|
CE - IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI Parere 6/2007 - WP139 su temi riguardanti la protezione dei dati connessi con il Sistema di cooperazione per la tutela dei consumatori (CPCS) Adottato il 21 settembre 2007
INDICE 1. INTRODUZIONE PARTE A: DESCRIZIONE DEL SISTEMA 2. OBBLIGHI DI ASSISTENZA RECIPROCA STABILITI DAL REGOLAMENTO CPC 2.1. FINALIT DEL REGOLAMENTO CPC: COOPERAZIONE TRA LE AUTORIT COMPETENTI PER LA TUTELA DEI CONSUMATORI 2.2. SFERA DI APPLICAZIONE DEL REGOLAMENTO CPC: INFRAZIONI INTRACOMUNITARIE DI SPECIFICHE DIRETTIVE E REGOLAMENTI 2.3. ASSISTENZA RECIPROCA NELL'AMBITO DEL REGOLAMENTO CPC: INDAGINI, ESECUZIONE DELLA NORMATIVA E ALLARMI 3. FINALIT, BASE GIURIDICA E CREAZIONE DEL CPCS 3.1. LA FINALIT DEL CPCS: UNA BASE DI DATI PER LO SCAMBIO DI INFORMAZIONI RELATIVE ALL'ASSISTENZA RECIPROCA 3.2. SCHEMA DELLE OPERAZIONI DI TRATTAMENTO DEI DATI NELL'AMBITO DEL CPCS 3.3. BASE GIURIDICA DEL CPCS 3.4. DECISIONE DI ATTUAZIONE CPC 3.5. CREAZIONE DEL CPCS 4. FLUSSI DI DATI NELL'AMBITO DEL CPCS 4.1. DISPOSIZIONI GENERALI E CONFIDENZIALIT 4.2. ALLARMI E INFORMAZIONI DI RITORNO 4.3. COOPERAZIONE NELL'ESECUZIONE DELLA NORMATIVA 4.4. COORDINAMENTO DELLE ATTIVIT DI SORVEGLIANZA DEL MERCATO 4.5. SCAMBIO DI INFORMAZIONI SU RICHIESTA 4.6. PARTICOLARI RELATIVI AL VENDITORE O FORNITORE RESPONSABILE DI INFRAZIONI INTRACOMUNITARIE O SOSPETTATO DI INFRAZIONI INTRACOMUNITARIE 4.7. FORUM DI DISCUSSIONE 4.8. TRATTAMENTO DEI DATI RELATIVI AL PERSONALE 5. ACCESSO AI DATI NEL CPCS1 5.1 ACCESSO DELLA COMMISSIONE AI DATI 5.2. ACCESSO AI DATI DA PARTE DELLE AUTORIT COMPETENTI 5.3. ACCESSO AI DATI DA PARTE DEGLI UFFICI UNICI DI COLLEGAMENTO 5.4. INFORMAZIONI SEGNALATE COME CONFIDENZIALI 6. TERMINI DI CONSERVAZIONE A NORMA DEL REGOLAMENTO CPC E DELLA DECISIONE DI ATTUAZIONE CPC 6.1. RITIRO DEGLI ALLARMI 6.2. CASI CHIUSI IN SEGUITO AD ESECUZIONE DELLA NORMATIVA 6.3. CASI CHIUSI IN SEGUITO A RICHIESTE DI INFORMAZIONI 7. L'ARCHITETTURA DI SICUREZZA DEL CPCS 7.1. IL CENTRO DATI DELLA COMMISSIONE 7.2 LA RETE TESTA-II 7.3. ACCESSO AI DATI PARTE B: ANALISI 8. RESPONSABILI DEL TRATTAMENTO DEI DATI, NORMATIVA APPLICABILE E AUTORIT DI VIGILANZA 8.1. LE AUTORIT COMPETENTI E LA COMMISSIONE SONO DESIGNATE QUALI RESPONSABILI DEL TRATTAMENTO DEI DATI DAL REGOLAMENTO CPC 8.2. LE AUTORIT COMPETENTI IN QUALIT DI RESPONSABILI DEL TRATTAMENTO DEI DATI 8.3. GLI UFFICI UNICI DI COLLEGAMENTO IN QUALIT DI RESPONSABILI DEL TRATTAMENTO DEI DATI 8.4. IL RUOLO SUI GENERIS DELLA COMMISSIONE 9. BASE GIURIDICA 9.1. APPLICABILIT DELLA DIRETTIVA 95/46/CE E DEL REGOLAMENTO (CE) N. 45/2001 9.2. BASE GIURIDICA E LICEIT DEL TRATTAMENTO 10. QUALIT DEI DATI 10.1. LIMITAZIONE A UNA FINALIT SPECIFICA, NESSUNA UTILIZZAZIONE PER FINALIT INCOMPATIBILI 10.2. NECESSIT E PROPORZIONALIT 10.3. ACCURATEZZA 11. TERMINI DI CONSERVAZIONE 11.1. PERIODO DI CONSERVAZIONE DI CINQUE ANNI DOPO L'ESECUZIONE DELLA NORMATIVA 11.2. CASI CHE SONO "DIMENTICATI" O PER ALTRI MOTIVI NON NOTIFICATI PER LA CANCELLAZIONE 11.3 CONSERVAZIONE DEI DATI AL DI FUORI DEL CPCS 12. TRATTAMENTO DEI DATI SENSIBILI 12.1. ORIGINE RAZZIALE O ETNICA, OPINIONI POLITICHE, CONVINZIONI POLITICHE O FILOSOFICHE, APPARTENENZA A SINDACATI, SALUTE O TENDENZE SESSUALI 12.2. DATI RELATIVI A REATI, SOSPETTI DI REATI E MISURE DI SICUREZZA 12.3. NUMERO NAZIONALE DI IDENTIFICAZIONE. L'ARTICOLO 8, PARAGRAFO 7 DELLA DIRETTIVA 95/46/CE STABILISCE CHE GLI STATI MEMBRI "DETERMINANO A QUALI CONDIZIONI UN NUMERO NAZIONALE DI IDENTIFICAZIONE O QUALSIASI ALTRO MEZZO IDENTIFICATIVO DI PORTATA GENERALE PU ESSERE OGGETTO DI TRATTAMENTO". A SUA VOLTA, L'ARTICOLO 10, PARAGRAFO 6 DEL REGOLAMENTO STABILISCE CHE "IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI STABILISCE LE CONDIZIONI GENERALI ALLE QUALI UN NUMERO PERSONALE O QUALSIASI ALTRO MEZZO DI IDENTIFICAZIONE DI USO GENERALE PU ESSERE TRATTATO DA UN'ISTITUZIONE O DA UN ORGANISMO DELLA COMUNIT 13. DEROGHE E RESTRIZIONI 13.1. DEROGHE E RESTRIZIONI POSTE DAGLI STATI MEMBRI 13.2. DEROGHE E RESTRIZIONI POSTE DALLA COMMISSIONE 14. INFORMAZIONI DA FORNIRE ALLA PERSONA INTERESSATA 14.1. AVVERTENZA ESAURIENTE RELATIVA ALLA TUTELA DELLA SFERA PRIVATA SULLA PAGINA INTERNET DELLA COMMISSIONE DEDICATA AL CPCS 14.2. AVVERTENZA RELATIVA ALLA TUTELA DELLA SFERA PRIVATA SULLA PAGINA INTERNET DELLE AUTORIT COMPETENTI 14.3 AVVERTENZA FORNITA DIRETTAMENTE ALLE PERSONE INTERESSATE 15. IL DIRITTO DI ACCESSO AI DATI DELLE PERSONE INTERESSATE 15.1. COORDINAMENTO TRA LE AUTORIT COMPETENTI 15.2. COORDINAMENTO TRA LA COMMISSIONE E LE AUTORIT COMPETENTI 16. MISURE DI RICORSO 17. SICUREZZA 18. NOTIFICA E CONTROLLO PREVENTIVO 18.1. AUTORIT NAZIONALI COMPETENTI PER LA PROTEZIONE DEI DATI 18.2 CONTROLLO PREVENTIVO DA PARTE DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI 18.3. COORDINAMENTO DELLE PROCEDURE DI NOTIFICA E DI CONTROLLO PREVENTIVO 19. TRASFERIMENTO DI DATI PERSONALI A PAESI TERZI 20. CONCLUSIONI
IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI creato a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995,
visto l'articolo 29, articolo 30, paragrafo 1, lettera (c) e l'articolo 30, paragrafo 3 di tale direttiva,
viste le sue regole di procedura, e in particolare gli articoli 12 e 14,
HA ADOTTATO IL PRESENTE PARERE:
1. INTRODUZIONE Il presente parere del Gruppo di lavoro "articolo 29" sulla protezione dei dati ("Gruppo di lavoro") analizza i temi relativi alla protezione dei dati connessi con il Sistema di cooperazione per la tutela dei consumatori ("CPCS"), una base di dati elettronica gestita dalla Commissione europea per lo scambio di informazioni tra autorit competenti nel settore della tutela dei consumatori negli Stati membri e la Commissione, conformemente alle disposizioni del regolamento (CE) 2006/2004 sulla cooperazione per la tutela dei consumatori ("Regolamento CPC"). Il parere fa seguito ad una lettera datata 30 marzo 2007 inviata dal capo dell'Unit B-5, Controllo dell'attuazione della legislazione e meccanismi di ricorso per i consumatori, della Direzione generale Salute e tutela dei consumatori ("DG SANCO") della Commissione europea, inviata al segretariato del Gruppo di lavoro con la richiesta di un parere. Il Gruppo di lavoro si compiace per il fatto di essere stato consultato. Allo stesso tempo, esprime rammarico per il fatto che la richiesta di consultazione pervenuta solo dopo l'adozione del regolamento CPC e l'adozione della decisione della Commissione 2007/76/CE del 22 dicembre 2006 ("Decisione di attuazione CPC"), e solo dopo che il CPCS stato creato, divenuto pienamente funzionale ed ha iniziato ad operare. Se fosse stato consultato prima, il Gruppo di lavoro avrebbe potuto effettuare un'analisi approfondita in una fase in cui sarebbe stato pi semplice tener conto delle sue raccomandazioni. Ci detto, in linea generale il Gruppo di lavoro esprime la propria soddisfazione per la creazione di un sistema elettronico per lo scambio di informazioni. Questo sistema razionalizzato pu non soltanto incrementare l'efficienza della cooperazione ma, dal punto di vista della protezione dei dati, pu anche contribuire a garantire la conformit con le norme vigenti sulla protezione dei dati. Esso fornisce infatti un quadro di riferimento da cui risulta chiaramente quali informazioni possono essere scambiate, con chi e a quali condizioni. La creazione di una base di dati centralizzata comporta tuttavia anche alcuni rischi. Tra i pi importanti, segnaliamo che pi dati potrebbero essere condivisi in modo pi ampio di quanto sia strettamente necessario ai fini di un'efficiente cooperazione, ed inoltre che i dati, compresi quelli potenzialmente obsoleti e meno accurati, potrebbero rimanere nella base di dati pi a lungo di quanto non risulti necessario. Anche la sicurezza di una base di dati accessibile in 27 Stati membri costituisce un tema particolarmente sensibile, dal momento che il sistema sicuro solo quanto lo consente il nodo pi debole della rete. Il presente documento intende identificare le pi gravi preoccupazioni in materia di protezione dei dati che pu comportare la creazione e il funzionamento del CPCS e raccomandare soluzioni per alleviare tali preoccupazioni. Il documento si rivolge alla Commissione e alle autorit competenti degli Stati membri nel loro ruolo di responsabili del trattamento dei dati del CPCS, come sar chiarito in seguito. Le raccomandazioni del presente documento sono inoltre destinate ad informare altri decisori del "Comitato di regolamentazione" composto da rappresentanti degli Stati membri, creato a norma dell'articolo 19 del regolamento CPC con il mandato di assistere la Commissione nell'attuare il regolamento CPC. Il presente documento infine destinato ai legislatori degli Stati membri cui l'articolo 13, paragrafo 4, del regolamento CPC richiede di "adottare le misure legislative necessarie per limitare i diritti e gli obblighi di cui agli articoli 10, 11 e 12 della direttiva 95/46/CE nella misura in cui ci sia necessario per salvaguardare gli interessi di cui all'articolo 13, paragrafo 1, lettere (d) e (f) di tale direttiva."
PARTE A: DESCRIZIONE DEL SISTEMA
2. OBBLIGHI DI ASSISTENZA RECIPROCA STABILITI DAL REGOLAMENTO CPC 2.1. Finalit del regolamento CPC: cooperazione tra le autorit competenti per la tutela dei consumatori. Il regolamento CPC stato adottato per agevolare l'esecuzione delle norme sulla tutela dei consumatori nel mercato interno. Il regolamento CPC crea una rete comunitaria di autorit nazionali competenti per l'esecuzione delle norme sulla tutela dei consumatori. Esso delinea il quadro di riferimento e le condizioni generali nell'ambito delle quali gli Stati membri devono cooperare. Nel contesto di questo nuovo sistema, ciascuna autorit pu richiedere alle altre autorit della rete assistenza per indagare su possibili violazioni della normativa sulla tutela dei consumatori e per intraprendere azioni volte a interrompere pratiche commerciali ingannevoli che danneggiano i consumatori in altri paesi dell'Unione europea. 2.2. Sfera di applicazione del regolamento CPC: infrazioni intracomunitarie di specifiche direttive e regolamenti. La sfera di applicazione del regolamento CPC limitata alle "violazioni intracomunitarie" delle direttive e dei regolamenti elencati nell'allegato al regolamento CPC. Tale elenco, che potr se necessario essere aggiornato, comprende attualmente 15 direttive e regolamenti, comprese le direttive sulla pubblicit ingannevole, sui contratti negoziati fuori dai locali commerciali, sul credito al consumo, sull'esercizio delle attivit televisive, sui viaggi "tutto compreso", sulle clausole abusive nei contratti, sulla multipropriet, sul commercio elettronico, ed altre. Per rientrare nella sfera di applicazione del regolamento CPC, le "infrazioni intracomunitarie" (i) devono avere natura "transfrontaliera", e (ii) devono danneggiare "gli interessi collettivi dei consumatori". 2.3. Assistenza reciproca nell'ambito del regolamento CPC: indagini, esecuzione della normativa e allarmi. I capitoli II e III del regolamento CPC richiedono alle autorit competenti degli Stati membri di assistersi reciprocamente per quanto riguarda le indagini e l'esecuzione delle normative. Tali capitoli richiedono inoltre di segnalare agli altri Stati membri e alla Commissione le infrazioni intracomunitarie sospettate o confermate. Le autorit competenti dei vari Stati membri hanno infine l'obbligo specifico di coordinare le loro attivit nei casi in cui i consumatori di uno o pi Stati membri abbiano subito le conseguenze negative di un'infrazione.
