Il processo di attuazione della direttiva ha avuto inizio nel 1996 in tutti gli Stati membri e a livello europeo. La sezione 2.1.1 espone in modo sintetico le funzioni del gruppo e le sue attività nel corso del 1996, la sezione 2.1.2 descrive le procedure per il recepimento della direttiva a livello nazionale e la sezione 2.1.3 illustra le iniziative avviate dalle istituzioni europee per conformarsi alle norme della direttiva.

Il gruppo è composto dai rappresentanti delle autorità indipendenti nazionali preposte alla tutela dei dati ⁴, da un rappresentante della Commissione e comprenderà un rappresentante delle autorità incaricate della tutela dei dati in seno alle istituzioni europee, quando tali autorità saranno costituite.

Il gruppo, riunendo l'esperienza delle singole autorità nazionali, incoraggia l'adozione di una strategia coerente per l'applicazione dei principi generali enunciati nella direttiva e consiglia la Commissione in merito alle questioni attinenti alla tutela dei dati. Il gruppo, in particolare, ha il compito di elaborare un parere sul livello di tutela nell'Unione e nei paesi terzi e può formulare raccomandazioni su qualsiasi questione riguardante la tutela delle persone in materia di trattamento dei dati personali.

Il gruppo si è riunito per la prima volta il 17 gennaio 1996. Una simile celerità nell'avvio dei lavori del gruppo era in linea con la richiesta in tal senso presentata dalle autorità nazionali incaricate della tutela dei dati. Presidente del gruppo è stato nominato il Sig. Peter J. HUSTINX, presidente dell'autorità olandese per la tutela dei dati (Registratiekamer), mentre alla vicepresidenza è stata designata la Sig.ra Louise CADOUX, dell'autorità francese per la tutela dei dati (Commission Nationale de l'Informatique e des Libertés). Il gruppo si è riunito quattro volte nel 1996. I dibattiti si sono concentrati sui temi seguenti: trasferimenti di dati verso i paesi terzi e livello di tutela nei paesi terzi; procedure di notificazione; deroghe alle norme fondamentali di tutela dei dati; applicazione della normativa in materia di tutela dei dati ai mezzi di comunicazione, alla luce della necessità - enunciata nella direttiva - di trovare un punto di equilibrio tra la libertà d'espressione e il diritto al rispetto della vita privata. Una raccomandazione al riguardo è stata successivamente adottata nel 1997.

Questa sezione intende presentare lo stato di avanzamento del recepimento della direttiva nel diritto nazionale.

In Belgio è stato avviato l'iter parlamentare per il recepimento della direttiva nel diritto nazionale. L'autorità incaricata della tutela dei dati (Commission de la protection de la vie privée/Commissie voor de bescherming van privaat levensfeer) ha formulato un parere sul progetto di legge elaborato dal ministero della giustizia. Nel 1996, in applicazione della normativa del 1992, sono stati adottati vari decreti reali, che già tengono conto - per quanto possibile - delle prescrizioni della direttiva.

In Danimarca il ministero della giustizia ha istituito nel 1996 un comitato incaricato di redigere una proposta di legge per il recepimento della direttiva. Il comitato, composto da rappresentanti di organizzazioni private e di autorità pubbliche, dovrebbe completare il suo lavoro, se possibile, entro il 1° luglio 1997. Una proposta dovrebbe - nelle intenzioni -essere pronta per l'autunno 1997. In seno al comitato è rappresentata anche l'autorità danese per la tutela dei dati (Registertilsynet).

In Spagna il ministero della giustizia ha istituito un comitato incaricato di lavorare al recepimento della direttiva nel diritto nazionale. Nell'ottobre 1996 l'autorità per la tutela dei dati (Agencia de protección de datos) ha convocato una riunione di esperti finalizzata allo studio di una serie di aspetti specifici del recepimento della direttiva: impatto della direttiva sull'ordinamento giuridico spagnolo; esame comparativo dei principi e dei diritti enunciati dalla normativa spagnola vigente in materia (legge organica 5/1992) e dalla direttiva; libertà informatica e regolamentazione dei trasferimenti internazionali di dati personali.

In Germania la responsabilità primaria per il recepimento della direttiva nel diritto nazionale spetta al legislatore federale. Tale responsabilità - sancita dai poteri legislativi conferitigli dall'articolo 74 della Costituzione - si estende non solo al settore pubblico federale ma anche a quello non pubblico, che dovrebbe subire la maggior parte delle modifiche. A livello federale, spetta al ministero dell'interno assumere l'iniziativa per il recepimento del diritto comunitario. In materia di tutela dei dati, non solo la normativa federale ma, per lo più nel settore pubblico, anche quella dei Länder dovrà conformarsi al disposto della direttiva. Oltre alle leggi generali sulla tutela dei dati, sarà necessario esaminare anche un gran numero di disposizioni che, a livello sia federale che di Länder, attengono ad aree specifiche della normativa sulla tutela dei dati. Il commissario federale e i commissari dei Länder incaricati della tutela dei dati nonché le autorità di controllo per il settore non pubblico si sono occupati dell'imminente modifica della legge tedesca sulla tutela dei dati nel quadro delle rispettive responsabilità. Nel frattempo, il governo federale ha elaborato un progetto di legge.

In Grecia la legge 2472/97 relativa alla tutela delle persone fisiche in materia di trattamento dei dati personali è stata adottata dal Parlamento greco il 26.3.1997 e pubblicata il 10.4.1997. È già in vigore per ciò che riguarda le nomine e l'organizzazione dell'autorità incaricata della tutela dei dati. Per quanto attiene alle operazioni di trattamento, ai diritti delle persone fisiche, ecc., entrerà in vigore dopo la nomina dei componenti della medesima autorità. Conformemente alle disposizioni di legge, il presidente dell'autorità (d'ufficio, un giudice della Corte suprema) sarà designato dal governo e gli altri sei membri dal Parlamento. Tali nomine dovrebbero aver luogo entro 60 giorni dalla pubblicazione della legge, cioè non oltre il 10.6.1997.

In Francia il governo è incaricato di elaborare il progetto di legge e sta attualmente esaminando la questione. I risultati di tali riflessioni e il calendario della nuova normativa sono ancora sconosciuti. Non appena avrà meglio precisato i suoi orientamenti, il governo consulterà l'autorità francese responsabile della tutela dei dati, la Commission nationale de l' Informatique et des Libertés (CNIL), a proposito dei progetti preliminari di legge.

