COMMISSIONE DELLE COMUNITÀ EUROPEE

 

Decisione della Commissione, del 12 dicembre 2007, relativa alla protezione dei dati personali nell’ambito del sistema di informazione del mercato interno (IMI) (2008/49/CE)

[notificata con il numero C(2007) 6306]

(Testo rilevante ai fini del SEE 
- Pubblicata sulla GUU n. L 013 del 16/01/2008)

 

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il trattato che istituisce la Comunità europea,

vista la decisione 2004/387/CE del Parlamento europeo e del Consiglio, del 21 aprile 2004, relativa all’erogazione interoperabile di servizi paneuropei di governo elettronico alle amministrazioni pubbliche, alle imprese e ai cittadini (IDABC) ^[1], in particolare l’articolo 4,

considerando quanto segue:

(1) Il 17 marzo 2006 i rappresentanti degli Stati membri in seno al comitato consultivo per il coordinamento nel campo del mercato interno ^[2] hanno approvato il piano globale di attuazione del sistema di informazione del mercato interno (di seguito "IMI"), e il relativo sviluppo, volto a migliorare la comunicazione tra le amministrazioni degli Stati membri.

(2) Con la decisione COM/2006/3606, del 14 agosto 2006, sulla terza revisione del programma di lavoro IDABC 2005-2009, la Commissione ha deciso di finanziare e di istituire il sistema di informazione del mercato interno come progetto di interesse comune.

(3) Con la decisione COM/2007/3514 della Commissione, del 25 luglio 2007, relativa alla quarta revisione del programma di lavoro IDABC, è stato accordato un ulteriore finanziamento a favore del progetto.

(4) L’IMI mira ad agevolare l’applicazione degli atti legislativi relativi al mercato interno che richiedono lo scambio di informazioni tra le amministrazioni degli Stati membri, in particolare la direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno ^[3] e la direttiva 2005/36/CE del Parlamento europeo e del Consiglio, del 7 settembre 2005, relativa al riconoscimento delle qualifiche professionali ^[4].

(5) Poiché nell’ambito dell’IMI deve essere garantita la protezione dei dati personali, è necessario completare in tal senso la decisione che ha istituito l’IMI. Dato che i vari compiti e funzioni della Commissione e degli Stati membri nel quadro dell’IMI implicano responsabilità e obblighi diversi in materia di norme sulla protezione dei dati, è necessario definire le funzioni, le responsabilità e i diritti di accesso rispettivi.

(6) Nel suo parere relativo alla protezione dei dati nell’ambito del sistema di informazione del mercato interno (IMI) ^[5], il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva 95/46/CE chiede espressamente l’adozione di una decisione della Commissione che fissi i diritti e gli obblighi dei partecipanti all’IMI.

(7) Lo scambio di informazioni con mezzi elettronici tra gli Stati membri deve avvenire nel rispetto delle norme di protezione dei dati personali di cui alla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ^[6] e al regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ^[7].

(8) Per consentire verifiche tra le autorità competenti e tenendo conto delle situazioni in cui una persona interessata desideri promuovere ricorso contro una decisione amministrativa negativa adottata sulla base di uno scambio di informazioni, occorre conservare per sei mesi a decorrere dalla conclusione ufficiale dello scambio di informazioni tutti i dati personali scambiati tra autorità competenti e trattati nell’IMI. Al termine dei sei mesi tutti i dati personali devono essere cancellati. Un periodo di conservazione di sei mesi è giudicato adeguato perché corrisponde alla durata delle procedure amministrative previste dalla normativa comunitaria sulla base della quale le informazioni vengono scambiate,

HA ADOTTATO LA PRESENTE DECISIONE:

 

CAPO 1

DISPOSIZIONI GENERALI

 

Articolo 1

Oggetto

La presente decisione fissa le funzioni, i diritti e gli obblighi dei partecipanti e degli utenti IMI di cui all’articolo 6 per quanto riguarda gli obblighi di protezione dei dati nel quadro del sistema di informazione del mercato interno (di seguito "IMI").

