COMMISSIONE EUROPEA

COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO,AL CONSIGLIO, AL COMITATO ECONOMICO E SOCIALE EUROPEO E AL COMITATODELLE REGIONI

Salvaguardarela privacy in un mondo interconnesso
Un quadro europeo della protezione dei dati per il XXI secolo

(COM2012-9final)

1.   La protezione dei dati personali nel mondo d'oggi

La rapida evoluzione tecnologica ela globalizzazione hanno profondamente trasformato le modalità con cui sonoraccolte, consultate, utilizzate e trasferite quantità sempre maggiori di datipersonali. Nuove forme di condivisione delle informazioni attraverso i socialnetwork e di conservazione a distanza di grandi volumi di dati sono entratenelle abitudini di molti dei 250 milioni di utenti Internet in Europa. Nelcontempo, i dati personali sono diventati una risorsa per molte imprese le cuiattività economiche spesso consistono in larga misura nella raccolta,aggregazione e analisi dei dati dei potenziali clienti[1].

Nel nuovo mondo digitale è dirittodi chiunque avere il controllo effettivo delle proprie informazioni personali.La protezione dei dati è un diritto fondamentale in Europa, sancitodall'articolo 8 della Carta dei diritti fondamentali dell'Unione europea edall'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea(TFUE) e, in quanto tale, deve essere tutelato.

La mancanza di fiducia frena iconsumatori dall'acquistare online e dall'utilizzare nuovi servizi. Garantireun livello elevato di protezione dei dati è pertanto essenziale per aumentarela fiducia dei consumatori nei servizi online e realizzare il potenzialedell'economia digitale, promuovendo cosĪ la crescita economica e lacompetitività delle industrie europee.

Perchè i dati possano circolareliberamente da uno Stato membro all'altro, l'Unione europea ha bisogno di normemoderne e coerenti, valide sul suo intero territorio, e le imprese hannobisogno di regole chiare e uniformi che garantiscano la certezza del diritto eriducano al minimo gli oneri amministrativi. ģ questa la premessa essenzialeperchè il mercato interno funzioni correttamente e possa conseguentementestimolare la crescita economica, creare occupazione e promuovere l'innovazione[2].Modernizzare le norme dell'UE in materia di protezione dei dati, perrafforzarne la dimensione di mercato interno, garantire alle persone fisicheun'elevata protezione dei dati personali e promuovere la certezza del diritto,la chiarezza e la coerenza nell'applicazione, rientra pertanto tra lecomponenti chiave del piano d'azione della Commissione per l'attuazione delprogramma di Stoccolma[3] e dell'Agenda digitale europea[4]e, più in generale, della strategia Europa 2020[5] dell'UE.

La direttiva dell'UE del 1995[6],il principale strumento legislativo per la protezione dei dati personali inEuropa, è stata una pietra miliare nella storia della protezione dei dati, icui obiettivi - assicurare il funzionamento del mercato unico e l'effettivaprotezione dei diritti e delle libertà fondamentali delle persone fisiche -rimangono tuttora validi. La direttiva risale tuttavia a 17 anni fa, un'epocain cui Internet era ancora in uno stadio iniziale di sviluppo. Nel nuovo,dinamico, ambiente digitale le norme attualmente in vigore non permettono ilgrado di armonizzazione richiesto nè hanno l'efficacia necessaria per garantireil diritto alla protezione dei dati di carattere personale. Per questo motivola Commissione europea intende proporre una riforma radicale del quadro dell'UEin materia di protezione dei dati.

Inoltre, il trattato di Lisbona haintrodotto, con l'articolo 16 del TFUE, una nuova base giuridica per unapproccio moderno e globale alla protezione dei dati e alla libera circolazionedei dati di carattere personale, che copre anche la cooperazione di polizia egiudiziaria in materia penale[7]. Tale approccio si evince anche dallecomunicazioni della Commissione europea relative al programma di Stoccolma e alpiano d'azione di Stoccolma[8], che sottolineano l'importanza perl'Unione di "introdurre un regime completo in materia di protezione dei datipersonali che ricomprenda tutte le competenze dell'Unione" e di "assicurarel'applicazione sistematica del diritto fondamentale alla protezione dei dati."

Per assicurare un processotrasparente di riforma del quadro dell'UE in materia di protezione dei dati, laCommissione ha avviato consultazioni pubbliche fin dal 2009[9] econdotto un dialogo approfondito con le parti interessate[10]. Il 4novembre 2010 la Commissione ha pubblicato la comunicazione "Un approccioglobale alla protezione dei dati personali nell'Unione europea"[11] cheesponeva i temi principali della riforma. Tra settembre e dicembre 2011 laCommissione ha inoltre preso parte ad un dialogo serrato con le autoritànazionali di protezione dei dati in Europa, da un lato, e con il garanteeuropeo della protezione dei dati, dall'altro, finalizzato ad esaminare leopzioni che garantissero un'applicazione più coerente delle norme dell'UE intutti gli Stati membri[12].