In Irlanda il ministro della giustizia, responsabile della legislazione in materia di tutela dei dati, ha dichiarato che i provvedimenti legislativi necessari per l'applicazione della direttiva, che comprenderanno una serie di modifiche alla legge del 1988 sulla tutela dei dati, saranno presentati quanto prima in vista di una loro promulgazione entro ottobre 1998.

In Italia il governo ha presentato al Parlamento un progetto di legge sulla tutela dei dati nel giugno 1996. La legge è stata adottata il 31 dicembre 1996 ⁵ ed è entrata in vigore l'8 maggio 1997⁶. Il Parlamento ha delegato il governo ⁷ a emanare, entro luglio 1998, disposizioni integrative della legislazione in materia di tutela dei dati.

In Lussemburgo è al ministero della giustizia che compete il recepimento della direttiva nel diritto nazionale. È attualmente in corso di elaborazione un progetto di legge, che sarà esaminato insieme ai principali rappresentanti del settore pubblico e di quello privato prima di essere adottato dal governo. Il successivo iter parlamentare dovrebbe aver luogo, se possibile, verso la fine del 1997 o, al più tardi, agli inizi del 1998.

Nei Paesi Bassi il governo ha dichiarato di voler sostituire l'attuale normativa sulla tutela dei dati, in vigore dal luglio 1989, con una legge completamente nuova, conforme al disposto della direttiva. Nel settembre 1996, un progetto preliminare di legge è stato sottoposto all'attenzione di una serie di organizzazioni, tra cui l'autorità responsabile della tutela dei dati (Registratiekamer). Una versione modificata di tale progetto dovrebbe essere presentata al Consiglio di Stato nella primavera 1997 e al Parlamento nell'autunno successivo.

In Austria la Cancelleria federale (Österreichisches Bundeskanzleramt) sta attualmente lavorando a un progetto di recepimento della direttiva nel diritto nazionale, che sarà poi discusso in seno al consiglio incaricato della tutela dei dati e dovrebbe essere presentato al parlamento entro la fine del 1997.

La Costituzione della Repubblica portoghese contiene disposizioni in materia di tutela dei dati che in alcuni casi ⁸ sono più restrittive di quelle della direttiva. Si rende pertanto necessaria una modifica del testo costituzionale ai fini del recepimento della direttiva. A seguito della domanda avanzata dalla commissione parlamentare per la modifica della Costituzione, l'autorità portoghese responsabile della tutela dei dati (Comissão Nacional de Protecção de Dados Pessoais Informatizados - CNPDPI) ha presentato una proposta di emendamento delle relative disposizioni contenute nel testo costituzionale. L'accordo fra i partiti politici in merito agli emendamenti della Costituzione è previsto per gli inizi del 1997.

In Finlandia una commissione ad hoc per il recepimento della direttiva (Henkilötietotoimikunta) ha cominciato ad operare nell'ottobre 1995 e dovrebbe concludere i suoi lavori entro marzo 1997.⁹

In Svezia, ai fini del recepimento della direttiva, la commissione incaricata di esaminare ufficialmente la legislazione sulla tutela dei dati (Datalagskommittën) proporrà entro marzo 1997 una nuova legge in materia.

Nel Regno Unito il ministero dell'interno ha pubblicato nel marzo 1996 un documento di consultazione relativo all'attuazione della direttiva. La consultazione si è conclusa il 19 luglio del medesimo anno. Nell'aprile 1996, inoltre, l'autorità responsabile della tutela dei dati (Data Protection Registrar) ha diffuso una serie di pubblicazioni ("Questions to Answer" - Domande in attesa di risposta) volte a stimolare il dibattito e a fornire informazioni generali a chi desiderava rispondere alla consultazione avviata dal ministero dell'interno. Alle parti interessate sono state distribuite quasi 3 000 copie. Anche la risposta formale del Data Protection Registrar al documento di consultazione del ministero dell'interno ("Our Answers" - Le nostre risposte) è stata ampiamente diffusa a partire dal mese di luglio. Il ministero dell'interno, a sua volta, ha pubblicato un riassunto delle risposte al suo documento di consultazione. Un progetto di legge sulla tutela dei dati è stato annunciato per la sessione parlamentare 1997-98.

Le istituzioni europee, in particolare la Commissione, trattano abitualmente dati personali nel quadro delle proprie attività istituzionali. La Commissione procede allo scambio di dati personali con gli Stati membri nell'ambito della politica agraria comune, nell'amministrazione del sistema doganale, nella gestione dei fondi strutturali, ecc. Allo scopo di non lasciare una lacuna in materia di tutela in Europa, la Commissione, nel proporre la direttiva nel 1990, aveva anche annunciato la sua volontà di osservare i principi della direttiva.

Quando la direttiva è stata adottata, la Commissione e il Consiglio si sono impegnati in una dichiarazione pubblica a rispettarne le disposizioni e hanno invitato le altre istituzioni e gli altri organismi comunitari a seguire il loro esempio ¹⁰.

In occasione della conferenza intergovernativa per la revisione dei trattati, la questione dell'applicazione delle norme di tutela dei dati alle istituzioni europee è stata sollevata dal governo greco e da quello olandese.

Con la risoluzione n. 41 relativa al programma di lavoro della Commissione per il 1997, il Parlamento europeo ha invitato la Commissione a istituire un organo indipendente incaricato del controllo della tutela dei dati.

Dal canto suo, la Commissione ha adottato una serie di misure volte ad assicurare che i principi di tutela siano applicati ai dati personali elaborati al suo interno:

Il Segretariato generale del Consiglio dell'UE ha elaborato una serie di norme interne volte a garantire che i principi della direttiva siano applicati ai dati personali trattati sotto la sua responsabilità.

In questa sezione sono descritti i principali sviluppi nel settore della tutela dei dati, con particolare riferimento al lavoro svolto dalle singole autorità nazionali a livello sia nazionale (2.2.1) che internazionale (2.2.2).

Qui di seguito sono delineate le questioni principali affrontate dalle autorità nazionali incaricate della tutela dei dati nell'applicazione della normativa in vigore. È possibile ottenere informazioni supplementari rivolgendosi a tali autorità, che ogni anno pubblicano un'esauriente relazione annuale.

