26A CONFERENZA INTERNAZIONALE SULLA PROTEZIONE DEI DATI WROCLAW (POLONIA) 13-16 SETTEMBRE 2004 Risoluzione relativa alla proposta di uno standard-quadro ISO in materia di privacy Sulla base di una proposta formulata dall'Autorità di Berlino per la protezione dei dati e l'accesso alle informazioni, l'Autorità per la protezione dei dati e l'accesso alle informazioni dello Stato di Brandeburgo, l'Autorità belga per la protezione dei dati, l'Information Commissioner del Regno Unito, l'Autorità federale tedesca per la protezione dei dati, il Centro indipendente per la protezione dei dati dello Schleswig-Holstein, l'Autorità per le informazioni e la privacy dello Stato di Ontario, l'Ispettore generale per la protezione dei dati personali della Polonia, l'Autorità per la protezione dei dati personali di Hong Kong, l'Autorità spagnola per la protezione dei dati, l'Ispettorato statale per la protezione dei dati della Repubblica di Lituania, e l'Autorità svizzera per la protezione dei dati propongono che la Conferenza internazionale adotti la seguente risoluzione: Considerato che l'Organizzazione internazionale per la standardizzazione (ISO) ha istituito un Gruppo di studio sulle tecnologie della privacy (PTSG) nell'ambito del Comitato tecnico congiunto 1 (JTC1) con il compito di valutare la necessità di mettere a punto uno standard tecnologico in materia di privacy e, in caso affermativo, le modalità procedurali e la relativa portata, e quindi presentare una relazione entro il mese di novembre 2004; Considerato che il Comitato tecnico congiunto 1 (JTC1) dell'ISO trasmette al Sottocomitato 27 (Sicurezza nelle tecnologie dell'informazione) le richieste di decisione su schemi attinenti alla privacy secondo una procedura accelerata; Considerato che l'International Security, Trust, and Privacy Alliance (ISTPA, Alleanza internazionale per la sicurezza, la fiducia e la privacy) è un'alleanza mondiale di imprese, istituzioni e fornitori di tecnologie operanti congiuntamente allo scopo di chiarire e definire questioni attuali o in via di evoluzione connesse a sicurezza, fiducia e privacy; Considerato che l'ISO ha ricevuto una proposta di standard internazionale (ISO/IEC (PAS) DIS 20886) relativa ad Quadro di riferimento per la privacy, presentata dall'ISTPA1 nell'ambito di una procedura accelerata, sulla quale è aperto il voto per corrispondenza con scadenza all'11 dicembre 2004; Considerato che il Privacy Enhancing Technology Testing and Evaluation Project (PETTEP2, Progetto per la verifica e valutazione delle tecnologie di potenziamento della privacy) è una coalizione mondiale di autorità per la privacy e la protezione dei dati, esponenti del mondo universitario, autorità governative e organismi del settore privato, ed esperti in materia di privacy, la cui missione consiste nella definizione di criteri di verifica e valutazione riconosciuti a livello internazionale rispetto alle caratteristiche dichiarate da sistemi e tecnologie dell'informazione relativamente alla privacy; Considerato che l'International Working Group on Data Protection in Telecommunications (Gruppo di lavoro internazionale sulla protezione dei dati nelle telecomunicazioni), in occasione del suo 35mo incontro tenutosi a Buenos Aires il 14 e 15 aprile 2004, ha adottato un Documento di lavoro su un futuro standard ISO in materia di privacy;3 Considerato che la Conferenza internazionale delle Autorità di protezione dati e della privacy (in appresso, la "Conferenza") desidera sostenere la definizione di uno standard internazionale delle tecnologie in materia di privacy efficace e riconosciuto su base globale, e mettere a disposizione dell'ISO le proprie competenze ai fini della definizione di tale standard; Considerato che la Conferenza riconosce che la conformità a standard ISO attuali o futuri non comporta né surroga necessariamente la conformità a disposizioni di legge. La Conferenza in realtà considera la definizione degli standard IT in oggetto uno strumento che può essere d'ausilio onde rispettare le norme di legge in materia di protezione dati e privacy. La Conferenza riconosce senza alcun dubbio che, da un lato, i propri membri, ciascuno per il rispettivo ambito di giurisdizione, hanno e continueranno a mantenere in vigore norme di legge in materia di privacy, le quali in realtà si differenziano per alcuni profili, e che, d'altro canto, esiste complessivamente un grado elevato di concordanza fra le norme di legge in questione, il quale troverebbe il riconoscimento ottimale divenendo parte integrante di meccanismi basati sulle tecnologie dell'informazione attraverso la messa a punto di uno standard internazionale, o di più standard internazionali; La conferenza adotta le seguenti Risoluzioni: 1. La Conferenza raccomanda rispettosamente che l'ISO metta a punto uno o più standard globali in materia di privacy, ed in particolare uno standard delle tecnologie in materia di privacy, tale da supportare l'attuazione di norme di legge in materia di privacy e protezione dei dati, se già esistenti, e la formulazione di tali norme ove esse non siano ancora definite. 