Tali discussioni hanno messochiaramente in evidenza che tanto i cittadini quanto le imprese desiderano chela Commissione europea proceda a una riforma completa delle norme dell'UE sullaprotezione dei dati. Dopo aver valutato le conseguenze delle diverse opzionistrategiche[13]la Commissione europea propone ora un quadro normativo solido e coerente,trasversale a tutte le politiche dell'Unione, che rafforza i diritti dellepersone fisiche, consolida la dimensione di mercato interno della protezionedei dati e riduce gli oneri amministrativi che gravano sulle imprese[14].La Commissione propone un nuovo quadro composto da:

   un regolamentoche sostituisce la direttiva 95/46/CE e istituisce un quadro europeo generalein materia di protezione dei dati[15];

   e una direttivache sostituisce la decisione quadro 2008/977/GAI[16] e stabilisce le normeapplicabili alla protezione dei dati personali trattati ai fini di prevenzione,indagine, accertamento o perseguimento dei reati e relative attivitàgiudiziarie.

La presente comunicazione illustragli elementi principali della riforma del quadro dell'UE per la protezione deidati.

2.   Dare alle persone il controllo dei propri dati personali

La direttiva 95/46/CE, il principaleatto legislativo in vigore nell'UE in materia di protezione dei dati, nonarmonizza sufficientemente in tutti gli Stati membri le modalità di eserciziodel diritto alla protezione dei dati da parte delle persone fisiche, nè lecompetenze conferite alle autorità nazionali di protezione dei dati sonosufficientemente armonizzate per garantire l'applicazione coerente ed efficacedelle norme. Ciò significa che nella pratica far valere tali diritti,soprattutto online, è più difficile in alcuni Stati membri rispetto ad altri.

Tali difficoltà sono accentuateanche dall'enorme quantità di dati raccolti quotidianamente e dal fatto chespesso gli utenti non sono del tutto consapevoli di tale raccolta. Benchè molticittadini europei ritengano che la divulgazione dei dati personali facciasempre più parte della vita moderna[17], il 72% degli internauti europei siinquieta per i troppi dati personali richiesti online[18]. A ciòsi aggiunga che gli utenti hanno l'impressione di non aver alcun controllo deipropri dati, non sono adeguatamente informati della sorte riservata alleinformazioni personali, dell'identità dei destinatari e della finalità dellatrasmissione e spesso ignorano le modalità per esercitare i loro dirittionline.

"Diritto all'oblio"

Uno studente europeo membro di un social network decidedi chiedere l'accesso a tutti i dati personali che lo riguardano e che la reteha conservato. Si accorge in quella occasione che i dati raccolti dalla retesono molti di più di quanto pensasse e che sono tuttora conservati datipersonali che riteneva fossero stati rimossi.

La riforma delle norme dell'UE di protezione dei datigarantirà che ciò non si verifichi più, grazie all'introduzione dei seguentiobblighi:

- i servizi di socializzazione in rete (e tutti glialtri responsabili del trattamento) sono espressamente tenuti a ridurre alminimo il volume dei dati personali degli utenti che raccolgono e sottopongonoa trattamento;

- i sistemi devono essere configurati con impostazioniprestabilite che garantiscano che i dati non siano resi pubblici;

- i responsabili del trattamento sono espressamentetenuti a cancellare i dati di chi ne faccia esplicita richiesta, in assenza dialtri motivi legittimi che ne giustifichino la conservazione.

Nella fattispecie sopra illustrata, la normativa proposta obbligherebbe ilprovider di social network a rimuovere immediatamente e completamente i datidello studente.

Come sottolineato nell'Agendadigitale europea, le preoccupazioni attinenti alla tutela della vita privatasono tra i motivi che più frequentemente frenano le persone dall'acquistarebeni e servizi online. Considerando il contributo che il settore delletecnologie dell'informazione e della comunicazione (TIC) apporta alla crescitaglobale della produttività in Europa – il 20% deriva direttamente dalleTIC e il 30% dagli investimenti nelle TIC[19] – la fiducia intali servizi è fondamentale per stimolare la crescita dell'economia dell'Unionee la competitività dell'industria europea.

Notificazioni delle violazioni didati

Dei pirati informatici hanno preso di mira un portaleche offre servizi di giochi online ad utenti nell'Unione. L'attacco era rivoltoalle banche dati contenenti informazioni personali (compresi nomi, indirizzied, eventualmente, estremi delle carte di credito) di decine di milioni diutenti in tutto il mondo. La società ha atteso una settimana prima dinotificare la violazione dei dati agli utenti interessati.