3. FINALIT, BASE GIURIDICA E CREAZIONE DEL CPCS 3.1. La finalit del CPCS: una base di dati per lo scambio di informazioni relative all'assistenza reciproca. Il CPCS una base di dati elettronica gestita dalla Commissione europea e destinata a costituire un sistema strutturato per lo scambio di informazioni tra le autorit competenti negli Stati membri, per consentire loro di rispettare gli obblighi di assistenza reciproca stabiliti dal regolamento CPC. 3.2. Schema delle operazioni di trattamento dei dati nell'ambito del CPCS. Gli utilizzatori del sistema sono la Commissione e le autorit competenti degli Stati membri. In ciascuno Stato membro, inoltre, viene designato a fini di coordinamento un cosiddetto "ufficio unico di collegamento" (vedi il successivo punto 5.3). I dati sono inseriti nel sistema dalle autorit competenti. Ad esempio, un'autorit competente pu inviare una richiesta di informazioni o relativa all'esecuzione della normativa ad un'altra autorit competente. O pu inviare un allarme ad altri Stati membri e alla Commissione. Le informazioni saranno quindi archiviate in una base di dati e potranno essere richiamate da altri utilizzatori ai quali la comunicazione stata inviata, ad esempio dall'autorit cui stato richiesto di effettuare un'azione di esecuzione della normativa, o dalla Commissione. Le cancellazioni sono effettuate dalla Commissione, su richiesta delle autorit degli Stati membri che sono obbligate a informare la Commissione della chiusura dei casi o della infondatezza degli allarmi. Nei casi in cui le infrazioni siano confermate e si dia luogo ad un'azione di esecuzione della normativa, i dati sono conservati per cinque anni a decorrere dalla notifica dell'azione di esecuzione. Le regole relative alla conservazione e alla cancellazione sono descritte e sottoposte a un'ulteriore analisi particolareggiata nei successivi punti 6 e 11. 3.3. Base giuridica del CPCS. La base giuridica del CPCS l'articolo 10 del regolamento CPC il quale stabilisce che "la Commissione mantiene una banca dati elettronica in cui memorizza ed elabora le informazioni pervenute ai sensi degli articoli 7, 8 e 9 del regolamento CPC". Inoltre, l'articolo 12, paragrafo 3, stabilisce che "le richieste di assistenza e tutte le trasmissioni delle informazioni sono effettuate per iscritto, mediante un modello standard, e sono comunicate per via elettronica tramite la banca dati di cui all'articolo 10". Il combinato disposto di questi articoli prevede pertanto che tutte le richieste di assistenza reciproca, gli allarmi e le relative comunicazioni a norma dei capitoli II e III del regolamento CPC devono essere effettuate attraverso il CPCS. 1 Inoltre, la decisione di attuazione stabilisce che gli Stati membri devono informare la Commissione e gli altri Stati membri attraverso un "Forum di discussione", realizzato utilizzando l'infrastruttura CPCS, in merito ai poteri di inchiesta e di esecuzione di cui dispongono le autorit competenti oltre a quelli specificamente stabiliti dal regolamento CPC. 3.4. Decisione di attuazione CPC. Le disposizioni del regolamento CPC applicabili al CPCS sono entrate in vigore il 29 dicembre 2006. Poco prima di questa data, la Commissione, assistita da un Comitato di regolamentazione comprendente rappresentanti degli Stati membri, ha emesso una decisione di attuazione. La decisione di attuazione CPC stabilisce quali campi di dati devono essere inseriti nella base di dati e quale deve essere il contenuto minimo delle richieste, delle risposte e degli allarmi. Prevede inoltre termini per alcune fasi delle procedure di assistenza reciproca e altre misure di applicazione. 3.5. Creazione del CPCS. La configurazione del sistema conforme alle disposizioni del regolamento CPC e della decisione di attuazione CPC. Queste due fonti specificano le principali caratteristiche e delineano taluni aspetti della base di dati. Esse non forniscono tuttavia un insieme completo di orientamenti per la configurazione, la manutenzione, il funzionamento e l'utilizzazione della base di dati. Il CPCS, nella sua forma attuale, stato configurato dalla Commissione, in consultazione con gli Stati membri e con un gruppo di utilizzatori principali composto da rappresentanti delle autorit competenti dei vari Stati membri. In termini tecnici, la Commissione ha costruito il sistema e funge da operatore. I dati sono ospitati sul server della Commissione; i suoi tecnici provvedono al mantenimento del sistema e garantiscono la sua sicurezza. La Commissione pu inoltre procedere ad eventuali modifiche nella configurazione del sistema, ove ci risulti necessario. Il CPCS gi realizzato ed utilizzato, ma alcuni elementi previsti dalla decisione di attuazione CPC sono bloccati: in particolare, non possono attualmente essere utilizzati i campi di dati riguardanti i direttori delle societ, nell'attesa che siano risolte alcune questioni riguardanti la conformit alla normativa sulla protezione dei dati.
4. FLUSSI DI DATI NELL'AMBITO DEL CPCS Il combinato disposto del regolamento CPC e della decisione di attuazione CPC stabilisce nei particolari le categorie di informazioni che possono o devono essere scambiate attraverso il CPCS. 4.1. Disposizioni generali e confidenzialit. Come finalit generale, la decisione di attuazione CPC stabilisce che, formulando una richiesta di assistenza reciproca o un allarme, le autorit competenti devono fornire tutte le informazioni di cui dispongono e che possono essere utili alle altre autorit competenti al fine di soddisfare la richiesta in modo efficiente o di garantire un'adeguata reazione all'allarme. D'altro canto, nelle risposte alle richieste di informazioni, l'autorit interpellata deve fornire tutte le informazioni indicate dall'autorit richiedente e necessarie a stabilire se sussista un'infrazione intracomunitaria o se lo si possa ragionevolmente sospettare. Analogamente, nelle risposte alle richieste di misure di esecuzione, l'autorit interpellata deve informare l'autorit richiedente delle azioni avviate o previste e dei poteri esercitati per soddisfare la richiesta. In entrambi i casi, se un'autorit competente rifiuta di dare seguito a una richiesta, nella risposta deve informare l'autorit richiedente dei motivi del rifiuto (vedi anche il successivo punto 5.4). 4.2. Allarmi e informazioni di ritorno. L'articolo 7, paragrafo 1, del regolamento CPC stabilisce che "allorquando un'autorit competente viene a conoscenza di un'infrazione intracomunitaria o ragionevolmente sospetta che detta infrazione potrebbe verificarsi, essa ne informa le autorit competenti degli Stati membri e la Commissione fornendo quanto prima tutte le informazioni necessarie". L'articolo 7, paragrafo 2, stabilisce inoltre che "allorquando un'autorit competente adotta ulteriori misure di esecuzione o riceve una richiesta di assistenza in relazione alle infrazioni intracomunitarie, essa ne informa le autorit competenti di altri Stati membri e la Commissione". In pratica, l'articolo 7 prevede lo scambio di due tipi di informazioni: Allarmi: messaggi di avvertimento inviati da un'autorit a determinate controparti della rete in altri Stati membri e alla Commissione per informarle sull'esistenza di un'infrazione alla normativa sulla tutela dei consumatori o di un ragionevole sospetto che tale infrazione possa verificarsi; Informazioni di ritorno: quando le autorit competenti adottano ulteriori misure di esecuzione o ricevono richieste di assistenza reciproca, esse informano la Commissione ed altre controparti nella rete in merito alla richiesta ricevuta o alle azioni di esecuzione intraprese. A norma della decisione di attuazione CPC, il CPCS deve contenere i seguenti campi di dati relativi agli allarmi: (i) tipo di infrazione intracomunitaria, (ii) stato dell'infrazione intracomunitaria (accertata, ragionevole sospetto), (iii) base giuridica, (iv) breve sintesi, (v) numero stimato di consumatori lesi e stima del danno finanziario, (vi) eventuali richieste di trattamento riservato, e (vii) documenti allegati (riguardanti in particolare dichiarazioni ed altre prove). Gli allarmi comprendono, inoltre, particolari sul venditore o sul fornitore responsabile di un'infrazione intracomunitaria o di una sospetta infrazione intracomunitaria, come indicato al successivo punto 4.6. 4.3. Cooperazione nell'esecuzione della normativa. L'articolo 8, paragrafo 1, del regolamento CPC stabilisce che "su richiesta dell'autorit richiedente, un'autorit interpellata adotta tutte le misure necessarie per far cessare o vietare l'infrazione intracomunitaria quanto prima possibile." In pratica lo scambio di informazioni comprende a norma dell'articolo 8: Le richieste di misure di esecuzione: un'autorit chiede ad un'altra autorit di adottare azioni adeguate per far cessare una infrazione confermata. Considerando i requisiti posti dall'articolo 12, paragrafo 3 del regolamento CPC, anche le risposte sono date utilizzando il CPCS e attraverso il sistema vengono inviate per via elettronica anche tutte le relative comunicazioni. La decisione di attuazione CPC stabilisce che l'autorit richiedente deve fornire all'autorit interpellata almeno: (a) un'identificazione del venditore o fornitore nei confronti del quale sono richieste le misure; (b) informazioni dettagliate del comportamento o della prassi in questione; (c) caratteristiche giuridiche dell'infrazione intracomunitaria a norma della legislazione applicabile e relativa alla base giuridica; e (d) prova del pregiudizio arrecato agli interessi collettivi dei consumatori, inclusa, se possibile, una stima del numero di consumatori lesi. La decisione di attuazione CPC prevede inoltre che il CPCS contenga i seguenti campi di dati per le richieste di misure di esecuzione: (i) luogo in cui si trovano i consumatori potenzialmente lesi, (ii) nome del prodotto o del servizio, (iii) codice COICOP, (iv) base giuridica, (v) strumento pubblicitario o di vendita in questione, (vi) tipo di infrazione intracomunitaria, (vii) stato dell'infrazione intracomunitaria (accertata, ragionevole sospetto), (viii) numero stimato di consumatori lesi e stima del danno finanziario, (ix) scadenza proposta per fornire la risposta, (x) documenti allegati (riguardanti in particolare dichiarazioni ed altre prove) ed eventuali richieste di trattamento riservato, (xi) indicazione dell'assistenza richiesta, (xii) riferimento all'allarme (se applicabile), (xiii) elenco delle autorit interpellate e degli Stati membri interessati, e (xiv) richiesta di partecipazione di un funzionario competente alle indagini (Articolo 6, paragrafo 3, del regolamento CPC). 4.4. Coordinamento delle attivit di sorveglianza del mercato2. L'articolo 9, paragrafo 1, del regolamento CPC stabilisce che "le autorit competenti coordinano le attivit di sorveglianza del mercato e di esecuzione e a tal fine si scambiano tutte le informazioni necessarie." L'articolo 9, paragrafo 2, aggiunge che "nel caso in cui le autorit competenti vengano a conoscenza di una infrazione intracomunitaria che arrechi pregiudizio agli interessi dei consumatori di pi di due Stati membri, le autorit competenti interessate coordinano il loro intervento e chiedono l'assistenza reciproca attraverso l'ufficio unico di collegamento. In particolare, esse si adoperano per svolgere le indagini e applicare le misure esecutive contemporaneamente." L'articolo 9, paragrafo 3, aggiunge che "le autorit competenti informano anticipatamente la Commissione di tale coordinamento e, se del caso, invitano i funzionari e altre persone accompagnatrici autorizzate dalla Commissione a partecipare." In pratica, lo scambio di informazioni a norma dell'articolo 9, paragrafo 2, comprende situazioni nelle quali sono coinvolte le autorit competenti di almeno tre paesi. In questo caso, le informazioni possono essere scambiate per determinare se si verificata un'infrazione. Anche la Commissione viene informata e pu, se richiesta dalle autorit competenti, partecipare alle indagini. 4.5. Scambio di informazioni su richiesta. L'articolo 6, paragrafo 1, del regolamento CPC stabilisce che "un'autorit interpellata fornisce quanto prima, su richiesta di un'autorit richiedente ................ qualsiasi informazione pertinente necessaria per stabilire se si sia verificata o se vi ragionevole sospetto che possa verificarsi un'infrazione comunitaria." L'articolo 6, paragrafo 2, stabilisce inoltre che "l'autorit interpellata, se necessario con l'assistenza di altre autorit pubbliche, intraprende le indagini del caso o adotta altre eventuali misure necessarie o appropriate ................ al fine di raccogliere le informazioni richieste." L'articolo 10, in base al quale alcuni scambi di informazioni devono avvenire esclusivamente attraverso il CPCS, non fa specifico riferimento all'articolo 6. Tuttavia, in virt dell'articolo 12, paragrafo 3, il quale prevede che "le richieste di assistenza e tutte le trasmissioni delle informazioni sono effettuate per iscritto, mediante un modello standard, e sono comunicate per via elettronica tramite la banca dati di cui all'articolo 10", anche tutti gli scambi di informazioni effettuati a norma dell'articolo 6 devono essere effettuati utilizzando il CPCS. In pratica, lo scambio di informazioni ai sensi dell'articolo 6 comprende: Le richieste di informazioni: richieste che un'autorit rivolge a un'altra di fornire informazioni pertinenti necessarie per stabilire se un'infrazione delle norme sulla tutela dei consumatori si verificata o vi il ragionevole sospetto che possa verificarsi. Considerando i requisiti posti dall'articolo 12, paragrafo 3, anche le risposte sono date utilizzando il CPCS e attraverso il sistema vengono inviate per via elettronica anche tutte le relative comunicazioni. La decisione di attuazione CPC stabilisce che l'autorit richeidente deve almeno (a) informare l'autorit interpellata della natura della sospetta infrazione intracomunitaria e della relativa base giuridica; (b) fornire elementi sufficienti ad identificare il comportamento o la prassi oggetto di indagine; e (c) specificare quali siano le informazioni richieste. La decisione di attuazione CPC elenca inoltre i campi di informazione che il CPCS deve contenere per quanto riguarda le richieste di informazione. Tali campi sono identici a quelli elencati in rapporto alle richieste di esecuzione al precedente punto 4.3. 4.6. Particolari relativi al venditore o fornitore responsabile di infrazioni intracomunitarie o sospettato di infrazioni intracomunitarie. La decisione CPC stabilisce che il CPCS deve comprendere le seguenti categorie di dati relative al venditore o al fornitore responsabile o sospettato dell'infrazione: (i) nome, (ii) altre denominazioni commerciali, (iii) nome dell'eventuale societ madre, (iv) tipo di attivit dell'azienda, (v) indirizzo/i, (vi) indirizzo di posta elettronica, (vii) numero di telefono, (viii) numero di fax, (ix) sito web, (x) indirizzo IP, e (xi) nome/i dell'eventuale direttore dell'azienda. 4.7. Forum di discussione. Come indicato al precedente punto 3.3, il CPCS comprende anche un cosiddetto "Forum di discussione". Tale forum creato in base alle disposizioni della decisione CPC al solo fine di scambiare informazioni riguardanti eventuali poteri aggiuntivi concessi alle autorit competenti. Come suggerisce il nome, si tratta di un forum di discussione non strutturato e non vi sono specifici campi di dati obbligatori previsti dalla decisione di attuazione CPC. 4.8. Trattamento dei dati relativi al personale. La Commissione tratta anche un numero limitato di dati personali (nomi, informazioni di contatto, lingue parlate) del personale che lavora per le autorit competenti e del personale degli uffici unici di collegamento degli Stati membri. Le operazioni di trattamento relative ai dati sul personale, tuttavia, costituiscono un aspetto marginale del CPCS. Queste operazioni di trattamento sono inolte inerenti alla gestione di qualunque base di dati con utilizzatori multipli. Le operazioni di trattamento di questi dati non saranno pertanto ulteriormente analizzate nel presente documento.