In Belgio l'autorità responsabile della tutela dei dati (Commission de la protection de la vie privée/Commissie voor de bescherming van privaat levenssfeer) ha emesso circa trenta pareri in applicazione della legge dell'8 dicembre 1992 e di altre leggi contenenti misure sulla tutela dei dati. Molti di questi pareri riguardavano il registro nazionale delle persone fisiche. L'autorità ha formulato una raccomandazione ¹¹ rivolta ai responsabili del trattamento dei dati e si è occupata di centinaia di richieste d'informazione e di circa quaranta denunce. Una delle principali attività nel corso del 1996 è stata la gestione delle nuove notificazioni. La data di scadenza per la notificazione delle operazioni di trattamento esistenti era il 1° giugno 1996. Più di 7 500 sono state notificate in aggiunta alle 2 000 già registrate.

In Danimarca, il 1° gennaio 1997 è entrato in vigore un emendamento secondario alla legge sugli archivi detenuti dalle autorità pubbliche, le quali si sono viste ampliare il loro diritto di comunicare ad enti privati di valutazione dell'affidabilità creditizia i dati relativi ai debiti contratti nei loro confronti.

Un caso particolarmente importante trattato dall'autorità incaricata della tutela dei dati nel 1996 ha riguardato l'utilizzazione di Internet da parte delle autorità pubbliche per la divulgazione di dati relativi alla proprietà, all'indirizzo, al possesso e alla valutazione di tutti i beni immobili in Danimarca. L'autorità danese ha ritenuto che la pubblicazione su Internet non costituisse una violazione della normativa sulla tutela dei dati e ha accettato la pubblicazione su Internet di dati già accessibili al pubblico, motivando tale decisione con l'equivalenza tra la pubblicazione su un sito Internet e la pubblicazione secondo qualsiasi altra modalità.

L'autorità danese ha inoltre formulato pareri su nuove leggi, ad esempio una proposta di legge sull'impiego di dati sanitari in materia di assunzioni, sulla convenzione Europol, sul progetto di convenzione Eurodac e sulla convenzione del Consiglio d'Europa per la salvaguardia dei diritti umani e per la biomedicina. L'autorità ha infine eseguito circa 50 ispezioni presso enti pubblici e privati.

In Germania, a seguito della liberalizzazione nel settore delle telecomunicazioni, l'uso dei teleservizi da parte di fornitori privati ha reso necessaria la creazione delle opportune basi giuridiche in materia di tutela dei dati. Il 13 giugno 1997, il Parlamento federale ha adottato una legge sui servizi di informazione e di comunicazione, in virtù della quale l'elaborazione e la selezione degli impianti tecnici per i teleservizi devono essere adattati in modo da rispettare l'obiettivo di evitare - del tutto o per quanto possibile - la raccolta o il trattamento dei dati personali. La parte, inizialmente prevista, relativa alle verifiche sulla tutela dei dati è stata purtroppo accantonata. La legislazione sulle telecomunicazioni, entrata in vigore nell'agosto 1996, ha trasferito al commissario federale per la tutela dei dati la competenza in materia per il controllo di tutte le imprese che offrono servizi di telecomunicazione. Il suo ruolo di consulenza e di controllo ne è uscito notevolmente rafforzato (già più di 1 100 imprese agli inizi del 1997).

La Germania guarda con crescente preoccupazione allo sviluppo di nuovi settori. L'analisi del genoma, ad esempio, si sta affermando sempre di più come una metodologia supplementare di indagine nei procedimenti giudiziari. Nel 1996 il codice tedesco di procedura penale è stato integrato da norme sulle impronte genetiche. L'analisi del DNA, tuttavia, costituisce un'importante ingerenza nella vita privata. Pertanto, la memorizzazione automatica delle impronte genetiche rimane un problema aperto, a cui la legge non ha dato risposta. Ugualmente carico di conseguenze sulla tutela della vita privata è l'uso generalizzato delle carte con microprocessore integrato.

In Spagna le attività dell'Agencia de protección de datos sono cresciute sensibilmente nel corso del 1996: 1 152 sono state le denunce trattate (+ 245% rispetto al 1995), 268 le pratiche esaminate (+ 160%), 90 le procedure disciplinari avviate (+ 200%) e 534 le procedure amministrative avviate per l'applicazione dei diritti di accesso, di rettifica e di annullamento (534%). Un servizio speciale incaricato delle relazioni con il cittadino ha trattato 600 richieste scritte d'informazione e più di 8 000 richieste orali. Nel 1996 sono stati autorizzati 37 trasferimenti di dati all'estero.

In Francia la Commission nationale de l' informatique et des libertés (CNIL) si è occupata di varie proposte volte a ridurre la spesa sanitaria e del registro nazionale delle persone fisiche iscritte alla previdenza sociale. La CNIL ha contribuito all'attività dell'Ufficio internazionale del lavoro in merito agli "orientamenti sulla tutela dei dati relativi ai lavoratori". Per quanto riguarda l'uso delle nuove tecnologie, la CNIL ha formulato pareri sulla captazione d'immagini in autostrada, sulla registrazione di tutti i movimenti degli operai nell'ambito della certificazione di qualità secondo la norma ISO 9000, nonché in relazione ad alcune applicazioni del voto elettronico o del denaro elettronico. Nel 1995 la CNIL ha inoltre stabilito i criteri per l'immissione di indirizzari su Internet e nel 1996 ha cominciato a esaminare una serie di temi quali i servizi in linea, la raccolta di dati per il calcolo del numero di visitatori di un sito Web, il funzionamento dei newsgroup (gruppi di discussione), le condizioni speciali per l'apertura della pagina Web del Primo Ministro, ecc.

