(adottata dal Comitato
dei Ministri il 9/9/1991) (1)
(Traduzione non ufficiale)
Il Comitato dei Ministri, in
virtù dell'articolo 15 (b) dello Statuto del Consiglio
d'Europa,
Considerando che scopo del
Consiglio d'Europa è di realizzare una unione più
stretta fra i suoi membri;
Evidenziando che l'informatica
ha permesso agli organismi pubblici di registrare dati negli archivi
elettronici, ivi compresi quei dati a carattere personale, collegati
alle funzioni svolte in fase di esercizio;
Cosciente del fatto che le
nuove tecniche di registrazione automatizzata di tali dati facilitano
molto l'accesso di terze persone ai dati stessi, contribuendo
in tal modo ad una circolazione più ampia dell'infrmazione
in seno alla società; che il Comitato dei Ministri ha incoraggiato
con la Raccomandazione n. R(81) 19 l'accesso all'informazione
detenuta dalle autorità pubbliche, così come con
la Dichiarazione del 29 aprile 1982, sulla libertà di espressione
e di informazione;
Stimando, tuttavia, che l'automazione
della raccolta e registrazione di dati implichi per gli organismi
pubblici la necessità di prendere in considerazione il
suo impatto sui dati a carattere personale o su gli archivi che
contengono tali dati a carattere personale raccolti e registrati
dagli organismi pubblic per l'esercizio delle loro funzioni;
Sottolineando in particolare
che l'automazione degli archivi contenenti dati a carattere personale
ha aumentato il rischio d'ingerenza nella vita privata, dato che
permette un maggiore accesso, tramite mezzi telematici, ai dati
a carattere personale contenuti negli archivi detenuti dagli organismi
pubblici, così come una comunicazione di tali dati a carattere
personale o di tali archivi a terze persone;
A questo riguardo, si evidenzia
la crescente tendenza del settore privato a sfruttare, a fini
commerciali, i dati a carattere personale o gli archivi contenenti
dati a carattere personale detenuti dagli organismi pubblici,
così come l'apparizione di iniziative di organismi pubblici
tendenti a comunicare, tramite mezzi elettronici, i dati a carattere
personale o gli archivi di dati a carattere personale a terze
persone, con una logica commerciale.
Determinata, in conseguenza,
a promuovere i principi della Convenzione per la protezione delle
persone riguardo al trattamento automatizzato di dati a carattere
personale,
alfine di assicurare che la comunicazione di dati a carattere
personale o archivi contenenti dati a carattere personale da organismi
pubblici a terze persone, in particolare tramite mezzi elettronici,
posi su fondamenti giuridici e dia garanzie alla persona interessata;
Sottolineando, in particolare,
che i principi di protezione dei dati dovranno riflettersi nel
nuovo contesto informatico che caratterizza ormai la comunicazione
di dati a carattere personale o di archivi contenenti dati a carattere
personale a terze persone, secondo i dispositivi giuridici che
gestiscono l'accessibilità a terze persone a dati a carattere
personale o ad archivi contenenti dati a carattere personale.
Raccomanda ai Governi degli Stati membri:
i. di tenere conto dei principi
contenuti nell'Allegato alla presente Raccomandazione ogni volta
che dati a carattere personale o archivi contenenti dati a carattere
personale raccolti e registrati da organismi pubblici possano
essere accessibili a terze persone;
ii. di tenere debito conto
dei principi contenuti nell'allegato alla presente Raccomandazione
nel loro diritto interno e nelle normative riguardanti l'automazione
e la comunicazione a terze persone, tramite mezzi elettronici,
di dati a carattere personale o di archivi contenenti dati a carattere
personale;
iii. di assicurare una larga
diffusione della presente Raccomandazione presso gli organismi
pubblici;
iv. di portare i principi
contenuti nell'allegato alla presente Raccomandazione, all'attenzione
delle autorità costituite in virtù di una legislazione
interna sulla protezione dei dati o sull'accesso all'informazione
del settore pubblico.
(1) Strasburgo, 1981. Serie
dei trattati europei n. 108 (di seguito definita la Convenzione
n. 107).
ALLEGATO ALLA RACCOMANDAZIONE N. R (91) 10
1. Campo di applicazione e definizioni
1.1. I principi enunciati nel
presente allegato si applicano al trattamento automatizzato di
dati a carattere personale connesso con gli organismi pubblici
e può essere oggetto di comunicazione a terze persone.
1.2. Gli Stati membri possono
estendere il campo di applicazione della presente Raccomandazione
in modo da includere i dati relativi a gruppi, a compagnie, ad
associazioni, etc., dotati o meno di personalità giuridica,
così come i dati a carattere personale sotto forma non
automatizzata.
Ai fini della presente Raccomandazione:
1.3.
- l'espressione "dati
personali", definisce ogni informazione concernente una persona
identificata o identificabile (persona interessata): una persona
fisica non deve essere considerata come "identificabile"
se questa identificazione necessita di lunghi tempi, di costi
e attività non ragionevoli.
