leattività di trattamento riguardano l'offerta di beni o la prestazione diservizi ai suddetti residenti nell'Unione, oppure il controllo del lorocomportamento.

Nonostante i tentativi di definire cosa si intenda per "offerta dibeni o prestazione di servizi" e per "controllo del loro comportamento", il Gruppoconsidera che maggiori chiarimenti su queste nozioni sarebbero utili.

Dovrebbe essere chiarito che "l'offerta di beni o la prestazionedi servizi" include anche i servizi gratuiti (in cui le persone di fatto paganoper il servizio fornendo i propri dati personali). Il Gruppo suggerisce quindidi aggiungere una menzione quale "compresi i servizi forniti senza spese perla persona".

Inoltre il considerando 21 suggerisce che il "controllo delcomportamento" sia legato al tracciamento su internet e alla "profilazione"dell'utente. Il Gruppo consiglia di modificare il testo per garantire che,anche se il responsabile del trattamento non crea di per sé profili utente, leattività di trattamento possano essere considerate "controllo delcomportamento" nei casi in cui portino a decisioni che riguardano l'interessatoo comportino l'analisi o la previsione dei suoi comportamenti, preferenze eposizioni personali.

L'interessato e i dati personali

Il Gruppo di lavoro accoglie con favore la definizione di"interessato" all'articolo 4, paragrafo 1, della proposta di regolamento,secondo cui questi è "la persona fisica identificata o identificabile...".Una persona fisica può essere considerata identificabile quando, all'interno diun gruppo di persone, essa può essere distinta dagli altri membri del gruppo edi conseguenza essere trattata diversamente. Questo è il contenuto del parereadottato in precedenza dal Gruppo di lavoro in merito al concetto di"interessato" (WP136). Il considerando 23 dovrebbe pertanto essere modificatoper chiarire che la nozione di identificabilità include anche questo tipo didistinzione.

Il considerando 24 relativo alla definizione di dati personalidispone che numeri di identificazione, dati relativi all'ubicazione,identificativi on line o altri fattori specifici non dovrebbero di per séessere necessariamente considerati dati personali in tutte le circostanze. Cosìcome redatta attualmente, l'ultima frase potrebbe portare ad un'interpretazioneingiustificatamente restrittiva della nozione di dati personali, riguardo adesempio agli indirizzi IP o ai cookies d'identificazione. Il Gruppo di lavororicorda che i dati personali sono dati che riguardano una personaidentificabile: "[I] dati concernono una persona se si riferisconoall'identità, alle caratteristiche o al comportamento di questa persona, o setali informazioni vengono impiegate per stabilire o influenzare il modo in cuiquella persona viene trattata o valutata"¹. Il Gruppo di lavoro ha giàapprofondito nel parere WP136 una casistica che spiega perché gli indirizzi IPdebbano essere considerati riguardare persone identificabili, "inparticolare, nei casi in cui il trattamento di indirizzi IP viene effettuatoper identificare gli utenti di un computer (ad esempio, dal titolare di undiritto d'autore per perseguire l'utente di un computer per violazione didiritti di proprietà intellettuale) (...)". In questo caso, come nel casodei cookies, il responsabile del trattamento avverte che "mezzi che possonoessere ragionevolmente utilizzati" saranno disponibili per identificare lepersone e trattarle in un determinato modo². Il Gruppo dilavoro suggerisce quindi di modificare in tal senso il considerando 24.

Dati biometrici

Il Gruppo di lavoro accoglie favorevolmente l'introduzione di unadefinizione di "dati biometrici" nell'articolo 4, paragrafo 11, delregolamento. Nondimeno, esprime riserve quanto all'attuale formulazione che siconcentra sulla possibilità di identificazione univoca della persona. I datibiometrici non sono usati esclusivamente a fini di identificazione, ma ancheper scopi di autenticazione (verificare l'identità senza di fatto identificarela persona). La definizione dovrebbe essere modificata e rincentrata sul tipodi dati che devono essere considerati biometrici, piuttosto che su ciò checonsentono. Il Gruppo suggerisce quindi di cambiare la formulazionedell'articolo 4, paragrafo 11, da "...ne consentono l'identificazioneunivoca..." a "....sono univoci per ciascuna persona specifica...".

Stabilimento principale

Il modo in cui viene determinato il luogo in cui una societàmultinazionale (il cui capitale sia o meno detenuto maggioritariamentenell'Unione europea) ha il proprio stabilimento principale, come definitoall'articolo 4, paragrafo 13, e nel considerando 27, deve essere ulteriormentechiarito, compreso l'aspetto della localizzazione di entità giuridiche separateche fanno parte della compagine sociale e che operano in settori diversi. Adesempio, si potrebbe prendere in considerazione la nozione di "influenzadominante" di uno stabilimento sulle operazioni di trattamento, rispettoall'applicazione delle norme di protezione dei dati personali.

Il Gruppo di lavoro osserva che la proposta di regolamentocontiene all'articolo 4 varie definizioni di unità operative, non chiaramentedistinte tra loro. Da un lato, i concetti di "responsabile del trattamento" edi "stabilimento principale" si riferiscono al luogo in cui vengono prese ledecisioni rilevanti sul trattamento dei dati, mentre dall'altro, le definizionidi "impresa" e di "gruppo di imprese" fanno riferimento all'attività economicae alla struttura societaria.

Con riferimento all'incaricato del trattamento, viene introdottoun termine aggiuntivo, nella misura in cui si presume che lo stabilimentoprincipale sia il luogo in cui ha sede l' "amministrazione centrale". Inoltre,nel capo VIII relativo a ricorsi, responsabilità e sanzioni, nel determinare ilforo competente a statuire in merito alle azioni promosse contro ilresponsabile o l'incaricato del trattamento si fa riferimento a qualunquestabilimento, prescindendo dal coinvolgimento di tale stabilimento neltrattamento in questione (potrebbe in effetti essere totalmente indipendente daun punto di vista giuridico da altri stabilimenti del responsabile/incaricatonell'Unione europea).

Ad avviso del Gruppo, queste definizioni si sovrappongo edovrebbero essere maggiormente chiarite e, ad ogni buon conto, dovrebbe esserloquanto meno il legame tra lo stabilimento principale e le responsabilità delresponsabile del trattamento.

La definizione di stabilimento principale sembra principalmentedestinata a determinare l'autorità nazionale di protezione dei dati che siconsidera capofila in un determinato caso o per una determinata società. »fondamentale capire in modo inequivoco il significato dell'espressione"stabilimento principale", poiché è su tale definizione che si basa ladeterminazione dell'autorità competente ai sensi dell'articolo 51, paragrafo 2,nel caso in cui il trattamento dei dati personali avviene nell'ambito delle attivitàdi uno stabilimento di un responsabile o di un incaricato del trattamentonell'Unione e l'uno o l'altro sono stabiliti in più di uno Stato membro (si vedainfra, pag. 25).

Pseudonimizzazione

Il Gruppo di lavoro ritiene che il concetto di "pseudonimizzazione"dovrebbe essere introdotto più esplicitamente nella proposta (ad esempioincludendo una definizione di dati pseudonimizzati, coerente rispetto alladefinizione di dati personali), poiché può contribuire ad ottenere una miglioreprotezione dei dati, ad esempio nell'ambito della protezione fin dallaprogettazione e nella protezione di default. Il Gruppo suggerisce pertanto diintrodurre un obbligo generale di rendere anonimi o registrare sotto pseudonimii dati personali laddove sia materialmente possibile e proporzionato allo scopodel trattamento. Questo principio potrebbe essere introdotto all'articolo 5 enel quadro della protezione dei dati fin dalla progettazione e della protezionedi default all'articolo 23.

Protezione dei dati fin dalla progettazione e protezione didefault

Il Gruppo di lavoro si compiace dell'introduzione della protezionedei dati fin dalla progettazione e della protezione di default all'articolo 23,ma consiglia di chiarire maggiormente il relativo significato in un considerando,ad esempio indicando che le caratteristiche di prodotti e servizi destinate afacilitare la tutela della vita privata dovrebbero essere attivateautomaticamente, e che procedure adeguate dovrebbero essere messe in attodurante la fase della progettazione del trattamento o del prodotto. Ovviamente,spetta al responsabile del trattamento dimostrare che le sue attività ditrattamento tengono conto dei concetti di protezione dei dati fin dallaprogettazione e di protezione di default, che a loro volta costituiscono misureadeguate secondo quanto previsto dall'articolo 22, paragrafo 1.

Il Gruppo di lavoro nota che in questo settore alla Commissionesono conferiti poteri per stabilire norme tecniche. » forte convinzione delGruppo di lavoro che, nel redigere dette norme tecniche, la Commissionedovrebbe coinvolgere e, ove opportuno, consultare il comitato europeo per laprotezione dei dati insieme alle organizzazioni internazionali dinormalizzazione.

Principio di pubblico accesso alle informazioni

Il considerando 18 prevede che, nell'applicazione delledisposizioni del regolamento, si tenga conto del principio del pubblico accessoai documenti ufficiali. Dal momento che si tratta di un importante econsolidato diritto fondamentale, il principio del pubblico accesso aidocumenti ufficiali non dovrebbe essere menzionato solo in un considerando, madovrebbe essere espresso anche in un articolo del regolamento.

Ulteriore trattamento incompatibile

L'articolo 6, paragrafo 4, introduce la possibilità di ulterioretrattamento dei dati per scopi che non sono compatibili con quelli per i qualii dati sono stati raccolti, laddove possa essere invocata un'altra basegiuridica (salvo qualora si tratti del legittimo interesse del responsabile deltrattamento). Se da un lato il Gruppo di lavoro non mette in discussione lanecessità di lasciare aperta la possibilità di trattare ulteriormente i datiper scopi diversi, dall'altro osserva che la norma nella sua attualeformulazione crea le condizioni per un impiego ulteriore dei dati per scopiincompatibili che potrebbe portare, tanto nel settore pubblico che in quelloprivato, a conseguenze decisamente indesiderate, specie se detto impiego sibasa sulle fattispecie sub b) (esecuzione di un contratto) ed e)(interesse pubblico). Il Gruppo ritiene che questa disposizione vada contro ilprincipio generale della limitazione delle finalità, che rappresenta una dellenozioni chiave della protezione dei dati in Europa, e suggerisce quindi convigore di eliminare il paragrafo 4 dall'articolo 6 o di riscriverlo in modo piùpreciso facendo esplicito riferimento all'articolo 21. A questo proposito, ilGruppo desidera richiamare l'attenzione sul fatto che la questione dell'usocompatibile sarà affrontata in modo più approfondito in un parere nel corso del2012, come indicato nel proprio programma di lavoro 2012-2013.

Eccezioni introdotte per le autorità pubbliche

Una delle ragioni alla base della riforma del quadro per laprotezione dei dati è garantire la completezza. Introducendo un insieme unicodi norme da applicare sia al settore pubblico che a quello privato, il quadrodovrebbe rafforzare la certezza e la sicurezza giuridica per quanto attienealle garanzie della protezione dei dati offerte nei vari settori, inparticolare per le persone fisiche.