In Irlanda l'autorità incaricata della tutela dei dati (Data Protection Commissioner) ha condotto ampie discussioni con Telecom Eireann, la compagnia telefonica nazionale, intenzionata a installare un sistema d'identificazione della linea chiamante. Durante tali discussioni - tuttora in corso - l'autorità irlandese ha insistito sulle considerazioni relative al rispetto della vita privata e sulle necessarie misure al riguardo. Nel 1996, il Data Protection Commissioner è riuscito a ottenere che le autorità sanitarie irlandesi, da cui era stato consultato prima del varo di un progetto pilota relativo all'impiego di "carte intelligenti" per i dati sanitari, rispettassero, al termine del processo di consultazione, tutti i requisiti stabiliti in materia di tutela dei dati. Nel 1996 il governo ha pubblicato una relazione che conteneva una serie di proposte per la condivisione di dati fra dipartimenti governativi a partire dal codice di identificazione fiscale e previdenziale (Revenue and Social Insurance - RSI) di ciascun cittadino; l'autorità irlandese per la tutela dei dati ha risposto esprimendo le sue preoccupazioni - ampiamente riportate dai mezzi di comunicazione - riguardo alle implicazioni per il rispetto della vita privata. Una serie di denunce è stata presentata da parte di cittadini a proposito del modo in cui informazioni di carattere personale sono ottenute sempre di più per via telefonica, soprattutto da imprese del settore bancario o assicurativo. L'autorità irlandese si è rivolta alle imprese interessate sensibilizzandole all'obbligo della correttezza nell'ottenimento delle informazioni e ha espresso le sue osservazioni sull'argomento nella sua relazione annuale. Le richieste pervenute all'ufficio dell'autorità irlandese durante il 1996 confermano il crescente grado di consapevolezza tra i responsabili del trattamento riguardo al tema della tutela dei dati. In aumento è risultato anche il numero di contatti da parte dei singoli cittadini, alla ricerca di informazioni o di aiuto in situazioni di particolare difficoltà.

Ai sensi della normativa sulla tutela dei dati ancora in vigore (legge del 31 marzo 1979), in Lussemburgo non esiste un'autorità indipendente in materia, ma piuttosto una commissione incaricata per legge di svolgere i seguenti compiti: a) fornire pareri al governo in relazione a domande di autorizzazione alla gestione di banche dati; b) informare il governo di eventuali violazioni. Nel 1996 la commissione si è occupata principalmente della problematica inerente alla privatizzazione del settore delle telecomunicazioni, nella fattispecie la pubblicazione degli elenchi di abbonati da parte di un'impresa privata.

Nei Paesi Bassi l'autorità per la tutela dei dati (Registratiekamer) ha partecipato all'elaborazione di un codice di condotta relativo all'impiego di carte intelligenti polifunzionali. Ha pubblicato relazioni sui dati genetici, sulla registrazione delle telefonate sul posto di lavoro e sulla videosorveglianza di zone aperte al pubblico. Altri temi di particolare importanza sono stati la privatizzazione della previdenza sociale e l'uso crescente dei codici d'identificazione personale. L'autorità olandese ha preso parte all'elaborazione di standard per la sicurezza delle informazioni e alla promozione dell'uso di tecnologie che rafforzano la tutela della vita privata (PET). Sono state inoltre eseguite verifiche sulla tutela della vita privata in un ospedale psichiatrico, in un ufficio di informazioni creditizie e nel sistema di informazioni giudiziarie di un importante corpo di polizia. In ciascuno di questi casi, le verifiche sono sfociate in una serie di ulteriori iniziative rivolte ai settori interessati e realizzate congiuntamente alle istituzioni del settore.

In Austria, per quanto riguarda le denunce presentate alla commissione per la tutela dei dati - responsabile unicamente dei controlli nel settore pubblico - non sono emerse problematiche specifiche di rilievo in relazione alla tutela dei dati nel settore pubblico. Tuttavia, è interessante segnalare che, a seguito di una decisione della suddetta commissione riguardo alla conservazione manuale da parte della polizia di schedari non autorizzati sui malati di mente (per effetto dell'assistenza prestata in casi di internamento forzato in un ospedale psichiatrico), una nuova legislazione ha abolito tali schedari.

In Portogallo l'autorità incaricata della tutela dei dati (Comissão Nacional de Protecção de Dados Pessoais Informatizados - CNPDPI) ha contribuito alla sensibilizzazione dell'opinione pubblica in merito alla tutela dei dati, in particolare mediante contatti regolari con la stampa e partecipazione a conferenze e dibattiti. L'applicazione della normativa attualmente in vigore, soprattutto in risposta a denunce, ha riguardato principalmente imprese di commercializzazione diretta, banche, autorità fiscali e sanitarie. La CNPDPI, su richiesta del governo, ha formulato un parere su progetti di legge relativi ai dati medici, a una tessera del servizio sanitario nazionale, al trattamento di dati inerenti a condanne e al trattamento di dati personali da parte delle autorità fiscali. La CNPDPI ha inoltre rilasciato una serie di autorizzazioni per il trattamento di categorie particolari di dati da parte di responsabili del trattamento non appartenenti al settore pubblico.

In Finlandia l'ombudsman responsabile della tutela dei dati si è occupato di casi relativi a servizi di Internet, a programmi di denaro elettronico e a carte d'identità intelligenti.

In Svezia la modifica apportata nel 1995 alla legge del 1973 sui dati ha consentito all'autorità incaricata della tutela dei dati (Datainspektionen) di emanare una serie di regolamenti amministrativi in base ai quali alcune operazioni di trattamento in comune in vari settori sono esentati dall'obbligo di ottenere l'autorizzazione dell'autorità. Nove sono stati i regolamenti del genere emanati ¹², mentre il numero di domande d'autorizzazione presentate ogni anno è sceso da 7.000 a 5.000.

Nel Regno Unito l'adozione di misure organizzative in seno all'ufficio del Data Protection Registrar è servita a snellire il processo di notificazione. Il numero di registrazioni ha mostrato una tendenza al rialzo ed è attualmente superiore a 200.000. Nel maggio 1996 è stato pubblicato un documento di consultazione su ulteriori modifiche alla registrazione ed è stato ormai realizzato un esame delle risposte fornite dagli utilizzatori dei dati. Nel 1996 sono state avviate 39 azioni giudiziarie; una di queste è stata la prima a raggiungere la Camera dei Lord dopo l'adozione della legge nel 1984. È cresciuto il ricorso a Internet: esiste ormai un sito per il registro di tutela dei dati ¹³ e uno per tutte le principali guide e pubblicazioni ¹⁴. Il Registrar ha curato l'organizzazione di tre conferenze: la conferenza della primavera 1996 dei Commissari europei responsabili della tutela dei dati, una conferenza dal titolo "Rispetto della vita privata sul posto di lavoro" in aprile e una dal titolo "Corrispondenza dei dati" in dicembre. Oltre a pubblicazioni relative alla direttiva, l'ufficio del Registrar ha anche pubblicato una serie di orientamenti sulla sicurezza destinati ai fornitori di servizi finanziari che rispondono a richieste telefoniche, ai servizi di accertamento della solvibilità nonché alle imprese di commercializzazione diretta o di trattamento delle immagini dei documenti. Il Registrar ha inoltre presentato la sua risposta alle proposte del governo relative all'introduzione di una carta d'identità nazionale su base volontaria. È proseguito il lavoro di analisi sull'evoluzione del trattamento elettronico delle pratiche amministrative. Nel febbraio 1997 il Registrar ha presentato la sua risposta ad un Libro verde dal titolo "Il governo in diretta" e ha raccomandato l'uso di tecnologie che rafforzano la tutela della vita privata.¹⁵

