COMMISSIONE DELLE COMUNIT╦EUROPEE

Bruxelles, 7.3.2007

COM(2007) 87 definitivo

 

COMUNICAZIONE DELLACOMMISSIONE AL PARLAMENTO EUROPEO E AL

CONSIGLIO

sul seguito dato alprogramma di lavoro per una migliore applicazione della direttiva

sulla protezione dei dati

(Testo rilevante ai finidel SEE)

 

La direttiva 95/46/CE1ha segnato una pietra miliare nella storia della protezione dei dati personaliintesa come diritto fondamentale, lungo la via aperta dalla convenzione del Consiglio d'Europa 1082. La prima relazione sull'applicazione delladirettiva, realizzata dalla Commissione conformemente a quanto stabilitodall'articolo 33 della direttiva3, ha concluso che, pur nonrendendosi necessarie modifiche legislative, c'era del lavoro da fare e chec'erano notevoli possibilitł per migliorare l'attuazione della direttiva.

La relazione conteneva un Programmadi lavoro per una migliore applicazione della direttiva sulla tutela dei dati. La presente comunicazione esamina il lavoro svoltonell'ambito di tale programma, valuta la situazione attuale e delinea lepossibilitł per il futuro. Ciś Ć necessario per la riuscita delle iniziativein una serie di settori di azione, alla luce dell'articolo 8 della Cartaeuropea dei diritti fondamentali che riconosce un diritto autonomo allaprotezione dei dati personali.

La Commissione ritiene chela direttiva stabilisca un quadro giuridico generale adeguato nell'insieme eneutro nei confronti della tecnologia. La serie di norme armonizzate, createper garantire un livello elevato di protezione dei dati personali in tutta laUE, ha procurato notevoli vantaggi ai cittadini, alle imprese e alle autoritł.Si tratta di norme che tutelano gli individui da una sorveglianza generale oda indebite discriminazioni sulla base delle informazioni di cui dispongonoaltre persone. Per lo sviluppo del commercio elettronico (e-commerce) Ćindispensabile che i consumatori si sentano sicuri che non venga fatto un uso improprio dei dettagli personali che essi forniscono nel corso delle lorooperazioni. Le attivitł delle imprese e la cooperazione tra le amministrazioniin tutta la Comunitł hanno luogo senza che esse debbano temere che le loroattivitł internazionali siano perturbate a causa della mancata protezione,all'origine o alla destinazione, dei dati personali che esse devono scambiarsi.

La Commissione continuerła controllare l'applicazione della direttiva, collaborando con gli operatoridel settore per ridurre ulteriormente le divergenze nazionali, e ad esaminarela necessitł di una legislazione settoriale specifica per applicare i principidella protezione dei dati alle nuove tecnologie e per soddisfare le esigenzedi sicurezza dei cittadini.

 

1. IL PASSATO: OBIETTIVICONSEGUITI NELL'AMBITO DEL PROGRAMMADI LAVORO

Dopo la pubblicazionedella relazione, sono state volte attivitł nei seguenti 10 settori di azione4.

Azione 1: Dibattito congli Stati membri e le autoritł responsabili della protezione dei

dati

La Commissione ha portatoavanti un "dialogo strutturato" con gli Stati membri sul recepimentonazionale. In tale dialogo rientrano un esame dettagliato delle legislazioni nazionali in materia e il dibattito con le autoritł nazionali al fine diallineare completamente la legislazione nazionale con quanto previsto dalladirettiva.

Azione 2:Partecipazione dei paesi candidati allo sforzo per giungere a una migliore e piŁ uniforme applicazione della direttiva

I rappresentanti di taliStati membri hanno partecipato prima dell'adesione alle riunioni del comitatodei rappresentanti degli Stati membri istituito dall'articolo 31 delladirettiva, come gił avevano fatto, a partire dal 2002, con il "gruppo dilavoro articolo 29"5. Nel frattempo, la Commissione hacollaborato strettamente con le autoritł di tali paesi al processo di adozione della legislazione nazionale in materia, offrendo la propria consulenza per ilrecepimento dell'acquis onde limitare al massimo la necessitł di ricorrere aprocedure formali d'infrazione.