Il Gruppo di lavoro ha già espresso il suo rammarico per lamancanza di ambizione nel settore della cooperazione di polizia e giudiziaria.Tuttavia, anche all'interno dello stesso regolamento è previsto un regimedistinto per il settore pubblico. Il Gruppo di lavoro manifesta preoccupazioneper le ampie eccezioni introdotte in varie parti del regolamento a favore delleautorità pubbliche per motivi di interesse pubblico. Il Gruppo ritiene cheampie e generiche eccezioni, peraltro non compensate da adeguate garanzie perla tutela delle persone, non siano giustificate e suggerisce quindi diidentificare all'interno del regolamento, per quanto possibile, gli specificiinteressi pubblici in gioco, contribuendo così anche all'armonizzazione nell'Unioneeuropea.

Come sopra ricordato, l'articolo 6, paragrafo 4, introduce unapossibilità molto ampia per le autorità pubbliche di modificare lo scopoiniziale del trattamento per scopi non compatibili. Inoltre, l'articolo 9,paragrafo 2, lettera g), permette il trattamento di dati sensibili per compitisvolti "nell'interesse pubblico". Lo stesso vale per le eccezionidisposte dall'articolo 17, paragrafo 5, con particolare riguardo all'interessepubblico e agli interessi dei terzi. Il Gruppo di lavoro consiglia di limitarequesta eccezione a "motivi di interesse pubblico sostanziale".

Inoltre, l'articolo 21 stabilisce la possibilità di restrizioni aiprincipi di protezione dei dati e ai diritti dell'interessato, ampliando in talmodo la possibilità di restrizioni rispetto allo stato attuale, senza prevedereadeguate garanzie da rispettare quando questo articolo viene applicato.Peraltro, l'articolo 21, paragrafo 1, lettera c), può essere invocato pergarantire una categoria aperta di "altri interessi pubblici". Il Gruppodi lavoro considera troppo ampia una simile categoria e suggerisce quindi dicancellare dall'articolo 21, paragrafo 1, lettera c), la frase "altriinteressi pubblici dell'Unione o di uno Stato membro..." e di iniziare lafrase da "...un rilevante interesse economico o finanziario...".

L'articolo 33, paragrafo 5, introduce un'eccezione all'obbligo dieffettuare valutazioni d'impatto sulla protezione dei dati per le autoritàpubbliche, quando il trattamento è il risultato di un obbligo giuridico. IlGruppo di lavoro è dell'avviso che la sola eccezione che possa considerarsigiustificata in questo contesto è quando sia già stata eseguita una valutazioned'impatto sulla protezione dei dati durante la procedura legislativa.

» ferma convinzione del Gruppo di lavoro che le eccezioni generaliper il settore pubblico siano ingiustificate e vadano a scapito dellacompletezza del quadro giuridico; il Gruppo suggerisce quindi con forza che,per quanto possibile, i settori pubblico e privato ricevano lo stesso tipo ditrattamento e siano vincolati dal medesimo insieme di norme di base. Tuttavia,occorre impedire che il nuovo quadro giuridico possa portare ad una situazionein cui il livello di protezione dei dati già raggiunto dagli Stati membri invari settori viene indebolito. In particolare nel settore pubblico, il livellodi protezione varia in ragione delle tradizioni costituzionali e giuridiche edei relativi sviluppi. Il nuovo quadro giuridico dovrebbe pertanto forniredelle norme armonizzate di alto livello in questo settore, creando al contempola possibilità per gli Stati membri di fornire ulteriori specificazioni (qualiquelle già fornite nel capo IX) ma senza pregiudizio per il regolamento. Ciòsignifica inoltre che dette norme potrebbero anche integrare il regolamento.

Minori

Il Gruppo di lavoro riconosce l'importanza del principio dell'"interessesuperiore del minore" e la nozione di tutela adeguata al grado di maturità³. » vero che il regolamento non interferisce con le normesulla validità, la conclusione o gli effetti di un contratto in relazione ad unminore nel diritto generale dei contratti degli Stati membri; ciononostante, ilGruppo di lavoro si compiace del fatto che, riguardo all'offerta diretta diservizi della società dell'informazione ai minori, l'articolo 8, paragrafo 1,stabilisca che il trattamento dei dati personali di minori di età inferiore ai13 anni è lecito se e nella misura in cui il consenso è espresso o autorizzatodal genitore o dal tutore del minore.

Il Gruppo di lavoro è consapevole dei vincoli all'armonizzazionedei limiti di età in uno strumento del genere e conviene che in casi puramentenazionali si applichi il diritto dello Stato membro. Tuttavia, il Grupposuggerisce di ampliare il campo di applicazione della norma minima introdottadal regolamento sul modo in cui sono trattati i minori, per includervi altrequestioni oltre all'offerta di servizi della società dell'informazione, dalmomento che vi sono più situazioni in cui potrebbero essere previste normespecifiche.

In generale, nel regolamento mancano disposizioni cheregolamentino il modo in cui i diritti possono essere esercitati medianterappresentanza, non solo nel caso dei minori, ma anche nel caso dellarappresentanza di persone incapaci e da parte degli avvocati.

Diritto all'oblio

Il Gruppo di lavoro valuta positivamente la specifica inclusionenel regolamento del diritto all'oblio e alla cancellazione quali mezzi perrafforzare il controllo che le persone esercitano sui loro dati personali.Tuttavia, il modo in cui tali diritti sono prefigurati nel regolamento e ilreale funzionamento di internet possono limitare in modo sostanziale la loroefficacia.

Il responsabile del trattamento provvede non solo dellacancellazione dei dati, ma anche all'informazione dei terzi che stannotrattando tali dati attraverso link, copie o riproduzioni, in merito allarichiesta dell'interessato. Imporre questo obbligo solo al responsabile deltrattamento comporta dei limiti, dal momento che si possono verificare casi incui questi ha adottato ogni ragionevole misura per informare i terzi ma non è aconoscenza di tutte le copie o riproduzioni esistenti, o non sa quando nuovecopie o riproduzioni compaiono, una volta che ha informato tutti i terziconosciuti. Cosa ancor più importante, nessuna disposizione nel regolamentosembra rendere obbligatorio per i terzi rispettare la richiestadell'interessato, salvo che non siano essi stessi considerati responsabili deltrattamento.

Il regolamento non fornisce indicazioni quanto al modo in cuil'interessato può esercitare i propri diritti se il responsabile deltrattamento non esiste più, è scomparso o non può essere identificato ocontattato. Pertanto, occorrerebbe chiarire il ruolo dei terzi che trattanodati, per definire a quali condizioni e con quale capacità possono dar seguitoalla richiesta dell'interessato, nonché le eventuali conseguenze della mancataosservanza di detta richiesta.

Allo stesso modo, si potrebbe valutare la possibilità di estendereil diritto dell'interessato in modo da consentirgli di indirizzare richieste dicancellazione direttamente ai terzi nei casi in cui ciò non possa essere fattotramite il responsabile del trattamento.

Infine, manca totalmente un meccanismo per la cancellazione dilink verso dati, o loro copie o riproduzioni, che non sono cancellaticonformemente all'articolo 17, paragrafo 3, ma che di per sé non rientranonell'ambito di questo articolo. Questi link, copie o riproduzioni, tuttavia,possono facilitare l'accesso al contenuto originale, laddove ciò non sianecessariamente giustificato ai sensi di detto articolo. Ovviamente, il Gruppodi lavoro riconosce il bisogno di mantenere un equilibrio tra i diritti allavita privata e il diritto alla libertà di espressione. Il regolamento dovrebbechiarire il rapporto tra l'articolo 17, paragrafo 3, e l'obbligo previstoall'articolo 17, paragrafo 2.

Marketing diretto

Malgrado il fatto che l'articolo 19, paragrafo 2, del regolamentosancisca il diritto di opporsi al trattamento dei dati per finalità di marketingdiretto, il Gruppo di lavoro sottolinea che le disposizioni della direttiva2002/58/CE restano pienamente applicabili, come ribadito anche dall'articolo 89del regolamento. Ciò riguarda specificamente la pubblicità comportamentale on linee il marketing per posta elettronica, laddove sia previsto il consenso.

Profilazione

Il Gruppo di lavoro è favorevole alla norma del regolamento chedisciplina la profilazione. Tuttavia, nutre dubbi quanto al fatto sel'approccio adottato sia sufficiente a ricomprendere le questioni dellacreazione e dell'uso di profili utente, in particolare nell'ambiente on line.Inoltre, il Gruppo osserva che l'espressione "significativamente incida"contenuta nell'articolo20, paragrafo 1, manca di precisione; dovrebbe esserechiarito che detta espressione copre anche, ad esempio, l'applicazione distrumenti di analisi in rete, del tracciamento per la definizione delcomportamento dell'utente, la creazione di profili di movimento attraverso leapplicazioni portatili, o la creazione di profili personali attraverso i socialnetwork.

Inoltre, la norma non dovrebbe essere limitata solamente altrattamento automatizzato, ma dovrebbe applicarsi anche ai metodi ditrattamento parzialmente automatizzato. Ad avviso del Gruppo di lavoro,dovrebbe essere adottato un approccio che definisca chiaramente i fini per iquali possono essere creati ed usati i profili, e imponga specifici obblighi airesponsabili del trattamento di informare l'interessato, in particolare inmerito al diritto di opporsi a detta creazione e a detto uso.

Rappresentante

Il Gruppo di lavoro ritiene che debbano essere ulteriormentechiariti il ruolo e gli obblighi del rappresentante descritti dall'articolo 25.Dovrebbe essere spiegato quale ruolo abbia il rappresentante nei confrontidegli interessati, delle autorità giudiziarie e delle autorità di protezionedei dati, dato che l'articolo 79, paragrafo 6, lettera f), prevede la sanzionepiù elevata in caso di mancata designazione di un rappresentante. Dovrebbeessere specificato qual è il mandato del rappresentante, al fine di determinarecon sicurezza la portata della sua missione, del suo ruolo e della suaresponsabilità.

L'articolo 78, paragrafo 2, stipula che, qualora il responsabiledel trattamento abbia designato un rappresentante, le sanzioni si applicano alrappresentante. Occorrerebbe la stessa chiarezza nel caso di sanzioniamministrative ai sensi dell'articolo 79. L'espressione " può essereinterpellato da qualsiasi autorità di controllo", usata sia nelconsiderando63 che all'articolo 4, paragrafo 14, non chiarisce a sufficienzache un rappresentante può essere il destinatario anche di una sanzioneamministrativa ai sensi dell'articolo 79.

Dovrebbe essere chiarito anche che il riferimento allostabilimento del rappresentante nell'Unione europea quale menzionatoall'articolo 25, paragrafo 3 ("è stabilito in uno degli Stati membri"), non porta all'applicazione delle normeprincipali in tema di stabilimento di cui all'articolo 4, paragrafo 13, ossia        non costituisce fattore decisivo ai fini della determinazionedell'autorità di protezione dei dati competente ai sensi dell'articolo 51,paragrafo 2.

Riguardo alle eccezioni all'obbligo di designare unrappresentante, il Gruppo di lavoro non vede alcuna ragione sostanziale per escludereil responsabile del trattamento che si trovi in un paese terzo ed offra unlivello adeguato di protezione. Il fatto che un paese terzo offra un livelloadeguato di protezione dei dati non incide sul bisogno di avere un punto dicontatto nell'Unione europea; il Gruppo suggerisce perciò di cancellarel'articolo 25, paragrafo 2, lettera a).