5. ACCESSO AI DATI NEL CPCS 5.1 Accesso della Commissione ai dati Accesso della Commissione ai dati a norma del regolamento CPC. Come descritto nel precedente punto 4, secondo quanto stabilito dal regolamento CPC, la Commissione deve avere accesso: agli allarmi (Articolo 7, paragrafo 1), alle informazioni di ritorno (Articolo 7, paragrafo 2, articolo 8, paragrafo 6, e articolo 10, paragrafo 2), e eventualmente anche ad altre informazioni collegate ai casi in questione (Articolo 8, paragrafo 5, articolo 9, paragrafo 3, e articolo 15, paragrafo 5).3 Tuttavia, secondo il regolamento CPC, la Commissione non deve ricevere: le domande di informazioni di cui all'articolo 6, le domande di esecuzione di cui all'articolo 8. Queste richieste di assistenza reciproca sono rivolte solo alle autorit competenti degli Stati membri. L'accesso della Commissione ai dati in virt del documento d'analisi della Commissione. Conformemente alla descrizione contenuta nel documento d'analisi, ai funzionari della Commissione responsabili per il controllo dell'applicazione di uno o pi atti legislativi previsti dal regolamento CPC, e solo per i casi che ricadono nell'ambito di applicazione di tali atti, dato un accesso di sola lettura per seguire le informazioni riguardanti le azioni di esecuzione in virt dell'articolo 8, paragrafo 6 del regolamento CPC. Il documento d'analisi della Commissione non fa riferimento alle informazioni di ritorno per quanto riguarda sia le domande di informazioni sia gli allarmi (Articolo 7, paragrafo 2, e articolo 10, paragrafo 2), anche se probabilmente anche questi flussi di informazioni figurano all'interno della base di dati. Il documento d'analisi della Commissione indica inoltre che i funzionari della Commissione che lavorano nell'unit responsabile per l'attuazione del regolamento CPC hanno accesso a tutte le altre informazioni della base di dati. Essi utilizzano attualmente questi dati solo per seguire l'attuazione del regolamento CPC, in particolare per ricavare dati a fini statistici. A prima vista, ci fa supporre che, contrariamente alle disposizioni del regolamento CPC, questi specifici funzionari della Commissione abbiano un accesso illimitato al CPCS, comprese le richieste di informazoni e le richieste di esecuzione scambiate tra le autorit competenti degli Stati membri e tutti i dati segnalati come confidenziali (vedi il successivo punto 5.4). Le informazioni supplementari fornite dalla DG SANCO durante la preparazione del presente parere hanno tuttavia confermato che ci non esatto. La DG SANCO ha esplicitamente confermato che nessun funzionario della Commissione pu accedere alle richieste di informazioni o alle richieste di esecuzione scambiate tra le autorit competenti degli Stati membri e che l'accesso della Commissione ai dati segnalati come confidenziali limitato, come indicato al successivo punto 5.4.
Infine, secondo il documento d'analisi, i funzionari della Commissione possono partecipare inoltre alle inchieste coordinate o alle azioni di esecuzione in virt dell'articolo 9, paragrafo 3 del regolamento CPC. Questi funzionari hanno pieno accesso alle informazioni collegate ai casi in questione. 5.2. Accesso ai dati da parte delle autorit competenti. Quando le autorit competenti introducono informazioni nel sistema sotto forma di allarmi, di richieste di informazioni o di richieste di esecuzione, spetta a loro decidere quali sono le altre autorit competenti che possono avere accesso a tali informazioni. Ad esempio, le autorit competenti belghe possono inviare solo alla Francia e al Lussemburgo un allarme che sembri loro rilevante solo per il Belgio, la Francia e il Lussemburgo e non per gli altri paesi. Lo stesso vale per le informazioni di ritorno e le altre comunicazioni effettuate attraverso la base di dati. 5.3. Accesso ai dati da parte degli uffici unici di collegamento. Conformemente al regolamento CPC, le richieste di assistenza reciproca (comprendenti sia le richieste di informazioni che le richieste di esecuzione) sono inviate attraverso gli uffici unici di collegamento dell'autorit richiedente e dell'autorit interpellata. Le informazioni comunicate in seguito a una richiesta devono essere comunicate direttamente all'autorit richiedente e contemporaneamente agli uffici unici di collegamento delle autorit richiedente interpellata. Se la cooperazione coinvolge pi di due Stati membri, questi uffici svolgono un ruolo supplementare di coordinamento. In tutti questi casi, gli uffici unici di collegamento possono avere accesso a dati personali, nella misura in cui siano inclusi nelle richieste di assistenza reciproca e nelle rispettive risposte. Tuttavia, gli uffici unici di collegamento non hanno accesso alle informazioni segnalate come confidenziali (vedi il punto 5.4). Occorre notare inoltre che molti uffici unici di collegamento possono svolgere due funzioni: da un lato, esercitano funzioni di coordinamento in quanto uffici unici di collegamento e, d'altro lato, operano anche in qualit di autorit competenti per quanto riguarda talune infrazioni alla normativa sulla tutela dei consumatori. In quest'ultima veste, hanno accesso ai dati in modo analogo a qualunque altra autorit competente. 5.4. Informazioni segnalate come confidenziali. L'articolo 13, paragrafo 3, del regolamento CPC stabilisce che le informazioni memorizzate nel CPCS, la cui rivelazione metterebbe a repentaglio: (i) la protezione della vita privata e l'integrit dell'individuo, (ii) gli interessi commerciali di una persona, (iii) i ricorsi al tribunale e la consulenza giuridica, ovvero (iv) l'obiettivo di ispezioni o indagini, devono essere confidenziali, salvo il caso in cui la divulgazione sia necessaria per ottenere la cessazione o il divieto di un'infrazione intracomunitaria e l'autorit che comunica le informazioni ne autorizzi la divulgazione. La decisione di attuazione CPC, come indicato al punto 4, stabilisce che le autorit che introducono nel sistema richieste di informazioni o di esecuzione o allarmi devono indicare se le informazioni devono essere trattate in modo confidenziale. Analogamente, anche l'autorit interpellata, al momento in cui fornisce le informazioni, deve indicare se tali informazioni devono essere trattate in modo confidenziale. La decisione di attuazione CPC stabilisce inoltre che il CPCS comprende specifici campi di dati destinati ad indicare che i dati scambiati devono essere trattati in modo confidenziale. Secondo il documento di analisi della Commissione, un'autorit competente pu voler segnalare alcune informazioni come confidenziali, ad esempio, quando allega al suo messaggio un documento e tale allegato contiene informazioni confidenziali. Cos come tra la Commissione, le autorit competenti e gli uffici unici di collegamento, la decisione di attuazione del regolamento CPC stabilisce che il fatto di segnalare dati come confidenziali comporta anche che gli uffici unici di collegamento non hanno accesso a tali dati. Nel corso della preparazione del parere, la DG SANCO ha chiaramente precisato che il suo scopo di limitare l'accesso della Commissione alle informazioni segnalate come confidenziali.4 Inoltre, secondo il documento di analisi della Commissione, in alcuni casi alcuni documenti non possono neppure essere divulgati ad "organismi che hanno un interesse legittimo a veder cessare o vietare infrazioni comunitarie" designati sulla base delle disposizioni del regolamento CPC al fine di assistere le autorit competenti in questioni di esecuzione. Conformemente alla decisione di attuazione del regolamento CPC, la divulgazione di informazioni a questi organismi dovrebbe essere sottoposta alla previa approvazione dell'autorit richiedente, precisando la natura e i particolari delle informazioni che possono essere divulgate a questo organismo. Il trattamento confidenziale non impedisce tuttavia la condivisione di dati confidenziali tra le autorit competenti o il loro trasferimento a tribunali o ad altre autorit pubbliche. Per il momento, neppure il testo del regolamento CPC e della sua decisione di attuazione limitano l'accesso della Commissione a questi dati.
6. TERMINI DI CONSERVAZIONE A NORMA DEL REGOLAMENTO CPC E DELLA DECISIONE DI ATTUAZIONE CPC 6.1. Ritiro degli allarmi. L'articolo 10, paragrafo 2, del regolamento CPC stabilisce che "allorch un'autorit competente accerta che una notifica di un'infrazione intracomunitaria da essa effettuata a norma dell'articolo 7 si successivamente rivelata infondata, ritira la notifica e la Commissione sopprime immediatamente le relative informazioni dalla banca dati". In pratica, ci significa che l'autorit competente che ha introdotto un allarme in virt dell'articolo 7 deve ritirare tale allarme e che l'informazione deve essere soppressa immediatamente dalla base di dati dal momento in cui l'autorit competente stabilisce che l'allarme era infondato. 6.2. Casi chiusi in seguito ad esecuzione della normativa. In virt dell'articolo 8, paragrafo 6, "l'autorit interpellata notifica quanto prima all'autorit richiedente, alle autorit competenti degli Stati membri e alla Commissione le misure adottate e i loro effetti sull'infrazione intracomunitaria, anche qualora questa fosse cessata." L'articolo 10, paragrafo 2, stabilisce inoltre che "i dati memorizzati relativi a detta infrazione sono soppressi cinque anni dopo la notifica." In pratica, ci significa che l'autorit interpellata deve notificare alla Commissione le misure di esecuzione adottate e che le informazioni devono essere soppresse dalla base di dati cinque anni dopo tale notifica . 6.3. Casi chiusi in seguito a richieste di informazioni. La decisione recante attuazione del regolamento CPC stabilisce che l'autorit richiedente informa la Commissione e cancella le informazioni dalla banca di dati se, in seguito ad una richiesta di cui all'articolo 6, (a) le informazioni scambiate non danno origine a un allarme o a una richiesta ai sensi dell'articolo 8, oppure (b) viene accertato che non ha avuto luogo alcuna infrazione intracomunitaria. In pratica, ci significa che l'autorit richiedente deve informare la Commissione se la domanda di informazioni non genera un'azione ulteriore di cooperazione, come l'invio di una richiesta di esecuzione o di un allarme, o se viene accertato che non ha avuto luogo alcuna infrazione al regolamento CPC. L'informazione deve allora essere soppressa dalla base di dati.