Azione 3: Miglioramentodella notificazione di tutti gli atti giuridici che recepiscono la direttiva e delle notificazioni dellaautorizzazioni concesse ai sensi dell'articolo 26, paragrafo 2 della direttiva.

Il dialogo strutturatorealizzato nell'ambito dell'Azione 1 ha fornito alla Commissione un

quadro piŁ chiaro eglobale delle misure nazionali di applicazione della direttiva, compreso il diritto derivato e settoriale. In una lettera inviata agli Stati membrinell'agosto 2003, la Commissione ha proposto criteri comuni per un trattamentopragmatico delle notificazioni ai sensi dell'articolo 26, paragrafo 3 delladirettiva. Ciś ha portato ad un aumento delle notificazioni da parte di alcuniStati membri. Lo scambio di migliori pratiche e di conoscenze tra le autoritłnazionali Ć migliorato a seguito della pubblicazione sul sito Internet della Commissione di una selezione dei documenti fondamentali relativi alle politichenazionali, delle decisioni e delle raccomandazioni.

Azione 4: Esecuzione

Nella dichiarazionesull'applicazione della direttiva, il gruppo di lavoro ha fatto proprio il principio di azioni nazionali sincroniche da realizzare a livello dellŇUE perlŇapplicazione della direttiva e ha definito dei criteri per individuare i settoriin cui si rendono necessarie delle indagini. Nel marzo 2006 le autoritłnazionali responsabili per la protezione dei dati hanno promosso un'indaginecomune sul trattamento dei dati personali nel settore delle assicurazioniprivate di malattia.

Azione 5: Notificazionee pubblicizzazione delle operazioni di trattamento

Il gruppo di lavoro hastilato una redazione su questo argomento, illustrando le attuali situazioninazionali e formulando raccomandazioni analoghe a quelle della Commissione. A ciś ha fatto seguito un "Vademecum sui requisiti dellenotificazioni", ideato al fine di offrire un quadro complessivo dellediverse norme nazionali nonchÄ di fornire pratiche e orientamenti airesponsabili del trattamento dei dati.

Azione 6: DisposizionipiŁ armonizzate in materia di informazioni

Oltre all'analisi dellelegislazioni nazionali che la Commissione ha effettuato nell'ambito del dialogo strutturato, il gruppo di lavoro ha riconosciuto la necessitł diun'armonizzazione e ha studiato un approccio comune per soluzioni pragmatiche.Ha provveduto a degli orientamenti per i responsabili del trattamento su casispecifici, sul contenuto e la forma delle informazioni e sui modelli diavvertenze sulla protezione della vita privata a diversi livelli o di avvisi relativi al trasferimento di dati PNR.

Azione 7:Semplificazione dei requisiti per i trasferimenti internazionali

a) un uso piŁ estesodei riscontri relativi a un livello adeguato di protezione dei dati nei paesi terzi ai sensi dell'articolo 25, paragrafo6

Dopo la pubblicazione delprogramma di lavoro, la Commissione ha effettuato una serie di riscontrirelativi al livello adeguato della protezione dei dati nei paesi terzi ed Ćgiunta alla conclusione che l'Argentina, il Guernsey e l'isola di Mangarantiscono un livello adeguato di protezione.

La Commissione ha inoltreriesaminato il funzionamento delle decisioni relative a tale adeguatezzaadottate precedentemente. Nel 2004 Ć stata presentata una relazione dei servizi della Commissione sul funzionamento della sfera di sicurezza (Safe Harbour),cui hanno fatto seguito una nota d'informazione e un modulo per lapresentazione delle denunce alla commissione responsabile della protezione deidati. A ciś ha fatto seguito una conferenza di ampia portata sui trasferimentiinternazionali di dati personali, organizzata nell'ottobre 2006 insieme con ilgruppo di lavoro e il Ministero del Commercio degli Stati Uniti. E' statainoltre valutata l'applicazione dei riscontri relativi all'adeguatezza inSvizzera e in Canada.

b) altre decisioniprese sulla base dell'articolo 26, paragrafo 4, al fine di offrire agli operatori economici una scelta piŁ ampia diclausole contrattuali tipo.