Se è necessario prevedere delle eccezioni all'obbligo di designareun rappresentante, dette eccezioni dovrebbero basarsi sulla natura e sullaportata del trattamento dei dati personali, oltre che sul numero (eventuale) diinteressati che ne risentono nell'Unione europea. L'attuale soglia espressa innumero di dipendenti del responsabile del trattamento può portare ad escluderele piccole organizzazioni che trattano dati e che presentano rischi per lepersone. Inoltre, malgrado la spiegazione nel considerando 64, l'espressione "offresolo occasionalmente beni eservizi agli interessati" è troppo vaga e può nella pratica portare troppospesso a fraintendimenti.

Responsabilità

Il Gruppo di lavoro si congratula per l'introduzione nelregolamento del principio di responsabilità, specialmente all'articolo 22, esupporta pienamente l'obiettivo di instaurare procedure e meccanismi efficaciche abbiano ad oggetto quelle operazioni di trattamento che con più probabilitàpossono presentare rischi specifici per i diritti e le libertà degliinteressati. Nondimeno, il Gruppo nutre alcuni dubbi circa gli articoli cheintendono specificare il principio generale.

In primo luogo, deve essere garantita la scalabilità.Nell'applicare il principio di responsabilità, dovrebbe essere possibile tenereconto delle dimensioni del responsabile del trattamento e della natura delleattività di trattamento. Alle autorità di controllo dovrebbe poi essereconsentito considerare i meccanismi di responsabilità attuati quando devonoemanare sanzioni e ammende.

Inoltre, l'articolo 28 prevede l'obbligo per il responsabile deltrattamento di conservare la documentazione di tutti i trattamenti che sisvolgono sotto la sua responsabilità. L'articolo 28, paragrafo 2, determinaqual è la documentazione specifica in questione. Quest'obbligo interagisce congli obblighi generali di responsabilità di cui all'articolo 22, secondo cui iresponsabili del trattamento sono tenuti ad essere in grado di dimostrare qualisono le politiche e le misure messe in atto per garantire il rispetto dellenorme. In teoria, ogni responsabile o incaricato del trattamento e, se delcaso, il rappresentante del responsabile, dovrebbero essere tenuti a conservarela documentazione primaria relativa ai trattamenti dei dati.

Se da un lato il Gruppo di lavoro accoglie favorevolmentel'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati dicui all'articolo 33, dall'altro ritiene che detta valutazione dovrebbe essereeffettuata anche nei casi in cui non sia chiaro se il trattamento presentarischi specifici per i diritti e le libertà degli interessati. Il Grupposuggerisce quindi di allineare l'articolo 33, paragrafo 1, al considerando 70 epropone di aggiungere "potenzialmente" cosicché la prima frasedell'articolo reciti "Quando il trattamento (...) potenzialmente presenta rischi specifici ....".

» opinione del Gruppo di lavoro che le esenzioni accordateall'articolo 28, paragrafo 4, lettera b), relativamente alla documentazione eall'articolo 35, paragrafo 1, lettera b), quanto alla nomina dei responsabilidella protezione dei dati, possano avere conseguenze indesiderate, specialmentenel caso in cui una piccola organizzazione con meno di 250 dipendenti trattauna notevole quantità di dati personali o il trattamento è per sua naturarischioso. Allo stesso modo, l'attuale formulazione incide in modosproporzionato sulle organizzazioni di grandi dimensioni che trattano dati personaliin quantità limitate. Il Gruppo ritiene che sarebbe più opportuno tener conto,invece del numero totale di dipendenti di un'impresa, della natura e dellaportata del trattamento dei dati personali, così come del numero di dipendentidirettamente coinvolti nel trattamento dei dati personali e/o del numero degliinteressati.

Il Gruppo è del parere che le attività di trattamento riguardantile categorie di dati sensibili di cui all'articolo 9 del regolamento dovrebberoessere sottoposte ad una valutazione d'impatto sulla protezione dei dati.Pertanto, all'articolo 33, paragrafo 2, lettera b), dovrebbero essere inclusitutti gli elementi dei dati sensibili.

In aggiunta, la limitazione dei trattamenti previsti all'articolo33, lettere b), c) e d), ai casi in cui esse avvengano "su larga scala"dovrebbe essere eliminata, poiché secondo il Gruppo la valutazione d'impattosulla protezione dei dati è necessaria per detti trattamenti anche se sono suscala ridotta.

Ciò è vero in modo particolare per il trattamento di datibiometrici, che secondo il Gruppo in certe circostanze dovrebbe essereconsiderato rischioso e dovrebbe pertanto comportare una valutazione d'impattoa prescindere da qualunque soglia prevista dall'articolo 33. Inoltre, comesopra ricordato, l'eccezione prevista per le autorità pubbliche all'articolo33,paragrafo 5, che le esenta dall'obbligo di effettuare una valutazione d'impattoè ingiustificata, salvo nel caso in cui tale valutazione sia stata già condottadurante la procedura legislativa.

Notificazioni delle violazioni di dati

Il Gruppo di lavoro accoglie positivamente l'introduzionedell'obbligo di notifica delle violazioni di dati personali, che apportacoerenza tra tutti i settori; tuttavia, nutre dubbi quanto al raggiungimento dirisultati soddisfacenti sulla base del sistema dell'obbligo di notifica così comeè stato impostato. In particolare, il campo di applicazione dell'obbligo dinotifica alle autorità di controllo dovrebbe essere maggiormente circoscritto elimitato, al fine di evitare situazioni in cui le autorità di controllo sitrovano distolte e inutilmente appesantite dal dover trattare notifiche diviolazioni minori che difficilmente possono incidere negativamente sui dirittidegli interessati. Maggior chiarezza è altresì necessaria quanto al ruolo ealle responsabilità delle autorità di protezione dei dati al momento dellanotifica (e successivamente).

Il Gruppo è consapevole del fatto che, in certe circostanze, illimite di 24 ore per effettuare la notifica non sarebbe attuabile. All'articolo31, paragrafo 1, il problema è stato affrontato prevedendo la possibilità dinotificare una violazione oltre le 24 ore dopo esserne venuti a conoscenza. Latempestività delle notificazioni è nondimeno importante: per questo il Gruppopropone di applicare un approccio in due fasi, secondo cui la notifica di unaviolazione da parte del responsabile del trattamento deve in linea di principioessere effettuata entro le 24 ore dal momento in cui se ne è venuti aconoscenza; e laddove non possa fornire tutte le informazioni entro il terminedelle 24 ore, il responsabile del trattamento ha la possibilità di completarela notifica in un secondo tempo.

Appaiono necessarie ulteriori specificazioni quanto ai criteri perstabilire quando sussiste una violazione di dati personali e le circostanze incui la violazione debba essere notificata all'autorità di protezione dei dati eagli interessati che l'hanno subita (ad esempio se vi sia il rischio dipericolo o danno concreto per gli interessati). Il Gruppo è dell'avviso che ilcomitato europeo per la protezione dei dati debba in ogni caso essere coinvoltonella definizione di detti criteri e circostanze.

In linea con le raccomandazioni emesse dal Gruppo di lavoro edall'ENISA, il modulo di notificazione dovrebbe contenere una valutazione dellagravità della violazione di dati personali sulla base di criteri oggettivi.

Ruolo e funzionamento delle autorità di protezione dei dati

Indipendenza

Il testo nella sua attuale formulazione sancisce che i membri dell'autoritàdi protezione dei dati possono essere nominati esclusivamente dal parlamento odal governo. Il Gruppo di lavoro vorrebbe tuttavia che fosse consentito agliStati membri di concedere la possibilità anche ad altri organismi indipendenti,quali ad esempio il Consiglio superiore della magistratura, di proporrecandidati e/o di nominare membri dell'autorità di protezione dei dati.

Poteri

Oltre alla possibilità di condurre indagini, le autorità diprotezione dei dati dovrebbero poter avere la possibilità espressa di effettuareaudit.

Risorse

Per l'effettiva esecuzione, da parte delle autorità di protezionedei dati, delle funzioni e dei poteri rafforzati dal regolamento, compresiquelli da svolgere nell'ambito dell'assistenza reciproca, della cooperazione edella partecipazione al comitato, il regolamento stabilisce che gli Statimembri devono garantire risorse umane, tecniche e finanziarie adeguate, nonchéi locali e le infrastrutture necessarie a dette autorità. Come sopra ricordato,il Gruppo di lavoro consiglia fortemente di indicare più nel concreto gliimporti per risorse adeguate, ad esempio dopo che si sia proceduto adun'accurata valutazione dell'aumento dei costi per le autorità sulla base delleattuali proposte.

Le risorse adeguate potrebbero essere calcolate sulla base di unimporto fisso che copra le mansioni fondamentali svolte parimenti da tutte leautorità di protezione dei dati, completato da un importo basato su una formulalegata alla popolazione dello Stato membro e al suo PIL. Potrebbe anche esserviun fattore che rifletta il numero di multinazionali aventi la loro sedeprincipale stabilita in quello Stato membro. Uno dei considerando dovrebbeespressamente incoraggiare gli Stati membri a prendere in considerazione unaserie di opzioni per finanziare l'autorità di protezione dei dati, in modo dagarantire che questa possa rispettare il requisito dell'adeguatezza dellerisorse.

Margine di discrezionalità

Per essere efficaci, le autorità di protezione dei dati dovrebberopoter essere selettive: nonostante gli obblighi relativi alla cooperazione,all'assistenza reciproca e alla coerenza di cui al capo VII, dovrebbero poterdefinire le loro priorità e avviare di propria iniziativa interventi qualiazioni d'indagine. L'autorità di protezione dei dati dovrebbe essere in gradodi destinare le risorse secondo il carattere strategico e la complessità dellequestioni in gioco, tenendo conto ad esempio del danno effettivo o eventualealla protezione dei dati, del numero di persone interessate e della tecnologiaimpiegata. Permettere alle autorità di protezione dei dati di fissare le loropriorità è di ausilio anche per far fronte ai vincoli finanziari e di bilancio.

Le funzioni di cui all'articolo 52, paragrafi 2 e 3, ai sensi delquale ogni autorità di protezione dei dati "promuove" e "surichiesta, consiglia l'interessato", sembrano diminuire la discrezionalitàdi cui necessitano dette autorità per essere efficaci. Inoltre, per far sì chele autorità godano di tale discrezionalità, il Gruppo di lavoro suggerisce diincludere la parola "può" all'articolo 34, paragrafo 3, cosicché lafrase reciti "e può presentareopportune proposte per ovviare al difetto di conformità".

Giurisdizione e competenza delle autorità di protezione dei dati("sportello unico")

L'articolo 51, paragrafo 1, stabilisce la competenza dell'autoritàdi protezione dei dati sul territorio del proprio Stato membro. A questa regolagenerale si aggiunge l'articolo 51, paragrafo 2, secondo cui l'autorità diprotezione dei dati dello Stato membro in cui il responsabile del trattamentoabbia il proprio stabilimento principale è considerata competente a controllarele sue attività di trattamento in tutti gli Stati membri.