La riforma della normativa dell'Unione sulla protezionedei dati garantirà che ciò non si verifichi più. Le nuove norme obbligherannole imprese:

- a rafforzare le loro misure di sicurezza volte aprevenire e impedire violazioni di dati;

- a notificare senza ingiustificato ritardo leviolazioni di dati sia all'autorità nazionale di protezione dei dati (sepossibile, entro 24 ore dalla scoperta della violazione) sia agli interessati.

Le nuove proposte legislativepresentate dalla Commissione mirano a rafforzare i diritti delle personefisiche, dotandole di strumenti efficaci e operativi atti a garantire che sianopienamente informate su quanto accade ai dati che le riguardano e a permettereun più efficace esercizio dei loro diritti.

Perrafforzare il diritto delle persone fisiche alla protezione dei dati, laCommissione propone nuove norme intese a:

consentireloro di controllare meglio i dati che le riguardano:

-   prevedendoche, quando è richiesto, il consenso sia espresso in modo esplicito, cioèmanifestato mediante una dichiarazione o un'azione che richiede l'interventoattivo dell'interessato, e sia manifestato liberamente;

-   dotandogli utenti di Internet di un effettivo diritto all'oblio nell'ambiente online:ossia il diritto di far cancellare i dati che li riguardano quando revocano ilconsenso, in assenza di altri motivi legittimi che ne giustifichino laconservazione;

-   garantendoloro un facile accesso ai propri dati e un diritto alla portabilità deglistessi: ossia il diritto di ottenere dal responsabile del trattamento una copiadei dati conservati e di trasferirli da un prestatore di servizi a un altro,senza impedimenti;

-   rafforzandoil diritto di informazione, affinchè gli utenti siano pienamente consapevolidelle modalità di trattamento dei dati che li riguardano, specie se si trattadi minori.
migliorare i mezzi a disposizione delle persone fisiche per l'esercizio deipropri diritti:

-   rafforzandol'indipendenza e i poteri delle autorità nazionali di protezione dei dati, dimodo che siano adeguatamente attrezzate per dare efficace seguito ai reclami,compresi poteri di svolgere efficacemente indagini, adottare decisionivincolanti e imporre sanzioni efficaci e dissuasive;

-   migliorandoi mezzi di ricorso in sede amministrativa e giudiziaria in caso di violazionedei diritti relativi alla protezione dei dati; in particolare, le associazioniautorizzate potranno agire in giudizio per conto dell'interessato.

rafforzarela sicurezza dei dati:

-   incoraggiandol'utilizzo di tecnologie che rafforzano la privacy (tecnologie che proteggono la riservatezza delle informazioni riducendoal minimo la memorizzazione dei dati personali), e di impostazioni didefault orientate alla privacy e sistemi di certificazione della privacy;

-   introducendoun obbligo generale[20] che impone ai responsabili deltrattamento di notificare senza indugio le violazioni di dati alle autorità diprotezione dei dati (se possibile entro 24 ore) e agli interessati.

aumentarela rendicontazione di coloro che trattano dati, in particolare:

-   iresponsabili del trattamento saranno tenuti a designare un responsabile dellaprotezione dei dati nelle imprese con oltre 250 dipendenti e nelle imprese chepartecipano a trattamenti che, per loro natura, oggetto o finalità, presentanorischi specifici per i diritti e le libertà delle persone (trattamentirischiosi);

-   introducendoil principio di "protezione dei dati sin dalla progettazione" per far sĪ che legaranzie in materia di protezione dei dati siano incorporate già in fase diprogettazione nelle procedure e nei sistemi di trattamento;

-   leorganizzazioni che effettuano trattamenti a rischio saranno tenute a realizzarevalutazioni d'impatto sulla protezione dei dati.

3.   Norme in materia di protezione dei dati adatte al mercatointerno digitale

Benchè l'attuale direttiva siprefigga di garantire un livello equivalente di protezione dei dati in tuttal'Unione, tra i vari Stati membri persistono notevoli differenze quanto a normeapplicate. Di conseguenza, i responsabili del trattamento possono trovarsi difronte a 27 legislazioni e requisiti nazionali diversi all'interno dell'Unione.Ne risulta un quadro normativo frammentato, che genera incertezza giuridica eporta a una protezione diseguale delle persone fisiche. Tale situazione producecosti inutili e oneri amministrativi per le imprese e disincentiva le impreseche operano nel mercato interno dall'espandere le loro attività all'estero.

Le risorse e i poteri delle autoritànazionali di protezione dei dati variano sensibilmente da uno Stato membroall'altro[21]. In alcuni casi ciò significa chetali autorità non sono in grado di esercitare i compiti di controllo in modosoddisfacente. La cooperazione tra le autorità nazionali di protezione dei datia livello europeo – attraverso l'attuale gruppo consultivo (gruppo dilavoro "articolo 29")[22] – non garantisce sempreun'applicazione coerente della normativa e pertanto occorre migliorarla.