La Commissione ha adottatouna decisione in cui riconosce una serie supplementare di clausolecontrattuali per fornire garanzie adeguate per il trasferimento di dati airesponsabili del trattamento nei paesi terzi. Tali clausole sono stateproposte da un gruppo di associazioni professionali rappresentative, tra cui laCamera di Commercio. Nel 2006 i servizi della Commissione hanno anchepresentato una prima relazione sull'attuazione delle decisioni precedentidella Commissione in materia di clausole contrattuali.

c) il ruolo svoltodalle norme vincolanti d'impresa nel fornire garanzie adeguate per il trasferimento intra-gruppi di dati personali

Dopo i lavori preparatoridel 2003 e 2004, il gruppo di lavoro ha adottato due documenti di primariaimportanza. Il primo istituisce una procedura di cooperazione tra le autoritłnazionali responsabili del controllo al fine di emettere pareri comuni sullegaranzie sufficienti offerte dalle "norme vincolanti d'impresa".L'altro istituisce un modello di lista di controllo di cui devono servirsi iresponsabili del trattamento dei dati quando presentano una domanda di approvazione di tali norme al fine di far constatare che esse offrono garanziesufficienti.

d) un'interpretazionepiŁ uniforme dell'articolo 26, paragrafo 1 della direttiva

Il gruppo di lavoro haadottato un parere che stabilisce una serie di orientamenti sul ricorso allederoghe al principio di protezione adeguata nei paesi terzi.

Azione 8: Promozionedelle tecnologie per aumentare la tutela della vita privata

Le attivitł condotte nel2003 e nel 2004 dalla Commissione e dal gruppo di lavoro hanno portato aprogettare una comunicazione relativa alle tecnologie per aumentare la tuteladella vita privata in cui la Commissione delinea la propria politica futura inmateria.

Azione 9: Promozionedell'autoregolamentazione e dei codici di condotta europei

Il gruppo di lavoro haapprovato il codice di condotta europeo della Federazione del marketingdiretto europeo (FEDMA) e ciś ha rappresentato un passo di importanza fondamentale. Purtroppo, altri tentativi non hanno portato a codici di condottaanaloghi con criteri di qualitł comparabili. Neanche le parti sociali europee,dal canto loro, sono riuscite a concludere un accordo europeo sulla protezionedei dati personali nel contesto dell'occupazione, nonostante i progressiprecedentemente conseguiti.

Azione 10:Sensibilizzazione

E' stata realizzataun'indagine Eurobarometro per sondare le opinioni dei cittadini e delle imprese europee sulla privacy. I risultati indicano che i cittadini siinteressano al problema, ma non sono sufficientemente al corrente delle normee dei meccanismi esistenti per tutelare i loro diritti.

 

2. IL PRESENTE: PANORAMICASULL'ATTUAZIONE DELLA DIRETTIVA

Miglioramentodell'attuazione

Attualmente, tutti gliStati membri hanno recepito la direttiva. Nel complesso, il recepimento nazionale copre tutte le disposizioni principali della direttiva.

Le azioni realizzatenell'ambito del programma di lavoro sono state positive e hanno contribuito inmaniera sostanziale al miglioramento dell'attuazione della direttiva nella Comunitł. Un'importanza di primo piano ha avuto la partecipazione delleautoritł nazionali di controllo responsabili della protezione dei dati alleattivitł del gruppo di lavoro.

In alcuni paesi non siĆ ancora proceduto ad un'attuazione corretta della direttiva

A seguito dei lavori perla preparazione della prima relazione della Commissione nel 2003, lŇanalisiapprofondita, realizzata nell'ambito del dialogo strutturato, dellalegislazione nazionale in materia di protezione dei dati ha chiarito il modoin cui la direttiva Ć stata recepita nella Comunitł. L'analisi Ć servita achiarire alcune questioni giuridiche e alcuni dubbi sulla coerenza di talunemisure e pratiche nazionali con le disposizioni della direttiva. Inoltre, ildialogo strutturato ha mostrato che alcuni Stati membri non sono riusciti ainglobare una serie di importanti disposizioni della direttiva. In altri casi,il recepimento o la pratica si erano allontanati dalla direttiva o eranoandati al di lł del margine di manovra lasciato agli Stati membri.