Il Gruppo di lavoro è favorevole alla creazione del concetto di autorità"capofila" e all'introduzione di un obbligo chiaro in capo alle autorità dicooperare e di rifarsi al meccanismo di coerenza nei casi in cui i trattamentisiano suscettibili di incidere negativamente su interessati in vari Statimembri; ciò porterà ad un'interpretazione ed applicazione coerente del quadrogiuridico dell'Unione, a beneficio della certezza del diritto. Tuttavia, comesopra ricordato, perché il meccanismo possa funzionare, la definizione distabilimento principale e le relative conseguenze sulle competenze delle altreautorità necessitano un chiarimento. Solleva interrogativi anche il modo in cuiè stato proposto il meccanismo di coerenza.

Ad ogni buon conto, dovrebbe essere evidente che la competenzadell'autorità capofila non è esclusiva. Tale competenza è subordinata agliobblighi di cooperare, fornire e accettare assistenza reciproca e ricorrere almeccanismo di coerenza, come disposto nel capo VII in materia di coerenza ecooperazione, nonché di agire di concerto con le altre autorità di protezionedei dati coinvolte.

Il Gruppo di lavoro fa anche notare che il principio dellosportello unico di cui all'articolo 51, paragrafo 2, si applica esclusivamentealla situazione in cui il responsabile o l'incaricato del trattamento ha più diuno stabilimento nell'Unione europea, mentre non si applica alla situazione incui non vi sia alcuno stabilimento sul territorio dell'Unione e i trattamentisiano connessi all'offerta di beni o alla prestazione di servizi ad interessatinell'Unione o al controllo del loro comportamento, ai sensi dell'articolo 3,paragrafo 2. Ne discende che, in questo caso, ciascuna autorità di protezionedei dati il cui Stato membro è interessato da trattamenti è competente ai sensidell'articolo 51, paragrafo 1, ma il regolamento non contiene alcuna norma chestabilisca quale autorità debba avere il ruolo di capofila in casi come questi.Il Gruppo di lavoro ritiene che la cooperazione e la coerenza abbiano unavalenza particolare in questi casi.

Alla luce del fatto che gli elementi attuali per definire lostabilimento principale contenute all'articolo 4, paragrafo 13, sono, comesopra illustrato, insoddisfacenti e conseguentemente mancano criteri chiari perstabilire l'autorità capofila in casi transfrontalieri, il Gruppo propone divalutare:

1. di accettare il carattere non esclusivo della competenzadell'autorità capofila, e la sua subordinazione agli obblighi di cooperare, difornire e accettare assistenza reciproca e di ricorrere al meccanismo dicoerenza, come previsto al capo VII sulla coerenza e la cooperazione, e

2. i criteri per determinare l'autorità capofila nei casi in cuinon vi sia stabilimento nell'Unione europea (o non sia chiaro dove talestabilimento si trovi), tra cui si potrebbe ricomprendere:

Ä lo Stato membro dove si svolgono le principali attività ditrattamento in questione;

Ä lo Stato membro dove le persone subiscono gli effetti deltrattamento;

Ä lo Stato membro in cui le persone hanno presentano specificireclami o esposto preoccupazioni all'autorità di protezione dei dati ai sensidell'articolo 73, paragrafo 1.

» ovvio che potrebbero risultare diversi Stati membri per ciascunodei succitati criteri. Tuttavia, le autorità di protezione dei dati interessatedovrebbero poi convenire tra loro, sulla base di questi criteri, quale tra essedebba assumere il ruolo di capofila. Nei casi in cui la soluzione non siaevidente o non si raggiunga un accordo, il comitato europeo per la protezionedei dati dovrebbe, sulla base degli stessi criteri, decidere nel merito.

Assistenza reciproca

Il Gruppo di lavoro suggerisce un concetto generale di autoritàcapofila e di cooperazione. Ogniqualvolta "il trattamento riguardiinteressati in più Stati membri" ai sensi dell'articolo 56, le rispettiveautorità di protezione dei dati dovrebbero avere l'obbligo di cooperare traloro, poiché sono i loro cittadini che ne subiscono gli effetti. Talecooperazione dovrebbe includere la valutazione giuridica così come lespecifiche misure di controllo da adottare.

Sull'esempio dell'articolo 55, paragrafo 1, secondo il Gruppo leautorità di protezione dei dati dovrebbero fornirsi reciprocamente altreinformazioni pertinenti, anche nei casi in cui una misura di cui all'articolo58, paragrafo 1, non sia ancora stata adottata (ad esempio in caso diviolazione di sicurezza). In aggiunta, le autorità di protezione dei datidovrebbero condividere tra loro le decisioni favorevoli adottate su valutazionid'impatto.

Il Gruppo suggerisce di chiarire negli articoli 55 e 56 che,ogniqualvolta debba essere adottata una decisione che coinvolge sia l'autoritàcapofila ai sensi dell'articolo 51, paragrafo 2, che un'altra autoritàinteressata ai sensi dell'articolo 51, paragrafo 1, l'autorità capofila el'autorità "sul posto" dovrebbero agire di concerto in merito allavalutazione del caso e alle misure da adottare. Laddove le autorità interessatenon raggiungano il consenso sulla valutazione del caso e/o sulle misure daadottare su base bilaterale o multilaterale, il caso dovrebbe essere oggettodel meccanismo di coerenza di cui all'articolo 57.

Il Gruppo di lavoro si compiace delle misure proposte perassicurare che le autorità di protezione dei dati possano lavorare insieme enota che, come esposto in precedenza, la competenza dell'autorità capofila nonè esclusiva. Il Gruppo insiste tuttavia sul fatto che per assicurarel'assistenza reciproca occorre fare di più, in termini di risorse per leautorità, come sopra ricordato, ma anche guardando più nel dettaglio al modo incui tale assistenza deve essere messa in pratica. L'uso delle lingue, itermini, la quantità e la natura delle informazioni richieste, così come imezzi tecnici, i formati e le procedure per la condivisione delle informazioni,sono tutte questioni che nella pratica si rivelano vitali per garantirel'efficace cooperazione tra autorità di protezione dei dati e che sono perquesto al centro del principio dello "sportello unico".

Coerenza

Il Gruppo di lavoro nota con soddisfazione che la sua proposta perun meccanismo di cooperazione e coordinamento destinato a garantire coerenzanell'applicazione delle norme sulla protezione dei dati figura agli articoli 57e 58 della proposta.

Tuttavia, il Gruppo ritiene che un tale meccanismo dovrebbeoperare solo ove necessario, senza violare l'indipendenza delle autorità dicontrollo nazionali e lasciando ai vari attori le responsabilità che competonoloro.

Data l'ampia portata dell'articolo 58, paragrafo 2, lettera a),che si applica al trattamento dei dati nel contesto di ogni sorta di offerta dibeni o prestazione di servizi a carattere transfrontaliero nell'Unione europea,il Gruppo di lavoro suggerisce che il meccanismo di coerenza presso il comitatoeuropeo per la protezione dei dati si applichi solo a quei casi in cui leautorità di controllo competenti ai sensi dell'articolo 51 non raggiungono ilconsenso sulla valutazione del caso e/o sulle misure da adottare su basebilaterale o multilaterale. In ogni caso il comitato dovrebbe essere informatodei casi di rilevanza generale per la protezione dei dati o per la liberacircolazione dei dati personali nell'Unione europea.

Per evitare che un gran numero di casi sia sottoposto almeccanismo, in ragione del fatto che il relativo campo di applicazione èconsiderevolmente ampio (in virtù dell'articolo 58, paragrafo 3, ogni autorità può chiedere che unaquestione sia trattata nell'ambito del meccanismo di coerenza), il Grupposuggerisce che il comitato si esprima con il voto in merito alle richiestepresentate ai sensi dell'articolo 58, paragrafo 3.

Malgrado il ruolo di custode dei trattati svolto dallaCommissione, il Gruppo di lavoro esprime forti riserve quanto alla posizione diquest'ultima nei riguardi di casi individuali pendenti nell'ambito delmeccanismo di coerenza, poiché pregiudica l'indipendenza delle autorità diprotezione dei dati e del comitato. Quando una questione è o è stata trattatadal comitato secondo il meccanismo di coerenza, la Commissione dovrebbe averela facoltà di esprimere la propria valutazione giuridica ma dovrebbe in teoriaastenersi dall'interferire. Ciò vale in particolare in caso di sospensione diuna misura secondo il disposto dell'articolo 60, paragrafo 1, e dell'articolo62, paragrafo 1, lettera a), e paragrafo 2. Inoltre, il fatto che laCommissione "dubiti seriamente" non basta a giustificare la sua interferenza.

Il Gruppo di lavoro sottolinea che spetta al comitato assicurareche i suoi pareri siano rispettati ed applicati in maniera uniforme da tutte leautorità di protezione dei dati pertinenti.

Per aumentare l'efficienza dei pareri del comitato europeo per laprotezione dei dati, si potrebbe introdurre un "meccanismo di conferma" neicasi in cui una o più autorità di protezione dei dati intendano derogare alparere adottato dal comitato nell'ambito del meccanismo di coerenza ai sensidell'articolo 58, paragrafo 7. In questi casi il comitato dovrebbe poterriconfermare il parere a maggioranza qualificata, sottolineando quindil'importanza di un approccio comune nei casi di rilevanza generale per laprotezione dei dati nell'Unione europea. Un'altra opzione sarebbe consentirealle autorità di protezione dei dati di esprimere posizioni di minoranza, chedovrebbero essere motivate e pubblicate.

In aggiunta, si potrebbe prevedere una procedura per consentire alcomitato e alla Commissione di chiedere alla Corte di giustizia un pareresull'interpretazione del regolamento, qualora un'autorità di protezione deidati non intenda conformarsi ad un parere che il comitato ha riconfermato allamaggioranza qualificata.

Applicazione del diritto nazionale (capo IX)

Quando negli Stati membri vengono adottate norme specifiche aisensi degli articoli da 80 a 83, tali norme sono destinate ad interagire con lenorme relative alla competenza delle autorità di protezione dei dati e alsistema di autorità capofila.

Il testo, nella sua redazione attuale, non risolve il problema dicasi che sorgono in virtù del coesistente diritto nazionale, ad esempionell'ambito del rapporto di lavoro, in relazione alla portata della competenzadell'autorità di protezione dei dati in cui si trova lo stabilimento principaledel responsabile del trattamento. Ad esempio, si pone la questione sel'autorità di protezione dei dati tedesca debba interpretare ed applicare ildiritto del lavoro spagnolo nel caso di un problema riguardante un dipendentedi una filiale in Spagna di una società che ha il proprio stabilimentoprincipale in Germania. Dovrebbe quindi essere chiarito che, a titolo dieccezione all'articolo 51, paragrafo 2, in casi che dipendono dall'applicazionedel diritto nazionale secondo il capo IX del regolamento, la rispettivaautorità di protezione dei dati nazionale dovrebbe sempre essere l'autorità cheè competente (ovviamente agendo in cooperazione con l'autorità capofila) adapplicare il coesistente diritto nazionale in quel determinato caso(nell'esempio di cui sopra, l'autorità spagnola sarebbe competente ad applicarelo specifico diritto spagnolo sulla protezione dei dati nell'ambito delrapporto di lavoro).