Applicazione coerente delle norme sulla protezione deidati in Europa

Una multinazionale con più stabilimenti nell'Unione hamesso in atto un sistema di mappatura elettronica in Europa che raccoglieimmagini di tutti gli edifici pubblici e privati, e può anche fotografare lepersone di passaggio sulla pubblica via. In uno Stato membro l'inclusione diimmagini non sfuocate di persone ignare di essere state fotografate èconsiderata illecita, mentre in altri Stati membri ciò non costituisceun'infrazione alla legislazione in materia di protezione dei dati. Diconseguenza le autorità nazionali di protezione dei dati non hanno potutoadottare una posizione coerente per risolvere il problema.

A seguito della riforma della normativa dell'Unionesulla protezione dei dati tale situazione non potrà più verificarsi in futuro,in quanto:

- i criteri e le garanzie di protezione dei datisaranno stabiliti da un regolamento dell'Unione direttamente applicabile intutto il territorio UE;

- solo l'autorità di protezione dei dati nello Statomembro in cui la società ha lo stabilimento principale sarà competente apronunciarsi sulla legittimità del comportamento;

- un coordinamento rapido ed efficace tra autoritànazionali di protezione dei dati - poichè il servizio è rivolto a personefisiche in diversi Stati membri – contribuirà a garantire che le nuovenorme dell'UE sulla protezione dei dati siano applicate e fatte rispettare inmodo uniforme in tutti gli Stati membri.

Per garantire la coerenteapplicazione e, in ultima analisi, l'applicazione uniforme delle norme in tuttal'Unione occorre rafforzare le autorità nazionali e intensificarne lacooperazione.

Un quadro normativo solido, chiaro euniforme a livello dell'Unione contribuirà a realizzare il potenziale delmercato interno digitale e a promuovere la crescita economica, l'innovazione ela creazione di posti di lavoro. L'adozione di un regolamento ovvierà allaframmentazione dei regimi giuridici di 27 Stati membri ed eliminerà gliostacoli all'ingresso nel mercato, condizione di particolare importanza per lemicro, piccole e medie imprese.

Grazie alle nuove regole le impreseeuropee godranno inoltre di un vantaggio nella concorrenza a livello mondiale.Nel nuovo quadro normativo potranno infatti offrire ai propri clienti lagaranzia che tratteranno con la debita cura e diligenza le loro importantiinformazioni personali. La fiducia in un regime normativo coerente, a livellodi UE, costituirà un elemento fondamentale per i prestatori di servizi e unincentivo per gli investitori alla costante ricerca di condizioni ottimali perl'ubicazione dei loro servizi.

Perrafforzare la dimensione di mercato interno della protezione dei dati, laCommissione propone di:

-   adottarenorme che disciplinano la protezione dei dati a livello dell'UE attraverso unregolamento direttamente applicabile in tutti gli Stati membri[23], chemetterà fine all'applicazione simultanea e cumulativa di diverse legislazioninazionali in materia. Le imprese realizzeranno in tal modo un risparmio nettodi circa 2,3 miliardi di euro l'anno soltanto in termini di minori oneriamministrativi;

-   semplificareil contesto normativo riducendo sensibilmente la burocrazia ed eliminandoformalità quali gli obblighi generali di notificazione, (con un risparmio nettoannuo di 130 milioni di euro solo in termini di minori oneri amministrativi).Data la loro importanza per la competitività dell'economia europea,un'attenzione particolare è rivolta alle esigenze specifiche delle micro,piccole e medie imprese;

-   accrescerel'indipendenza e i poteri delle autorità nazionali di protezione dei dati perconsentire loro di svolgere indagini, adottare decisioni vincolanti e imporresanzioni efficaci e dissuasive, e obbligare gli Stati membri a dotarle dellerisorse sufficienti per eseguire i loro compiti;

-   istituireun sistema di "sportello unico" per la protezione dei dati nell'UE: iresponsabili del trattamento nell'UE avranno come interlocutore un'unicaautorità di protezione dei dati, ossia quella dello Stato membro in cui sitrova lo stabilimento principale della società;

-   crearele condizioni per una cooperazione agile ed efficace tra autorità di protezionedei dati, che comprendano l'obbligo per una autorità di svolgere indagini eispezioni su richiesta di un'altra e l'obbligo di riconoscere le reciprochedecisioni;

-   istituireun meccanismo che garantisca la coerenza a livello dell'Unione, affinchè le decisionidelle autorità di protezione dei dati con maggiore impatto europeo tenganopienamente conto dei pareri espressi dalle altre autorità di protezione deidati interessate e siano pienamente conformi al diritto dell'Unione;

-   promuoverelo status del gruppo di lavoro "articolo 29", trasformandolo in un comitatoeuropeo per la protezione dei dati indipendente, al fine di rafforzare il suocontributo all'applicazione coerente della normativa in materia di protezionedei dati, fornire una solida base di cooperazione tra autorità di protezionedei dati, compreso il garante europeo della protezione dei dati, e potenziarele sinergie e l'efficienza, prevedendo che le funzioni di segreteria delcomitato europeo della protezione dei dati siano assicurate dal garante europeodella protezione dei dati.

