CONSIGLIO D'EUROPA - COMITATO DEI MINISTRI

RACCOMANDAZIONE N. R (91) 10
DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI
RELATIVA ALLA COMUNICAZIONEA TERZE PERSONE DI DATI A CARATTERE PERSONALE DETENUTI DA ORGANISMIPUBBLICI
(adottata dal Comitatodei Ministri il 9/9/1991) (1)
(Traduzione non ufficiale)

 

Il Comitato dei Ministri, invirtù dell'articolo 15 (b) dello Statuto del Consigliod'Europa,

Considerando che scopo delConsiglio d'Europa è di realizzare una unione piùstretta fra i suoi membri;

Evidenziando che l'informaticaha permesso agli organismi pubblici di registrare dati negli archivielettronici, ivi compresi quei dati a carattere personale, collegatialle funzioni svolte in fase di esercizio;

Cosciente del fatto che lenuove tecniche di registrazione automatizzata di tali dati facilitanomolto l'accesso di terze persone ai dati stessi, contribuendoin tal modo ad una circolazione più ampia dell'infrmazionein seno alla società; che il Comitato dei Ministri ha incoraggiatocon la Raccomandazione n. R(81) 19 l'accesso all'informazionedetenuta dalle autorità pubbliche, così come conla Dichiarazione del 29 aprile 1982, sulla libertà di espressionee di informazione;

Stimando, tuttavia, che l'automazionedella raccolta e registrazione di dati implichi per gli organismipubblici la necessità di prendere in considerazione ilsuo impatto sui dati a carattere personale o su gli archivi checontengono tali dati a carattere personale raccolti e registratidagli organismi pubblic per l'esercizio delle loro funzioni;

Sottolineando in particolareche l'automazione degli archivi contenenti dati a carattere personaleha aumentato il rischio d'ingerenza nella vita privata, dato chepermette un maggiore accesso, tramite mezzi telematici, ai datia carattere personale contenuti negli archivi detenuti dagli organismipubblici, così come una comunicazione di tali dati a caratterepersonale o di tali archivi a terze persone;

A questo riguardo, si evidenziala crescente tendenza del settore privato a sfruttare, a finicommerciali, i dati a carattere personale o gli archivi contenentidati a carattere personale detenuti dagli organismi pubblici,così come l'apparizione di iniziative di organismi pubblicitendenti a comunicare, tramite mezzi elettronici, i dati a caratterepersonale o gli archivi di dati a carattere personale a terzepersone, con una logica commerciale.

Determinata, in conseguenza,a promuovere i principi della Convenzione per la protezione dellepersone riguardo al trattamento automatizzato di dati a caratterepersonale,alfine di assicurare che la comunicazione di dati a caratterepersonale o archivi contenenti dati a carattere personale da organismipubblici a terze persone, in particolare tramite mezzi elettronici,posi su fondamenti giuridici e dia garanzie alla persona interessata;

Sottolineando, in particolare,che i principi di protezione dei dati dovranno riflettersi nelnuovo contesto informatico che caratterizza ormai la comunicazionedi dati a carattere personale o di archivi contenenti dati a caratterepersonale a terze persone, secondo i dispositivi giuridici chegestiscono l'accessibilità a terze persone a dati a caratterepersonale o ad archivi contenenti dati a carattere personale.


Raccomanda ai Governi degli Stati membri:

i. di tenere conto dei principicontenuti nell'Allegato alla presente Raccomandazione ogni voltache dati a carattere personale o archivi contenenti dati a caratterepersonale raccolti e registrati da organismi pubblici possanoessere accessibili a terze persone;

ii. di tenere debito contodei principi contenuti nell'allegato alla presente Raccomandazionenel loro diritto interno e nelle normative riguardanti l'automazionee la comunicazione a terze persone, tramite mezzi elettronici,di dati a carattere personale o di archivi contenenti dati a caratterepersonale;

iii. di assicurare una largadiffusione della presente Raccomandazione presso gli organismipubblici;

iv. di portare i principicontenuti nell'allegato alla presente Raccomandazione, all'attenzionedelle autorità costituite in virtù di una legislazioneinterna sulla protezione dei dati o sull'accesso all'informazionedel settore pubblico.


(1) Strasburgo, 1981. Seriedei trattati europei n. 108 (di seguito definita la Convenzione n. 107).


ALLEGATO ALLA RACCOMANDAZIONE N. R (91) 10


1. Campo di applicazione e definizioni

1.1. I principi enunciati nelpresente allegato si applicano al trattamento automatizzato didati a carattere personale connesso con gli organismi pubblicie può essere oggetto di comunicazione a terze persone.

1.2. Gli Stati membri possonoestendere il campo di applicazione della presente Raccomandazionein modo da includere i dati relativi a gruppi, a compagnie, adassociazioni, etc., dotati o meno di personalità giuridica,così come i dati a carattere personale sotto forma nonautomatizzata.