In generale, il Gruppo di lavoro insiste sulla necessità dichiarire il campo di applicazione dei diritti nazionali adottati in virtù delcapo IX.

Termini

Il Gruppo concorda sull'importanza della tempestività dei pareridel comitato europeo per la protezione dei dati nell'ambito del meccanismo dicoerenza. Il quadro predisposto per ottenere risultati dovrebbe tuttavia esseretale da garantire la qualità del parere. In ogni caso, al fine di assicurare unreale sostegno sul campo e garantire che il parere possa essere invocato ineventuali procedimenti giudiziali, la rigida tempistica proposta dovrà essererivista.

Uno "sportello unico" per gli interessati

Così come i responsabili del trattamento, anche gli interessatidovrebbero avere a disposizione uno "sportello unico" nelle giurisdizioni delleautorità di protezione dei dati dell'Unione. Il regolamento prevede variepossibilità per gli interessati di far valere i propri diritti ed otteneregiustizia. Gli interessati possono presentare una denuncia all'autorità diprotezione dei dati di tutti qualunque Stato membro (quella del loro Statomembro, quella dello Stato membro in cui il responsabile del trattamento ha ilproprio stabilimento principale o qualunque altra autorità di protezione deidati nell'Unione). Gli interessati possono altresì avviare un procedimentodinanzi alla loro autorità giudiziaria nazionale e a quella del paese in cui ilresponsabile del trattamento ha uno stabilimento.

Anche se queste possibilità sembrano rafforzare i diritti degliinteressati, esse possono anche creare confusione ed incertezza in merito alsoggetto che in ultima istanza ha la responsabilità di dare una rispostaall'interessato.

Nonostante il diritto a proporre ricorso giurisdizionale, ilGruppo di lavoro suggerisce di chiarire che gli interessati sono in linea diprincipio tenuti a rivolgersi all'autorità di protezione dei dati dellagiurisdizione in cui risiedono o a quella del luogo in cui il responsabile ol'incaricato del trattamento ha uno stabilimento. Per essere in grado dirispondere all'interessato, l'autorità di protezione dei dati adita in questoStato membro deve cooperare con quella del luogo in cui il responsabile deltrattamento ha il proprio stabilimento principale (l'autorità capofila) perconcordare le misure necessarie a svolgere le relative indagini e, in talunicasi, a porre in essere azioni per il rispetto delle norme. Tuttavia,l'autorità di protezione dei dati inizialmente invocata conserverà in tutte lecircostanze la responsabilità di rispondere all'interessato.

Struttura istituzionale del comitato europeo per la protezione deidati

Il Gruppo di lavoro prende nota del fatto che esso sarà sostituitodal comitato europeo per la protezione dei dati istituito ai sensidell'articolo 64. Il Gruppo è dell'avviso che dovrebbe essergli consentito dieleggere democraticamente il proprio presidente e i propri vicepresidenti. Agliocchi del Gruppo non sono stati forniti motivi sufficientemente validi perimporre che il garante europeo della protezione dei dati rivesta il ruolo divicepresidente permanente.

Inoltre, sarebbe opportuno che esso avesse una segreteriatotalmente indipendente. Tuttavia, il Gruppo nota che le funzioni di segreteriadel comitato saranno assicurate non più dalla Commissione bensì dal garanteeuropeo della protezione dei dati. Sarebbe opportuno valutare ulteriormente inche modo ciò possa realizzarsi, da un punto di vista pratico e dei rapportigerarchici, in particolare la necessità di assicurare l'indipendenza dei membridella segreteria e le conseguenze giuridiche ed istituzionali derivantidall'affidamento della segreteria del comitato ad uno dei suoi membri.

Trasferimenti internazionali

Il regolamento sottolinea a giusto titolo la responsabilità deiresponsabili del trattamento di garantire che i dati personali restino protettiquando vengono trasferiti al di fuori dello spazio economico europeo (SEE). Ilregolamento agevola i responsabili del trattamento mediante la previsione divarie "zone di sicurezza" (safe harbours) nella forma di decisioni diadeguatezza, di un sistema semplificato di norme vincolanti d'impresa per lemultinazionali, di clausole contrattuali approvate e di approvazioniindividuali da parte dell'autorità di protezione dei dati. Varie deroghe sonoinoltre previste all'articolo 44, benché il relativo campo di applicazione,specialmente quello dell'articolo 44, paragrafo 1, lettera h), sia molto ampioe tenda ad applicarsi a svariate situazioni. Secondo un precedente parere delGruppo di lavoro (parere WP114), tali deroghe dovrebbero trovare applicazionesolamente nella misura in cui il trattamento non è massiccio, ripetitivo néstrutturale.

Inoltre, l'articolo 42 introduce la possibilità di usare strumentinon vincolanti per inquadrare trasferimenti internazionali, strumenti che sonosoggetti all'autorizzazione delle autorità di protezione dei dati. Nondimeno,il carattere vincolante è sempre stato considerato un requisito importante pergli strumenti esistenti di strutturazione dei trasferimenti internazionali (adesempio, le condizioni generali di contratto, le norme vincolanti d'impresa, le"zone di sicurezza" – safe harbours -, l'adeguatezza dei paesiterzi). Si propone quindi di eliminare l'articolo 42, paragrafo 5, esclusal'ultima frase e di modificare di conseguenza il riferimento nell'articolo 34.

Relativamente all'articolo 41, paragrafo 6, dovrebbe esserechiarito se l'espressione "fatti salvi gli articoli da 42 a 44"significa che, nel caso la decisione di adeguatezza della Commissione risultinegativa, i trasferimenti di dati verso il paese terzo interessato sonocomunque possibili sulla base dei citati articoli.

Infine, laddove la Commissione decida che il paese terzo inquestione o il suo territorio, o un settore di trattamento dati all'interno delpaese terzo, o un'organizzazione internazionale garantiscono un livelloadeguato di protezione, il trasferimento non necessita di ulterioreautorizzazione. Come sopra ricordato, tuttavia, il Gruppo di lavoro suggeriscevivamente di includere un obbligo per la Commissione di consultare il comitatoin merito alle decisioni di adeguatezza.

Divulgazione non autorizzata dal diritto dell'Unione

Il Gruppo di lavoro sottolinea la necessità di includere nelregolamento l'uso obbligatorio di trattati di assistenza giuridica reciproca incaso di divulgazioni non autorizzate dall'Unione o dagli Stati membri. IlGruppo teme che, in assenza dell'uso obbligatorio di questi trattati laddoveesistono, si assisterà, tra l'altro, a massicci trasferimenti di dati personaliper una vasta e potenzialmente illimitata categoria di "motivi di interessepubblico rilevante", secondo quanto previsto dall'articolo 44, paragrafo 1,lettera d), anche quando detti trasferimenti sono massicci, frequenti e acarattere strutturale. Quando una decisione di un'autorità giudiziaria oamministrativa di un paese terzo impone al responsabile o all'incaricato deltrattamento di trasferire dati dall'Unione europea verso quel paese terzo, enon vi sia né un trattato di assistenza giuridica reciproca, né nessun altroaccordo internazionale in vigore tra il paese terzo richiedente e l'Unione o loStato membro o gli Stati membri, detto trasferimento dovrebbe essere vietato.Il Gruppo sottolinea che, in casi in cui sia in vigore un trattato diassistenza giuridica reciproca, l'autorità competente ai sensi del trattato (oaccordo internazionale comparabile) è l'autorità che tratta la richiesta edeve, ove necessario, consultare l'autorità di protezione dei dati.

Diritto al risarcimento e responsabilità

Il Gruppo di lavoro si compiace dell'introduzione delle disposizioniall'articolo77, paragrafo 1, che garantiscono che chiunque subisca un dannocagionato da un trattamento illecito o da altro atto incompatibile con ilregolamento ha il diritto di ottenere il risarcimento del danno dalresponsabile o dall'incaricato del trattamento. Il Gruppo vede con favore ancheil fatto che, ai sensi dell'articolo 77, paragrafo 2, l'interessato non siaobbligato a rivolgersi al responsabile del trattamento qualora siano coinvoltinel trattamento più di un responsabile o di un incaricato. Appare tuttavianecessario chiarire (in un considerando) che il termine "danno" non indicameramente il danno materiale ma include anche il danno morale (che non èqualificabile come "materiale").

Se interviene una decisione adottata da un'altra autorità diprotezione dei dati (ad esempio, l'autorità del luogo dello stabilimentoprincipale), che incide sull'interessato o gli è pregiudizievole, questidovrebbe poter agire in giudizio contro tale decisione dinanzi al tribunaleamministrativo del proprio luogo di residenza.

La soluzione formulata dalla Commissione europea, che equivale aconsentire o all'interessato o all'autorità di protezione dei dati di agire ingiudizio contro l'altra autorità di protezione dei dati nella giurisdizione diquest'ultima, è lungi dall'essere soddisfacente. Il Gruppo di lavoro chiede unsistema che consenta agli interessati di agire in giudizio contro una decisioneamministrativa dinanzi al tribunale amministrativo del loro paese di residenza.

Sanzioni

Il Gruppo di lavoro accoglie positivamente l'introduzione disanzioni elevate, che consentiranno alle autorità di protezione dei dati disvolgere il loro ruolo di autorità di contrasto e possono contribuire, comedeterrente, ad ottenere un maggior rispetto delle norme da parte deiresponsabili del trattamento.

L'articolo 79, paragrafo 1, stabilisce che ogni autorità dicontrollo "è abilitata" ad imporre sanzioni amministrative. Ciò trovariscontro nel considerando 120, secondo cui l'autorità di controllo "devepoter sanzionare" gli illeciti amministrativi. Tuttavia, secondo ildisposto dell'articolo 79, paragrafi da 4 a 6, l'autorità di controllo "irrogasanzioni amministrative pecuniarie" nelle situazioni descritte. Il Gruppodi lavoro considera che le autorità di protezione dei dati debbano godere di uncerto margine di discrezionalità nel decidere quando irrogare una sanzione, dalmomento che sono molti i fattori che influenzano la natura di una violazione datenere in considerazione nello stabilire l'imposizione della sanzione. Essosuggerisce pertanto di modificare in tal senso l'articolo 79, paragrafi da 4 a6.

Il Gruppo apprezza l'effetto armonizzatore dell'articolo 79, chestabilisce quale violazione porta ad una determinata sanzione massima; essoprodurrà maggior coerenza nell'irrogazione delle sanzioni nell'Unione europea.Nondimeno, il Gruppo suggerisce di esplicitare all'articolo 58, paragrafo 2, lapossibilità di usare il meccanismo di coerenza della sezione 2 del capo VII,per contrastare le divergenze di applicazione delle sanzioni amministrative,così come previsto anche al considerando 120.

Secondo l'interpretazione data dal Gruppo, inoltre, nel caso incui varie autorità di protezione dei dati risultano competenti, tutte sonoautorizzate ad irrogare una sanzione secondo l'articolo 79 del regolamento. Maciò pone interrogativi riguardo al principio del "ne bis in idem".