Una delle preoccupazioni Ćil rispetto del criterio che prevede che le autoritł nazionali di controlloresponsabili della protezione dei dati possano agire in piena indipendenza e dispongano dei poteri e delle risorse necessari per svolgere i propri compiti.Tali autoritł sono elementi fondamentali nel sistema di protezione ideatodalla direttiva e qualsiasi tentativo di minare la loro indipendenza e i loropoteri ha un impatto estremamente negativo sull'applicazione dellalegislazione in materia di protezione dei dati.

Al fine di garantire unapproccio coerente, la Commissione sta realizzando un'analisi comparativa ditutti i casi in cui si sospetta che vi sia stato un recepimento errato o incompleto. Alcuni Stati membri hanno riconosciuto l'esistenza delle lorolacune legislative e si sono impegnati ad introdurre le necessarie modifiche,come la Commissione incoraggia a fare. Altri punti problematici sono statisollevati nelle denunce dei cittadini. Ove persista una violazione del dirittocomunitario, la Commissione, in qualitł di custode dei trattati, avvierł le procedure formali d'infrazione nei confronti degli Stati membri interessati,conformemente all'articolo 226 CE. Un certo numero di tali procedure Ć giłstato avviato.

In alcuni casi ledivergenze sorgono nell'ambito del margine di manovra lasciato dalla direttiva

La direttiva contiene unaserie di disposizioni formulate in maniera vaga che lasciano, esplicitamente oimplicitamente, agli Stati membri un margine di manovra nell'adozione della legislazione nazionale. Nei limiti di tale margine di manovra, possonoverificarsi divergenze nell'applicazione della direttiva6. Ledivergenze in questo settore non sono maggiori di quelle che si riscontrano inaltri settori di attivitł economica e sono una conseguenza naturale di tale margine.

Tali divergenze,tuttavia, non rappresentano un problema effettivo per il mercato interno

La Commissione hacommissionato uno studio per realizzare una "Valutazione economica delladirettiva sulla protezione dei dati (95/46/CE)"7 al fine dicalcolare l'impatto economico sui responsabili del trattamento dati. Lostudio, che Ć incentrato su una serie di casi scelti, dimostra che, nonostantealcune divergenze, la direttiva Ć stata attuata con costi moderati per leimprese.

Sarebbe indubbiamenteauspicabile un maggiore livello di convergenza al fine di promuovere iniziative positive come la semplificazione, l'autoregolamentazione o l'uso dinorme vincolanti d'impresa. Tuttavia, nelle denunce ricevute dallaCommissione, non c'Ć nulla che dimostri che le divergenze nazionali nei limitidella direttiva possano effettivamente ostacolare il buon funzionamento delmercato interno o limitare la libera circolazione dei dati per motivi legatialla mancanza di protezione o a una protezione inadeguata nel paese di origineo di destinazione. Inoltre, le limitazioni all'interno del paese in cui hannosede le loro imprese non falsano la concorrenza tra gli operatori privati. Ledivergenze nazionali non impediscono alle imprese di operare o di stabilirsiin Stati membri diversi e non mettono in questione l'impegno dell'Unioneeuropea e dei suoi Stati membri per la tutela dei diritti fondamentali.

Pertanto, la direttivaconsegue il proprio obiettivo di garantire la libera circolazione dei dati personali nel mercato interno assicurando, al contempo, un alto livello diprotezione nella Comunitł.

Le norme in sÄ sonosostanzialmente adeguate

Il problema Ć quindi dicapire se le soluzioni giuridiche fornite dalla direttiva, oltre a conseguirel'armonizzazione, siano anche adeguate a risolvere i problemi in esame.