Oltre alle riunioni del gruppo, previste dall'articolo 29 della direttiva, i Commissari europei incaricati della tutela dei dati continuano a incontrarsi due volte all'anno. La conferenza della primavera 1996 si è svolta a Manchester in aprile, mentre quella d'autunno è coincisa con la conferenza internazionale di Ottawa tenutasi in settembre. Il gruppo è attualmente composto da 13 paesi; è probabile che aderiscano presto anche Italia e Grecia, una volta istituite le rispettive autorità indipendenti responsabili della tutela dei dati.

Dopo la conferenza della primavera 1996, il Registrar britannico assicura il servizio di segreteria permanente della conferenza, incaricata di offrire sostegno amministrativo, allertare i commissari europei responsabili della tutela dei dati in merito ad avvenimenti che richiedono un'azione congiunta, elaborare i documenti di sintesi e, in generale, facilitare l'azione congiunta dei commissari. I commissari hanno attualmente un numero limitato di gruppi di lavoro: uno su polizia, dogana e questioni affini; uno sulle telecomunicazioni; e il gruppo GERI, che si occupa di temi relativi a Internet e ai servizi in linea. Esistono anche comitati ad hoc sul credito al consumo e sul trasporto stradale. Nel 1996 i commissari hanno inoltre organizzato un seminario su relazioni pubbliche e commercializzazione.

Per quanto riguarda le posizioni comuni, i commissari incaricati della tutela dei dati hanno adottato dichiarazioni su Europol e sulla direttiva ISDN e hanno ribadito la dichiarazione del 1995 relativa alla tutela dei dati e alle istituzioni dell'UE. Hanno inoltre presentato osservazioni sul progetto dell'Ufficio internazionale del lavoro riguardo a un codice di comportamento per la tutela dei dati personali dei lavoratori e sono stati rappresentati come osservatori alla riunione di ottobre di tale organismo in cui si è discusso di detto codice.

Il Registrar britannico ha inoltre partecipato in veste di osservatore, a nome di tutti i commissari responsabili della tutela dei dati e della vita privata, alle riunioni del gruppo di esperti dell'OCSE sugli orientamenti della politica di crittografia.

I commissari responsabili della tutela dei dati hanno anche presentato una risposta al Libro verde "Vivere e lavorare nella società dell'informazione" e hanno adottato un documento sulle telecomunicazioni e sulla vita privata nelle relazioni sindacali.

La direttiva, pur rappresentando la chiave di volta della politica europea in materia di tutela dei dati, è accompagnata da una serie di altre iniziative volte ad assicurare un quadro coerente di tutela del cittadino.

Questa sezione si sofferma sugli sviluppi che si sono prodotti nell'UE sia nella sfera di competenza della CE (sottosezioni da 2.3.1 a 2.3.4) sia in virtù del titolo VI del trattato sull'Unione europea (sottosezione 2.3.5).

Gli Stati membri della CE non possono ignorare i propri obblighi comunitari quando negoziano i propri impegni nelle sedi internazionali. Nei casi in cui alla Comunità è riservata una competenza esclusiva, gli Stati membri devono agire di concerto e coordinare le proprie posizioni. L'adozione della direttiva ha obbligato la Comunità a dare prova di tale coordinamento nel negoziato sulle raccomandazioni relative alla tutela dei dati in seno al Consiglio d'Europa.

La Commissione ha ricevuto dal Consiglio il mandato a negoziare a nome della Comunità presso gli organismi del Consiglio d'Europa responsabili dell'adozione della raccomandazione sui dati trattati per scopi medici e quelli trattati a fini statistici.

Il 12 settembre 1996 il Consiglio dei Ministri ha adottato la sua posizione comune in vista dell'adozione di una "direttiva sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni con particolare riferimento all'ISDN (rete digitale di servizi integrati) e alle reti digitali radiomobili"¹⁶.

Il testo mira ad assicurare la libera circolazione di dati nonché di apparecchiature e servizi di telecomunicazione in seno alla Comunità attraverso l'armonizzazione del livello di tutela per abbonati e utenti dei servizi pubblici di telecomunicazione con riguardo al trattamento dei dati personali nel settore delle telecomunicazioni.

La direttiva preciserà e integrerà, nel settore delle telecomunicazioni, le disposizioni generali stabilite dalla direttiva 95/46/CE e rafforzerà la tutela sia della vita privata delle persone fisiche sia dei legittimi interessi degli abbonati (comprese le persone giuridiche).

Il 16 gennaio 1997 il Parlamento europeo ha adottato 11 emendamenti al testo. La Commissione ha annunciato di non poter accettare quattro di questi emendamenti. È probabile che nel 1997 sia avviata una procedura di conciliazione.

Alcuni sviluppi tecnologici, in particolare la comparsa della cosiddetta società dell'informazione, sono spesso visti con preoccupazione per le conseguenze sul rispetto della vita privata. Una massa crescente d'informazioni personali è ormai suscettibile di trattamenti sofisticati con tecniche (ad esempio, di conservazione o estrazione dei dati) che possono determinare un'ingerenza nella vita privata delle persone ben più grave rispetto alle tecniche classiche di trattamento. A destare preoccupazione è anche l'introduzione di nuove tecnologie per tutta una gamma di servizi, a causa dell'enorme mole di cosiddetti "dati transazionali", spesso paragonabile a una traccia elettronica che ciascun individuo lascia dietro di sé.

Tali preoccupazioni sono state espresse nell'ambito del Forum sulla società dell'informazione istituito dalla Commissione, in particolare nella relazione del secondo gruppo di lavoro.

