Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta di direttiva del Consiglio che stabilisce l'obbligo per gli Stati membri di mantenere un livello minimo di scorte di petrolio greggio e/o di prodotti petroliferi

(Pubblicato sulla GUUE n. C 128 del 6.6.2009)

 

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati⁽¹⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41 ⁽²⁾, vista la richiesta di parere a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 trasmessa al GEPD il 14 novembre 2008,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 13 novembre 2008 la Commissione ha adottato una proposta di direttiva del Consiglio che stabilisce l'obbligo per gli Stati membri di mantenere un livello minimo di scorte di petrolio greggio e/o di prodotti petroliferi (in prosieguo «la proposta») ^{( 3 )}.

2. La proposta è intesa ad assicurare un livello elevato di sicurezza dell'approvvigionamento di petrolio nella Comunità, grazie a meccanismi affidabili e trasparenti basati sulla solidarietà tra Stati membri, a mantenere un livello minimo di scorte di petrolio e di prodotti petroliferi oltre che a dispiegare i mezzi procedurali necessari per rimediare a un'eventuale situazione di grave penuria.

3. Il 14 novembre 2008 la proposta è stata trasmessa dalla Commissione al GEPD per consultazione, a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001. Il GEPD si compiace di essere stato consultato sulla questione e prende atto del riferimento a tale consultazione che figura nel preambolo della proposta, in conformità dell'articolo 28 del regolamento (CE) n. 45/2001.

4. Prima dell'adozione della proposta, la Commissione ha consultato in maniera informale il GEPD su uno specifico articolo del progetto di proposta (l'attuale articolo 19); il GEPD se ne è compiaciuto poiché ha avuto così modo di formulare suggerimenti prima dell'adozione della proposta da parte della Commissione.

II. ANALISI DELLA PROPOSTA

Analisi generale

5. La questione in esame è un buon esempio della necessità di tenere costantemente presenti le norme sulla protezione dei dati. In una situazione che riguarda gli Stati membri e l'obbligo che incombe loro di mantenere scorte di sicurezza di petrolio, detenute per lo più da persone giuridiche, il trattamento dei dati personali non è necessariamente in primo piano; tuttavia, pur non essendo di per sé previsto, può comunque avere luogo. Sarebbe in ogni caso opportuno tenere conto della probabilità che il trattamento di dati personali abbia luogo e agire di conseguenza.

6. Nella versione attuale, la direttiva prevede sostanzialmente due attività che potrebbero comportare il trattamento di dati personali. La prima riguarda la raccolta da parte degli Stati membri di informazioni relative alle scorte petrolifere e il successivo trasferimento di queste informazioni alla Commissione. La seconda riguarda il potere della Commissione di effettuare controlli negli Stati membri. Tra le informazioni da raccogliere riguardo ai proprietari delle scorte petrolifere vi potrebbero essere dati personali, quali nominativi e recapiti dei direttori delle società. La raccolta e il successivo trasferimento alla Commissione di tali informazioni costituirebbero pertanto trattamento di dati personali e renderebbero applicabile la legislazione nazionale che dà attuazione alle disposizioni della direttiva 95/46/CE o alle disposizioni del regolamento (CE) n. 45/2001, a seconda del soggetto che effettua di fatto il trattamento dei dati. Anche il conferimento alla Commissione del potere di effettuare controlli sulle scorte di sicurezza negli Stati membri, che comprende il potere di raccogliere informazioni in generale, potrebbe comportare la raccolta e quindi il trattamento di dati personali.

7. Nel corso della consultazione informale, che si è limitata unicamente alla disposizione relativa al potere d'indagine della Commissione, il GEPD ha consigliato alla Commissione di stabilire se il trattamento di dati personali nel contesto di un'indagine condotta dalla Commissione sarebbe solo incidentale oppure se verrebbe effettuato regolarmente e se sarebbe funzionale all'indagine. Sulla scorta dei risultati di questa valutazione sono stati proposti due approcci.

8. Se il trattamento di dati personali non è previsto e sarebbe pertanto puramente incidentale, il GEPD ha raccomandato, in primo luogo, di escludere esplicitamente il trattamento dei dati personali dagli scopi delle indagini della Commissione e, in secondo luogo, di stabilire che i dati personali nei quali la Commissione si dovesse imbattere nel corso delle indagini non sarebbero raccolti né presi in considerazione e, in caso di raccolta accidentale, sarebbero immediatamente distrutti. Come clausola di sicurezza generale, il GEPD suggerisce inoltre di aggiungere una disposizione che stabilisce che la direttiva non pregiudica le norme sulla protezione dei dati di cui alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001.

9. Se, invece, è previsto che il trattamento dei dati avvenga regolarmente nel contesto di un'indagine della Commissione, il GEPD ha raccomandato alla Commissione di inserire un testo che rispecchi il risultato di un'adeguata valutazione in merito alla protezione dei dati. Il testo potrebbe includere i seguenti elementi: I) lo scopo effettivo del trattamento dei dati, II) la necessità del trattamento dei dati per raggiungere tale scopo e III) la proporzionalità del trattamento dei dati.

10. Sebbene il parere informale del GEPD riguardasse soltanto il potere d'indagine della Commissione, le osservazioni del garante si applicano anche all'altra principale attività illustrata nella proposta di direttiva, vale a dire la raccolta e il trasferimento alla Commissione delle informazioni da parte degli Stati membri.