7. L'ARCHITETTURA DI SICUREZZA DEL CPCS 7.1. Il Centro dati della Commissione. La Commissione fornisce l'infrastruttura tecnica del CPCS, compresa l'assistenza e lo help-desk tecnici. I dati raccolti sono archiviati sul server del Centro dati della Direzione generale Informatica, a Lussemburgo. Questo server funziona secondo le decisioni e disposizioni della Commissione in materia di sicurezza adottate dalla Direzione della sicurezza. Si applica il sistema generale di protezione delle telecomunicazioni e dell'informatica della Commissione europea. L'ambiente del CPCS protetto da sistemi di rilevamento delle intrusioni e contro i virus, la posta elettronica indesiderata ed altri tipi di minacce. protetto da un servizio di protezione dell'accesso (firewall) e da un reverse proxy ubicati presso il Centro di telecomunicazioni DIGIT della Commissione e da questo gestiti. Tutte le transazioni sono criptate attraverso il canale https. Il sistema segue le regole di backup/recupero del Centro dati della Commissione europea. 7.2. La rete TESTA-II. Le informazioni non sono scambiate via Internet, ma attraverso la rete di telecomunicazioni protetta TESTA II, che collega le istituzioni comunitarie e gli organi delle autorit nazionali. TESTA II una rete privata e chiusa. La Commissione ne garantisce la sicurezza sino ai punti di contatto nazionali. L'accesso a questa colonna vertebrale della rete si effettua attraverso punti di collegamento identificati. Tutto il traffico su questa rete criptato. La migrazione verso s-TESTA, attualmente in corso, aumenter ulteriormente la sicurezza. Dai punti di contatto nazionali sino agli utilizzatori, i rispettivi Stati membri sono responsabili della costruzione fisica del collegamento e della vigilanza sulla sua sicurezza. Ciascuno Stato membro deve garantire che solo il personale autorizzato possa accedere a TESTA. La rete non possiede alcuna "finestra" su Internet. accessibile solo per utilizzatori predefiniti e unicamente attraverso ordinatori fisicamente collegati alla rete e situati negli uffici delle autorit nazionali e della Commissione. 7.3. Accesso ai dati. Esistono diversi profili di accesso al CPCS. Tali profili sono determinati dai diritti di accesso ai dati registrati nella base di dati. Le autorit competenti comunicano il nome dei loro utilizzatori alla Commissione. Ogni autorit ha almeno un utilizzatore ma pu avere pi utilizzatori registrati. L'accesso al CPCS concesso solo a un gruppo di utilizzatori ben definiti e identificabili. Ogni accesso nominativo e collegato ad una sola persona. Non autorizzato alcun utilizzatore funzionale. Per accedere all'applicazione, necessario disporre di un login e di un password. La richiesta di un nuovo login presentata dall'ufficio unico di collegamento di ciascun paese. La Commissione crea il login e il password iniziale che viene inviato all'utilizzatore attraverso l'ufficio unico di collegamento. L'utilizzatore deve modificare questo password nel corso del primo collegamento. Il nuovo password deve essere "forte", vale a dire deve essere composto da almeno 8 caratteri e deve contenere un insieme di caratteri alfabetici e numerici. Si prevede di migliorare ulteriormente la sicurezza del sistema: a partire dalla fine di quest'anno, sar necessario inserire almeno tre tipi di caratteri delle quattro famiglie esistenti (lettere minuscole, lettere maiuscole, cifre, segni speciali). Il documento d'analisi della Commissione sottolinea il fatto che la combinazione delle misure suindicate con una rete privata pone l'accesso al CPCS ad un livello di sicurezza adeguato rispetto alla natura dei dati memorizzati e trasferiti attraverso il sistema. gi possibile ampliare ulteriormente la sicurezza a livello nazionale. Se un paese decide di utilizzare, ad esempio, un'attrezzatura di autenticazione criptata sulla base di un chip, tale attrezzatura pu essere integrata facilmente a livello nazionale poich le procedure d'accesso al sistema sono decise a livello dello Stato membro e sono responsabili per il funzionamento e la sicurezza del sistema a partire dai punti di contatto nazionali TESTA-II.
PARTE B: ANALISI
8. RESPONSABILI DEL TRATTAMENTO DEI DATI, NORMATIVE APPLICABILI E AUTORIT DI VIGILANZA 8.1. Le autorit competenti e la Commissione sono designate quali responsabili del trattamento dei dati dal regolamento CPC. L'articolo 2, lettera (d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione dei dati ("Direttiva 95/46/CE") e l'articolo 2, lettera (d), del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonch la libera circolazione dei dati ("Regolamento (CE) n. 45/2001") stabiliscono entrambi che nel caso in cui le finalit e i mezzi del trattamento dei dati personali sono determinati dal diritto comunitario, il responsabile del trattamento pu essere designato dallo stesso diritto comunitario. questo il caso del CPCS, sistema in cui le finalit e i mezzi del trattamento sono definiti dal regolamento CPC, il cui articolo 10 stabilisce specificamente che la Commissione e le autorit competenti agiscono in qualit di responsabili del trattamento in rapporto alle loro specifiche responsabilit, conformemente al regolamento CPC. In particolare, l'articolo 10 stabilisce quanto segue: "In relazione alle loro responsabilit in materia di notifica delle informazioni per la memorizzazione nella banca dati e l'elaborazione dei dati personali ad essa connessi, le autorit competenti sono considerate responsabili del trattamento ai sensi dell'articolo 2, lettera (d), della direttiva 95/46/CE. In relazione alle sue responsabilit in virt del presente articolo e all'elaborazione dei pertinenti dati personali, la Commissione considerata "responsabile del trattamento ai sensi dell'articolo 2, lettera (d), del regolamento (CE) n. 45/2001." 8.2. Le autorit competenti in qualit di responsabili del trattamento dei dati. Ciascuna autorit competente responsabile del trattamento dei dati rispetto alle proprie attivit di trattamento dei dati in qualit di utilizzatore del sistema per le proprie finalit, come stabilito dal regolamento CPC. Essa deve conformarsi alla propria normativa nazionale in materia di protezione dei dati ed soggetta alla supervisione delle proprie autorit nazionali responsabili di tale protezione. 8.3. Gli uffici unici di collegamento in qualit di responsabili del trattamento dei dati. Come abbiamo visto ai punti 5.3 e 5.4, anche gli uffici unici di collegamento ricevono informazioni, eccettuate quelle segnalate come confidenziali, al fine di svolgere i loro ruoli di coordinamento per quanto riguarda la trasmissione delle informazioni e le richieste di esecuzione. Nel fare ci, essi devono conformarsi alla propria normativa nazionale in materia di protezione dei dati e sono soggetti alla supervisione delle proprie autorit nazionali responsabili di tale protezione. 8.4. Il ruolo sui generis della Commissione. Il regolamento CPC designa la Commissione come responsabile del trattamento dei dati in rapporto ai propri compiti e alle proprie responsabilit. Tenuto conto di tali compiti e responsabilit, che comprendono al tempo stesso (i) il funzionamento del CPCS a vantaggio delle autorit competenti degli Stati membri e (ii) l'utilizzazione propria del CPCS, la Commissione possiede un ruolo sui generis, che non pu essere facilmente definito. importante che la natura sui generis di tale ruolo sia riconosciuta e che i compiti e le responsabilit per quanto riguarda il rispetto della protezione dei dati siano chiaramente ripartiti tra la Commissione e le autorit competenti. Le attivit della Commissione sono disciplinate dal regolamento (CE) n. 45/2001 e sono soggette alla supervisione del Garante europeo della protezione dei dati ("GEPD").
9. BASE GIURIDICA 9.1. Applicabilit della direttiva 95/46/CE e del regolamento (CE) n. 45/2001. Il CPCS utilizzato per il trattamento dei dati dei venditori e dei fornitori che sono sospettati di alcune infrazioni alla legislazione relativa alla tutela dei consumatori. Tali venditori e fornitori possono essere persone giuridiche ma, cosa pi importante dal punto di vista della protezione dei dati, possono anche essere persone fisiche. Inoltre, la decisione di attuazione del regolamento CPC prevede campi di dati specifici per lo scambio di informazioni riguardanti i direttori dei venditori o dei fornitori sospettati. Infine, anche i dati personali riguardanti altri individui, ad esempio i proprietari o i dipendenti dei venditori o dei fornitori, i ricorrenti, i funzionari o i testimoni, possono essere contenuti nei documenti allegati e nelle brevi sintesi di cui si fa esplicita menzione nella decisione di attuazione CPC. Non vi dubbio, quindi, che l'utilizzazione del CPCS implica un trattamento di dati personali ai sensi dell'articolo 2, lettera (a), della direttiva 95/46/CE e della corrispondente disposizione del regolamento (CE) n. 45/2001. 9.2. Base giuridica e liceit del trattamento. L'articolo 7, lettera (c), della direttiva 95/46/CE stabilisce che i dati personali possono essere trattati se "il trattamento necessario per adempiere un obbligo legale al quale soggetto il responsabile del trattamento". L'articolo 7, lettera (e), consente inoltre il trattamento se "tale trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati". L'articolo (5), lettere (a) e (b), del regolamento (CE) n. 45/2001 contiene disposizioni analoghe. Articolo 7, lettera (c): obbligo legale dei responsabili del trattamento. Come discusso al punto 3.3, la creazione del CPCS stabilita dal regolamento CPC. Tale regolamento prevede inoltre l'obbligo per tutte le autorit competenti di scambiare i dati concernenti l'assistenza reciproca esclusivamente attraverso le basi di dati. Il regolamento direttamente applicabile alle autorit competenti in tutti gli Stati membri. Articolo 7, lettera (e): esecuzione di un compito di interesse pubblico. Il CPCS partecipa alla lotta contro le infrazioni transfrontaliere alla legislazione europea in materia di tutela dei consumatori, in particolare facilitando il coordinamento delle attivit delle varie autorit competenti in vari Stati membri. Si tratta di una missione di interesse pubblico. La questione della "necessit" analizzata al successivo punto 10.1. Sulla base di quanto precede, il Gruppo di lavoro ritiene che l'articolo 7, lettere (c) e (e), possa essere considerato come una base giuridica adeguata per il trattamento dei dati.
10. QUALIT DEI DATI 10.1. Limitazione a una finalit specifica, nessuna utilizzazione per finalit incompatibili. A norma dell'articolo 6, lettera (b), della direttiva 95/46/CE, i dati personali devono essere "rilevati per finalit determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalit". Il regolamento (CE) n. 45/2001 prevede un requisito analogo. Limitazione a una finalit specifica posta dal regolamento CPC. L'articolo 13, paragrafo 1, del regolamento CPS stabilisce che "le informazioni communicate possono essere utilizzate esclusivamente allo scopo di garantire il rispetto della normativa sulla protezione degli interessi dei consumatori." L'articolo 13, paragrafo 2, aggiunge che "le autorit competenti possono utilizzare come prova qualsiasi informazione, documentazione, constatazione, dichiarazione, copia certificata conforme o risultato istruttorio comunicati, allo stesso titolo dei documenti analoghi ottenuti nel proprio paese." Il Gruppo di lavoro esprime la propria soddisfazione per la limitazione della finalit stabilita per l'utilizzazione dei dati. Sottolinea tuttavia che le finalit consentite e qualunque limitazione di utilizzazione devono essere definite in modo pi preciso a livello operativo. Per questo motivo, il Gruppo di lavoro esprime le seguenti raccomandazioni: L'utilizzazione da parte delle autorit competenti dovrebbe limitarsi a una cooperazione specifica caso per caso. Un rischio inerente alle grandi basi di dati elettroniche di questo tipo che esse siano utilizzate per ricercare sistematicamente individui e profilarli "in funzione dei risultati della ricerca". Tenuto conto del fatto che tale utilizzazione non prevista dal regolamento CPC e che non esiste alcuna protezione al riguardo, il Gruppo di lavoro raccomanda che le informazioni della base di dati siano utilizzate unicamente in rapporto a ciascuna misura di inchiesta o di esecuzione relativa al caso specifico per il quale una richiesta di assistenza reciproca o un allarme sono stati inizialmente comunicati, a meno che ulteriori utilizzazioni siano specificamente previste in una nuova decisione di attuazione CPC e siano adottate adeguate misure di salvaguardia di protezione dei dati. Le finalit per le quali la Commissione pu utilizzare i dati dovrebbero essere chiaramente precisate. In alcuni casi, la Commissione utilizza i dati a fini precisati nel regolamento CPC, in particolare per assistere le autorit competenti in talune controversie o per partecipare essa stessa ad inchieste coordinate che coinvolgono pi di due paesi (vedi successivo punto 10.2). Si tratta di utilizzazioni consentite, definite nel regolamento CPC. Tuttavia, nell'insieme, il regolamento CPC non specifica esplicitamente quale dovrebbe essere la finalit dell'utilizzazione e dell'accesso della Commissione ai dati. il caso per quanto riguarda gli allarmi e le informazioni di ritorno. Si presuppone che la Commissione possa avere accesso a questi dati in modo da poter (i) seguire l'applicazione del regolamento CPC, (ii) seguire l'applicazione di una legislazione specifica relativa alla tutela dei consumatori coperta dal regolamento CPC (le direttive e i regolamenti indicati nel suo allegato), e (iii) riunire informazioni statistiche in rapporto con l'adempimento di tali doveri. Tali utilizzazioni sono consentite. La Commissione dovrebbe tuttavia assicurarsi che i dati personali che figurano nell'allarme e nelle informazioni di ritorno che essa riceve non siano utilizzati per ulteriori finalit non precisate. Esse dovrebbero essere chiaramente specificate in una nuova decisione di attuazione del regolamento CPC e anche l'architettura del CPCS dovrebbe essere ristrutturata di conseguenza. 