- l'espressione "organismi
pubblici" definisce ogni amministrazione, istituzione, impresa
o altra entità che eserciti funzioni di servizio pubblico
o di pubblico interesse con i privilegi del potere pubblico.
Il diritto interno può
allargare la portata dell'espressione "organismi pubblici".
- l'espressione "archivi
accessibili a terze persone" definisce gli archivi detenuti
dagli organismi pubblici e contenenti dati a carattere personale
che possono essere comunicati al pubblico o a terze persone, che
abbiano un interesse particolare e che siano conformi alla legislazione
generale sull'accesso all'informazione del settore pubblico o
sulla libertà d'informazione, alle disposizioni costituzionali
così come alle leggi specifiche, ai regolamenti o alla
giurisprudenza che autorizza le terze persone ad avere accesso
alle informazioni detenute da organismi pubblici, ivi compreso
a mezzo di una pubblicazione ufficiale;
- l'espressione "comunicazione"
definisce il fatto di rendere accessibili dati a carattere personale,
in particolare autorizzando la loro consultazione, la loro trasmissione,
la loro diffusione o la loro messa a disposizione, qualunque siano
i mezzi o i supporti utilizzati;
- l'espressione "terze
persone" definisce ogni persona fisica o morale alla quale
siano comunicati dati a carattere personale da organismi pubblici,
ad esclusione di altri organismi pubblici.
Il diritto interno può
allargare la portata dell'espressione "terze persone".
2. Rispetto della vita privata e principi di protezione dei dati
2.1. La comunicazione a terze
persone da parte di organismi pubblici di dati a carattere personale
o di archivi contenenti dati a carattere personale, in particolare
tramite mezzi elettronici, dovrà essere accompagnato da
salvaguardie e garanzie indirizzate ad assicurare che non venga
indebitamente toccata la vita privata della persona interessata.
In particolare, la comunicazione
di dati a carattere personaleo di archivi contenenti dati a carattere
personale a terze persone, non dovrà avvenire che se:
a. lo preveda una legge specifica; o
b. il pubblico vi abbia accesso in virtù di una disposizione giuridica che gestisca
l'accesso all'informazione del settore pubblico; o
c. la comunicazione sia conforme alla legislazione interna sulla protezione dei dati; o
d. la persona interessata abbia dato il suo consenso espresso e chiaro.
2.2. A meno che il diritto
interno non organizzi salvaguardie e garanzie appropriate in favore
della persona interessata, i dati a carattere personale o gli
archivi contenenti dati a carattere personale non potranno essere
comunicati a terze persone a fini non compatibili con quelli per
i quali i dati sono stati raccolti.
2.3. La legislazione interna
sulla protezione dei dati dovrà applicarsi al trattamento
di dati a carattere personale fatta da una terza persona che li
abbia ricevuti da organismi pubblici.
3 Dati sensibili
3.1. I dati a carattere personale
rientranti in una delle categorie di dati sensibili, di cui all'art.
6 della Convenzione n. 108, non dovranno essere registrati in
un archivio od in una parte di archivio generalmente accessibili
da terze persone.
Ogni eccezione a questo principio
dovrà essere rigorosamente prevista dalla legge ed accompagnata
da appropriate garanzie a favore della persona interessata.
3.2. Le disposizioni di cui
al punto 3.1 non dovranno pregiudicare la possibilità di
registrare in archivi accessibili a terze persone alcune categorie
di dati -che in altre circostanze potrebbero essere considerati
come sensibili- relativi ala vita pubblica delle persone quando
tali persone svolgano una attività significativa di dominio
pubblico e, di fatto, rendano i loro dati accessibili a terze
persone.
4. Dati generalmente accessibili
4.1. In conformità al
diritto e alle normative interne, dovranno essere indicate le
finalità per le quali i dati vengono raccolti e trattati
negli archivi accessibili a terze persone, così come l'interesse
pubblico per il quale è giustificata la loro accessibilità.
4.2. In conformità al
diritto e alle normative interne, la persona interessata dovrà
essere informata, prima della raccolta, del carattere obbligatorio
o facoltativo di tale raccolta, dei fondamenti giuridici e delle
finalità della raccolta stessa e del trattamento dei dati
a carattere personale, così come dell'interesse pubblico
che giustifica la loro accessibilità.
4.3. Gli organismi pubblici
dovranno poter evitare che vengano comunicati a terze persone
i dati a carattere personale registrati in un archivio accessibile
al pubblico e relativi a persone la cui sicurezza e vita privata
siano particolarmente minacciati.
5. Accesso e comunicazione di dati personali tramite mezzi elettronici
5.1. Il trattamento automatico
di dati a carattere personale contenuti in archivi accessibili
a terze persone dovrà essere realizzato in conformità
al diritto interno.