Il nuovo regolamento dell'Unionegarantirà una protezione efficace del diritto fondamentale alla protezione deidati in tutta l'Unione europea e rafforzerà il funzionamento del mercatointerno. Allo stesso tempo – in considerazione del fatto che, comesottolineato dalla Corte di giustizia dell'Unione europea[24], ildiritto alla protezione dei dati personali non è una prerogativa assoluta, mava considerato alla luce della sua funzione sociale[25] e vacontemperato con altri diritti fondamentali, in ottemperanza al principio diproporzionalità[26] – il regolamento contienespecifici riferimenti alle disposizioni che assicurano il rispetto di altridiritti fondamentali, quali il diritto alla libertà di espressione e d'informazione,i diritti della difesa, il diritto al segreto professionale (ad esempio per leprofessioni legali), senza pregiudicare lo status accordato alle chiese dallelegislazioni nazionali degli Stati membri.

4.   L'uso di dati nella cooperazione di polizia e giudiziaria inmateria penale

L'entrata in vigore del trattato diLisbona e, in particolare, l'introduzione di una nuova base giuridica (articolo16 TFUE), consente di istituire un quadro completo in materia di protezione deidati per garantire un elevato livello di protezione dei dati delle personefisiche, nel rispetto delle specificità del settore della cooperazione dipolizia e giudiziaria in materia penale. In particolare, il nuovo quadrodell'UE sulla protezione dei dati può applicarsi ai trattamenti sia nazionaliche transfrontalieri di dati personali. Ciò ridurrà le divergenze tralegislazioni nazionali, a beneficio della protezione dei dati personali nel suoinsieme. Questa nuova situazione potrebbe anche contribuire ad agevolare loscambio di informazioni tra le autorità nazionali di polizia e giudiziarie emigliorare la cooperazione nella lotta contro le forme gravi di criminalità inEuropa. Il trattamento dei dati da parte di autorità di polizia e giudiziariain materia penale è al momento principalmente disciplinato dalla decisionequadro 2008/977/GAI, anteriore all'entrata in vigore del trattato di Lisbona.Trattandosi di una decisione quadro, la Commissione non dispone in questo casodi un potere coercitivo, il che ha contribuito ad un'attuazione ineguale traStati membri. Il campo di applicazione della decisione quadro è inoltrelimitato alle attività di trattamento transfrontaliere.[27] Ciòsignifica che il trattamento di dati personali che non sono oggetto di scambionon è attualmente contemplato dalla normativa dell'UE che disciplina itrattamenti di dati e tutela il diritto fondamentale alla protezione dei dati.Ne conseguono inoltre, in alcuni casi, difficoltà di ordine pratico per lapolizia e le altre autorità, per le quali può non essere agevole stabilire ilcarattere puramente nazionale o transfrontaliero di un trattamento di dati nèprevedere se i dati "nazionali" possano essere oggetto di un successivo scambiotransfrontaliero.[28]

Il nuovo quadro normativo dellaprotezione dei dati mira pertanto a garantire un livello uniforme ed elevato diprotezione dei dati per aumentare la fiducia reciproca tra le autorità dipolizia e giudiziarie di diversi Stati membri, facilitando cosĪ la liberacircolazione dei dati, nonchè l'efficacia della cooperazione tra tali autorità.

Pergarantire un elevato livello di protezione dei dati personali nell'ambito dellacooperazione di polizia e giudiziaria in materia penale e agevolare lo scambiodi tali dati tra le autorità nazionali a ciò preposte, la Commissione propone,nell'ambito del pacchetto di riforma in materia di protezione dei dati, unadirettiva che:

-   applicherài principi generali di protezione dei dati alla cooperazione di polizia e allacooperazione giudiziaria in materia penale, nel rispetto delle specificità ditali settori[29];

-   stabiliràcondizioni e criteri minimi armonizzati da applicare ad eventuali limitazionialle norme generali. Ciò riguarda, in particolare, i diritti delle personefisiche di essere informate se le autorità di polizia o giudiziarie consultanoo elaborano dati che le riguardano. Tali limitazioni sono necessarie perefficaci operazioni di prevenzione, indagine, accertamento e perseguimento direati;

-   istituiràun regime speciale per tenere conto della specifica natura delle attività dicontrasto, ivi compresa la distinzione tra diverse categorie di interessati icui diritti possono variare (ad esempio i testimoni e gli indiziati).