Alcune disposizioni sonostate, infatti, criticate; si Ć detto che la notificazione impone degli oneri,ma essa Ć di considerevole importanza come misura di trasparenza per le personecui si riferiscono i dati. La notificazione serve a sensibilizzare iresponsabili del trattamento dei dati e funge da strumento di controllo per leautoritł. Alcuni problemi sorgono a causa di Internet e delle nuovepossibilitł - per le persone cui si riferiscono i dati - di interagire e diaccedere ai servizi forniti nei paesi terzi. Sono problemi che riguardano lenorme per la determinazione del diritto nazionale applicabile o itrasferimenti di dati ai paesi terzi, problemi cui la giurisprudenza harisposto solo in parte8. I sistemi RFID (Radio FrequencyIDentification) sollevano problemi per quanto riguarda la portata delle normeper la protezione dei dati e il concetto di dati personali. La combinazione didati sonori e visivi con il riconoscimento automatico impone una particolarecautela nell'applicazione dei principi della direttiva.

Un analogo dibattito si Ćsvolto nel Consiglio d'Europa sulla rilevanza nel mondo di oggi dei principicontenuti nella convenzione 108. In generale, tutti concordano sul fatto chetali principi restano validi e forniscono soluzioni soddisfacenti.

L'adattamentoall'evoluzione tecnologica

La Commissione ritiene chela direttiva sia neutra nei confronti della tecnologia, che i suoi principi ele sue disposizioni siano sufficientemente generali e che le sue norme possano continuare ad applicarsi bene alle nuove tecnologie e situazioni. Puś,tuttavia, essere necessario tradurre tali norme generali in orientamenti odisposizioni particolari per tener conto delle specificitł di tali tecnologie.

Pertanto, la direttiva2002/58/CE precisa ed integra la direttiva 95/46/CE per quanto riguarda iltrattamento dei dati personali nel settore della comunicazione elettronica,garantendo la libera circolazione di tali dati e delle apparecchiature e deiservizi di comunicazione elettronica all'interno della Comunitł. Le direttivaĆ attualmente in corso di riesame nell'ambito della revisione generale delquadro normativo per le comunicazioni elettroniche.

Il gruppo di lavoro si Ćimpegnato molto sul fronte dei problemi tecnologici, come le comunicazioniindesiderate ("spam"), i filtri di posta elettronica e il trattamentodei dati relativi al traffico per la fatturazione o dei dati relativiall'ubicazione per i servizi a valore aggiunto. La tecnologia RFID Ć stataoggetto di una serie di seminari e di una consultazione pubblica dei servizidella Commissione per discutere i problemi sollevati in materia di privacy esicurezza.

Esame delle esigenzeimposte dall'interesse pubblico

Nella direttiva,l'equilibrio tra la promozione dei diritti e delle libertł fondamentali delle persone e le esigenze imposte dall'interesse pubblico Ć assicurato da due tipidi disposizioni.

Un tipo di disposizioniesclude una serie di elementi dalla portata della direttiva come l'articolo 3per quanto riguarda "la pubblica sicurezza, la difesa, la sicurezzadello Stato (compreso ilbenessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attivitłdello Stato in materia di diritto penale". La Corte di Giustizia ha precisato che il trattamento ai finidella salvaguardia della pubblica sicurezza e dell'applicazione della leggenon rientra nel campo di applicazione della direttiva9.

Vista la necessitł di unaserie armonizzata di norme sulla protezione dei dati nell'UE, la Commissioneha adottato una proposta sulla protezione dei dati personali trattatinellŇambito della cooperazione giudiziaria e di polizia in materia penale10a complemento della proposta sullo scambio di informazioni in virtŁ delprincipio di disponibilitł11. In tale settore, la UE ha concluso unaccordo internazionale con gli Stati Uniti sul trattamento e sul trasferimentodei dati del codice di prenotazione (Passenger Name Record, PNR) da parte deivettori aerei al dipartimento della Sicurezza interna degli Stati Uniti12