- Dovranno essere fissate le
condizioni che regolano la comunicazione e l'accesso ai dati e,
in particolare, curare la comunicazione automatica e la consultazione
in linea di tali dati.
5.2. Al momento della comunicazione
automatica, dovranno essere messi in atto mezzi tecnici per limitare
la portata delle interrogazioni e delle ricerche elettroniche,
al fine di prevenire ogni interconnessione telefonica o consultazione
non autorizzata di dati a carattere personale o di archivi contenenti
tali dati.
6. Trattamento da parte di terze persone di dati a carattere personale provenienti da
archivi accessibili a terze persone
6.1 Quando la persona interessata
sia giuridicamente tenuta a fornire i dati per la registrazione
in un archivio accessibile a terze persone, il trattamento dei
dati da parte di terze pzersone dovrà essere assoggettato
al consenso espresso e chiaro della persona interessata, cioè
essere conforme alle prescrizioni della legge.
Quando il consenso è
richiesto, la persona interessata dovrà poterlo ritirare
in ogni momento.
6.2. Se la registrazione di
dati in un archivio accessibile a terze persone è facoltativa,
la persona interessata dovrà, prima o al momento della
raccolta, essere informata dei suoi diritti:
a. di non far registrare
i suoi dati nell'archivio accessibile a terze persone, o
b. di farli registrare nell'archivio e farli comunicare, senza che tali dati possano
essere trattati da terze persone, o
c. di opporsi a che i suoi dati continuino a essere trattati da terze persone, o
d. di farli cancellare in qualsiasi momento.
6.3. Se una terza persona crea
archivi contenenti dati a carattere personale ripresi da archivi
accessibili a terze persone, tali archivi dovranno essere sottomessi
alle regole della legislazione interna sulla protezione dei dati,
ivi compresi i diritti della persona interessata.
In particolare, la persona
interessata dovrà poter conoscere l'esistenza e le finalità
del nuovo archivio, ed il suo diritto di di far cancellare i suoi
dati dall'archivio in questione.
7. Unione - messa in relazione di archivi
Salvo che il diritto interno
lo permetta e fornisca appropriate garanzie, devono essere vietate
la messa in relazione - in particolare, per connessione, fusione
o interconnessione telefonica - di dati a carattere personale
ripresi da archivi contenenti dati a carattere personale accessibili
a terze persone, in vista di creare nuovi archivi, così
che la messa in relazione o l'unione di archivi o di dati detenuti
da terze persone con uno o più archivi detenuti da organismi
pubblici, in vista di arricchire gli archivi o i dati esistenti.
8. Flusso trasfrontaliero di dati
8.1 I principi di questa Raccomandazione
sono applicabili alla comunicazione trasfrontaliera di dati a
carattere personale raccolti da organismi pubblici, che potrebbero
essere comunicati a terze persone.
8.2. La comunicazione trasfrontaliera
di dati a carattere personale a terze persone residenti negli
Stati che hanno ratificato la Convenzione n. 108, e quindi dispongono
di una legislazione sulla protezione dei dati, non dovrà
essere sottoposta a condizioni particolaridi protezione della
vita privata.
8.3. Quando è assicurato
il rispetto dei principi della protezione equivalente, non dovranno
esservi limitazioni nella comunicazione transfrontaliera di dati
a carattere personale a terze persone residenti in uno Stato che
non ha ratificato la Convenzione n. 108, ma beneficia di disposizioni
giuridiche conformi ai principi della detta Convenzione e della
presente Raccomandazione.
8.4. A meno che il diritto
interno disponga altrimenti, la comunicazione trasfrontaliera
di dati a carattere personale a terze persone, residenti in uno
Stato che non abbia disposizioni giuridiche conformi alla Convenzione
n. 108 e alla presente Raccomandazione, non dovrà avvenire,
a meno che:
a. non vengano prese le misure
necessarie, ivi compresa la natura contrattuale, il rispetto dei
principi della Convenzione e di questa Raccomandazione e la persona
interessata abbia la possibilità di opporsi alla comunicazione, o
b. la persona interessata abbia
dato il suo consenso scritto, espresso e chiaro, e che possa ritirarlo
in ogni momento.
8.5. Dovranno essere prese
misure atte ad evitare che dati a carattere personale o archivi
contenenti dati a carattere personale possano essere fatti oggetto
di una comunicazione trasfrontaliera automatica a terze persone,
all'insaputa della persona interessata.
9. Coordinamento - cooperazione
Quando una legislazione generale
che regola l'accesso all'informazione del settore pubblico prevede
l'instaurazione di un organo di controllo per mettere in opera
una tale legislazione e quando esiste anche una legislazione generale
sulla protezione dei dati che ha creato un' autorità distinta,
responsabile della messa in opera di quest'altra legislazione,
le rispettive autorità dovranno accordarsi per facilitare
lo scambio di informazioni circa le condizioni che regolano la
comunicazione di dati a carattere personale che provengono da
archivi accessibili a terze persone.