Le soluzioni tecnologiche, tuttavia, possono contribuire alla tutela della vita privata. Una relazione congiunta delle autorità incaricate della tutela della vita privata in Canada e nei Paesi Bassi ha evidenziato l'importanza delle tecnologie che rafforzano la tutela della vita privata (PET). Si tratta di tecnologie che permettono di organizzare e elaborare i sistemi e le tecniche di informazione e documentazione in modo da evitare - o almeno ridurre al minimo - l'utilizzo di dati personali.

Ne sono un esempio i dispositivi di protezione dell'identità, i "chioschi" Internet che prevedono un accesso anonimo, i mezzi di pagamento anonimi come le carte prepagate, gli strumenti anonimi per il browsing, la tecnologia di filtraggio, ecc. Un simile approccio "rispettoso della vita privata" richiede un riesame degli attuali sistemi di tecnologia dell'informazione o delle basi dati al fine di analizzare la necessità di un trattamento di dati personali nel rispetto dei principi di tutela.

La Commissione incoraggia attivamente lo sviluppo e l'impiego di tali tecnologie. Essa ha pertanto deciso nel primo piano d'azione per l'innovazione in Europa ¹⁷ di incoraggiare le PET nel 5° programma quadro di ricerca e sviluppo tecnologico allo scopo di dimostrare che le nuove tecnologie possono permettere agli utenti di esercitare con maggiore efficacia il loro diritto al rispetto della vita privata.

In vari strumenti di diritto comunitario derivato, la Commissione si è vista conferire taluni compiti specifici con riguardo al trattamento dei dati personali. Allo scopo di tutelare i diritti e le libertà fondamentali delle persone fisiche interessate da tale trattamento, la Commissione è stata anche invitata a sviluppare meccanismi di tutela dei dati, ai fini dell'applicazione delle relative norme comunitarie. Ne è un esempio il regolamento (CE) n. 1469/95 del Consiglio, del 22 giugno 1995, relativo ai provvedimenti da prendere nei

confronti di taluni beneficiari di operazioni finanziate dal FEAOG, sezione Garanzia ¹⁸. Per l'attuazione di detto regolamento, che prevede un meccanismo di informazione/scambio tra la Commissione e gli Stati membri, la Commissione ha stabilito una serie di misure di tutela per il trattamento eseguito dai suoi servizi ¹⁹.

Le autorità doganali europee procedono allo scambio di dati personali con le autorità omologhe dei paesi terzi nel quadro degli accordi di assistenza reciproca firmati dalle Comunità e dai paesi terzi. Su richiesta della Comunità, tali accordi comprendono disposizioni speciali a garanzia del rispetto dei principi di tutela dei dati ²⁰.

Il trattamento di dati personali è previsto da una serie di strumenti adottati o in corso di adozione conformemente al titolo VI del trattato sull'Unione europea (cooperazione nei settori della giustizia e degli affari interni). In tali strumenti e nei regolamenti d'attuazione sono state pertanto inserite disposizioni specifiche in materia di tutela dei dati. Gli organi competenti del Consiglio dell'UE hanno lavorato all'elaborazione di norme dettagliate sulla tutela dei dati per Europol, destinate a integrare i regolamenti d'attuazione - che saranno adottati probabilmente nel 1997. Sono state anche esaminate norme dettagliate per il progetto di convenzione Eurodac sulle impronte digitali dei richiedenti asilo.

Tali strumenti adottati ai sensi del titolo VI del trattato dell'UE non si fondano sui dispositivi di tutela dei dati previsti dalla direttiva, ma poggiano su soluzioni specifiche che non garantiscono alle persone fisiche gli stessi diritti o le stesse possibilità di ricorso né possono contare sulla stessa forma di controllo indipendente.

La maggior parte degli Stati membri dell'Unione europea aderisce all'accordo di Schengen, che prevede forme di cooperazione in materia di polizia, dogane e immigrazione al fine di controbilanciare l'eliminazione dei controlli alle frontiere interne. Un aspetto essenziale al riguardo è costituito dalla creazione di un sistema d'informazione comune, il sistema d'informazione Schengen (SIS). A tale proposito l'accordo contiene anche disposizioni sulla tutela dei dati, prevedendo in particolare un'autorità di controllo comune, formata da rappresentanti delle autorità nazionali di controllo dei vari paesi Schengen. L'autorità di controllo comune ha recentemente pubblicato una relazione sulle attività svolte durante i primi due anni (marzo 1995 - marzo 1997). La relazione, oltre a evidenziare la necessità di trasparenza del processo informativo per il cittadino, sottolinea l'importanza di un'autorità di controllo indipendente con poteri e risorse sufficienti per svolgere i suoi compiti in modo adeguato.

La direttiva non disciplina soltanto il trattamento di dati personali all'interno dell'UE, ma comprende anche disposizioni relative al trasferimento di dati verso paesi terzi (articoli 25 e 26). Il principio di base è che gli Stati membri dovrebbero autorizzare tali trasferimenti solo nei casi in cui è assicurato un livello adeguato di tutela dei dati. Esiste pertanto la possibilità che, non essendo valida nessuna delle deroghe previste, siano bloccati quei trasferimenti in cui non è garantita una tutela adeguata.

Un simile blocco potrebbe avere notevoli ripercussioni negative sul flusso di dati a livello mondiale e, di conseguenza, sugli scambi internazionali. Sebbene l'articolo XIV dell'accordo generale sugli scambi di servizi (GATS) contempli la possibilità di un blocco del trasferimento di dati personali, sarebbe nondimeno preferibile evitare di ricorrervi. Una soluzione di gran lunga più opportuna consisterebbe in un miglioramento del livello di tutela da parte dei paesi terzi regolarmente destinatari di trasferimenti di dati, fino al raggiungimento di un livello adeguato.

L'UE negozia una serie di accordi generali che forniscono un quadro di riferimento per le relazioni (cooperazione, relazioni commerciali) con un determinato paese terzo. Tali accordi si estendono a vari settori, dalla politica estera e di sicurezza agli aspetti commerciali e ai temi dello sviluppo economico. Fin dall'adozione della direttiva sulla tutela dei dati, i servizi della Commissione hanno cercato di inserire direttamente o indirettamente la questione della tutela della vita privata e dei dati nel negoziato che precede tali accordi.

