COMMISSIONE DELLE COMUNITË EUROPEE

 

Decisione della Commissione, del 12 dicembre 2007, relativa alla protezione dei dati personali nellĠambito del sistema di informazione del mercato interno (IMI) (2008/49/CE)

[notificata con il numero C(2007) 6306]

(Testo rilevante ai fini del SEE 
-Pubblicata sulla GUU n. L 013 del 16/01/2008)

 

LA COMMISSIONE DELLE COMUNITË EUROPEE,

visto il trattato che istituisce la Comunitˆ europea,

vista la decisione 2004/387/CE del Parlamento europeoe del Consiglio, del 21 aprile 2004, relativa allĠerogazione interoperabile diservizi paneuropei di governo elettronico alle amministrazioni pubbliche, alleimprese e ai cittadini (IDABC) [1], in particolare lĠarticolo 4,

considerando quanto segue:

(1) Il 17 marzo 2006 i rappresentanti degli Statimembri in seno al comitato consultivo per il coordinamento nel campo delmercato interno [2] hanno approvato il piano globale di attuazionedel sistema di informazione del mercato interno (di seguito "IMI"), eil relativo sviluppo, volto a migliorare la comunicazione tra leamministrazioni degli Stati membri.

(2) Con la decisione COM/2006/3606, del 14 agosto2006, sulla terza revisione del programma di lavoro IDABC 2005-2009, laCommissione ha deciso di finanziare e di istituire il sistema di informazionedel mercato interno come progetto di interesse comune.

(3) Con la decisione COM/2007/3514 della Commissione,del 25 luglio 2007, relativa alla quarta revisione del programma di lavoroIDABC,  stato accordato un ulteriore finanziamento a favore del progetto.

(4) LĠIMI mira ad agevolare lĠapplicazione degli attilegislativi relativi al mercato interno che richiedono lo scambio diinformazioni tra le amministrazioni degli Stati membri, in particolare ladirettiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre2006, relativa ai servizi nel mercato interno [3] e la direttiva2005/36/CE del Parlamento europeo e del Consiglio, del 7 settembre 2005,relativa al riconoscimento delle qualifiche professionali [4].

(5) PoichŽ nellĠambito dellĠIMI deve essere garantitala protezione dei dati personali,  necessario completare in tal senso ladecisione che ha istituito lĠIMI. Dato che i vari compiti e funzioni dellaCommissione e degli Stati membri nel quadro dellĠIMI implicano responsabilitˆ eobblighi diversi in materia di norme sulla protezione dei dati,  necessariodefinire le funzioni, le responsabilitˆ e i diritti di accesso rispettivi.

(6) Nel suo parere relativo alla protezione dei datinellĠambito del sistema di informazione del mercato interno (IMI) [5],il gruppo per la tutela delle persone con riguardo al trattamento dei datipersonali istituito dallĠarticolo 29 della direttiva 95/46/CE chiedeespressamente lĠadozione di una decisione della Commissione che fissi i dirittie gli obblighi dei partecipanti allĠIMI.

(7) Lo scambio di informazioni con mezzi elettronicitra gli Stati membri deve avvenire nel rispetto delle norme di protezione deidati personali di cui alla direttiva 95/46/CE del Parlamento europeo e delConsiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche conriguardo al trattamento dei dati personali, nonchŽ alla libera circolazione ditali dati [6] e al regolamento (CE) n. 45/2001 del Parlamentoeuropeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle personefisiche in relazione al trattamento dei dati personali da parte delleistituzioni e degli organismi comunitari, nonchŽ la libera circolazione di talidati [7].

(8) Per consentire verifiche tra le autoritˆcompetenti e tenendo conto delle situazioni in cui una persona interessatadesideri promuovere ricorso contro una decisione amministrativa negativaadottata sulla base di uno scambio di informazioni, occorre conservare per seimesi a decorrere dalla conclusione ufficiale dello scambio di informazioni tuttii dati personali scambiati tra autoritˆ competenti e trattati nellĠIMI. Altermine dei sei mesi tutti i dati personali devono essere cancellati. Unperiodo di conservazione di sei mesi  giudicato adeguato perchŽ corrispondealla durata delle procedure amministrative previste dalla normativa comunitariasulla base della quale le informazioni vengono scambiate,

HA ADOTTATO LA PRESENTE DECISIONE:

 

CAPO 1

DISPOSIZIONI GENERALI

 

Articolo 1

Oggetto

La presente decisione fissa le funzioni, i diritti egli obblighi dei partecipanti e degli utenti IMI di cui allĠarticolo 6 perquanto riguarda gli obblighi di protezione dei dati nel quadro del sistema diinformazione del mercato interno (di seguito "IMI").