Articolo 2

Qualità dei dati

Le autorità competenti degli Stati membri scambiano e trattano i dati personali unicamente ai fini previsti dagli atti comunitari pertinenti di cui all’allegato (di seguito "atti comunitari pertinenti"), in base ai quali lo scambio di informazioni viene effettuato.

Le richieste di informazioni presentate dalle autorità competenti di uno Stato membro a quelle di un altro Stato membro e le relative risposte si basano sulle domande e sui campi di dati multilingue definiti e formulati ai fini dell’IMI dalla Commissione in collaborazione con gli Stati membri.

Articolo 3

Responsabili del trattamento

Le competenze dei responsabili del trattamento ai sensi dall’articolo 2, lettera d), della direttiva 95/46/CE e dell’articolo 2, lettera d), del regolamento (CE) n. 45/2001 sono esercitate congiuntamente dai partecipanti IMI di cui all’articolo 6, conformemente alle rispettive competenze nell’ambito dell’IMI.

I responsabili del trattamento provvedono affinché la persona interessata possa esercitare effettivamente i suoi diritti di informazione, di accesso, di rettifica e di opposizione conformemente alla normativa applicabile in materia di protezione dei dati. I partecipanti IMI forniscono dichiarazioni di riservatezza in forma adeguata.

Articolo 4

Conservazione dei dati personali delle persone interessate oggetto dello scambio di informazioni

Tutti i dati personali delle persone interessate oggetto dello scambio di informazioni tra le autorità competenti e trattate nell’IMI sono cancellati sei mesi dopo la conclusione ufficiale dello scambio di informazioni, o prima, se un’autorità competente ne fa espressamente richiesta alla Commissione.

In caso di richiesta in tal senso, la Commissione vi dà seguito entro 10 giorni lavorativi, previo accordo delle altre autorità competenti interessate.

Articolo 5

Conservazione dei dati personali degli utenti IMI

I dati personali degli utenti IMI, di cui all’articolo 6, sono conservati nell’IMI fintanto che gli interessati restano utenti IMI e sono cancellati dall’autorità competente quando cessano di essere utenti.

I dati personali di cui al primo comma comprendono il nome completo, l’indirizzo di posta elettronica professionale e i numeri di telefono e di telefax professionali degli utenti IMI.

 

CAPO 2

FUNZIONI E RESPONSABILITÀ RELATIVE ALL’IMI

 

Articolo 6

Partecipanti e utenti IMI

1. I "partecipanti IMI" sono:

a) le autorità competenti degli Stati membri ai sensi dell’articolo 7;

b) i coordinatori ai sensi dell’articolo 8;

c) la Commissione.

2. Solo le persone fisiche che lavorano sotto il controllo di un’autorità competente o di un coordinatore, di seguito denominate "utenti IMI", possono utilizzare l’IMI ai sensi dell’articolo 9.

Articolo 7

Autorità competenti

Le autorità competenti assicurano lo scambio delle informazioni richieste nell’ambito dell’IMI, ai fini definiti nell’atto comunitario pertinente sulla base del quale le informazioni vengono scambiate.

Articolo 8

Coordinatori IMI

1. Ogni Stato membro designa un coordinatore nazionale IMI per assicurare l’attuazione dell’IMI a livello nazionale.

Inoltre, in funzione della sua struttura amministrativa interna, ogni Stato membro può designare uno o più coordinatori delegati IMI con compiti di coordinamento in un determinato settore legislativo, una suddivisione amministrativa o una regione geografica.

2. La Commissione registra nell’IMI i coordinatori nazionali IMI e accorda loro l’accesso all’IMI.

3. Se uno Stato membro designa un coordinatore delegato IMI conformemente al paragrafo 1, il coordinatore nazionale IMI lo registra nell’IMI e gli accorda il relativo accesso.