Taluni paesi possono rappresentare un autentico "paradiso dei dati" per operatori economici desiderosi di diminuire il costo del trattamento dei dati; l'obiettivo degli accordi fra la Comunità e tali paesi è stato quello di procedere a un semplice scambio di informazioni (una sorta di preavviso) e formulare una raccomandazione al paese in questione affinché consideri in che modo assicurare un livello adeguato di tutela per i trasferimenti da paesi CE. Il tema della tutela dei dati è stato affrontato in questa forma con Messico e Pakistan e la lista dei paesi è destinata ad allungarsi.

La tutela dei dati è stata anche al centro di varie riunioni del gruppo di lavoro sulla politica dell'informazione (IPWG), dove sono rappresentati i servizi della Commissione e il ministero giapponese per l'industria e il commercio internazionale (MITI). Esiste già una legge sulla tutela dei dati applicabile al settore pubblico, anche se comprende una serie di deroghe generali. Le autorità giapponesi stanno ora considerando le modalità più adeguate per l'elaborazione di norme relative alla tutela della vita privata nel settore privato.

La firma della nuova agenda transatlantica in occasione del vertice di Madrid del dicembre 1995 ha segnato la tappa conclusiva dello sforzo di ridefinizione e di rilancio dei rapporti USA-UE. Tra i pilastri dell'accordo figura l'adozione di un piano d'azione in cui è descritta una serie di iniziative e obiettivi specifici. Nell'ambito di tale piano d'azione, le due parti hanno convenuto di discutere le questioni relative alla tutela dei dati e della vita privata al fine di facilitare il flusso dei dati personali cercando allo stesso tempo di combattere i rischi che ne possono derivare per la vita privata. I servizi della Commissione e l'amministrazione statunitense hanno condotto varie discussioni generali sulla tutela dei dati e della vita privata nel quadro del più ampio dialogo sulla società dell'informazione. Ne è scaturito un dialogo mirato alla tutela dei dati, che ha visto lo svolgimento di varie riunioni a partire dal maggio 1996. Sono state esaminate le diversità d'approccio alla tutela dei dati in una serie di settori specifici e sono state affrontate questioni più strategiche in relazione alla possibilità di soluzioni di carattere internazionale.

L'accordo quadro con il Canada firmato nel dicembre1996 prevede lo stesso tipo di discussioni fra le autorità europee e canadesi sul tema del rispetto della vita privata.

Ovviamente la soluzione logica a lungo termine ai problemi posti dal flusso internazionale di dati personali sarebbe la conclusione di un accordo multilaterale su una serie di norme vincolanti a disciplina della tutela dei dati. Alla necessità di affrontare in futuro questi temi ha fatto riferimento il commissario Leon Brittan nel suo discorso alla conferenza dell'OMC che si è svolta a Singapore nel dicembre 1996.

La direttiva dovrà essere incorporata nell'accordo sullo Spazio economico europeo che lega la Comunità a Islanda, Liechtenstein e Norvegia. A tal fine sono state avviate discussioni nel 1996 tra i servizi della Commissione e quelli dell'EFTA.

Al di là di queste azioni specifiche, la Commissione ha cercato di sviluppare una politica coerente in vista dell'applicazione delle disposizioni della direttiva sul trasferimento di dati verso paesi terzi. Uno studio sulla metodologia di valutazione di tale trasferimento era stato affidato al "Centre de recherche informatique et droit" dell'Università di Namur in Belgio. Tale studio è stato utilizzato dal gruppo come base di discussione su questi temi.

3. CONSIGLIO D'EUROPA

Il Consiglio d'Europa ha proseguito i suoi lavori sulla tutela dei dati. Il comitato di esperti sulla tutela dei dati (CJ-PD) e i suoi sottocomitati specializzati hanno esaminato le raccomandazioni su temi specifici che dovranno essere adottate dal comitato dei ministri in rappresentanza di tutti gli Stati membri del Consiglio d'Europa. Il comitato consultivo istituito dalla convenzione n. 108 (T-PD) raccoglie invece i rappresentanti dei 17 Stati che aderiscono alla convenzione.

Gli organi del Consiglio d'Europa hanno lavorato all'elaborazione di tre raccomandazioni. Quella relativa all'uso di dati medici è stata completata dal CJ-PD alla fine del 1996 a seguito degli sforzi di coordinamento degli Stati membri dell'UE. Il testo successivamente adottato il 13 febbraio 1997 dal comitato dei ministri sostituisce la raccomandazione del 1981 sullo stesso argomento ²¹. Ad uno stadio avanzato di elaborazione in seno al CJ-PD si trova una raccomandazione relativa al trattamento di dati statistici che sostituisce in parte la raccomandazione del 1983 su ricerca scientifica e statistiche ²². Il testo dovrebbe essere terminato nel 1997. Il CJ-PD sta anche considerando un progetto di raccomandazione sui dati nel settore assicurativo. Un gruppo di lavoro infine esamina le implicazioni dell'uso di determinate nuove tecnologie.

Il comitato consultivo della convenzione n. 108 si è soffermato sul trattamento di suoni e immagini e sul trattamento dei dati relativi a persone defunte.

4. PRINCIPALI SVILUPPI NEI PAESI TERZI

La direttiva, una volta incorporata nell'accordo SEE, entrerà in vigore anche nello Spazio economico europeo. I paesi non comunitari partecipanti all'accordo hanno già avviato i lavori in vista del recepimento. La Norvegia e l'Islanda aderiscono già alla convenzione n. 108 del Consiglio d'Europa e hanno una legislazione in vigore in materia di tutela dei dati. I rappresentanti delle autorità di tutela dei dati di questi due paesi sono stati invitati a partecipare alle riunioni del gruppo in veste di osservatori.

In Norvegia l'"ispettorato dei dati", incaricato di assicurare l'applicazione della legge del 1978 sulla registrazione dei dati personali, ha trattato 6 049 casi nel 1996. Tale organismo si occupa delle domande di autorizzazione per gli archivi di dati personali e per altre attività soggette per legge al rilascio di un'autorizzazione. Nel 1996 sono state concesse 2713 autorizzazioni.

L'ispettorato opera anche nella gestione del flusso d'informazioni verso l'estero. Riceve un gran numero di richieste dai media e partecipa attivamente alla diffusione delle informazioni. Oltre a pubblicare la rivista trimestrale "SPOR", l'ispettorato è anche responsabile dell'elaborazione del materiale informativo e della relazione annuale²³.