10.2. Necessit e proporzionalit Conformemente all'articolo 6, lettera (c), della direttiva 95/46/CE, i dati personali devono essere "adeguati, pertinenti e non eccedenti rispetto alle finalit per le quali vengono rilevati e/o per le quali vengono successivamente trattati". Inserimento di dati predefiniti e opzionali; accesso limitato alla base di dati. In primo luogo, il Gruppo di lavoro esprime soddisfazione per il fatto che la decisione recante attuazione del regolamento CPC comprende un elenco definito dei campi di dati che possono essere inseriti nella base di dati. In secondo luogo, si felicita per il fatto che la decisione non richiede che tutti i campi di dati siano completati ogni volta, ma, al di l dei requisiti minimi essenziali, lascia all'autorit competente per l'inserimento dei dati il compito di decidere quale campo di dati completer e sino a quale livello di dettaglio. In terzo luogo, il Gruppo esprime soddisfazione per il fatto che solo le autorit competenti designate da ciascuno Stato membro hanno accesso al CPCS e, tra queste autorit, solo funzionari specificamente identificati. Analisi di proporzionalit caso per caso. Il Gruppo di lavoro esprime inoltre soddisfazione per il fatto che l'elenco dei campi di dati sembra nell'insieme ragionevole e non eccessivo per le finalit perseguite dal CPCS (le eccezioni e le preoccupazioni sono indicate pi avanti). Ci detto, il Gruppo di lavoro non pu determinare in anticipo se l'utilizzazione di tutti i campi di dati sia adeguata a tutti i casi particolari. Alcuni campi di dati sono inoltre definiti in modo cos ampio che spetta quasi totalmente al funzionario incaricato dell'applicazione che introduce i dati in ogni caso particolare decidere quanti dati personali saranno memorizzati nella base di dati. Ad esempio, un allegato pu contenere copie di fatture che riprendono nomi di clienti e numeri di conti bancari, ovvero un elenco di indirizzi elettronici di clienti ai quali uno spammer ha inviato messaggi. Il carattere adeguato dell'inserimento di questi dati nella base dipender dal caso particolare. Per questo motivo il Gruppo di lavoro constata che la "necessit" e la "proporzionalit" del trattamento dei dati devono essere analizzate in concreto, per ciascun caso particolare, quando le informazioni sono inserite o recuperate e utilizzate. In particolare, le autorit competenti devono assicurarsi, per ciascun inserimento di informazioni, (i) di inserire solo le informazioni personali che sono strettamente necessarie ai fini di un'efficace cooperazione e (ii) di condividere le informazioni unicamente con le autorit competenti degli altri Stati membri che hanno bisogno di accedere alle informazioni. Esse devono inoltre garantire di conservare i dati personali nella base di dati solo il tempo necessario ai fini della cooperazione. Formazione dei funzionari incaricati dell'applicazione, orientamenti per l'utilizzazione della base di dati, mezzi tecnici per ricordare i requisiti dell'analisi di conformit. Si tratta di una valutazione che i funzionari incaricati dell'applicazione devono effettuare ogni volta che trasferiscono o trattano in qualunque altro modo informazioni. Questi funzionari dovrebbero essere consapevoli dell'importanza di una seria analisi di proporzionalit caso per caso. Al fine di garantire che la Commissione e le autorit competenti trattino i dati conformemente al principio di qualit dei dati, il Gruppo di lavoro raccomanda che la Commissione, in quanto gestore del sistema, elabori una serie di orientamenti ("Orientamenti CPCS") destinati ai funzionari incaricati dell'applicazione che hanno accesso al CPCS e che descrivono le regole da seguire al fine di garantire la conformit con le norme di protezione dei dati. Questi orientamenti dovrebbero essere redatti in modo da essere facilmente compresi da persone che non possiedono conoscenze specifiche nel settore della protezione dei dati. Gli orientamenti potrebbero, ad esempio, assumere la forma di FAQ (Frequently Asked Questions, domande pi frequenti) inserite nel CPCS e disponibili per tutti gli utilizzatori. Dovrebbero comprendere tutti gli aspetti della protezione dei dati del CPCS, ma ponendo in particolare l'accento sulla questione dell'analisi della proporzionalit caso per caso. Anche se spetta alla Commissione elaborare gli orientamenti del CPCS, sono in definitiva le autorit competenti che, per quanto riguarda la maggior parte delle operazioni di trattamento (ad esempio, l'inserimento di informazioni nel CPCS, la designazione dei destinatari degli allarmi), e in virt della loro legislazione nazionale, rimangono responsabili della conformit agli obblighi relativi alla protezione dei dati, compresa la realizzazione dell'analisi di proporzionalit caso per caso. Per questo motivo, al fine di ottenere un livello elevato di conformit, il contenuto degli orientamenti ed elementi di protezione dei dati dovrebbero anche essere pienamente integrati nella formazione impartita ai funzionari incaricati dell'applicazione delle normative per quanto riguarda l'utilizzazione del CPCS. Infine, nella misura in cui ci risulti realizzabile dal punto di vista tecnico e operativo, le caratteristiche tecniche del CPCS dovrebbero essere modificate per incentivare i funzionari incaricati dell'applicazione a valutare gli aspetti relativi alla protezione dei dati ogni volta che accedono alla base dei dati. Ancora una volta, queste caratteristiche non dovrebbero essere limitate all'aspetto della proporzionalit. Informazioni concernenti i direttori. Il regolamento CPC non propone n richiede specificamente che le informazioni concernenti i direttori dei venditori o dei fornitori sospettati o imputati di infrazione figurino nella base di dati. La decisione di attuazione del regolamento CPC richiede tuttavia la creazione di campi di dati per i nomi dei direttori in rapporto a qualunque scambio di informazioni, cos come prevede l'inserimento di dati relativi all'indirizzo e al numero di telefono del venditore o del fornitore. Il Gruppo di lavoro riconosce che lo scambio di informazioni relative ai direttori dei venditori o dei fornitori pu risultare in alcuni casi necessario. Ad esempio, le stesse persone possono utilizzare una serie di strutture societarie come mezzi per svolgere attivit fraudolente. Per questo motivo i funzionari incaricati dell'applicazione possono avere legittimamente bisogno di scambiarsi informazioni su tali persone. Il Gruppo di lavoro sottolinea, tuttavia, che questo scambio di informazioni solleva al tempo stesso gravi preoccupazioni in materia di protezione della sfera privata. In effetti, il fatto di inserire informazioni riguardanti direttori nel CPCS pu, in alcune situazioni, comportare gravi violazioni della tutela della vita privata e pu portare ad accusare questi individui di essere "colpevoli per associazione", il che potrebbe danneggiare la loro reputazione e le loro prospettive professionali. La Commissione consapevole di questo problema e ha deciso sino ad oggi di bloccare questa funzione della base di dati. Per questo motivo, il Gruppo di lavoro raccomanda che gli orientamenti del CPCS prevedano specificamente che i funzionari incaricati dell'applicazione debbano valutare in ciascun caso se l'inserimento del nome del direttore sia o no opportuno. Informazioni concernenti i consumatori, i ricorrenti ed altri terzi nelle "brevi sintesi" e negli "allegati". Tra i campi di dati che possono essere utilizzati in caso di allarme, di richieste di informazioni e di richieste di esecuzione, la decisione di attuazione del regolamento CPC comprende un campo per i "documenti allegati". Prevede inoltre "brevi sintesi " nei casi di allarme. possibile che i documenti allegati o le brevi sintesi contengano dati personali sui ricorrenti, i clienti, i testimoni, i dipendenti, i proprietari, i funzionari o altri terzi. Ad esempio, un allegato pu contenere copie di fatture che riprendono nomi di clienti e numeri di conti bancari o un elenco di indirizzi elettronici cui stata inviata posta indesiderata. La comunicazione di alcuni di questi documenti, compresi i dati personali, pu essere giustificata in alcune circostanze. Il Gruppo di lavoro raccomanda tuttavia che, ogni volta che ci risulti possibile, i dati personali siano omessi dalle brevi sintesi e obliterati o rimossi in altro modo dai documenti allegati (ad esempio, annerendo i nomi, gli indirizzi o i numeri delle carte di credito). In caso di dubbio riguardante la necessit di trasferire informazioni o documenti contenenti dati personali, il Gruppo di lavoro raccomanda che tali dati personali siano soppressi. Nel caso in cui risultasse in seguito che il destinatario ha bisogno di una copia integrale di un documento, ad esempio a fini probatori, egli avr sempre la possibilit di richiedere le informazioni mancanti alla parte che ha inizialmente fornito il documento. Queste raccomandazioni dovrebbero essere chiaramente precisate negli orientamenti del CPCS. Dati personali nel "Forum di discussione". Come indicato al precedente punto 3.3, la decisione di attuazione del regolamento CPC prevede che gli Stati membri debbano informare la Commissione e gli altri Stati membri, attraverso un "Forum di discussione" previsto nella infrastruttura del CPCS, in merito ad eventuali poteri aggiuntivi concessi alle autorit competenti diversi da quelli specificamente previsti in virt del regolamento CPC. Durante la preparazione del presente parere, la DG SANCO ha spiegato che si prevede di utilizzare il forum di discussione unicamente per lo scambio di informazioni relative a questioni come nuovi poteri di esecuzione o migliori prassi. pertanto improbabile che gli scambi di informazioni sul forum contengano dati personali. in ogni caso importante sottolineare che questo forum non deve servire a scambiare dati collegati ai casi analizzati e non dovrebbe, come regola generale, contenere dati personali. Anche questo elemento dovrebbe essere precisato negli orientamenti del CPCS. Sospetto "ragionevole". Il Gruppo di lavoro sottolinea inoltre che i dati concernenti i sospetti di infrazione dovrebbero essere inseriti solo se tali sospetti sono "ragionevoli". L'interpretazione dell'espressione "sospetto ragionevole" lasciata agli Stati membri, ma il Gruppo di lavoro sottolinea che nessun dato pu essere inserito nel CPCS se non esistono almeno informazioni significative, o alcuni elementi di prova secondo i quali un'infrazione si effettivamente verificata. Si tratta di un altro aspetto da discutere negli orientamenti del CPCS. I diritti di accesso della Commissione dovrebbero essere pi limitati. Anche se il linguaggio utilizzato nel documento di analisi della Commissione ha inizialmente suscitato dubbi al riguardo, sembra che l'attuale accesso della Commissione ai dati non vada al di l di quanto sia richiesto dal regolamento CPC. Il Gruppo di lavoro esprime soddisfazione per tale aspetto e sottolinea l'importanza che l'accesso della Commissione sia strettamente limitato a quanto previsto dal regolamento CPC. In particolare, la Commissione non dovrebbe avere alcun accesso alle comunicazioni tra gli Stati membri concernenti le richieste di informazioni in virt dell'articolo 6 o le richieste di esecuzione in virt dell'articolo 8. Sono anche considerati con favore i piani della DG SANCO volti a limitare (con alcune eccezioni) l'accesso della Commissione alle informazioni qualificate come confidenziali. Come abbiamo visto al punto 5.1, le informazioni di ritorno per quanto concerne le richieste di informazioni e le richieste di esecuzione devono essere inviate alla Commissione a norma dell'articolo 7, paragrafo 2, e dell'articolo 8, paragrafo 6, del regolamento CPC. Queste informazioni di ritorno contengono verosimilmente sufficienti informazioni di alto livello che consentono alla Commissione di seguire l'applicazione del regolamento CPC e di recuperare e compilare informazioni statistiche aggregate. Un accesso sistematico a tutti i dati collegati ai vari casi nelle richieste di informazioni e di esecuzione non dovrebbe pertanto essere necessario, anche per ricavare informazioni statistiche. La nuova decisione di attuazione del regolamento CPC dovrebbe limitare specificamente l'accesso della Commissione a quanto stabilito dal regolamento CPC e a quanto strettamente necessario per il compimento della sua missione. L'architettura del CPCS dovrebbe pertanto essere configurata coerentemente con questo aspetto. L'accesso da parte delle autorit competenti dovrebbe essere limitato alle loro esigenze di informazione. Il CPCS consente attualmente a ciascuna autorit competente di designare liberamente i destinatari dei messaggi di allarme. Non si pu quindi escludere attualmente che un'autorit competente diffonda allarmi pi ampiamente di quanto sia strettamente necessario per le finalit di allertamento, "unicamente a titolo di informazione". Le autorit competenti devono essere consapevoli del fatto che esse devono valutare l'utilit di tali trasferimenti a tutti i destinatari caso per caso e non diffondere informazioni pi ampiamente di quanto richieda una cooperazione efficace. Si tratta di un elemento che deve essere trattato negli orientamenti CPCS e preso in considerazione nell'architettura del sistema. Nel corso della preparazione del presente parere, la DG SANCO ha indicato che essa intende configurare il sistema in modo tale che le informazioni di ritorno di cui all'articolo 8, paragrafo 6, e all'articolo 7, paragrafo 2, siano inviate a tutte le autorit responsabili per l'applicazione delle legislazioni collegate alla direttiva sulla tutela dei consumatori o al regolamento in questione (ad esempio, la direttiva sul commercio elettronico o sulla multipropriet). Il Gruppo di lavoro raccomanda che le questioni riguardanti i destinatari e il contenuto delle informazioni di ritorno siano disciplinati a livello della nuova decisione di attuazione CPC dopo aver valutato attentamente la proporzionalit dell'approccio proposto. 10.3. Accuratezza. L'articolo 6, paragrafo 1, lettera (d), della direttiva 95/46/CE richiede che i dati siano esatti e, se necessario, aggiornati", e che devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalit per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati. Il regolamento (CE) n. 45/2001 prevede requisiti analoghi. Come vedremo al punto 11 riguardante il periodo di conservazione, il CPCS cos come concepito attualmente non garantisce sufficientemente che i dati potenzialmente obsoleti non restino nella base di dati per lunghi periodi, ad esempio quando i casi si trascinano senza che sia adottata una misura o se l'autorit competente "dimentica" di informare la Commissione della chiusura di un caso specifico. A tale riguardo, il Gruppo di lavoro ritiene che una revisione periodica delle informazioni da parte dell'autorit competente che le ha fornite contribuirebbe a garantire l'esattezza dei dati memorizzati nel CPCS. Al fine di incoraggiare gli utilizzatori ad effettuare tale revisione, la base di dati potrebbe contenere un avviso pro-memoria che li avvertirebbe periodicamente,ad esempio ogni sei mesi o una volta l'anno, e chiederebbe loro di verificare l'esattezza delle informazioni che hanno inserito. Le informazioni sarebbero quindi marcate elettronicamente da un segnale dal quale risulterebbe che la verifica stata effettuata. Dovrebbe inoltre essere possibile aggiungere commenti riguardanti lo status del caso.