Ai fini della presente Raccomandazione:

1.3.

    - l'espressione "datipersonali", definisce ogni informazione concernente una personaidentificata o identificabile (persona interessata): una personafisica non deve essere considerata come "identificabile"se questa identificazione necessita di lunghi tempi, di costie attività non ragionevoli.
    - l'espressione "organismipubblici" definisce ogni amministrazione, istituzione, impresao altra entità che eserciti funzioni di servizio pubblicoo di pubblico interesse con i privilegi del potere pubblico.
    Il diritto interno puòallargare la portata dell'espressione "organismi pubblici".
    - l'espressione "archiviaccessibili a terze persone" definisce gli archivi detenutidagli organismi pubblici e contenenti dati a carattere personaleche possono essere comunicati al pubblico o a terze persone, cheabbiano un interesse particolare e che siano conformi alla legislazionegenerale sull'accesso all'informazione del settore pubblico osulla libertà d'informazione, alle disposizioni costituzionalicosì come alle leggi specifiche, ai regolamenti o allagiurisprudenza che autorizza le terze persone ad avere accessoalle informazioni detenute da organismi pubblici, ivi compresoa mezzo di una pubblicazione ufficiale;
    - l'espressione "comunicazione"definisce il fatto di rendere accessibili dati a carattere personale,in particolare autorizzando la loro consultazione, la loro trasmissione,la loro diffusione o la loro messa a disposizione, qualunque sianoi mezzi o i supporti utilizzati;
    - l'espressione "terzepersone" definisce ogni persona fisica o morale alla qualesiano comunicati dati a carattere personale da organismi pubblici,ad esclusione di altri organismi pubblici.
    Il diritto interno puòallargare la portata dell'espressione "terze persone".

2. Rispetto della vita privata e principi di protezione dei dati

2.1. La comunicazione a terzepersone da parte di organismi pubblici di dati a carattere personaleo di archivi contenenti dati a carattere personale, in particolaretramite mezzi elettronici, dovrà essere accompagnato dasalvaguardie e garanzie indirizzate ad assicurare che non vengaindebitamente toccata la vita privata della persona interessata.

In particolare, la comunicazionedi dati a carattere personaleo di archivi contenenti dati a caratterepersonale a terze persone, non dovrà avvenire che se:

    a. lo preveda una legge specifica; o
    b. il pubblico vi abbia accesso in virtù di una disposizione giuridica che gestiscal'accesso all'informazione del settore pubblico; o
    c. la comunicazione sia conforme alla legislazione interna sulla protezione dei dati; o
    d. la persona interessata abbia dato il suo consenso espresso e chiaro.

2.2. A meno che il dirittointerno non organizzi salvaguardie e garanzie appropriate in favoredella persona interessata, i dati a carattere personale o gliarchivi contenenti dati a carattere personale non potranno esserecomunicati a terze persone a fini non compatibili con quelli peri quali i dati sono stati raccolti.

2.3. La legislazione internasulla protezione dei dati dovrà applicarsi al trattamentodi dati a carattere personale fatta da una terza persona che liabbia ricevuti da organismi pubblici.


3 Dati sensibili

3.1. I dati a carattere personalerientranti in una delle categorie di dati sensibili, di cui all'art.6 della Convenzione n. 108, non dovranno essere registrati inun archivio od in una parte di archivio generalmente accessibilida terze persone.

Ogni eccezione a questo principiodovrà essere rigorosamente prevista dalla legge ed accompagnatada appropriate garanzie a favore della persona interessata.

3.2. Le disposizioni di cuial punto 3.1 non dovranno pregiudicare la possibilità diregistrare in archivi accessibili a terze persone alcune categoriedi dati -che in altre circostanze potrebbero essere consideraticome sensibili- relativi ala vita pubblica delle persone quandotali persone svolgano una attività significativa di dominiopubblico e, di fatto, rendano i loro dati accessibili a terzepersone.


4. Dati generalmente accessibili

4.1. In conformità aldiritto e alle normative interne, dovranno essere indicate lefinalità per le quali i dati vengono raccolti e trattatinegli archivi accessibili a terze persone, così come l'interessepubblico per il quale è giustificata la loro accessibilità.

4.2. In conformità aldiritto e alle normative interne, la persona interessata dovràessere informata, prima della raccolta, del carattere obbligatorioo facoltativo di tale raccolta, dei fondamenti giuridici e dellefinalità della raccolta stessa e del trattamento dei datia carattere personale, così come dell'interesse pubblicoche giustifica la loro accessibilità.

4.3. Gli organismi pubblicidovranno poter evitare che vengano comunicati a terze personei dati a carattere personale registrati in un archivio accessibileal pubblico e relativi a persone la cui sicurezza e vita privatasiano particolarmente minacciati.


5. Accesso e comunicazione di dati personali tramite mezzi elettronici

5.1. Il trattamento automaticodi dati a carattere personale contenuti in archivi accessibilia terze persone dovrà essere realizzato in conformitàal diritto interno.