Inoltre, ad avviso del Gruppo, la soglia introdotta in caso diprima inosservanza non intenzionale comporterebbe l'esclusione di moltiresponsabili del trattamento dal campo di applicazione della stessa e ritienepertanto che detta soglia debba essere eliminata. Se deve essere introdotta unasoglia, sarebbe più opportuno tener conto del numero di interessati cherisentono (negativamente) del comportamento da sanzionare, piuttosto che delnumero di dipendenti del responsabile del trattamento.

Ricorsi giurisdizionali

Il Gruppo di lavoro si compiace dell'inclusione di una seriecompleta di norme sui mezzi di ricorso giurisdizionale per gli interessati, compresala possibilità per le organizzazioni o associazioni di esercitare i dirittidegli interessati nei confronti di responsabili ed incaricati del trattamento.Tuttavia, ad avviso del Gruppo, vari aspetti che riguardano il capo VIIInecessitano di ulteriori chiarimenti.

Data  l'ampiezza  del campo di applicazionedell'articolo 73, paragrafo 1,   secondo cui l'interessato ha ildiritto di proporre reclamo all'autorità di controllo di qualunque Stato membro, il Grupporitiene che l'interessato dovrebbe in teoria rivolgersi all'autorità diprotezione dei dati nella giurisdizione in cui risiede o a quella dellagiurisdizione in cui si trovano il responsabile o l'incaricato del trattamento,come già detto nel commento allo "sportello unico" per gli interessati.

Inoltre, il Gruppo è del parere che, quando l'autorità diprotezione dei dati che riceve il reclamo non sembra essere quella competentenel merito del caso, dovrebbe esserle imposto l'obbligo di cooperare con quelladello sportello unico dell'interessato e con quella del luogo in cui si trovail responsabile del trattamento. In questo caso, l'autorità di protezione deidati a cui è stato proposto il reclamo dovrebbe essere tenuta ad informarel'interessato degli sviluppi del caso, a prescindere dal fatto che essa siacompetente o meno nel merito; ciò, in virtù della necessità stessa di unosportello unico per gli interessati (si veda sopra).

Con riguardo all'articolo 74, paragrafo 2, il Gruppo di lavororitiene che dovrebbe essere chiarito quale autorità di protezione dei dati siacompetente "a dare seguito a un reclamo qualora tale autorità non abbiapreso una decisione necessaria per tutelare i diritti [dell'interessato]".Nel caso dell'autorità capofila, ai sensi dell'articolo 51, paragrafo 2, dettaautorità sarebbe quella dello Stato membro in cui il responsabile/l'incaricatodel trattamento ha il proprio stabilimento principale, mentre in qualunquealtro caso si tratterebbe dell'autorità competente ai sensi dell'articolo 51,paragrafo 1. Dovrebbe quindi essere chiarito all'articolo 74, paragrafo 2, chel'obbligo di dare seguito si riferisce all'autorità di controllo competente "secondoquanto previsto dall'articolo 51, paragrafo 1 o 2".

Inoltre, l'articolo 74, paragrafo 4, stabilisce che l'interessatoche abbia formato oggetto di una decisione dell'autorità di protezione dei datidi uno Stato membro diverso da quello in cui risiede abitualmente può chiedereall'autorità di protezione dei dati dello Stato membro in cui risiedeabitualmente di agire in giudizio nell'altro Stato membro nei confrontidell'autorità di protezione dei dati competente. Se da un lato il Gruppoapprezza il motivo alla base dell'introduzione di una simile norma al fine digarantire che l'interessato possa esercitare i propri diritti nei confronti diun'autorità di protezione dei dati in un altro Stato membro, dall'altroconsidera che tale motivo sia contrario all'obbligo generale che incombe alleautorità di protezione dei dati di cooperare e di fornirsi assistenza reciprocanei casi transfrontalieri, ai sensi degli articoli 55 e 56, nonché al fatto chein caso di disaccordo tra autorità la questione debba essere deferita alcomitato europeo per la protezione dei dati. Il Gruppo di lavoro insiste quindisulla necessità di considerare attentamente delle alternative a disposizionedell'interessato, che siano coerenti con i principi del regolamento, rispettoal ricorso alle vie giudiziali contro una decisione di un'autorità diprotezione dei dati che gli arrechi pregiudizio.

L'articolo 75, paragrafo 2, introduce la possibilità perl'interessato di agire in giudizio contro il responsabile o l'incaricato deltrattamento dinanzi all'autorità giurisdizionale dello Stato membro in cui ilconvenuto è stabilito o, in alternativa, dinanzi all'autorità giurisdizionaledello Stato membro in cui l'interessato risiede abitualmente. Il Gruppo dilavoro ritiene potenzialmente problematica la possibilità di agire in giudiziodinanzi alle autorità giurisdizionali in qualunque Stato membro dove il responsabile o l'incaricato deltrattamento hanno uno stabilimento, a prescindere dal fatto che dettostabilimento sia il principale o meno, o che esso sia il luogo in cui vengonoprese le decisioni pertinenti in merito al trattamento dei dati.

Malgrado l'articolo 75, paragrafo 4, che sancisce che gli Statimembri eseguono le decisioni definitive delle autorità giurisdizionali di altriStati membri, non è chiaro se una decisione emanante da un'autoritàgiurisdizionale di uno Stato membro in cui il responsabile o l'incaricato deltrattamento non hanno il loro stabilimento principale sia realmente esecutiva.Tale punto necessita un chiarimento.

Inoltre, il Gruppo accoglie favorevolmente l'inclusioneall'articolo 75, paragrafo 2, della possibilità di agire in giudizio contro ilresponsabile del trattamento dinanzi all'autorità giurisdizionale di uno Statomembro in cui l'interessato risiede abitualmente, concetto simile a quello ditutela del consumatore previsto dal regolamento Bruxelles I e mirante arafforzare la posizione dell'interessato; tuttavia, non è chiaro in che modo ladecisione dell'autorità giurisdizionale dello Stato membro in cui l'interessatorisiede abitualmente sia eseguita se il responsabile o l'incaricato deltrattamento sono stabiliti in un altro Stato membro.

Tanto l'articolo 74, paragrafo 5, quanto l'articolo 75, paragrafo4, stabiliscono che gli Stati membri eseguono le decisioni definitive delleautorità giurisdizionali di cui a detti articoli. Tali norme sono comparabiliad obblighi simili contenuti all'articolo 111 della convenzione di applicazionedell'accordo Schengen. Come ricordato, non sembra chiaro sulla base di qualinorme procedurali e da parte di quali autorità nazionali le decisioni diautorità giurisdizionali di uno Stato membro debbano essere eseguite in unaltro Stato membro. Inoltre, rispetto a ciò che costituisce una decisione"definitiva", si può rivelare necessaria un'ulteriore armonizzazione (Sistemad'informazione Schengen – caso tra l'Austria e la Francia).

Chiese e associazioni religiose

Alla lettura del Gruppo di lavoro, l'articolo 85 obbliga le chiesee le organizzazioni religiose che attualmente godono di regimi giuridicidistinti a conformarsi al regolamento. In ogni caso, esso non può accordarealle chiese ed organizzazioni religiose la possibilità di adottare un regimegiuridico distinto incompatibile con le sue disposizioni in quegli Stati membriin cui l'impianto costituzionale non lo consente.

La direttiva

Scelta dello strumento

Il Gruppo di lavoro prende nota della scelta esplicita dellaCommissione europea di non presentare uno strumento unico per la protezione deidati in generale, bensì di aver scelto una direttiva come strumento per ladisciplina, al livello elevato e coerente a cui la stessa Commissione aspira,della protezione dei dati nel settore della cooperazione di polizia egiudiziaria. Il Gruppo di lavoro, però, osserva anche che l'attuale propostaporterebbe ad un'attenuazione delle norme di protezione dei dati in vari Statimembri. Il Gruppo considera ciò inaccettabile e invita il legislatore europeo afare in modo che le attuali garanzie più elevate di protezione dei datinell'Unione europea siano considerate semplicemente il minimo da cui partireper la proposta di direttiva. La direttiva non dovrebbe essere concepita inmodo tale da giustificare il venir meno di ulteriori garanzie di protezione deidati negli attuali sistemi giuridici degli Stati membri.

Coerenza

Nonostante la diversità degli strumenti proposti, gli aspetticentrali delle relative norme dovrebbero essere coerenti, in particolare perquanto riguarda i principi, gli obblighi e le responsabilità, i dirittiindividuali e i poteri nonché gli strumenti a disposizione delle autorità dicontrollo. Sarebbe infatti inaccettabile, data la delicatezza del tipo ditrattamento regolato dalla direttiva, che le norme applicabili a questo settorefossero meno severe. » senza dubbio necessario prevedere limiti ed eccezioni,specie relativamente ai diritti dell'interessato, ma deve essere chiaro chequeste sono eccezioni e che gli aspetti centrali sono gli stessi.

Campo di applicazione

Il Gruppo di lavoro osserva con soddisfazione che la direttiva nonriporta più la distinzione tra il trattamento dei dati personali in casinazionali e in casi transfrontalieri, che invece era contenuta nella decisionequadro 2008/977/GAI. Tale limitazione dell'applicabilità della normativaeuropea ai casi strettamente transfrontalieri è stata in passato criticata dalGruppo di lavoro.

Il campo di applicazione dovrebbe essere il più chiaro possibile,ma il testo proposto solleva vari dubbi, qui di seguito esposti.

Il Gruppo di lavoro nota la difficoltà di distinguere il campo diapplicazione della direttiva da quello del regolamento: la direttiva si applicase le autorità competenti trattano dati personali a fini di prevenzione,indagine, accertamento e perseguimento di reati o esecuzione di sanzionipenali; in ogni altra circostanza si applica il regolamento come strumentogenerale per la protezione dei dati. Si dovrebbe però tenere conto dellediverse tradizioni degli Stati membri nel definire le attività delle rispettiveautorità come azioni di contrasto o meramente amministrative (ad esempio, neisettori delle dogane, dell'immigrazione, delle questioni ambientali). Diconseguenza, entrambi gli strumenti possono in teoria applicarsi alla stessaistituzione. Devono essere evitate le situazioni in cui lo stesso trattamentodei dati, ad esempio in rapporto al mantenimento dell'ordine pubblico, siadisciplinato in un dato paese dal regolamento, mentre in altri Stati membri siapplicano le norme di attuazione della direttiva. Ciò può rivelarsiparticolarmente problematico laddove i due strumenti manchino di coerenza traloro, come risulta attualmente. Da questo punto di vista serve maggiorecoerenza tra i due strumenti e maggior chiarezza riguardo alla definizione di"autorità competenti". Il Gruppo di lavoro ritiene che debba essere chiaro aquali attività di cui le autorità competenti sono incaricate si applica ladirettiva.