Un secondo tipo didisposizioni autorizza gli Stati membri a limitare i principi della protezionedei dati a determinate condizioni come prevede l'articolo 13 "qualoratale restrizione costituisca unamisura necessaria alla salvaguardia". Tali restrizioni possono tener conto, ad esempio, della necessitł dicombattere la criminalitł o di proteggere la salute pubblica nelle situazionidi emergenza. Altre disposizioni della direttiva prevedono analoghe deroghelimitate. La Corte di Giustizia ha chiarito che i dati originariamente raccolti"a fini commerciali" possono essere utilizzati successivamente adaltri fini di interesse pubblico solo nel rispetto delle condizioni stabiliteda tale articolo. Inoltre, i limiti imposti al legislatore nazionale sonoequivalenti a quelli stabiliti dall'articolo 8 della convenzione dei diritti dell'uomo e la giurisprudenza della Corte europea dei diritti dell'uomo Ć diprimaria importanza. 13 Tale meccanismo, che permette a uno Statomembro di valutare che cosa costituisca ăuna misura necessaria╚ e ăun interesse pubblico importante╚, Ć, per sua natura, una fonte di discrepanze trale legislazioni nazionali.

L'armonizzazione di talirestrizioni Ć stata realizzata solo in un numero limitato di settori. Un esempio recente Ć costituito dalla direttiva 2006/24/CE14 sullaconservazione dei dati in occasione della quale la Commissione ha annunciato la decisione di costituireun gruppo di esperti, al fine di discutere difficoltł come il recepimentodella direttiva nel diritto nazionale.

Creare il contesto perun maggiore rispetto di un diritto cosô fondamentale

La Commissione si Ćimpegnata a rispettare la carta dei diritti fondamentali in tutte le sue proposte. Per quanto riguarda il diritto alla protezione dei dati personali dicui all'articolo 8, la direttiva istituisce una norma di alto livello e serveda punto di riferimento per garantire la coerenza con il rispetto dellaprivacy nella legislazione di tutta la Comunitł in diversi settori.

 

3. IL FUTURO: LA VIA DAPERCORRERE

Tenendo conto di questasituazione, la Commissione intende portare avanti una politica caratterizzatadagli elementi che seguono.

La ratifica deltrattato costituzionale puś aprire nuove prospettive

Il trattato costituzionaleavrebbe un enorme impatto in questo campo. Esso sancirebbe, all'articoloII-68, il diritto alla protezione dei dati a carattere personale previstoall'articolo 8 della carta dei diritti fondamentali. Inoltre, creerebbe, conl'articolo I-51, una base giuridica specifica e autonoma che permetterebbeallŇUnione di legiferare in materia e aprirebbe la via allŇadozione distrumenti applicabili in tutti i settori. L'attuale divisione in"pilastri" e le limitazioni dell'articolo 3 della direttiva non esisterebberopiŁ. Tuttavia, in attesa che la situazione per quanto riguarda il processo diratifica del trattato costituzionale diventi piŁ chiara, la Commissione hasottolineato la necessitł di procedure piŁ efficaci nel settore della libertł,sicurezza e giustizia, conformemente a quanto previsto nei trattati attuali15.

La direttiva non deveessere modificata

Per tali motivi, laCommissione ritiene che la direttiva sulla protezione dei dati costituisca una base giuridica generale che soddisfa gli obiettivi originari dal momento checostituisce una garanzia sufficiente per il funzionamento del mercato internopur assicurando un livello elevato di protezione. La direttiva crea ilcontesto per il diritto fondamentale alla protezione dei dati personali; ilrispetto delle sue norme dovrebbe rassicurare le persone sul modo in cui sonoutilizzate le informazioni che le riguardano, condizione fondamentale per losviluppo dell'economia elettronica (e-economy). Inoltre, essa costituisce unpunto di riferimento per le iniziative in una serie di settori d'azione; Ćneutra nei confronti della tecnologia e continua a fornire risposte solide edadeguate ai problemi di questo tipo.

Pertanto, la Commissionenon prevede di presentare alcuna proposta legislativa per modificare ladirettiva.