5.   Protezione dei dati nel contesto della globalizzazione

I diritti delle persone devonocontinuare ad essere garantiti anche quando i dati personali sono trasferitidall'Unione europea verso paesi terzi, e ogniqualvolta dati personali relativia persone residenti negli Stati membri sono utilizzati o analizzati dafornitori di servizi di paesi terzi. Ciò significa che le norme dell'UE inmateria di protezione dei dati si applicano indipendentemente dall'ubicazionegeografica di una società o dallo stabilimento in cui avviene il trattamentodei dati.

Nel contesto dell'odiernaglobalizzazione i dati personali sono trasferiti attraverso un numero crescentedi frontiere virtuali e geografiche e conservati su server ubicati in piùpaesi. Sempre più società informatiche offrono servizi di "cloud computing",che consentono ai clienti di accedere e conservare i dati su server remoti.Tali sviluppi impongono di migliorare gli attuali meccanismi di trasferimentodi dati verso paesi terzi, con decisioni di adeguatezza – ossia decisioniche certificano che le norme sulla protezione dei dati di un paese terzo sono"adeguate" – e garanzie appropriate, quali clausole contrattuali tipo onorme vincolanti d'impresa[30], per assicurare un'elevataprotezione dei dati nei trattamenti internazionali e facilitare la circolazionedei dati oltre frontiera.

Norme vincolanti d'impresa

Un gruppo di società deve trasferire periodicamentedati personali dalle sue affiliate con sede nell'Unione a quelle situate inpaesi terzi. Il gruppo propone di introdurre un corpus di norme vincolantid'impresa per conformarsi alla legislazione dell'Unione limitando al contempogli obblighi amministrativi per ogni singolo trasferimento. Nella pratica, lenorme vincolanti d'impresa garantiscono l'applicazione di un unico corpus diregole in tutto il gruppo, senza dover concludere diversi contratti a livellointerno.

Conformemente alle pratiche correnti stabilite in senoal gruppo di lavoro "articolo 29", il riconoscimento dell'adeguatezza dellegaranzie previste dalle norme vincolanti d'impresa di una società presuppone uncontrollo approfondito da parte di tre autorità di protezione dei dati(un'autorità "capofila" e due autorità "esaminatrici") ma anche altre autoritàpossono esprimere le proprie osservazioni. Le legislazioni di molti Statimembri richiedono inoltre ulteriori autorizzazioni nazionali per i trasferimentisoggetti alle norme vincolanti d'impresa, il che rende il processo di adozionedi tali norme molto laborioso, costoso, lungo e complesso.

A seguito della riforma della protezione dei dati:

- questo processo sarà più semplice e razionalizzato;

- le norme vincolanti d'impresa saranno convalidate daun'unica autorità di protezione dei dati, con meccanismi atti a garantire unrapido coinvolgimento di altre autorità di protezione dei dati;

- una volta approvate da un'autorità di protezione deidati, le norme vincolanti d'impresa saranno valide in tutto il territoriodell'UE senza ulteriori autorizzazioni a livello nazionale.

Peraffrontare le sfide della globalizzazione, occorrono meccanismi e strumentiflessibili, in particolare per le imprese operanti a livello mondiale –pur garantendo nel contempo una protezione completa e senza lacune dei datipersonali. La Commissione propone le seguenti misure:

-   norme chiare che stabiliscano in quali casi ildiritto dell'Unione si applica ai responsabili del trattamento stabiliti inpaesi terzi, precisando in particolare che, ogni volta che i prodotti e iservizi sono offerti a persone fisiche nell'Unione o che viene analizzato ilcomportamento di dette persone, si applicano le norme europee;

-   la Commissione europea adotterà ogni decisionerelativa all'adeguatezza del livello di protezione dei dati sulla base dicriteri chiari ed espliciti, anche nel settore della cooperazione di polizia egiudiziaria in materia penale;

-   i flussi legali di dati verso i paesi terzisaranno agevolati grazie al rafforzamento e alla semplificazione delle normerelative ai trasferimenti internazionali di dati verso paesi non oggetto didecisioni di adeguatezza; ciò avverrà in particolare razionalizzando eestendendo il ricorso a strumenti quali le norme vincolanti d'impresa, in modoche possano essere applicati ai responsabili del trattamento, nonchèall'interno dei gruppi di imprese, tenendo cosĪ conto del numero crescente disocietà che effettuano attività di trattamento dei dati, in particolare nelsettore del cloud computing;

-   intraprendere un dialogo e, se del caso,negoziati con i paesi terzi, in particolare con i partner strategicidell'Unione e i paesi interessati dalla politica europea di vicinato, e leorganizzazioni internazionali interessate (per esempio, il Consiglio d'Europa,l'Organizzazione per la cooperazione e lo sviluppo economico, le Nazioni Unite)al fine di promuovere elevati standard di protezione dei dati, interoperabili alivello mondiale.