Articolo 2

Qualitˆ dei dati

Le autoritˆ competenti degli Stati membri scambiano etrattano i dati personali unicamente ai fini previsti dagli atti comunitaripertinenti di cui allĠallegato (di seguito "atti comunitaripertinenti"), in base ai quali lo scambio di informazioni vieneeffettuato.

Le richieste di informazioni presentate dalleautoritˆ competenti di uno Stato membro a quelle di un altro Stato membro e lerelative risposte si basano sulle domande e sui campi di dati multilinguedefiniti e formulati ai fini dellĠIMI dalla Commissione in collaborazione congli Stati membri.

Articolo 3

Responsabili del trattamento

Le competenze dei responsabili del trattamento aisensi dallĠarticolo 2, lettera d), della direttiva 95/46/CE e dellĠarticolo 2,lettera d), del regolamento (CE) n. 45/2001 sono esercitate congiuntamente daipartecipanti IMI di cui allĠarticolo 6, conformemente alle rispettivecompetenze nellĠambito dellĠIMI.

I responsabili del trattamento provvedono affinchŽ lapersona interessata possa esercitare effettivamente i suoi diritti diinformazione, di accesso, di rettifica e di opposizione conformemente allanormativa applicabile in materia di protezione dei dati. I partecipanti IMIforniscono dichiarazioni di riservatezza in forma adeguata.

Articolo 4

Conservazione dei dati personali delle persone interessateoggetto dello scambio di informazioni

Tutti i dati personali delle persone interessateoggetto dello scambio di informazioni tra le autoritˆ competenti e trattatenellĠIMI sono cancellati sei mesi dopo la conclusione ufficiale dello scambiodi informazioni, o prima, se unĠautoritˆ competente ne fa espressamenterichiesta alla Commissione.

In caso di richiesta in tal senso, la Commissione vidˆ seguito entro 10 giorni lavorativi, previo accordo delle altre autoritˆcompetenti interessate.

Articolo 5

Conservazione dei dati personali degli utenti IMI

I dati personali degli utenti IMI, di cuiallĠarticolo 6, sono conservati nellĠIMI fintanto che gli interessati restanoutenti IMI e sono cancellati dallĠautoritˆ competente quando cessano di essereutenti.

I dati personali di cui al primo comma comprendono ilnome completo, lĠindirizzo di posta elettronica professionale e i numeri ditelefono e di telefax professionali degli utenti IMI.

 

CAPO 2

FUNZIONI E RESPONSABILITË RELATIVE ALLĠIMI

 

Articolo 6

Partecipanti e utenti IMI

1. I "partecipanti IMI" sono:

a) le autoritˆ competenti degli Stati membri ai sensidellĠarticolo 7;

b) i coordinatori ai sensi dellĠarticolo 8;

c) la Commissione.

2. Solo le persone fisiche che lavorano sotto ilcontrollo di unĠautoritˆ competente o di un coordinatore, di seguito denominate"utenti IMI", possono utilizzare lĠIMI ai sensi dellĠarticolo 9.

Articolo 7

Autoritˆ competenti

Le autoritˆ competenti assicurano lo scambio delleinformazioni richieste nellĠambito dellĠIMI, ai fini definiti nellĠattocomunitario pertinente sulla base del quale le informazioni vengono scambiate.

Articolo 8

Coordinatori IMI

1. Ogni Stato membro designa un coordinatorenazionale IMI per assicurare lĠattuazione dellĠIMI a livello nazionale.

Inoltre, in funzione della sua strutturaamministrativa interna, ogni Stato membro pu˜ designare uno o pi coordinatoridelegati IMI con compiti di coordinamento in un determinato settorelegislativo, una suddivisione amministrativa o una regione geografica.