11. PERIODO DI CONSERVAZIONE L'articolo 6, paragrafo 1, lettera (e), della direttiva 95/46/CE prevede che i dati personali debbano essere "conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalit per le quali sono rilevati o sono successivamente trattati". I periodi di conservazione descritti al precedente punto 6 sollevano importanti preoccupazioni per quanto riguarda la protezione dei dati. In effetti, senza le protezioni e i limiti necessari, il CPCS rischia di diventare una gigantesca base di dati contenente informazioni obsolete e inesatte, conservate per lunghi periodi di tempo e utilizzate da autorit competenti che ricercano informazioni a fini non precisati dal regolamento CPC. 11.1. Periodo di conservazione di cinque anni dopo l'esecuzione della normativa. Il regolamento CPC prevede l'obbligo di conservare i dati relativi ad infrazioni per cinque anni se stata adottata una misura di esecuzione, senza precisare tuttavia la finalit di tale conservazione per un periodo cos lungo. Quest'obbligo rischia di trasformare il CPCS in una base di dati europea di imprese iscritte su una lista nera. Le persone fisiche, venditori o fornitori, ed inoltre i direttori, i dipendenti o le altre persone coinvolte che figurano nella base di dati potrebbero essere considerati come non degni di fiducia sulla base di ci che potrebbe essere a volte solo una semplice associazione con una impresa che ha commesso un'infrazione. Non possibile sapere se tale fosse l'intenzione dei legislatori. chiaro tuttavia che essi non hanno reso esplicita tale intenzione o fornito le garanzie necessarie di protezione dei dati al fine di garantire che essi possano essere utilizzati in modo sicuro per queste finalit supplementari. Il Gruppo di lavoro ribadisce a questo punto il suo rammarico per non essere stato consultato in tempo utile prima dell'adozione del regolamento CPC. Se ci fosse avvenuto, avrebbe espresso serie preoccupazioni quanto alla proporzionalit del termine di cinque anni e avrebbe inoltre insistito affinch le finalit della conservazione dei dati fossero chiaramente precisate. Il Gruppo di lavoro mantiene queste preoccupazioni ed auspica una modifica del regolamento CPC. Tuttavia, considerando che deve esprimere il suo parere in merito a posteriori, il Gruppo raccomanda, come misura pratica, che sino a quando i legislatori non avranno modificato il regolamento CPC sia per precisare la finalit di tale periodo di conservazione sia per eliminarlo, la Commissione e le autorit competenti interpretino l'obbligo di conservazione per cinque anni nel modo pi restrittivo possibile e, allo stesso tempo, introducano una serie di garanzie minime. Ci comporta, tra l'altro, un chiarimento favorevole alla protezione dei dati e una risposta alle seguenti domande: Qual' la finalit principale del periodo quinquennale di conservazione dei dati? A quali dati si applica questo periodo? Quando le informazioni devono essere oggetto di una notifica in vista della loro cancellazione? Tali questioni dovebbero trovare una risposta al fine di garantire che sia conservata solo la quantit minima di dati personali necessaria per una cooperazione efficace. Le risposte dovrebbero essere formalizzate in una nuova decisione di attuazione del regolamento CPC e le modifiche dovrebbero essere applicate anche nell'architettura del sistema del CPCS. 11.2. Casi che sono "dimenticati" o per altri motivi non notificati per la cancellazione. Il regolamento CPC e la sua decisione di attuazione prevedono l'obbligo per le autorit competenti di informare la Commissione quando i casi sono chiusi o quando le autorit competenti qualificano come infondato un allarme. Vi sono tuttavia alcune lacune che devono essere colmate. Tra di esse indichiamo le seguenti: Un'autorit competente pu semplicemente decidere di non chiudere un caso aperto anche se non stata adottata alcuna misura investigativa e nessuna nuova informazione apparsa per un lungo periodo di tempo. In altre parole, i casi a volte semplicemente si trascinano. Un'autorit competente pu anche chiudere un caso, ma "dimenticare" di informare la Commissione che i dati relativi a tale caso devono essere cancellati dalla base di dati. L'autorit interpellata pu finire per non prendere misure di esecuzione poich l'infrazione cessa per un'altra ragione (ad esempio, un'azione legale intentata da terzi). In questo caso, la Commissione non ne informata. Per rispondere a queste preoccupazioni, il Gruppo di lavoro raccomanda di invertire la "logica" della conservazione e della cancellazione dei dati: i casi dovrebbero essere considerati chiusi dopo un ragionevole lasso di tempo a decorrere dall'invio della richiesta di informazioni o di esecuzione e i dati dovrebbero essere cancellati dal CPCS in quel momento, dopo aver avvertito le autorit competenti interessate che dovrebbero avere la possibilit di confermare che il caso rimane aperto. La proroga del termine di conservazione dovrebbe essere concessa unicamente per un periodo determinato, in modo tale che la necessit del mantenimento della registrazione sia rivista periodicamente. Se l'autorit competente non richiede una proroga, tutte le informazioni collegate al caso dovrebbero essere soppresse. Per garantire che le informazioni non siano cancellate "per errore", il sistema potrebbe prevedere allarmi ripetuti e "periodi di grazia" ragionevoli per trattare la situazione quando un'autorit competente non reagisce rapidamente. Durante la preparazione del presente parere, la DG SANCO ha spiegato di essere gi in procinto di creare un sistema volto a garantire che le autorit competenti ricevano avvisi pro memoria periodici, ogni sei o dodici mesi, quando alcuni loro casi appaiano come "in sonno". Il Gruppo di lavoro esprime soddisfazione per questa iniziativa e incoraggia l'ulteriore sviluppo di questi piani al fine di rispondere in modo pi completo alla raccomandazione contenuta nel presente parere. 11.3 Conservazione dei dati al di fuori del CPCS. Il Gruppo di lavoro segnala infine che, in questo documento, non affronta la questione della durata durante la quale un'autorit competente pu conservare al di fuori del sistema i dati che vi sono scambiati, ad esempio in una copia su supporto cartaceo allegata al dossier relativo ad un caso specifico. Richiama tuttavia l'attenzione delle autorit competenti della Commissione sul fatto che la legislazione e i principi della protezione dei dati si applicano allo stesso modo alla memorizzazione delle informazioni al di fuori del CPCS.
12. TRATTAMENTO DEI DATI SENSIBILI 12.1. Origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza a sindacati, salute o tendenze sessuali. L'articolo 8 della direttiva 95/46/CE vieta il trattamento di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonch il trattamento di dati relativi alla salute e alla vita sessuale. L'articolo 10 del regolamento (CE) n. 45/2001 contiene un divieto analogo. Nessun dato di questa natura sistematicamente trattato dal CPCS, anche se il regolamento CPC o la decisione che lo applica non vietano specificamente tale trattamento ed possibile che questi dati possano occasionalmente figurare nelle informazioni scambiate. Ad esempio, informazioni sensibili su un cliente possono figurare in un documento allegato come prova di acquisto di alcuni prodotti o servizi. Il Gruppo di lavoro raccomanda che la decisione di attuazione del regolamento CPC sia modificata per vietare esplicitamente il trattamento di questa categoria speciale di dati consentendo al tempo stesso, se necessario, alcune eccezioni strettamente definite. 12.2. Dati relativi a reati, sospetti di reati e misure di sicurezza. L'articolo 8, paragrafo 5, della direttiva 95/46/CE stabilisce che "i trattamenti riguardanti i dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza possono essere effettuati solo sotto controllo dell'autorit pubblica, o se vengono fornite opportune garanzie specifiche, sulla base del diritto nazionale, fatte salve le deroghe che possono essere fissate dallo Stato membro in base ad una disposizione nazionale che preveda garanzie appropriate e specifiche. Tuttavia, un registro completo delle condanne penali pu essere tenuto solo sotto il controllo dell'autorit pubblica." Il CPCS comprende sistematicamente dati relativi alle infrazioni o ai sospetti di infrazioni, in particolare le attivit che violano la legislazione sulla tutela dei consumatori. Pu trattarsi di illeciti amministrativi o penali. Anche le sanzioni amministrative, le condanne penali, le sentenze nelle cause civili e le misure di sicurezza possono figurare nella base di dati. Il regolamento CPC, che direttamente applicabile negli Stati membri, autorizza il trattamento di questi dati. Il Gruppo di lavoro sottolinea tuttavia che non bisogna ritenere che il regolamento CPC autorizzi globalmente e incondizionatamente questo trattamento di dati sensibili. L'utilizzazione dei dati deve essere limitata a specifiche finalit di assistenza reciproca, come stabilito nel regolamento CPC. 12.3. Numero nazionale di identificazione. L'articolo 8, paragrafo 7, della direttiva 95/46/CE stabilisce che gli Stati membri "determinano a quali condizioni un numero nazionale di identificazione o qualsiasi altro mezzo identificativo di portata generale pu essere oggetto di trattamento". A sua volta, l'articolo 10, paragrafo 6, del regolamento (CE) n. 45/2001 prevede che "il Garante europeo della protezione dei dati stabilisce le condizioni generali alle quali un numero personale o qualsiasi altro mezzo di identificazione di uso generale pu essere trattato da un'istituzione o un organismo della Comunit". N il regolamento CPC, n la decisione di attuazione di questo regolamento, n il documento d'analisi della Commissione suggeriscono che numeri nazionali di identificazione saranno utilizzati sistematicamente nel CPCS. La decisione, quando specifica i vari campi di dati che devono servire a identificare un venditore o un fornitore, menziona altre informazioni, come l'indirizzo e i numeri di telefono, ma non prevede una registrazione specifica per i numeri nazionali di identificazione. Ci detto, non si pu escludere che un funzionario di un'autorit competente incaricato dell'applicazione non possa inserire i numeri nazionali di identificazione di alcune persone, ad esempio le persone fisiche venditori o fornitori, i direttori o i dipendenti, i ricorrenti, i testimoni o altre parti. Tenuto conto della natura sensibile dei numeri nazionali di identificazione, almeno in alcuni Stati membri, il Gruppo di lavoro raccomanda di evitare di utilizzare questi numeri nazionali nel CPCS, a meno che l'identificazione non sia strettamente necessaria e non possa essere effettuata ricorrendo ad altri mezzi (ad esempio, utilizzando l'indirizzo, il titolo della funzione o un altro elemento di identificazione). In ogni caso, se i numeri nazionali di identificazione devono essere utilizzati in queste circostanze eccezionali, sar opportuno prendere pienamente in considerazione le eventuali restrizioni imposte dalle legislazioni nazionali sulla protezione dei dati al momento di inserire o di trattare questi dati.