Ad avviso del Gruppo, deve essere maggiormente chiarito in chemisura la direttiva si applica alla procedura penale. Il Gruppo di lavoroosserva che la direttiva si applica al trattamento dei dati a fini diperseguimento di reati (articolo 1). Al tempo stesso, il Gruppo interpretal'articolo 17 (e il considerando 82) nel senso che gli Stati membri possonodecidere di non allineare le loro norme nazionali di procedura penale aidiritti sanciti dagli articoli da 11 a 16, quanto meno nei casi in cui si trattidi procedimenti giudiziari. Le divergenze tra le procedure penali nazionalirendono però difficile determinare a quale fase del perseguimento si fariferimento quando la direttiva, all'articolo 17, parla di "norme nazionali suiprocedimenti giudiziari qualora i dati personali figurino in una decisionegiudiziaria o in un casellario giudiziario oggetto di trattamento nel corso diun'indagine o di un procedimento penale". Il Gruppo invita il legislatoreeuropeo a far sì che non sorgano dubbi quanto al fatto che la direttiva siapplica ai procedimenti penali e al perseguimento dei reati, anche al fine dievitare situazioni in cui nessuna protezione dei dati venga offerta nel momentoin cui il pubblico ministero o il giudice per le indagini preliminari sia coinvoltoin un'operazione di contrasto o d'indagine, conformemente alla convenzione 108del Consiglio d'Europa.

Inoltre, il Gruppo è dell'avviso che l'articolo 44, paragrafo 2,necessiti un chiarimento circa il significato e l'intento dell'espressione"nell'esercizio delle funzioni giurisdizionali". Dovrebbe essere chiaro qualedeve essere il rapporto tra l'autorità di protezione dei dati e le autoritàgiurisdizionali e in quali circostanze possono essere svolte mansioni dicontrollo.

Principi di trattamento dei dati

Per quanto riguarda i principi, nella direttiva mancano importantielementi relativi alla conservazione dei dati personali (compresi i relativiperiodi), la trasparenza nei confronti delle persone, l'aggiornamento dei datipersonali e la garanzia che i dati sono adeguati, pertinenti e non eccedono lefinalità per le quali sono trattati. Mancano anche norme sulla responsabilitàche impongano al responsabile del trattamento di dimostrare il rispetto dellanormativa. Il disposto dell'articolo 4 dovrebbe essere reso coerente con quellodel regolamento (articolo 5).

Il Gruppo di lavoro suggerisce inoltre di aggiungere delledisposizioni che limitino l'accesso ai dati al solo personale debitamenteautorizzato delle autorità competenti che ne abbia necessità per l'esecuzionedei compiti assegnatigli.

In aggiunta alle osservazioni già formulate riguardo alla mancanzadi coerenza con il regolamento, il Gruppo di lavoro valuta positivamente ladistinzione proposta tra varie categorie di interessati i cui dati devonoessere oggetto di trattamento. Esso nota in particolare la distinzione che deveessere fatta tra dati riguardanti gli indagati, le vittime, i testimoni, ecc.ed è a favore anche della distinzione da farsi in base alla qualità eall'esattezza dei dati trattati dalle autorità di contrasto. Il Gruppo nota conrammarico, tuttavia, che tali distinzioni sono state limitate aggiungendo agliarticoli 5 e 6 le parole "nella misura del possibile", e propone di eliminaretale espressione. Inoltre, nota con preoccupazione l'ampiezza del campo diapplicazione della cosiddetta "categoria di interessati che non rientrano innessun'altra categoria" (articolo 5, paragrafo 1, lettera e)) i cui datipossono essere sottoposti a trattamento. Il Gruppo suggerisce di rielaboraretale categoria per far sì che i dati di interessati non indagati possano esseretrattati solo per un periodo di tempo molto breve e a condizioni limitate. Ladirettiva dovrebbe chiarire che norme più rigide sui termini e sul riesamedevono essere applicate ai gruppi di interessati di cui all'articolo 5,paragrafo 1, lettere da b) ad e).

Con riferimento alla liceità del trattamento (articolo 7), non èchiaro perché le disposizioni sub b), c) e d) siano incluse, dal momentoche sembrano contraddire l'articolo 1, paragrafo 1, che definisce lo scopodella direttiva. Il Gruppo di lavoro è del parere che il trattamento di datinon possa essere giustificato quando non è in sintonia con lo scopo generaledella direttiva. Le disposizioni sub b), c) e d) devono quindi essereeliminate, ovvero l'articolo 1, paragrafo 1, deve essere adattato perconsentire tale trattamento.

Il Gruppo di lavoro considera che, come già previsto dalregolamento, dovrebbero essere introdotte norme specifiche relative altrattamento dei dati personali dei minori. In particolare, gli Stati membridovrebbero essere obbligati a determinare soglie di età al di sotto delle qualii dati non possono, senza debita giustificazione, essere trattati ai fini dellaprevenzione, dell'indagine, dell'accertamento o del perseguimento di reati, inparticolare se devono essere raccolte categorie particolari di dati. Inoltre,per i dati relativi a minori, gli Stati membri dovrebbero disporre periodi diconservazione più brevi nei fascicoli di polizia e giudiziari.

La norma relativa a categorie particolari di dati (articolo 8) èun po' più ampia di quella contenuta nella decisione quadro 2008/977/GAI. IlGruppo di lavoro si chiede quali implicazioni ciò possa avere e specialmente sele deroghe contenute al paragrafo 2 possano portare ad una clausola generalenel diritto nazionale che preveda che tutti i dati sensibili possono esseresottoposti a trattamento. In questo caso, il divieto generale non ha alcunoscopo. Inoltre, malgrado l'inclusione di dati genetici, non vi è alcunconsiderando distinto né alcun articolo che tratti la gestione di questo tipodi dati. Tuttavia una tale norma costituirebbe una garanzia importante rispettoall'uso dei dati genetici e dei relativi periodi di conservazione.

In base alla deroga prevista all'articolo 8, paragrafo 2, sussisteil pericolo concreto che, ai sensi della direttiva, vengano consentiti livellidiversi di protezione dei dati personali appartenenti a categorie particolari(dati sensibili). Il Gruppo di lavoro suggerisce pertanto che il legislatoreeuropeo modifichi questo articolo al fine di permettere un'attuazionearmonizzata attraverso la definizione delle appropriate garanzie necessarie.Inoltre, il Gruppo consiglia di aggiungere al paragrafo 2 che le eccezioni possonoessere invocate esclusivamente nel rispetto delle condizioni stabiliteall'articolo 4.

Diritti dell'interessato

Il Gruppo di lavoro prende nota del fatto positivo che, sulla basedell'articolo 11, paragrafo 1 e dell'articolo 13, paragrafo 1, quanto meno inalcuni Stati membri, potrebbero essere fornite agli interessati maggioriinformazioni. Essere informati su quali dati sono sottoposti a trattamento eper quale motivo è uno degli aspetti di maggior rilevanza del diritto allaprotezione dei dati. Va notato anche, però, che le limitazioni all'obbligo diinformare l'interessato e al diritto di accesso, quali previste rispettivamenteall'articolo 11, paragrafo 5 e all'articolo 13, paragrafo 2, pongono problemi.Ad avviso del Gruppo, queste limitazioni ed esenzioni sono troppo vaste e dinatura troppo generale, poiché consentono agli Stati membri di esentare interecategorie di dati dalle informazioni che devono essere fornite, con unaconseguente grave limitazione dei diritti dell'interessato (e non solo dei suoiinteressi definiti al capo II). La direttiva dovrebbe pertanto chiarire chequalunque limitazione ai diritti dell'interessato può essere giustificata solosulla base di una valutazione caso per caso, tenuto conto delle circostanzespecifiche e sulla base di una completa documentazione di dette restrizioni (enon solo in caso di omissione). Il Gruppo ritiene inoltre che una limitazioneal diritto di accesso e all'informazione debba significare anche che, in certicasi, l'interessato può essere comunque parzialmente informato del trattamentodei suoi dati.

A proposito delle restrizioni ai diritti, è necessario stabilireche il responsabile del trattamento deve valutare caso per caso se dettarestrizione debba applicarsi e che qualunque restrizione deve essere applicataconformemente alla Carta dei diritti fondamentali dell'Unione europea e allaConvenzione per la salvaguardia dei diritti dell'uomo e delle libertàfondamentali nonché in linea con la giurisprudenza della Corte di giustizia edella Corte europea dei diritti dell'uomo, rispettando in particolare l'essenzadi tali diritti e libertà. Il Gruppo di lavoro raccomanda di aggiungere taleriferimento all'articolo 13.

La direttiva pare essere coerente con il regolamento rispetto aldiritto di rettifica, al diritto di proporre reclamo, al diritto a mezzi diricorso contro l'autorità nazionale di protezione dei dati, il responsabile ol'incaricato del trattamento, nonché al diritto al risarcimento dei danni.

Tuttavia, la direttiva non conferisce alcun diritto ad opporsi altrattamento dei dati personali: vi sono numerose situazioni in cui, ad esempio,agli interessati, alle vittime o ai testimoni dovrebbe essere consentitochiedere che i propri dati siano contrassegnati in modo da limitarne l'ulterioretrattamento al termine del procedimento.

Peraltro, nella direttiva i responsabili del trattamento sonotenuti a rispondere "senza ingiustificato ritardo" alle richieste di personeche esercitano il loro diritto di accesso, rettifica e cancellazione. Non èchiaro perché non possa applicarsi anche qui la stessa tempistica prevista dalregolamento. Inoltre, le modalità con cui i diritti delle persone possonoessere esercitati devono essere più in linea con le procedure descritte nelregolamento.

Obblighi del responsabile del trattamento

Gli obblighi che incombono sul responsabile del trattamento sonocoerenti con quelli previsti dal regolamento quanto all'incaricato deltrattamento, agli accordi con i corresponsabili del trattamento, allacooperazione con l'autorità nazionale di protezione dei dati e ai compiti delresponsabile della protezione dei dati. Tuttavia, ai sensi della direttiva, ilresponsabile del trattamento non è tenuto ad informare la persona se hal'intenzione di trasferire i dati personali verso un paese terzo, e non èchiaro perché quest'obbligo sia stato escluso, in particolare dato che gliStati membri possono limitare i diritti delle persone in certe circostanze.

Inoltre, il testo della direttiva non è coerente con ilregolamento per quanto riguarda la protezione dei dati fin dalla progettazionee la protezione di default, e il Gruppo di lavoro non vede la ragione di unatale incoerenza. Uno degli aspetti della protezione dei dati sin dallaprogettazione è la determinazione dei rischi legati al trattamento già nellesue prime fasi e l'essere in grado di attenuare tali rischi. Il Gruppo insistequindi sulla necessità di inserire nella direttiva delle disposizioni cheimpongano una valutazione d'impatto sulla protezione dei dati, anche durante laprocedura legislativa. Ritiene infatti che tali disposizioni sianoparticolarmente importanti nel campo del trattamento dei dati a fini dicontrasto, considerati i maggiori rischi per le persone legati a taletrattamento. Rispetto al testo del regolamento, anche gli obblighi riguardantila documentazione sono meno dettagliati. Anche le autorità competenti a cui siapplica la direttiva dovrebbero quanto meno conservare i riferimenti dei lororesponsabili della protezione dei dati e i relativi periodi di conservazione.