Un comitato ha cominciato a esaminare la necessità di apportare modifiche alla legge norvegese sulla registrazione dei dati personali alla luce della direttiva e presenterà la sua proposta per una nuova legge nella primavera 1997.

Nel Libro bianco sulla strategia di preparazione all'adesione dei PECO all'UE, la Commissione ha raccomandato la partecipazione alla convenzione n. 108 del Consiglio d'Europa come primo passo nel campo della tutela dei dati. Alcuni di questi paesi (in particolare Ungheria, Estonia e Slovenia) hanno già una normativa sulla tutela dei dati, mentre altri sono in procinto di adottarla. Tali paesi partecipano ai lavori del Consiglio d'Europa sulla tutela dei dati.

Il 1996 ha assistito al rilancio del dibattito sui temi del rispetto della vita privata in molti paesi terzi. L'evoluzione tecnologica e la società dell'informazione in particolare hanno spinto governi, associazioni di consumatori, imprese e università a riesaminare le politiche esistenti in materia e a discutere di nuove politiche per l'avvenire. L'adozione della direttiva europea ha dato nuovo impulso al dibattito.

Il dibattito ha assunto particolare rilievo negli Stati Uniti, dove le questioni inerenti alla tutela dei dati sono state al centro dell'attenzione di vari organismi governativi. La commissione federale per il commercio (FTC) ha organizzato nel giugno 1996 un seminario sul rispetto della vita privata del consumatore nelle autostrade informatiche internazionali e ha successivamente varato uno studio sui servizi di consultazione in linea. L'ente nazionale per le telecomunicazioni e l'informazione (NTIA) ha pubblicato un Libro bianco sulla vita privata e le autostrade informatiche nazionali nell'ottobre 1995 e ha proseguito il suo studio sui temi attinenti alla vita privata. La Casa Bianca ha sottolineato l'importanza delle questioni relative al rispetto della vita privata nella relazione preliminare sul quadro di riferimento per il commercio elettronico mondiale, pubblicata nel dicembre 1996.

Disposizioni relative alla tutela della vita privata erano sparse in vari progetti presentati al Congresso. Tali disposizioni sono state adottate nella legge sulle telecomunicazioni del 1996, che prevede il riassetto delle telecomunicazioni negli USA e impone ai fornitori di servizi una serie di obblighi specifici in materia di rispetto della vita privata. È previsto anche l'obbligo della riservatezza delle informazioni relative ai clienti ("Customer Proprietory Network Information"), ivi compresi i dati transazionali. I regolamenti d'attuazione saranno pubblicati dalla commissione federale delle telecomunicazioni (FCC).

La tutela della vita privata nei servizi in linea è stata al centro delle controversie legate al "Communications Decency Act" (legge sul decoro nelle comunicazioni) del 1996 e alla politica del governo USA in materia di crittografia.

In Australia il governo ha pubblicato nel 1996 un Libro bianco che prendeva in considerazione l'opportunità di estendere al settore privato la normativa sul rispetto della vita privata, attualmente limitata al settore pubblico.

In occasione della conferenza internazionale sulla tutela della vita privata che si è svolta a Ottawa in settembre, il ministro canadese della giustizia ha annunciato il progetto del governo di estendere al settore privato la normativa federale sul rispetto della vita privata, attualmente limitata al settore pubblico. Nella provincia del Québec la legislazione riguarda anche il settore privato.

Hong Kong ha adottato un'ordinanza sulla riservatezza dei dati personali. Si tratta di un atto legislativo di ampia portata, che copre sia il settore privato sia quello pubblico e che non dovrebbe subire ripercussioni con il ritorno di Hong Kong sotto l'amministrazione cinese. Dell'applicazione dell'ordinanza è incaricato il commissario responsabile della tutela dei dati personali ²⁴.

5. ALTRI SVILUPPI A LIVELLO INTERNAZIONALE

Il 1996 è stato testimone di un dibattito animato sui temi della tutela dei dati nelle organizzazioni internazionali (sezioni 5.1 e 5.2) e nelle conferenze internazionali (sezione 5.3).

L'Ufficio internazionale del lavoro ha adottato un codice di comportamento per la tutela della vita privata dei lavoratori, che, frutto di anni di lavoro, contiene norme dettagliate sul trattamento dei dati relativi a dipendenti, ex dipendenti e persone in cerca di lavoro. Il codice di comportamento è uno strumento non vincolante e si rivolge direttamente ai datori di lavoro, che sono invitati a rispettarne le regole.

Nel 1996 l'OCSE ha elaborato una serie di orientamenti sulla politica in materia di crittografia, per disciplinare - tra l'altro - l'accesso a messaggi cifrati accordato alle autorità per ragioni legittime. Tali orientamenti raccomandano l'adozione di sistemi basati su un "terzo di fiducia" a cui affidare copie delle chiavi crittografiche. Nel corso dei dibattiti sono stati affrontati i temi della tutela della vita privata in relazione alle norme stabilite dalla direttiva per l'accesso ai dati personali da parte delle autorità. All'atto dell'approvazione finale degli orientamenti (marzo 1997), la Commissione europea ha spiegato che gli Stati membri intenzionati ad applicare tali orientamenti lo avrebbero fatto nel rispetto delle norme della direttiva.

Ogni anno una delle autorità nazionali incaricate della tutela dei dati e della vita privata organizza una conferenza internazionale sulla materia. Nel 1996 la conferenza è stata organizzata a Ottawa dal commissario canadese responsabile della tutela della vita privata. I punti principali al centro del dibattito sono stati i seguenti: l'America del Nord e la direttiva europea; le questioni e i problemi inerenti al villaggio globale; l'identificazione a partire dai dati amministrativi o sanitari; il controllo dei consumatori; le soluzioni tecnologiche e gli strumenti legislativi per la tutela della vita privata.

Vari temi legati al rispetto della vita privata sono stati affrontati da una conferenza sul denaro elettronico organizzata in settembre dal Tesoro degli Stati Uniti.

Una conferenza internazionale sulla tutela dei dati nella società dell'informazione è stata organizzata a Bruxelles dall'Università di Namur con il patrocinio della Commissione europea e del Consiglio d'Europa. Vi hanno partecipato rappresentanti delle istanze decisionali nordamericane ed europee.

6. ALLEGATO

Lista dei membri del gruppo, con indirizzo e numero di fax delle rispettive autorità.