4. I coordinatori registrano le autorità competenti che chiedono l’accesso all’IMI o ne autenticano la registrazione e vigilano sul funzionamento efficiente del sistema. Essi accordano alle autorità competenti l’accesso ai settori legislativi di loro competenza.

5. Tutti i coordinatori possono agire in qualità di autorità competenti. In tal caso, il coordinatore dispone degli stessi diritti di accesso di un’autorità competente.

Articolo 9

Profili degli utenti IMI

1. Gli utenti IMI possono avere uno o più profili tra quelli indicati di seguito: gestore della richiesta, assegnatore, supervisore del rinvio e gestore locale di dati.

2. A ogni utente IMI viene attribuito un insieme definito di diritti di accesso legati al rispettivo profilo di utente ai sensi dell’articolo 12.

3. Tutti gli utenti IMI possono effettuare ricerche su una specifica autorità competente.

4. Gli utenti IMI designati come gestori delle richieste possono partecipare allo scambio di informazioni per conto della rispettiva autorità competente.

5. Gli utenti IMI designati come assegnatori di un’autorità competente possono assegnare una richiesta di informazioni ad uno o più gestori delle richieste nell’ambito della propria autorità.

Gli utenti IMI designati come assegnatori di un coordinatore possono assegnare una richiesta di informazioni ad uno o più supervisori del rinvio nell’ambito della propria autorità.

6. Gli utenti IMI di un coordinatore possono essere designati come supervisori del rinvio.

Essi possono autorizzare l’invio di richieste o di risposte da parte di un’autorità competente, qualora una tale procedura di approvazione sia resa obbligatoria dal coordinatore, e possono manifestare il loro accordo o disaccordo quando un’autorità competente richiedente non è soddisfatta della risposta ricevuta.

7. Gli utenti IMI designati come gestori locali di dati possono svolgere le funzioni seguenti:

a) aggiornamento dei dati personali degli utenti IMI della propria autorità;

b) registrazione di nuovi utenti della propria autorità;

c) modifica del profilo degli utenti della propria autorità.

Articolo 10

Commissione

1. La Commissione assicura la disponibilità e la manutenzione delle infrastrutture IT sulle quali l’IMI sarà ospitato. Mette a disposizione un sistema multilingue operante in tutte le lingue ufficiali e fornisce assistenza agli Stati membri nell’uso dell’IMI mediante un help desk centrale.

2. La Commissione mette pubblicamente a disposizione le domande e i campi di dati di cui all’articolo 2, secondo comma.

3. La Commissione può partecipare allo scambio di informazioni soltanto in casi specifici in cui l’atto comunitario pertinente prevede lo scambio di informazioni tra gli Stati membri e la Commissione.

4. Nei casi di cui al paragrafo 3, la Commissione dispone degli stessi diritti di accesso di un’autorità competente ai sensi dell’articolo 12.

 

CAPO 3

DIRITTI DI ACCESSO AI DATI PERSONALI

 

Articolo 11

Persona interessata

Ai fini del presente capo, per "persona interessata" si intende unicamente la persona interessata oggetto di uno scambio di informazioni specifico e non include gli utenti IMI.

Articolo 12

Diritti di accesso degli utenti IMI

1. Nel quadro di uno scambio di informazioni, i gestori della richiesta di un’autorità competente hanno accesso unicamente ai dati personali riguardanti:

a) altri gestori della richiesta della stessa autorità competente partecipanti allo scambio di informazioni;

b) il gestore della richiesta dell’altra autorità competente partecipante allo scambio di informazioni;

c) i supervisori del rinvio dei coordinatori che si occupano dello scambio di informazioni;

d) le persone interessate oggetto dello scambio di informazioni. I gestori della richiesta dell’autorità competente consultata hanno accesso ai dati personali delle persone interessate soltanto dopo che la richiesta è stata accettata dalla loro autorità competente.