Il Gruppo di lavoro osserva che i requisiti che riguardano lasicurezza dei dati non sono particolarmente dettagliati e quindi risultano menoseveri rispetto alle norme attuali. Ad esempio, le disposizioni in merito agliobblighi di sicurezza non includono garanzie contro la perdita o ildanneggiamento accidentale, come invece prevede il regolamento. Il Gruppo dilavoro esorta il legislatore europeo ad includere questo elemento nelladirettiva, in particolare poiché questo aspetto è presente sia nell'attualedirettiva 95/46/CE che nella decisione quadro sulla protezione dei dati2008/977/GAI.

Anche le disposizioni in materia di notifica in caso di violazionedei dati dovrebbero essere coerenti tra i due strumenti; tuttavia, il Grupporiconosce le differenze che attengono al settore dell'azione di polizia egiudiziaria relativamente alle notifiche personali. Ad esempio, può non esseresempre possibile informare le persone di una violazione con una determinatatempistica, poiché questo potrebbe pregiudicare indagini o operazioni dicontrasto. L'autorità di protezione dei dati può a sua volta avere un ruolospecifico nel valutare se e quando informare la persona, anche tenendo contodell'opportunità delle misure di protezione tecnologiche.

Infine, le disposizioni sulla profilazione e sul trattamentoautomatizzato (articolo 9) non sono coerenti con il regolamento in quanto laformulazione della direttiva non include elementi pertinenti come lavalutazione del comportamento.

Trasferimenti internazionali

Principi generali per i trasferimenti e i trasferimentisuccessivi

L'articolo 33 contiene disposizioni relative sia al trasferimentoiniziale di dati personali che ai trasferimenti successivi verso paesi terzi odorganizzazioni internazionali. Il Gruppo di lavoro ritiene che sia necessariodistinguere chiaramente tra tali situazioni, consentendo di applicare ulteriorirestrizioni ai trasferimenti successivi, ad esempio tenuto conto del legamechiaro con lo scopo per il quale i dati sono stati inizialmente raccolti e ilprevio consenso dell'autorità che li trasferisce. Inoltre, il destinatario deidati deve necessariamente essere un'autorità competente ai sensi delladirettiva.

Decisioni di adeguatezza negative

Ad avviso del Gruppo di lavoro non è chiaro quale sia lo scopodelle decisioni di adeguatezza negative e come dette decisioni funzionino difatto. La formulazione suggerisce che una decisione di adeguatezza negativabloccherebbe qualsiasi trasferimento internazionale verso un determinato paese terzo,un'organizzazione internazionale o un settore di trattamento. L'articolo 34,paragrafo 6, e l'articolo 35, paragrafo 1, possono tuttavia essere letti anchein un modo che consente i trasferimenti verso paesi i cui sistemi di protezionesono stati dichiarati non adeguati, purché l'autovalutazione dell'adeguatezzasvolta dal responsabile e/o dall'incaricato del trattamento porti ad unrisultato soddisfacente e siano state convenute garanzie appropriate. Allegislatore europeo si chiede pertanto di adattare le disposizioni così dachiarire quali sarebbero le conseguenze di una cosiddetta decisione diadeguatezza negativa e come funzionerebbe di fatto.

Trasferimento in presenza di garanzie adeguate

La direttiva prevede all'articolo 35 una possibilità di trasferiredati personali verso paesi terzi od organizzazioni internazionali in situazioniin cui la Commissione non abbia adottato una decisione di adeguatezza. IlGruppo di lavoro ritiene che se tali trasferimenti sono effettuati sulla basedi un'auto-valutazione, l'autorità competente deve assicurare che leappropriate garanzie siano dettate da uno strumento giuridicamente vincolante.Inoltre, il Gruppo di lavoro è dell'avviso che gli elementi contenutiall'articolo 26, paragrafo 2, della direttiva 95/46/CE debbano essere inclusi,in quanto rappresentano il minimo da tenere in conto nell'eseguirel'autovalutazione. Il processo che porta all'autovalutazione deve essereinteramente documentato e deve essere reso disponibile su richiesta delleautorità di protezione dei dati.

Deroghe

Il Gruppo di lavoro esprime preoccupazione quanto alle derogheintrodotte al trasferimento di dati personali in assenza di una decisione diadeguatezza o di garanzie adeguate (articolo 36) ed in particolare per quellepreviste sub c), d) ed e). Queste eccezioni consentirebbero numerositrasferimenti internazionali in singoli casi, nella misura in cui sono"necessari". Deve essere chiarito che qualsiasi deroga deve essere interpretatarestrittivamente, in modo che i trasferimenti effettuati su questa baserimangano l'eccezione e non diventino la norma. Dovrebbe essere inoltre evitatoche il tenore delle disposizioni possa comportare che una mera dichiarazionesecondo cui un determinato trasferimento deve considerarsi necessario, in assenzadi ulteriori spiegazioni, sia sufficiente per invocare le deroghe e consentiremassicci trasferimenti internazionali in base al caso, senza che vi siano lenecessarie garanzie per la protezione dei dati personali dell'interessato. IlGruppo di lavoro ritiene pertanto che il testo dell'articolo 36, lettere c), d)ed e), debba ridurre la possibilità di trasferimenti internazionali in singolicasi.

Inoltre, il Gruppo osserva che nel testo non vi è alcun obbligo digarantire che il ricorso a una qualunque delle deroghe di cui all'articolo 36debba essere documentato. Ciò renderebbe alquanto complesso, se nonimpossibile, all'autorità di controllo verificare se le condizioni per lederoghe sono state o meno rispettate dal responsabile e/o dall'incaricato deltrattamento. Si propone quindi di introdurre detto obbligo aggiungendo laseguente frase: "2. Il ricorso a tali deroghe è documentato e, su richiesta,la documentazione è messa a disposizione dell'autorità di controllo".

Infine, in generale per quanto riguarda i trasferimentiinternazionali in assenza di una decisione di adeguatezza, il Gruppo ritieneche gli Stati membri debbano avere la possibilità di decidere se ed in chemisura le autorità di protezione dei dati sono coinvolte in trasferimenti internazionali.

Poteri delle autorità di protezione dei dati e cooperazione

Il Gruppo di lavoro lamenta il fatto che le disposizioni relativeai poteri delle autorità di protezione dei dati non sono molto dettagliate, nécoerenti con quelle contenute nel regolamento. Segnatamente, la direttiva noncontiene norme in materia di accesso ai locali, come invece dispone ilregolamento. La capacità dell'autorità di controllo di accedere, ovenecessario, ai locali del responsabile del trattamento deve applicarsi a tuttii settori.

La direttiva dispone l'assistenza reciproca tra autorità diprotezione dei dati, ma non contiene la tempistica descritta nel regolamento.Questo rischia di generare incoerenza e il parere espresso in merito allatempistica presentata nel regolamento dovrebbe essere tenuto in considerazioneper entrambi gli strumenti. Allo stesso modo, affinché gli strumenti sianocoerenti, la direttiva dovrebbe includere la possibilità per le autorità diprotezione dei dati di partecipare ad operazioni congiunte.

Le lacune

Il Gruppo di lavoro deplora l'assenza nella direttiva didisposizioni sulla fissazione di termini, sul riesame e su altre garanzie comela limitazione dell'uso di dati per reati gravi, ecc. Il Gruppo prende notadell'articolo 37 che introduce l'obbligo, da parte del responsabile dellaprotezione dei dati, di informare il destinatario in merito a qualunquelimitazione di trattamento e di prendere tutte le misure per garantirne ilrispetto. Tuttavia, l'articolo 37 si applica solo ai trasferimenti verso paesiterzi e non vi è alcuna giustificazione al perché nella direttiva non figuriuna norma simile allorquando dei dati personali vengono trasferiti tra Statimembri dell'Unione. In tali casi gli Stati membri destinatari dovrebbero esseretenuti a rispettare le limitazioni di trattamento imposte dallo Stato membroche trasferisce i dati. Il Gruppo nota con stupore che la direttiva, sottoquesto aspetto, rappresenta un passo indietro rispetto alla decisione quadro2008/977/GAI.

Il Gruppo rileva che le autorità competenti che hanno trasmesso idati non sono tenute ad informare il destinatario dell'inesattezza dei datitrasmessi o dell'illiceità della trasmissione. Un tale obbligo è fondamentalein un settore di libera circolazione di informazioni legate all'attività dipolizia e giudiziaria. L'articolo 39, paragrafo 2, introduce la possibilità pergli Stati membri di decidere che l'autorità di protezione dei dati responsabiledel controllo dell'applicazione del regolamento possa essere la stessa che controllaanche l'applicazione della direttiva. In effetti, tenuto conto delle situazioninazionali, specialmente in paesi con autorità di protezione dei dati di livellolocale, il Gruppo considera preferibile che vi sia un'unica autoritàresponsabile del controllo su entrambi gli strumenti, al fine di garantirecoerenza nell'applicazione delle norme.

Il Gruppo di lavoro infine, si rammarica del fatto che ladirettiva non contenga disposizioni in materia di trasferimento a privati o adaltre autorità che non siano quelle competenti ai sensi della direttiva edesorta quindi il legislatore europeo ad introdurre una disposizione checonsenta i trasferimenti di dati relativi all'applicazione della legge aprivati solo in circostanze limitate e definite dalla legge.

Fatto a Bruxelles, il 23 marzo 2012

Per il Gruppo di lavoro

Il Presidente Jacob KOHNSTAMM

Le autorità diprotezione dei dati del Belgio e della Romania scelgono di astenersi dalvotare, unicamente perché non approvano la scelta di un regolamento in quantostrumento legislativo appropriato.

L'autorità diprotezione dei dati della Repubblica ceca si è altresì astenuta dal votare.

L'autorità diprotezione dei dati dell'Estonia ha votato contro il presente parere poichédubita del fatto che il pacchetto di riforme proposte sia in linea con gliobiettivi dichiarati. L'autorità estone rileva troppi aspetti discordanti nelpacchetto, come:

1)       lamancanza di un'adeguata valutazione d'impatto (parere negativo del comitato perla valutazione d'impatto);

2)       lascelta di un regolamento direttamente applicabile per una normativa quadro;

3)       oneriamministrativi più elevati;

4)       portatadegli atti delegati;

5)       indebolimentodelle autorità nazionali di protezione dei dati, estensione eccessiva dellaprotezione del diritto al rispetto della vita privata nelle situazioni urgenti,prolungamento delle misure di protezione,

6)       problemadella competenza relativamente alla proposta di direttiva sulla protezione deidati in materia di cooperazione

di polizia egiudiziaria;

7)       violazionedel principio di sussidiarietà.

Per questi motivil'autorità di protezione dei dati estone non può convenire sulle conclusioniprincipali: 1)          laproposta di regolamento è troppo debole per avere "un impatto generalepositivo",

2)       l'autoritàestone non ritiene che la proposta di direttiva sulla protezione dei dati nelsettore della cooperazione di polizia e giudiziaria sia troppo modesta; alcontrario, è del parere che essa vada oltre quanto dovuto, in ragione dellamancanza di competenza legislativa nel settore del diritto processualenazionale.

NOTE                                      

1 WP136, pag. 10.

2 WP136, pag. 16.

3 Si veda il parere 2/2009 sulla protezione dei dati personali deiminori (WP 160) e il documento di lavoro 1/2008 sulla protezione dei datipersonali dei minori (WP 147).