6.   CONCLUSIONE

La riforma della protezione dei datimira a realizzare un quadro globale, coerente, solido e moderno per laprotezione dei dati nell'Unione europea. Il diritto fondamentale delle personealla protezione dei dati ne sarà rafforzato. Altri diritti, quali la libertà diespressione e d'informazione, i diritti del minore, la libertà d'impresa, ildiritto a un giudice imparziale e al segreto professionale (ad esempio per leprofessioni legali) e lo status delle chiese definito dalle legislazioni degliStati membri saranno rispettati.

La riforma andrà innanzitutto abeneficio delle persone fisiche, rafforzando i loro diritti alla protezione deidati e la loro fiducia nell'ambiente digitale; semplificherà inoltrenotevolmente il quadro giuridico per le imprese e il settore pubblico. Ciòdovrebbe stimolare lo sviluppo dell'economia digitale in tutto il mercatointerno dell'UE e oltre, in linea con gli obiettivi della strategia Europa 2020e dell'Agenda digitale europea. Infine, la riforma aumenterà la fiducia tra leautorità di contrasto e faciliterà gli scambi di informazioni e la cooperazionetra le autorità stesse nella lotta contro le forme gravi di criminalità,garantendo nel contempo alle persone fisiche un livello elevato di protezione.

La Commissione europea lavorerà a stretto contatto con il Parlamentoeuropeo e il Consiglio per la conclusione, entro fine 2012, di un accordo sulnuovo quadro della protezione dei dati. Nel corso del processo di adozione eoltre, in particolare nel contesto dell'attuazione dei nuovi strumentigiuridici, la Commissione proseguirà il dialogo diretto e trasparente con tuttele parti interessate, tra cui rappresentanti del settore pubblico e privato,compresi rappresentanti del sistema giudiziario e delle forze di polizia, delleautorità di regolamentazione delle comunicazioni elettroniche, delleorganizzazioni della società civile, delle autorità di protezione dei dati edesponenti del mondo accademico, nonchè di agenzie specializzate dell'UE, qualiEurojust, Europol, l'Agenzia per i diritti fondamentali, e l'Agenzia europeaper la sicurezza delle reti e dell'informazione.

In un contesto di evoluzionecostante delle tecnologie dell'informazione e dei comportamenti sociali, ildialogo è fondamentale per ricevere i contributi necessari a garantire unelevato livello di protezione delle persone, la crescita e la competitivitàdelle imprese nell'Unione, l'efficacia operativa del settore pubblico (compresigli organismi di polizia e il sistema giudiziario) e il minor livello possibiledi burocrazia.

Bruxelles 25/1/2012

 

NOTE

[1]    Il mercato dell'analisi di grandi volumi di datiregistra una crescita del 40% annuo in tutto il mondo: http://www.mckinsey.com/mgi/publications/big_data/.

2    Cfr. anche leconclusioni del Consiglio europeo del 23 ottobre 2011, che ha sottolineato il"ruolo chiave" del mercato unico nel creare crescita e occupazione e lanecessità di completare il mercato unico digitale entro il 2015.

3    COM(2010)171 definitivo.

4    COM(2010)245 definitivo.

5    COM(2010)2020 definitivo.

6    Direttiva95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamentodei dati personali, nonchè alla libera circolazione di tali dati (GU L 281 del23.11.1995, pag. 31).

7    Condecisione del Consiglio basata sull'articolo 39 del TUE saranno stabilite normespecifiche per il trattamento di dati a cura degli Stati membri nel settoredella politica estera e di sicurezza comune.

8    COM(2009)262 e COM(2010) 171.

9    Leconsultazioni pubbliche sono state due: la prima da luglio a dicembre 2009 (http://ec.europa.eu/culture/news/consulting_public/news_consulting_0003_en.htm)e la seconda da novembre 2010 a gennaio 2011  

10   Nel 2010 sonostati organizzati specifici incontri con le autorità degli Stati membri e leparti interessate del settore privato. Nel novembre 2010 Viviane Reding,commissaria per la giustizia, ha organizzato una tavola rotonda sulla riformadella protezione dei dati. Nel corso del 2011 si sono svolti altri workshop eseminari su questioni specifiche (quali la notificazione delle violazioni deidati).

11   COM(2010)609.

[1]2   Cfr. la lettera della commissaria UE per la giustizia,Viviane Reding, del 19 settembre 2011 ai membri del gruppo di lavoro "articolo 29",pubblicata all'indirizzo http://ec.europa.eu/culture//article-29protezione dei dati/documentation/other-document/index_en.htm.

[1]3   Cfr.la valutazione d'impatto SEC(2012) 72.

[1]4   Ciò comporterà, in una fase successiva, le modifichenecessarie per conformare specifici strumenti settoriali come il regolamento(CE) n. 45/2001 (GU L 8 del 12.1.2001, pag. 1).