11. La versione definitiva della proposta di direttiva indica chiaramente che la Commissione ha concluso che ai fini della direttiva non è previsto alcun trattamento di dati personali. Il GEPD constata con soddisfazione che la proposta rispecchia pienamente il primo approccio da lui prospettato.

12. Il GEPD sostiene pertanto il modo con cui la Commissione ha assicurato la conformità con le norme sulla protezione dei dati nella proposta di direttiva. Nel seguito del presente parere saranno fornite solo alcune raccomandazioni su aspetti di dettaglio. Osservazioni su alcuni aspetti di dettaglio

13. L'articolo 15 della proposta di direttiva riguarda l'obbligo per gli Stati membri di trasmettere alla Commissione rilevazioni statistiche settimanali relative al livello delle scorte commerciali detenute sul loro territorio nazionale. Tali informazioni contengono di norma pochi dati di carattere personale. Potrebbero tuttavia contenere ragguagli sulle persone fisiche cui appartengono le scorte petrolifere o che lavorano per una persona giuridica cui appartengono le scorte. Per evitare che gli Stati membri forniscano alla Commissione tali informazioni l'articolo 15, paragrafo 1 stabilisce che, qualora gli Stati membri lo facciano, devono evitare «di menzionare i nominativi dei proprietari delle scorte in questione». Sebbene occorra essere consapevoli del fatto che l'omissione di un nominativo non dà sempre luogo a dati che non possono essere ricollegati a una persona fisica, nella situazione attuale (rilevazioni statistiche dei livelli delle scorte petrolifere) questa frase aggiuntiva sembra essere sufficiente ad assicurare che non avvenga alcun trasferimento di dati personali alla Commissione.

14. Il potere d'indagine della Commissione è stabilito all'articolo 19 della proposta di direttiva. L'articolo indica chiaramente che la Commissione ha seguito il primo approccio illustrato nel precedente punto 8. Secondo tale articolo gli obiettivi dei controlli effettuati dalla Commissione non contemplano la raccolta di dati personali. E, anche se la Commissione si imbattesse in tali dati, questi non potrebbero essere presi in considerazione e, in caso di raccolta accidentale, dovrebbero essere distrutti. Per allineare la formulazione con quella utilizzata nella legislazione in materia di protezione dei dati e al fine di evitare qualunque malinteso, il GEPD raccomanda di sostituire i termini «la raccolta» nella prima frase del paragrafo 2 con i termini «il trattamento».

15. Il GEPD constata con soddisfazione che la proposta comprende anche una clausola di sicurezza generale sulla pertinente legislazione in materia di protezione dei dati. L'articolo 20 ricorda agli Stati membri così come alla Commissione e agli altri organismi comunitari gli obblighi che incombono loro rispettivamente in virtù della direttiva 95/46/CE e del regolamento (CE) n. 45/2001. Nell'articolo si sottolineano altresì i diritti che queste norme conferiscono agli interessati, come il diritto a opporsi al trattamento dei dati che li riguardano, il diritto di accesso a tali dati e il diritto di far rettificare tali dati in caso di inesattezza. Si potrebbe forse formulare un'osservazione sul posizionamento di tale disposizione nella proposta. Trattandosi di una disposizione di carattere generale, non è limitata unicamente al potere d'indagine della Commissione. Il GEPD raccomanda pertanto di spostare l'articolo, collocandolo nella prima parte della direttiva, per esempio dopo l'articolo 2.

16. Anche il considerando 25 contiene un rimando alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001. L'obiettivo del considerando è tuttavia assai poco chiaro in quanto vi si fa riferimento alla legislazione in materia di protezione dei dati unicamente in quanto tale ma non vi sono ulteriori disposizioni. Il considerando dovrebbe stabilire chiaramente che le disposizioni della direttiva lasciano impregiudicata la legislazione citata. Inoltre, l'ultima frase del considerando sembra sottintendere che la legislazionein materia di protezione dei dati imponga esplicitamente l'obbligo per i responsabili del trattamento di distruggere immediatamente i dati accidentalmente raccolti. Pur essendo una possibile conseguenza delle norme in questione, tale legislazione non contiene detto obbligo. Secondo un principio generale della protezione dei dati, i dati personali sono conservati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Se la prima parte del considerando sarà adattata nel modo proposto, l'ultima frase diventa superflua. Il GEPD propone pertanto di sopprimere l'ultima frase del considerando 25.

III. CONCLUSIONE

17. Il GEPD sostiene il modo con cui la Commissione ha assicurato la conformità con le norme sulla protezione dei dati nella proposta di direttiva.

18. Con riguardo ad aspetti di dettaglio, il GEPD raccomanda quanto segue: — di sostituire i termini «la raccolta» nella prima frase dell'articolo 19, paragrafo 2 con i termini «il trattamento»; — di spostare l'articolo 20, che rappresenta la disposizione generale in materia di protezione dei dati, collocandolo nella prima parte della direttiva, e precisamente subito dopo l'articolo 2; — di aggiungere nel considerando 25 un testo che reciti che le disposizioni della direttiva non pregiudicano le disposizioni della direttiva 95/46/CE e del regolamento (CE) n. 45/2001; — di sopprimere l'ultima frase del considerando 25.

Fatto a Bruxelles, addì 3 febbraio 2009.

Peter HUSTINX

Garante europeo della protezione dei dati

 

NOTE
( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) COM(2008) 775 definitivo.