    - Dovranno essere fissate lecondizioni che regolano la comunicazione e l'accesso ai dati e,in particolare, curare la comunicazione automatica e la consultazionein linea di tali dati.

5.2. Al momento della comunicazioneautomatica, dovranno essere messi in atto mezzi tecnici per limitarela portata delle interrogazioni e delle ricerche elettroniche,al fine di prevenire ogni interconnessione telefonica o consultazionenon autorizzata di dati a carattere personale o di archivi contenentitali dati.


6. Trattamento da parte di terze persone di dati a carattere personale provenienti daarchivi accessibili a terze persone

6.1 Quando la persona interessatasia giuridicamente tenuta a fornire i dati per la registrazionein un archivio accessibile a terze persone, il trattamento deidati da parte di terze pzersone dovrà essere assoggettatoal consenso espresso e chiaro della persona interessata, cioèessere conforme alle prescrizioni della legge.

Quando il consenso èrichiesto, la persona interessata dovrà poterlo ritirarein ogni momento.

6.2. Se la registrazione didati in un archivio accessibile a terze persone è facoltativa,la persona interessata dovrà, prima o al momento dellaraccolta, essere informata dei suoi diritti:

    a. di non far registrarei suoi dati nell'archivio accessibile a terze persone, o
    b. di farli registrare nell'archivio e farli comunicare, senza che tali dati possanoessere trattati da terze persone, o
    c. di opporsi a che i suoi dati continuino a essere trattati da terze persone, o
    d. di farli cancellare in qualsiasi momento.

6.3. Se una terza persona creaarchivi contenenti dati a carattere personale ripresi da archiviaccessibili a terze persone, tali archivi dovranno essere sottomessialle regole della legislazione interna sulla protezione dei dati,ivi compresi i diritti della persona interessata.

In particolare, la personainteressata dovrà poter conoscere l'esistenza e le finalitàdel nuovo archivio, ed il suo diritto di di far cancellare i suoidati dall'archivio in questione.


7. Unione - messa in relazione di archivi

Salvo che il diritto internolo permetta e fornisca appropriate garanzie, devono essere vietatela messa in relazione - in particolare, per connessione, fusioneo interconnessione telefonica - di dati a carattere personaleripresi da archivi contenenti dati a carattere personale accessibilia terze persone, in vista di creare nuovi archivi, cosìche la messa in relazione o l'unione di archivi o di dati detenutida terze persone con uno o più archivi detenuti da organismipubblici, in vista di arricchire gli archivi o i dati esistenti.


8. Flusso trasfrontaliero di dati

8.1 I principi di questa Raccomandazionesono applicabili alla comunicazione trasfrontaliera di dati acarattere personale raccolti da organismi pubblici, che potrebberoessere comunicati a terze persone.

8.2. La comunicazione trasfrontalieradi dati a carattere personale a terze persone residenti negliStati che hanno ratificato la Convenzione n. 108, e quindi dispongonodi una legislazione sulla protezione dei dati, non dovràessere sottoposta a condizioni particolaridi protezione dellavita privata.

8.3. Quando è assicuratoil rispetto dei principi della protezione equivalente, non dovrannoesservi limitazioni nella comunicazione transfrontaliera di datia carattere personale a terze persone residenti in uno Stato chenon ha ratificato la Convenzione n. 108, ma beneficia di disposizionigiuridiche conformi ai principi della detta Convenzione e dellapresente Raccomandazione.

8.4. A meno che il dirittointerno disponga altrimenti, la comunicazione trasfrontalieradi dati a carattere personale a terze persone, residenti in unoStato che non abbia disposizioni giuridiche conformi alla Convenzionen. 108 e alla presente Raccomandazione, non dovrà avvenire,a meno che:

    a. non vengano prese le misurenecessarie, ivi compresa la natura contrattuale, il rispetto deiprincipi della Convenzione e di questa Raccomandazione e la personainteressata abbia la possibilità di opporsi alla comunicazione, o
    b. la persona interessata abbiadato il suo consenso scritto, espresso e chiaro, e che possa ritirarloin ogni momento.

8.5. Dovranno essere presemisure atte ad evitare che dati a carattere personale o archivicontenenti dati a carattere personale possano essere fatti oggettodi una comunicazione trasfrontaliera automatica a terze persone,all'insaputa della persona interessata.


9. Coordinamento - cooperazione

Quando una legislazione generaleche regola l'accesso all'informazione del settore pubblico prevedel'instaurazione di un organo di controllo per mettere in operauna tale legislazione e quando esiste anche una legislazione generalesulla protezione dei dati che ha creato un' autorità distinta,responsabile della messa in opera di quest'altra legislazione,le rispettive autorità dovranno accordarsi per facilitarelo scambio di informazioni circa le condizioni che regolano lacomunicazione di dati a carattere personale che provengono daarchivi accessibili a terze persone.