2. Gli assegnatori di un’autorità competente hanno accesso unicamente ai dati personali riguardanti:

a) tutti i gestori delle richieste della stessa autorità competente;

b) il gestore della richiesta dell’altra autorità competente partecipante allo scambio di informazioni;

c) i supervisori del rinvio dei coordinatori che si occupano dello scambio di informazioni.

Essi non hanno accesso ai dati personali delle persone interessate.

3. Gli assegnatori di un coordinatore hanno accesso unicamente ai dati personali riguardanti:

a) tutti i supervisori del rinvio dello stesso coordinatore;

b) i gestori delle richieste delle autorità competenti partecipanti allo scambio di informazioni;

c) il supervisore del rinvio dell’altro coordinatore che si occupa dello scambio di informazioni.

Essi non hanno accesso ai dati personali delle persone interessate.

4. I supervisori del rinvio hanno accesso unicamente ai dati personali riguardanti:

a) i supervisori del rinvio dei coordinatori partecipanti allo scambio di informazioni;

b) i gestori delle richieste delle autorità competenti partecipanti allo scambio di informazioni.

Essi non hanno accesso ai dati personali delle persone interessate.

5. I gestori locali di dati di un’autorità competente hanno accesso unicamente ai dati personali di tutti gli utenti IMI della stessa autorità competente.

Essi non hanno accesso ai dati personali delle persone interessate.

6. I gestori locali di dati di un coordinatore hanno accesso unicamente ai dati personali riguardanti:

a) tutti gli utenti IMI dello stesso coordinatore;

b) tutti i gestori locali di dati delle autorità competenti e dei coordinatori di cui essi sono il coordinatore.

Essi non hanno accesso ai dati personali delle persone interessate.

7. I gestori locali di dati della Commissione hanno accesso unicamente ai dati personali riguardanti:

a) tutti gli altri gestori locali della Commissione;

b) tutti i gestori locali di dati dei coordinatori nazionali IMI.

I gestori locali di dati della Commissione possono cancellare i dati personali delle persone interessate ai sensi dell’articolo 4, ma non possono consultarli.

 

CAPO 4

DISPOSIZIONE FINALE

 

Articolo 13

Destinatari

Gli Stati membri sono destinatari della presente decisione.

 

Fatto a Bruxelles, il 12 dicembre 2007.

Per la Commissione

Charlie McCreevy

Membro della Commissione

 

NOTE                                 

[1] GU L 144 del 30.4.2004 rettifica nella GU L 181 del 18.5.2004, pag. 25.

[2] Istituito con la decisione 93/72/CEE della Commissione (GU L 26 del 3.2.1993, pag. 18).

[3] GU L 376 del 27.12.2006, pag. 36.

[4] GU L 255 del 30.9.2005, pag. 22. Direttiva modificata da ultimo dal regolamento (CE) n. 1430/2007 della Commissione (GU L 320 del 6.12.2007, pag. 3).

[5] Parere 01911/07/EN, WP 140.

[6] GU L 281 del 23.11.1995, pag. 31. Direttiva modificata dal regolamento (CE) n. 1882/2003 (GU L 284 del 31.10.2003, pag. 1).

[7] GU L 8 del 12.1.2001, pag. 1.

 

--------------------------------------------------

ALLEGATO

Atti comunitari pertinenti di cui all’articolo 2

Gli atti comunitari pertinenti di cui all’articolo 2, primo comma, sono:

1. direttiva 2005/36/CE del Parlamento europeo e del Consiglio, del 7 settembre 2005, relativa al riconoscimento delle qualifiche professionali ^[1];

2. direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno ^[2].

 

NOTE                                 

[1] GU L 255 del 30.9.2005, pag. 22. Direttiva modificata dalla direttiva 2006/100/CE del Consiglio (GU L 363 del 20.12.2006, pag. 141).

[2] GU L 376 del 27.12.2006, pag. 36.