13. ESENZIONI E LIMITAZIONI L'articolo 13, paragrafo 4, del regolamento CPC prevede che, ai fini dell'applicazione di questo regolamento, "gli Stati membri adottano le misure legislative necessarie per limitare i diritti e gli obblighi di cui agli articoli 10, 11 e 12 della direttiva 95/46/CE nella misura in cui ci sia necessario per salvaguardare gli interessi di cui all'articolo 13, paragrafo 1, lettere (d) e (f) di tale direttiva. La Commissione pu limitare i diritti e gli obblighi di cui agli articoli 4, paragrafo 1, 11, 12, paragrafo 1, da 13 a 17 e 37, paragrafo 1, del regolamento (CE) n. 45/2001, laddove tale limitazione costituisca una misura necessaria per salvaguardare gli interessi di cui all'articolo 20, paragrafo 1, lettere (a) ed (e) di tale regolamento." Questa disposizione non sostituisce il sistema eterogeneo preesistente, nel quale le limitazioni ai diritti delle persone ineressate, in particolare i loro diritti in materia di informazione e di accesso, variavano conformemente alle diverse esenzioni legislative adottate dai vari Stati membri. Ci pu essere comprensibile tenuto conto delle differenze esistenti tra gli Stati membri in materie che implicano procedure penali, amministrative o giudiziarie e l'accesso ai documenti relativi a tali procedure. Tuttavia, la mancanza di armonizzazione a tale riguardo rende anche particolarmente difficile la conformit alla protezione dei dati e la cooperazione tra gli Stati membri per quanto riguarda le autorizzazioni di accesso, come mostreremo nel seguente punto 15. Al fine di creare un terreno comune di intesa e di incoraggiare i legislatori nazionali ad elaborare una serie di principi comuni, il Gruppo di lavoro esprime le seguenti raccomandazioni. 13.1. Deroghe e restrizioni posti dagli Stati membri. L'articolo 13, paragrafo 1, lettera (d), prevede che le restrizioni sono possibili quando costituiscono una misura necessaria alla salvaguardia "della prevenzione, della ricerca, dell'accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni". L'articolo 13, paragrafo 1, lettera (f), precisa inoltre che la stessa eccezione si applica a "un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l'esercizio dei pubblici poteri" in virt dell'articolo 13, paragrafo 1, lettera (d). Il Gruppo di lavoro raccomanda che gli Stati membri, quando adottano misure volte a limitare i diritti e gli obblighi di cui agli articoli 10, 11 e 12 della direttiva 95/46/CE, prendano in considerazione il fatto che tali restrizioni devono essere limitate a quanto strettamente necessario per salvaguardare l'interesse indicato all'articolo 13, paragrafo 1, lettere (d) ed (f), della direttiva 95/46/CE. In primo luogo, qualunque restrizione dovrebbe applicarsi unicamente fatti salvi i diritti all'informazione delle persone interessate in virt degli articoli 10 e 11 della direttiva 95/46/CE o i loro diritti di accesso, di rettifica, di cancellazione o di congelamento conformemente all'articolo 12. La restrizione di qualunque altro diritto di cui all'articolo 13 della direttiva 95/46/CE, in particolare i principi relativi alla qualit dei dati o all'esigenza di notifica alle autorit incaricate della protezione dei dati, non consentita. In secondo luogo, n la direttiva 95/46/CE n il regolamento (CE) n. 45/2001 prevedono una regola globale e sistematica che privi dei loro diritti di informazione e di accesso tutte le persone interessate i cui dati possono essere trattati in relazione a illeciti penali e infrazioni alla deontologia di professioni regolamentate. L'adozione di misure restrittive non dovrebbe essere arbitraria n sproporzionata, e neppure limitare sistematicamente il diritto di informazione delle persone interessate o il loro diritto di accesso ai loro dati personali. Le eventuali restrizioni possono essere consentite solo se la fornitura di informazioni alle persone interessate o la concessione di un diritto d'accesso non reca pregiudizio alle finalit "della prevenzione, della ricerca, dell'accertamento e del perseguimento". In altri termini, per riprendere la terminologia dell'articolo 13, paragrafo (3), del regolamento CPC, qualunque restrizione consentita solo se la concessione dei diritti alle persone interessate "metterebbe a repentaglio l'obiettivo di ispezioni o indagini". Anche se auspicabile un orientamento legislativo generale quanto ai casi per i quali ci sarebbe possibile, necessaria un'analisi dei fatti caso per caso per determinare se una restrizione dei diritti d'accesso alle informazioni consentita. Gli orientamenti del CPCS sopramenzionati dovrebbero precisare le varie fattispecie. In terzo luogo, le eccezioni ai diritti di protezione dei dati si applicano solo temporaneamente, per il periodo necessario a salvaguardare le finalit "della prevenzione, della ricerca, dell'accertamento e del perseguimento". In quarto luogo, le persone interessate devono essere informate sui principali motivi sui quali si basa la restrizione e sul loro diritto di ricorrere alle autorit nazionali incaricate della protezione dei dati. La fornitura di informazioni pu essere differita per tutto il tempo in cui tali informazioni priverebbero la restrizione dei suoi effetti. Infine, e in ogni caso, il Gruppo di lavoro raccomanda che qualunque limitazione sia chiaramente indicata nelle dichiarazioni sulla protezione dei dati personali delle varie autorit competenti. 13.2. Deroghe e restrizioni poste dalla Commissione. Il regolamento CPC prevede possibilit analoghe per la Commissione di restringere i diritti delle persone interessate. Tuttavia, i diritti della Commissione sono pi estesi di quelli degli Stati membri. In particolare, la Commissione pu anche limitare le disposizioni del regolamento (CE) n. 45/2001 per quanto riguarda la qualit dei dati e pu conservare i dati sul traffico delle comunicazioni relativi agli utenti alla fine della chiamata o di altro collegamento. Il Gruppo di lavoro sottolinea che tutte le osservazioni sopra enunciate a proposito delle limitazioni che possono essere applicate dalle autorit competenti negli Stati membri si applicano anche alla Commissione. Il Gruppo di lavoro esprime inoltre preoccupazione per la possibilit che il regolamento CPC attribuisce alla Commissione di limitare le disposizioni del regolamento (CE) n. 45/2001 per quanto riguarda (i) la qualit dei dati e (ii) la conservazione dei dati sul traffico delle comunicazioni. La possibilit di restrizioni dei principi fondamentali, come quelli che si riferiscono alla qualit dei dati, deve limitarsi strettamente ai casi nei quali una restrizione risulta indispensabile. Il Gruppo di lavoro ha infatti difficolt ad immaginare una situazione che giustificherebbe restrizioni nel contesto di una cooperazione tra le autorit incaricate della tutela dei consumatori, ad esempio per quanto riguarda la pubblicit ingannevole, i viaggi "tutto compreso" o la multipropriet, anche in presenza di attivit fraudolente. Quanto alla possibile conservazione dei dati sul traffico delle comunicazioni da parte della Commissione, il Gruppo di lavoro non riesce a capire per quale finalit tale disposizione possa essere invocata, considerando che tutti i dati sul traffico delle comunicazioni nel CPCS si riferiscono a scambi di informazioni tra autorit competenti e che non vi sono motivi per cui la Commissione conservi il contenuto di tali comunicazioni al di l di quanto consentito in altri casi (ad esempio, per sei mesi al fine di consentire la verifica dell'utilizzazione autorizzata). Sino a che il contenuto dei dati all'interno della base di dati, legittimo registrare alcuni dati sul traffico delle comunicazioni, come ad esempio la "data di inserimento" nel sistema. Una volta che tale contenuto cancellato, ad esempio quando un allarme ritirato, non vi sono motivi per conservare alcun dato sul traffico delle comunicazioni.
14. INFORMAZIONI DA FORNIRE ALLA PERSONA INTERESSATA Conformemente agli articoli 10 e 11 della direttiva 95/46/CE, i responsabili del trattamento devono informare le persone interessate in merito al trattamento dei loro dati personali. Il regolamento (CE) n. 45/2001 stabilisce requisiti analoghi. Le persone fisiche devono inoltre essere informate, tra l'altro, sulle finalit del trattamento, sui destinatari dei dati e sui loro diritti specifici, in qualit di persone interessate. Il diritto di informazione in s essenziale. Esso consente inoltre alle persone fisiche di esercitare altri diritti: se esse ignorano che sono trattate informazioni che le riguardano, possono non essere in grado di esercitare altri diritti, come il diritto di accesso e di rettifica. N il regolamento CPC, n la decisione di attuazione del regolamento CPC, n il documento d'analisi della Commissione prevedono disposizioni concernenti i diritti di informazione delle persone interessate (tranne quanto figura al punto 13 a proposito delle restrizioni). Il Gruppo di lavoro raccomanda l'adozione di un approccio per fasi. 14.1. Avvertenza esauriente relativa alla tutela della sfera privata sulla pagina Internet della Commissione dedicata al CPCS. Sul suo portale dedicato al CPCS, la Commissione dovrebbe pubblicare un'avvertenza generale concernente la tutela della sfera privata e che riprenda tutti i punti richiesti in virt degli articoli 11 e 12 del regolamento (CE) n. 45/2001. Tale avvertenza dovrebbe contenere inoltre una descrizione del CPCS, dei ruoli della Commissione e delle autorit competenti, a un livello di dettaglio almeno comparabile alle spiegazioni fornite nel presente documento. Il Gruppo di lavoro raccomanda anche che questa avvertenza precisi esplicitamente come le persone interessate possono esercitare i loro diritti di accesso e quali sono le restrizioni imposte a tali diritti, senza tuttavia spiegare in dettaglio le varie restrizioni esistenti nei differenti Stati membri. La dichiarazione concernente la tutela della sfera privata deve essere redatta in un linguaggio chiaro e semplice, accessibile per le persone interessate che non possiedono conoscenze specifiche nel settore della protezione dei dati. 14.2. Avvertenza relativa alla tutela della sfera privata sulla pagina Internet delle autorit competenti. Anche le autorit competenti dovrebbero pubblicare un'avvertenza sulla tutela della sfera privata nel loro portale. A tale riguardo, il Gruppo di lavoro constata inoltre che oltre agli obblighi posti dalla direttiva 95/46/CE, l'articolo 4, paragrafo 8, del regolamento CPC prevede specificamente che "ogni autorit competente rende pubblici i diritti e le responsabilit ad essa conferiti in virt del presente regolamento". L'avvertenza concernente la tutela della sfera privata dovrebbe comprendere un rinvio e un collegamento verso l'avvertenza della Commissione in materia, oltre ad altri dettagli specifici all'autorit o allo Stato membro in questione. Queste avvertenze devono comprendere ad esempio qualunque restrizione nazionale ai diritti d'accesso o di informazione. La diffusione dell'avvertenza pu essere coordinata dall'ufficio unico di collegamento tra le autorit competenti nell'ambito di un paese determinato. 14.3. Avvertenza fornita direttamente alle persone interessate. Al pi tardi al momento dell'inserimento dei dati personali e a meno che non possa essere applicata una restrizione (si veda il punto 13), un'avvertenza deve essere inviata anche alle persone interessate utilizzando mezzi diversi dall'avvertenza sulla tutela della sfera privata inserita nel sito Internet. Ci potrebbe consistere nell'inserire un breve riferimento al CPCS in un collegamento verso le avvertenze corrispondenti in materia di sfera privata su Internet in tutta la corrispondenza scambiata con la persona interessata (venditore, direttore, ricorrente, testimone, ecc). Se la comunicazione di queste avvertenze individuali risulta impossibile o richiede sforzi sproporzionati (ad esempio, se l'autorit competente non dispone delle coordinate della persona interessata), l'avvertenza individuale pu essere omessa. Come indicato al punto 13, la messa a disposizione di informazioni pu essere differita anche se i diritti di informazione sono temporaneamente limitati.
15. IL DIRITTO DI ACCESSO AI DATI DELLE PERSONE INTERESSATE L'articolo 12, lettera (a), della direttiva 95/46/CE, nella parte corrispondente, stabilisce che le persone interessate possono ricevere dal responsabile del trattamento (i) la conferma dell'esistenza o meno di trattamenti di dati che le riguardano e l'informazione almeno sulle finalit dei trattamenti, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatari cui sono comunicati i dati, (ii) la comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonch di tutte le informazioni disponibili sull'origine dei dati. Inoltre, l'articolo 12, alla lettera (b), richiede che le persone interessate possano ottenere dal responsabile del trattamento, a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non conforme alle disposizioni della direttiva 95/46/CE, in particolare a causa del carattere incompleto o inesatto dei dati. Il regolamento (CE) n. 45/2001 contiene disposizioni analoghe. N il regolamento CPC, n la decisione di attuazione del regolamento CPC, n il documento d'analisi della Commissione contengono disposizioni concernenti i diritti di accesso delle persone interessate. Si tratta in effetti di una questione complessa, tenuto conto dei vari soggetti implicati nelle attivit di trattamento dei dati. Diverse autorit competenti, oltre alla Commissione, hanno ciascuna accesso ad alcuni dati personali inseriti nel sistema. Spesso diversi soggetti hanno accesso alle stesse informazioni. In generale, ad esempio, due autorit o pi hanno accesso alle richieste di informazioni e di esecuzione. Alcune autorit, oltre alla Commissione, possono avere accesso a informazioni relative agli allarmi. Le persone interessate possono rivolgersi a varie autorit per richiedere il diritto di accesso. La situazione tanto pi difficile per il fatto che le norme che riguardano le restrizioni d'accesso variano da uno Stato membro all'altro, come abbiamo visto al punto 13. Tenuto conto del fatto che vi possono essere diverse restrizioni ai diritti di accesso negli Stati membri, possibile che un paese possa accedere ad alcuni dati mentre un altro non ne abbia la possibilit. Per questo motivo indispensabile che le autorit competenti collaborino rispetto a ciascuna richiesta di accesso che esse ricevono. Le raccomandazioni che il Gruppo di lavoro formula qui di seguito descrivono due situazioni che richiedono misure di coordinamento particolari al fine di garantire la conformit: (i) le informazioni sono richieste da un'autorit competente ma il fatto di consentire l'accesso a tali dati pu influenzare le attivit di inchiesta o di esecuzione di un'altra autorit, (ii) le persone interessate rivolgono le loro richieste d'accesso alla Commissione. 15.1. Coordinamento tra le autorit competenti. Il Gruppo di lavoro raccomanda che, se la concessione dell'accesso a dati personali pu influenzare la procedura di inchiesta o di esecuzione avviata da altre autorit competenti, quella cui la domanda d'accesso stata presentata richiede il parere di queste altre autorit prima di concedere l'accesso. L'accesso dovrebbe quindi essere consentito solo se le altre autorit competenti interessate hanno avuto l'occasione di comunicare le rispettive posizioni e sono state esaminate le eventuali obiezioni alla concessione dell'accesso fondate su una esenzione specifica prevista dalle rispettive normative nazionali sulla protezione dei dati. Se le autorit non rispondono entro un termine ragionevole o se non sollevano obiezioni, l'autorit alla quale la domanda di accesso stata presentata pu decidere in funzione della propria legislazione nazionale se si applica un'esenzione o se l'accesso pu essere consentito. Se le autorit non sono d'accordo sulla concessione dell'accesso, l'autorit che ha fornito le informazioni dovrebbe essere quella che decide in ultima analisi sui criteri di accesso. Un meccanismo analogo di cooperazione dovrebbe applicarsi alla rettifica, alla cancellazione o al congelamento dei dati. Il Gruppo di lavoro sottolinea tuttavia che questa procedura di coordinamento non dovrebbe servire per rifiutare arbitrariamente l'accesso alle persone interessate o a prorogare artificialmente il termine necessario per la concessione del diritto d'accesso. Inoltre, il rifiuto di questo diritto deve essere chiaramente motivato e la persona interessata deve essere avvertita che pu eventualmente rivolgersi a un'altra autorit competente per ottenere l'esercizio di tale diritto. 15.2. Coordinamento tra la Commissione e le autorit competenti. possibile che le persone interessate rivolgano le loro domande d'accesso alla Commissione. A tale proposito, opportuno in primo luogo sottolineare che la Commissione pu fornire solamente un accesso a dati ai quali essa stessa ha legittimamente accesso. La Commissione non ha quindi un obbligo di concedere l'accesso a richieste di informazioni, richieste di esecuzione e relative comunicazioni. In questi casi, deve orientare le persone interessate verso le autorit che hanno accesso alle informazioni. La situazione diversa per le informazioni alle quali la Commissione ha legittimamente accesso, ad esempio le informazioni relative agli allarmi o le informazioni di ritorno. A tale proposito, il Gruppo di lavoro raccomanda che quando la Commissione riceve una domanda d'accesso, sollecita il parere dell'autorit competente che ha fornito per prima le informazioni. L'accesso dovrebbe in questo caso essere consentito solo se la parte che ha fornito le informazioni ha avuto occasione di comunicare la propria posizione ed stata esaminata qualunque obiezione alla concessione dell'accesso basata su un'eccezione specifica a titolo della sua legislazione nazionale in materia di protezione dei dati. Se la parte fornitrice non risponde entro un termine ragionevole o se non presenta obiezioni, la Commissione pu decidere sulla base del regolamento (CE) n. 45/2001 se si applica un'eccezione o se l'accesso pu essere consentito. Oltre a prendere contatto con l'autorit competente che ha fornito le informazioni, la Commissione deve inoltre dare l'opportunit di esprimere le loro preoccupazioni a tutte le altre autorit competenti le cui attivit di inchiesta o di esecuzione possono essere compromesse. Tuttavia, se le autorit non sono d'accordo sulla concessione dell'accesso, l'autorit che ha fornito le informazioni dovrebbe essere quella che decide in ultima analisi sui criteri d'accesso. Un meccanismo analogo di cooperazione dovrebbe applicarsi alla rettifica, alla cancellazione o al congelamento dei dati.