La Commissione vigilerłsulla corretta applicazione delle proprie disposizioni a livello nazionale ed internazionale

Alcune incoerenze nellalegislazione nazionale derivano da un recepimento scorretto o incompleto delledisposizioni della direttiva. Sulla base delle informazioni raccolte neldialogo strutturato con gli Stati membri, e dei dati ricavati dalle denunce deicittadini, la Commissione continuerł a collaborare con gli Stati membri e, oveopportuno, avvierł delle procedure formali d'infrazione al fine di garantireche vi sia una piattaforma comune per tutti gli Stati membri.

Inoltre, la Commissioneincita gli Stati membri a garantire un'adeguata attuazione delle leggi nazionali adottate conformemente a quanto stabilito dalla direttiva. Al tempostesso, continuerł a monitorare gli sviluppi conseguiti da organizzazioniinternazionali come il Consiglio d'Europa, l'OCSE e l'ONU e a contribuirvi, alfine di garantire la coerenza dell'impegno degli Stati membri con gli obblighiloro imposti dalla direttiva.

La Commissionepreparerł una comunicazione interpretativa per talune disposizioni

I problemi individuatinell'attuazione di alcune particolari disposizioni della direttiva che possonoportare all'avvio di procedure formali d'infrazione rispecchiano il significatoche la Commissione dł alle disposizioni della direttiva e al modo corretto diapplicarle, tenendo conto della giurisprudenza e del lavoro interpretativosvolto dal gruppo di lavoro. Tali idee saranno illustrate in una comunicazioneinterpretativa.

La Commissione esortatutte le parti in causa a cercare di ridurre le divergenze nazionali

A tal fine verrannorealizzate diverse attivitł.

– Il programma dilavoro continuerł

Le misure definite nel2003 per migliorare l'applicazione della direttiva erano adeguate all'epoca econtinuano ad esserlo.

Le attivitł elencate nelprogramma di lavoro continueranno ad essere portate avanti e la partecipazionedi tutti gli operatori del settore Ć una solida base per cercare di meglioattuare i principi della direttiva.

– Il gruppo dilavoro deve contribuire in modo piŁ attivo all'armonizzazione

Il gruppo di lavoro, cheriunisce le autoritł nazionali responsabili del controllo della protezione deidati, Ć un elemento chiave per garantire un'attuazione migliore e piŁ coerente.

Pertanto, il gruppo ha ilcompito di "esaminare ogni questione attinente all'applicazione delle norme nazionali di attuazione della direttiva percontribuire alla loro applicazione omogenea". Il gruppo ha gił svolto un utile lavoro nelcercare di uniformare l'applicazione nazionale di disposizioni chiave, comequella sulla circolazione transfrontaliera di dati o sul concetto di datipersonali.

Al fine di cogliere imassimi benefici da tale mandato, le autoritł responsabili della protezione dei dati devono anche cercare di adattare le pratiche nazionali alla lineacomune stabilita dal gruppo di lavoro.

Raccogliere la sfidadelle nuove tecnologie

I principi contenuti nelladirettiva restano validi e non devono essere modificati. Tuttavia, i grandisviluppi delle nuove tecnologie dell'informazione e della comunicazionerichiedono orientamenti specifici sulle modalitł di applicazione di taliprincipi nella pratica. Tecnologie sempre piŁ sofisticate permettono alleinformazioni di circolare rapidamente per il mondo, ma permettono anche unamigliore protezione dei dati, ove necessario, dal momento che rendono piŁfacile il controllo e la ricerca dei dati: i dati rilevanti possono essereindividuati in maniera piŁ rapida ed agevole. Nei casi in cui non sia stataautorizzata la trasmissione di dati, le tecnologie permettono di isolare idati in questione e di proteggerli in maniera piŁ rapida ed efficace delpassato.

Il gruppo di lavoro ha un ruolofondamentale da svolgere. Deve proseguire le attivitł realizzate nell'ambitodella task force Internet e continuare ad elaborare un approccio comune per leautoritł nazionali responsabili del controllo della protezione dei dati al finedi armonizzare l'applicazione della legislazione nazionale, segnatamente perquanto riguarda il diritto applicabile e la circolazione transfrontaliera deidati.