[1]5   Inoltre, il regolamento prevede alcuni adattamenti tecnicidella direttiva relativa alla vita privata e alle comunicazioni elettroniche (2002/58/CE)come da ultimo modificata dalla direttiva 2009/136/CE (GU L 337 del 18.12.2009,pag. 11), per tener conto della trasformazione in regolamento delladirettiva 95/46/CE. Le conseguenze in materia di diritto sostanziale perla direttiva relativa alla vita privata e alle comunicazioni elettronicheprodotte dal nuovo regolamento e dalla nuova direttiva saranno oggetto, a tempodebito, di una revisione della Commissione, che terrà conto dei risultatiemersi dai negoziati sulle proposte attuali con il Parlamento europeo e ilConsiglio.

[1]6   Decisione quadro 2008/977/GAI del Consiglio, del 27novembre 2008, sulla protezione dei dati personali trattati nell'ambito dellacooperazione giudiziaria e di polizia in materia penale (GU L 350 del 30.12.2008,pag. 60). Una relazione sull'attuazione della decisione quadro da parte degliStati membri (COM (2012) 12) è adottata contestualmente agli altri elementi delpacchetto di riforma legislativa in materia di protezione dei dati.

[1]7   Cfr. Speciale Eurobarometro 359 – Attitudes on DataProtection and Electronic Identity in the European Union, giugno 2011, pag. 23.

[1]8   Idem, pag. 54.

[1]9   Cfr. Agenda digitale europea, op. cit., pag. 4.

20   Attualmenteobbligatorio soltanto nel settore delle telecomunicazioni, in forza delladirettiva e-Privacy.

2[1]   Per ulteriori dettagli su taleaspetto, si veda la valutazione d'impatto che correda la proposta giuridica,SEC (2012) 72.

22   IlGruppo di lavoro "articolo 29" è stato istituito nel 1996 (dall'articolo 29della direttiva 95/46/CE); è un organo consultivo composto da un rappresentantedelle autorità di protezione dei dati per ciascuno Stato membro, dal garanteeuropeo della protezione dei dati e dalla Commissione. Per maggioriinformazioni sulle sue attività, si consulti il sito: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

23   LaCommissione presenta anche una proposta di direttiva intesa a definire ledisposizioni applicabili al settore della cooperazione di polizia e dellacooperazione giudiziaria in materia penale (cfr. punto 4 infra), che darà agliStati membri una maggiore flessibilità in questo settore specifico.

24   Cause riunite C-92/09 e C-93/09: Sentenza della Corte di giustiziadell'Unione europea 9 novembre 2010 - Volker und Markus Schecke eEifert, Racc. 2010, pag. I-0000, non disponibile ancora nella pubblicazione ufficiale.

25   Conformemente all'articolo 52,paragrafo 1, della Carta, eventuali limitazioni all'esercizio del diritto allaprotezione dei dati devono essere previste dalla legge e rispettare ilcontenuto essenziale di detti diritti e libertà. Nel rispetto del principio diproporzionalità, possono essere apportate limitazioni solo laddove sianonecessarie e rispondano effettivamente a finalità di interesse generale riconosciutedall'Unione o all'esigenza di proteggere i diritti e le libertà altrui.

26   CausaC-101/01: Sentenza della Corte di giustizia dell'Unione europea 6.11.2003 -Lindqvist, Racc. 2003, pag. I-12971, paragrafi 82-90; Causa C-73/07,sentenza del 16.12.2008; Satamedia, Racc. 2008, pag. I-9831, paragrafi50-62.

27   Più precisamente, la decisionequadro si applica ai dati personali che sono o sono stati trasmessi o residisponibili tra Stati membri o oggetto di scambio tra gli Stati membri e leistituzioni e gli organi dell'UE (cfr. articolo 1, paragrafo 2).

28   Ciò è stato confermato da alcuniStati membri nelle risposte al questionario della Commissione concernente larelazione sull'attuazione della decisione quadro (COM (2012) 12).

29   Cfr.Dichiarazione n. 21, relativa alla protezione dei dati personali nel settoredella cooperazione giudiziaria in materia penale e della cooperazione dipolizia, come allegato all' atto finale della conferenza intergovernativa cheha adottato il trattato di Lisbona.

30   Lenorme vincolanti d'impresa sono codici di pratiche basate sulle norme europeeper la protezione dei dati, approvati da almeno un'autorità di protezione deidati, che le organizzazioni elaborano su base volontaria e applicano perassicurare adeguate garanzie di sicurezza per le categorie di trasferimenti didati personali tra imprese che sono parte dello stesso gruppo di società, e chesono vincolate da tali norme. Tali norme non sono esplicitamente contemplatedalla direttiva 95/46/CE, ma si sono sviluppate nella pratica tra autorità diprotezione di dati con il sostegno del gruppo di lavoro "articolo 29".