2. La Commissione registra nellĠIMI i coordinatorinazionali IMI e accorda loro lĠaccesso allĠIMI.

3. Se uno Stato membro designa un coordinatoredelegato IMI conformemente al paragrafo 1, il coordinatore nazionale IMI loregistra nellĠIMI e gli accorda il relativo accesso.

4. I coordinatori registrano le autoritˆ competentiche chiedono lĠaccesso allĠIMI o ne autenticano la registrazione e vigilano sulfunzionamento efficiente del sistema. Essi accordano alle autoritˆ competentilĠaccesso ai settori legislativi di loro competenza.

5. Tutti i coordinatori possono agire in qualitˆ diautoritˆ competenti. In tal caso, il coordinatore dispone degli stessi dirittidi accesso di unĠautoritˆ competente.

Articolo 9

Profili degli utenti IMI

1. Gli utenti IMI possono avere uno o pi profili traquelli indicati di seguito: gestore della richiesta, assegnatore, supervisoredel rinvio e gestore locale di dati.

2. A ogni utente IMI viene attribuito un insiemedefinito di diritti di accesso legati al rispettivo profilo di utente ai sensidellĠarticolo 12.

3. Tutti gli utenti IMI possono effettuare ricerchesu una specifica autoritˆ competente.

4. Gli utenti IMI designati come gestori dellerichieste possono partecipare allo scambio di informazioni per conto dellarispettiva autoritˆ competente.

5. Gli utenti IMI designati come assegnatori diunĠautoritˆ competente possono assegnare una richiesta di informazioni ad uno opi gestori delle richieste nellĠambito della propria autoritˆ.

Gli utenti IMI designati come assegnatori di un coordinatorepossono assegnare una richiesta di informazioni ad uno o pi supervisori delrinvio nellĠambito della propria autoritˆ.

6. Gli utenti IMI di un coordinatore possono esseredesignati come supervisori del rinvio.

Essi possono autorizzare lĠinvio di richieste o dirisposte da parte di unĠautoritˆ competente, qualora una tale procedura diapprovazione sia resa obbligatoria dal coordinatore, e possono manifestare illoro accordo o disaccordo quando unĠautoritˆ competente richiedente non soddisfatta della risposta ricevuta.

7. Gli utenti IMI designati come gestori locali didati possono svolgere le funzioni seguenti:

a) aggiornamento dei dati personali degli utenti IMIdella propria autoritˆ;

b) registrazione di nuovi utenti della propriaautoritˆ;

c) modifica del profilo degli utenti della propriaautoritˆ.

Articolo 10

Commissione

1. La Commissione assicura la disponibilitˆ e lamanutenzione delle infrastrutture IT sulle quali lĠIMI sarˆ ospitato. Mette adisposizione un sistema multilingue operante in tutte le lingue ufficiali efornisce assistenza agli Stati membri nellĠuso dellĠIMI mediante un help deskcentrale.

2. La Commissione mette pubblicamente a disposizionele domande e i campi di dati di cui allĠarticolo 2, secondo comma.

3. La Commissione pu˜ partecipare allo scambio diinformazioni soltanto in casi specifici in cui lĠatto comunitario pertinenteprevede lo scambio di informazioni tra gli Stati membri e la Commissione.

4. Nei casi di cui al paragrafo 3, la Commissionedispone degli stessi diritti di accesso di unĠautoritˆ competente ai sensidellĠarticolo 12.

 

CAPO 3

DIRITTI DI ACCESSO AI DATI PERSONALI

 

Articolo 11

Persona interessata

Ai fini del presente capo, per "personainteressata" si intende unicamente la persona interessata oggetto di unoscambio di informazioni specifico e non include gli utenti IMI.

Articolo 12

Diritti di accesso degli utenti IMI

1. Nel quadro di uno scambio di informazioni, igestori della richiesta di unĠautoritˆ competente hanno accesso unicamente aidati personali riguardanti:

a) altri gestori della richiesta della stessaautoritˆ competente partecipanti allo scambio di informazioni;

b) il gestore della richiesta dellĠaltra autoritˆcompetente partecipante allo scambio di informazioni;

c) i supervisori del rinvio dei coordinatori che sioccupano dello scambio di informazioni;

d) le persone interessate oggetto dello scambio diinformazioni. I gestori della richiesta dellĠautoritˆ competente consultatahanno accesso ai dati personali delle persone interessate soltanto dopo che larichiesta  stata accettata dalla loro autoritˆ competente.