Quando una determinatatecnologia pone regolarmente dei problemi per quanto riguarda il rispetto deiprincipi relativi alla protezione dei dati e la sua vasta utilizzazione opotenziale invasivitł potrebbero giustificare misure piŁ severe, laCommissione potrebbe proporre una legislazione settoriale specifica a livellodellŇUE al fine di applicare tali principi alle esigenze specifiche dellatecnologia in questione. Tale approccio Ć stato assunto dalla direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vitaprivata nel settore delle comunicazioni elettroniche.

LŇesame in corso di taledirettiva e la comunicazione sulla RFID di cui sopra offrono l'occasione perriflettere sulla necessitł di modificare la direttiva o di adottare norme specifiche che permettano di risolvere i problemi di protezione dei datisollevati da tecnologie come Internet o la RFID.

Dare una rispostacoerente alle esigenze di interesse pubblico, specialmente in materia di sicurezza

Dobbiamo riconciliare dueesigenze fondamentali: l'esigenza di fronteggiare efficacemente le minaccealla vita quotidiana dei cittadini in Europa, specialmente in materia disicurezza, e, al tempo stesso, quella di tutelare i diritti fondamentali, tracui quello alla protezione dei dati. I dati raccolti sugli individui sono didimensioni considerevoli e sono molte le attivitł in cui rimangono e vengonoconservate tracce di dati personali. Tali dati possono essere utilizzati permotivi diversi da quelli per i quali sono stati originariamente raccolti soloprevia autorizzazione. Si tratta di misure che devono essere giustificate eche si rendono necessarie in una societł democratica per motivi di interessepubblico, per esempio per combattere il terrorismo e la criminalitłorganizzata.

Per far sô che vi siaequilibrio tra le misure per garantire la sicurezza e le misure per la protezione dei diritti fondamentali che non possono essere messi indiscussione, la Commissione si adopera per assicurare la protezione dei datipersonali sancita dall'articolo 8 della carta dei diritti fondamentali. L'UEcollabora anche con partner esterni. Ciś Ć fondamentale in un mondoglobalizzato. In particolare, l'UE e gli USA danno vita ad un dialogotransatlantico ininterrotto per discutere sulla diffusione delle informazioni ela protezione dei dati personali ai fini dell'applicazione della legge.

LaCommissione riesaminerł lŇapplicazione della direttiva quando saranno portate a compimento le misure illustrate nella presente comunicazione.

 

NOTE                                      

1 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,relativa alla tutela delle persone fisiche con riguardo al trattamento deidati personali, nonchÄ alla libera circolazione di tali dati, GU L 281 del23.11.1995, pag. 31, in appresso "la direttiva".

2 ETS n.108; in appresso "la convenzione 108".

3 Primarelazione sull'applicazione della direttiva sulla tutela dei dati (95/46/CE),(COM(2003) 265 def., del 15.5.2003).

4 Laprima relazione della Commissione e gli altri documenti accessibili al pubblicoadottati nell'ambito del programma di lavoro di cui sopra sono consultabili su:

http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_en.htm.

5 Ilgruppo di lavoro sulla tutela delle persone fisiche con riguardo al trattamentodei dati personali istituito dall'articolo 29 della direttiva (in appresso"il gruppo di lavoro").

6 Considerando 9 della direttiva.

7 http://ec.europa.eu/justice_home/fsj/privacy/docs/studies/economic_evaluation_en.pdf

8 CausaC-101/01 ("Lindqvist"), sentenza del 6 novembre 2003

9 Causecongiunte C-317/04 e C-318/04 ("PNR"), sentenza del 30 maggio 2006.

10 COM(2005) 475 def. del 4.10.2005.

11 COM(2005) 490 def. del 12.10.2005.

12 GU L298 del 27.10.2006, pag. 29.

13 Causecongiunte C-465/00, C-138/01 ed C-139/01 ("Rechnungshof"), sentenzadel 20 maggio 2003.

14 GU L105 del 13.4.2006, pag. 54.

15 COM(2006)331 def. del 28.6.2006.