2. La Conferenza ritiene che la definizione di uno standard internazionale in materia di privacy debba fondarsi sulle prassi di leale informazione e sui principi di parsimonia, necessità ed anonimizzazione nell'uso dei dati. Per essere efficace, uno standard relativo alle tecnologie dell'informazione deve - offrire criteri di valutazione e verifica riferiti alle funzionalità connesse alla privacy di qualsiasi sistema o tecnologia, onde facilitare il rispetto da parte dei titolari degli strumenti giuridici nazionali e internazionali in materia di protezione dei dati, - offrire assicurazioni sulle caratteristiche dichiarate di rispetto della privacy relativamente a tecnologie e sistemi utilizzati per la gestione di dati personali, - essere in grado di supportare le specifiche concernenti la privacy riferite ai dati personali relativi a una determinata persona, indipendentemente dalle combinazioni e dal numero di soggetti che possono intervenire nella gestione e nell'interscambio di tali dati personali. 3. La Conferenza appoggia la recente istituzione di un Gruppo di studio temporaneo sulle tecnologie della privacy (PTSG) con il compito di valutare l'esigenza di uno standard nonché gli ambiti e le metodologie di sviluppo di tale standard nel quadro dell'ISO. 4. La Conferenza sostiene con forza l'accelerazione, e non già il procrastinamento, dell'istituzione di un nuovo Sottocomitato permanente dell'ISO per la definizione di standard delle tecnologie dell'informazione riferiti alla privacy. Tale nuovo Sottocomitato dovrebbe tenere presente l'attività svolta attualmente nei Sottocomitati esistenti in rapporto a specifici temi connessi alla privacy. 5. La Conferenza sostiene con forza l'inserimento del Privacy Enhancing Technology Testing and Evaluation Project (PETTEP) quale organismo ufficiale di collegamento con il PTSG del JTC1 dell'ISO. In tal modo le Autorità di protezione dati potranno disporre di uno strumento per operare direttamente all'interno del PTSG dell'ISO, e si conferisce ai membri del PETTEP un ruolo ufficiale che consentirà loro di presentare, analizzare e contribuire all'attività del PTSG. 6. La Conferenza promuove e sostiene l'adesione al PETTEP delle Autorità di protezione dati interessate, il che consentirà loro, in quanto membri del PETTEP, di far sentire immediatamente la propria voce nel dibattito relativo alla definizione di uno standard ISO delle tecnologie della privacy. 7. La Conferenza riconosce che il PETTEP gode già di uno status ufficiale all'interno del PTSG, e chiede rispettosamente al PETTEP di adottare le risoluzioni della Conferenza e di presentarle quanto prima al PTSG. 8. La Conferenza, pur riconoscendo l'impegno e la determinazione dell'ISTPA nel settore della privacy, chiede rispettosamente il ritiro dello schema ISTPA quale specifica pubblica (PAS) fintanto che non siano state affrontate le questioni di seguito delineate: - Il concetto di privacy su cui si fonda la Proposta di standard-quadro in materia di privacy, ed il fatto che tale quadro deve tenere conto dell'esistenza di limiti alla raccolta di dati. Nella Proposta si definisce privacy "la gestione ed utilizzazione corrette di dati personali per l'intero ciclo di vita di tali dati, conformemente a principi di protezione dati ed alle preferenze espresse dal soggetto".4 Gli Autori della Proposta giudicano che la raccolta ed il trattamento di dati personali siano fondamentali ai fini del funzionamento corretto della società e delle relazioni commerciali moderne.5 Tale considerazione si fonda sul presupposto che non ci siano limiti alla raccolta di dati personali. Possono sussistere circostanze in cui la raccolta ed il trattamento di dati personali sono fondamentali nel senso indicato; tuttavia, non si deve supporre che ciò costituisca la regola. 9. La Conferenza chiede rispettosamente all'ISO di sospendere eventuali richieste già avanzate per il riconoscimento di specifiche pubbliche tramite procedura accelerata di adozione nel settore della privacy e della protezione dei dati (ovvero di sospendere la presentazione di nuove richieste per il riconoscimento di specifiche pubbliche nel settore della privacy e della protezione dei dati), in quanto la definizione di uno standard in materia di privacy necessita di un approfondito dibattito. 10. La Conferenza chiede rispettosamente all'ISO di considerare le richieste di riconoscimento di specifiche pubbliche ed ogni altra richiesta concernente la protezione dei dati e la privacy come indicazioni e contributi utili alla definizione di un quadro generale nonché di potenziali standard futuri all'interno del quadro suddetto. NOTE 1 V. http://www.istpa.org |