2. Gli assegnatori di unĠautoritˆ competente hannoaccesso unicamente ai dati personali riguardanti:

a) tutti i gestori delle richieste della stessaautoritˆ competente;

b) il gestore della richiesta dellĠaltra autoritˆcompetente partecipante allo scambio di informazioni;

c) i supervisori del rinvio dei coordinatori che sioccupano dello scambio di informazioni.

Essi non hanno accesso ai dati personali dellepersone interessate.

3. Gli assegnatori di un coordinatore hanno accessounicamente ai dati personali riguardanti:

a) tutti i supervisori del rinvio dello stessocoordinatore;

b) i gestori delle richieste delle autoritˆcompetenti partecipanti allo scambio di informazioni;

c) il supervisore del rinvio dellĠaltro coordinatoreche si occupa dello scambio di informazioni.

Essi non hanno accesso ai dati personali dellepersone interessate.

4. I supervisori del rinvio hanno accesso unicamenteai dati personali riguardanti:

a) i supervisori del rinvio dei coordinatoripartecipanti allo scambio di informazioni;

b) i gestori delle richieste delle autoritˆcompetenti partecipanti allo scambio di informazioni.

Essi non hanno accesso ai dati personali dellepersone interessate.

5. I gestori locali di dati di unĠautoritˆ competentehanno accesso unicamente ai dati personali di tutti gli utenti IMI della stessaautoritˆ competente.

Essi non hanno accesso ai dati personali dellepersone interessate.

6. I gestori locali di dati di un coordinatore hannoaccesso unicamente ai dati personali riguardanti:

a) tutti gli utenti IMI dello stesso coordinatore;

b) tutti i gestori locali di dati delle autoritˆcompetenti e dei coordinatori di cui essi sono il coordinatore.

Essi non hanno accesso ai dati personali dellepersone interessate.

7. I gestori locali di dati della Commissione hannoaccesso unicamente ai dati personali riguardanti:

a) tutti gli altri gestori locali della Commissione;

b) tutti i gestori locali di dati dei coordinatorinazionali IMI.

I gestori locali di dati della Commissione possonocancellare i dati personali delle persone interessate ai sensi dellĠarticolo 4,ma non possono consultarli.

 

CAPO 4

DISPOSIZIONE FINALE

 

Articolo 13

Destinatari

Gli Stati membri sono destinatari della presente decisione.

 

Fatto a Bruxelles, il 12 dicembre 2007.

Per la Commissione

Charlie McCreevy

Membro della Commissione

 

NOTE                                 

[1] GU L 144 del 30.4.2004 rettificanella GU L 181 del 18.5.2004, pag. 25.

[2] Istituito con la decisione93/72/CEE della Commissione (GU L 26 del 3.2.1993, pag. 18).

[3] GU L 376 del 27.12.2006, pag.36.

[4] GU L 255 del 30.9.2005, pag. 22.Direttiva modificata da ultimo dal regolamento (CE) n. 1430/2007 dellaCommissione (GU L 320 del 6.12.2007, pag. 3).

[5] Parere 01911/07/EN, WP 140.

[6] GU L 281 del 23.11.1995, pag.31. Direttiva modificata dal regolamento (CE) n. 1882/2003 (GU L 284 del31.10.2003, pag. 1).

[7] GU L 8 del 12.1.2001, pag. 1.

 

--------------------------------------------------

ALLEGATO

Atti comunitari pertinenti di cui allĠarticolo 2

Gli atti comunitari pertinenti di cui allĠarticolo 2,primo comma, sono:

1. direttiva 2005/36/CE del Parlamento europeo e delConsiglio, del 7 settembre 2005, relativa al riconoscimento delle qualificheprofessionali [1];

2. direttiva 2006/123/CE del Parlamento europeo e delConsiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno [2].

 

NOTE                                 

[1] GU L 255 del 30.9.2005, pag. 22.Direttiva modificata dalla direttiva 2006/100/CE del Consiglio (GU L 363 del20.12.2006, pag. 141).

[2] GU L 376 del 27.12.2006, pag.36.