16. MISURE DI RICORSO Fatti salvi ricorsi amministrativi che possono essere promossi dinanzi alle autorit nazionali competenti per la protezione dei dati o dinanzi al Garante europeo della protezione dei dati, l'articolo 22 della direttiva 95/46/CE richiede agli Stati membri di stabilire che chiunque possa disporre di un ricorso giurisdizionale in caso di violazione dei diritti garantitigli dalle disposizioni nazionali applicabili al trattamento in questione. L'articolo 23 li obbliga, in particolare, a stabilire che chiunque abbia subito un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento. Il responsabile del trattamento pu essere liberato da questa responsabilit, in tutto o in parte, se prova che l'evento dannoso non gli imputabile. Secondo l'analisi del Gruppo di lavoro concernente i soggetti del CPCS come indicato al punto 8, la Commissione, gli uffici unici di collegamento e le autorit competenti sono e saranno considerati ciascuno come responsabile del trattamento in rapporto ai loro specifici compiti e responsabilit.
17. SICUREZZA In virt dell'articolo 22 del regolamento (CE) n. 45/2001, il responsabile del trattamento deve adottare opportune misure tecniche ed organizzative per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere. La direttiva 95/46/CE prevede misure di sicurezza analoghe. La Commissione, che gestisce il CPCS ed uno dei responsabili dei dati in virt del regolamento CPC, soggetta alle disposizioni del regolamento (CE) n. 45/2001. Considerando, da un lato, che le legislazioni nazionali concernenti la protezione dei dati sono in gran parte armonizzate sulla base della direttiva 95/46/CE e, d'altro lato, che tale armonizzazione non completa e che esistono alcune differenze tra gli Stati membri quanto al livello di sicurezza accettabile, il Gruppo di lavoro raccomanda che le disposizioni del regolamento (CE) n. 45/2001 in materia di sicurezza siano interpretate conformemente alle migliori prassi vigenti negli Stati membri. Questi dovrebbero inoltre essere incoraggiati ad accrescere la sicurezza dell'accesso da parte delle autorit competenti. Se dovesse verificarsi una violazione della sicurezza o della confidenzialit, le persone interessate potrebbero ricorrere al Garante europeo della protezione dei dati, che possiede poteri di supervisione sulla Commissione, conformemente alle disposizione del regolamento (CE) n. 45/2001. Il Garante europeo della protezione dei dati pu inoltre avviare di propria iniziativa un'ispezione sulla sicurezza o un audit della base di dati. Tali operazioni possono avere luogo sia nell'ambito sia al di fuori della procedura di controllo preliminare di cui al seguente punto 18.
18. NOTIFICA E CONTROLLO PRELIMINARE 18.1. Autorit nazionali competenti per la protezione dei dati. In applicazione degli articoli 18, 19 e 20 della direttiva 95/46/CE, le autorit competenti in pi Stati membri devono notificare le loro operazioni di trattamento in virt del CPCS alle autorit nazionali incaricate della protezione dei dati. In alcuni Stati membri, possibile che le operazioni di trattamento debbano preventivamente essere controllate da tali autorit. Nei paesi che prevedono questa procedura, le operazioni di trattamento sono soggette al controllo preventivo da parte delle autorit nazionali per il fatto che tali operazioni sono suscettibili di presentare un rischio specifico per i diritti e le libert delle persone interessate. Tale caso si verifica, ad esempio, quando la legislazione nazionale richiede che il trattamento dei dati relativi a illeciti penali o a sospetti di illeciti sia oggetto di un controllo preventivo. La valutazione finalizzata a determinare se queste operazioni di trattamento ricadono nell'ambito di applicazione delle disposizioni relative al controllo preventivo dipende dalla legislazione e dalle prassi nazionali dell'autorit nazionale incaricata della protezione dei dati. 18.2. Controllo preventivo da parte del Garante europeo della protezione dei dati. Le informazioni scambiate contengono dati personali riguardanti reati, sospetti di reati, condanne penali ed eventualmente misure di sicurezza. Tenuto conto della natura dei dati e del ruolo della Commissione nel caso presente, la base di dati dovrebbe essere soggetta al controllo preventivo in virt dell'articolo 27, paragrafo 2, lettera (a), del regolamento (CE) n. 45/2001. Il trattamento ricade inoltre nell'ambito di applicazione dell'articolo 27, paragrafo 2, lettera (b), di tale regolamento, il quale prevede che i trattamenti "destinati a valutare aspetti della personalit degli interessati, inclusi aspetti quali (...) il loro comportamento" sono soggetti al controllo preventivo da parte del Garante europeo della protezione dei dati. In effetti, i dati contenuti nel CPCS potrebbero servire a valutare il comportamento delle persone fisiche (operatori commerciali, direttori, forse anche membri del personale o altri) che sono sospettati di essere coinvolti in reati al fine di determinare le misure adeguate da adottare (misure di inchiesta o di esecuzione). Il controllo preventivo tanto pi necessario poich (i) i particolari della base di dati non sono stati fissati da un regolamento del Parlamento e del Consiglio o da una direttiva di alto livello, (ii) il Garante europeo della protezione dei dati non ha assistito i legislatori durante il processo legislativo e (iii) la Commissione designata come responsabile del trattamento conformemente al regolamento CPC. Dal momento che il sistema gi funzionante, il Garante europeo della protezione dei dati dovr effettuare il controllo preventivo "ex post". 18.3. Coordinamento delle procedure di notifica e di controllo preventivo. Tenuto conto del fatto che le autorit competenti, oltre alla Commissione, sono tutte responsabili per il trattamento e che esistono pi autorit competenti in alcuni Stati membri, il Gruppo di lavoro raccomanda che le procedure di controllo preventivo siano coordinate tra le autorit nazionali incaricate della protezione dei dati e il Garante europeo della protezione dei dati, in modo da poter sviluppare un approccio coerente.
19. TRASFERIMENTO DI DATI PERSONALI A PAESI TERZI L'articolo 14, paragrafo 2, del regolamento CPC stabilisce che "le informazioni trasmesse ai sensi del presente regolamento possono anche essere comunicate a un'autorit di un paese terzo da un'autorit competente, nell'ambito dell'accordo bilaterale di assistenza con detto paese, purch sia stato ottenuto il consenso dell'autorit competente che ha fornito l'informazione in origine, e in linea con la legislazione comunitaria sulla protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali." Conformemente all'articolo 25 della direttiva 95/46/CE, i trasferimenti verso un paese terzo possono aver luogo soltanto se il paese terzo di cui si tratta garantisce un livello di protezione adeguato. L'articolo 26, paragrafo 1, della direttiva 95/46/CE prevede alcune deroghe a tale principio. La sua lettera (d) stabilisce ad esempio che "il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante". L'articolo 26, paragrafo 2, prevede inoltre che gli Stati membri possono autorizzare trasferimenti qualora il responsabile del trattamento presenti garanzie sufficienti, in particolare mediante clausole contrattuali appropriate. L'esecuzione e l'interpretazione di queste disposizioni possono variare da uno Stato membro all'altro. Per tale motivo, il Gruppo di lavoro esprime soddisfazione per il fatto che il regolamento CPC sottoponga esplicitamente qualunque trasferimento di dati verso un paese terzo al consenso dell'autorit che ha fornito in origine l'informazione. Il Gruppo di lavoro raccomanda inoltre agli Stati membri di vigilare affinch gli accordi di assistenza bilaterale con paesi terzi siano rivisti al fine di prevedere garanzie appropriate in materia di protezione dei dati.
20. CONCLUSIONI In conclusione, il Gruppo di lavoro esprime la propria soddisfazione per il fatto che il CPCS dispone di una base giuridica adeguata, stabilito per finalit legittime e pu servire come strumento conforme alla protezione dei dati per contribuire alla cooperazione tra le autorit competenti e la Commissione, a condizione che le raccomandazioni del Gruppo di lavoro siano interamente prese in considerazione. Ci detto, il Gruppo di lavoro ribadisce il suo rammarico per non essere stato consultato in una fase precedente della procedura, prima dell'adozione del regolamento CPC, della decisione di attuazione di tale regolamento e dell'avvio operativo del CPCS. Nella presente fase, sulla base del testo attuale del regolamento CPC, il Gruppo di lavoro raccomanda una serie di misure che dovrebbero essere adottate dalla Commissione e dalle autorit competenti per migliorare la conformit con la protezione dei dati. In taluni casi, l'adozione di misure pu rendere necessario il ricorso alla procedura regolamentare e l'emissione di una nuova decisione di attuazione del regolamento CPC con l'assistenza del comitato di regolamentazione. Altre raccomandazioni potrebbero essere attuate a un livello pi operativo, da parte della Commissione, attraverso gli orientamenti del CPCS e la formazione impartita ai funzionari incaricati dell'esecuzione, nonch mediante modifiche dell'architettura del CPCS. Il Gruppo di lavoro sottolinea inoltre che, nel quadro del funzionamento e dell'utilizzazione del sistema, le autorit competenti e la Commissione devono essere consapevoli della natura speciale del loro rapporto di controllo congiunto, e inoltre del fatto che coesistono diverse legislazioni applicabili in materia di protezione dei dati e diverse autorit di controllo. Esse devono sforzarsi di cooperare pienamente per garantire il rispetto delle legislazioni sulla protezione dei dati. Il Gruppo di lavoro raccomanda in particolare quanto segue: I funzionari incaricati dell'esecuzione che lavorano per le autorit competenti dovrebbero valutare caso per caso la conformit ai principi di protezione dei dati: Per assisterli nella adozione delle decisioni, la Commissione dovrebbe elaborare e diffondere gli orientamenti per il CPCS. Ogni volta che ci possibile, le caratteristiche tecniche del CPCS dovrebbero essere rielaborate al fine di comprendere i messaggi di avvertimento pro memoria e altre misure tecniche volte a garantire la conformit con la normativa sulla protezione dei dati. I principi della protezione dei dati dovrebbero essere integrati nella formazione dei funzionari incaricati dell'esecuzione. Le finalit per le quali le autorit competenti e la Commissione possono avere accesso alla base di dati dovrebbero essere limitate e chiaramente specificate. La Commissione non dovrebbe avere accesso alle richieste di informazioni e di esecuzione (eccettuate importanti informazioni di ritorno) e il suo accesso alle informazioni segnalate come confidenziali deve inoltre essere limitato ai casi per i quali tale accesso necessario e proporzionale. I funzionari incaricati dell'esecuzione dovrebbero limitare l'introduzione di dati personali a quanto strettamente necessario ai fini dell'efficacia della cooperazione. Ci si applica in particolare alle informazioni concernenti i direttori, nonch a tutti gli altri dati personali nei documenti allegati e nelle brevi sintesi. I funzionari incaricati dell'esecuzione dovrebbero inoltre astenersi dal diffondere pi ampiamente di quanto sia necessario gli allarmi o le richieste di assistenza reciproca. Dovrebbero essere adottate misure al fine di verificare periodicamente l'esattezza dei dati inseriti nella base di dati. Gli agenti incaricati dell'esecuzione dovrebbero valutare periodicamente la necessit della conservazione delle informazioni. La logica della conservazione e della cancellazione dei dati dovrebbe essere invertita: in seguito a un avviso pro memoria (o eventualmente di ripetuti avvisi e di ragionevoli periodi di grazia), i dati dovrebbero essere automaticamente soppressi, a meno che le autorit competenti confermino di non avere ancora chiuso il caso. Le persone interessate dovrebbero essere informate del fatto che i loro dati sono inseriti nel CPCS attraverso un approccio per fasi che comprenda notifiche sul sito Internet ma anche informazioni inviate direttamente. Questo diritto non dovrebbe essere limitato sistematicamente, poich restrizioni a un diritto fondamentale non possono applicarsi in modo sistematico. Lo stesso vale per il diritto di accesso. Deve inoltre essere previsto un meccanismo di cooperazione efficace per garantire un accesso alle persone interessate. Dovrebbero essere adottate misure di sicurezza conformemente alle migliori prassi vigenti negli Stati membri. Il CPCS deve essere sottoposto al Garante europeo della protezione dei dati per il controllo preventivo, nonch alle autorit incaricate della protezione dei dati in alcuni Stati membri. Le altre autorit nazionali incaricate di tale protezione devono essere informate. Le procedure di controllo preventivo devono essere coordinate. Fatto a Bruxelles, il 21 settembre 2007 Per il Gruppo di lavoro Il Presidente Peter Schaar
NOTE 1 Non tutte le attivit cooperative e gli scambi di informazioni previsti dal regolamento CPC devono essere effettuati utilizzando la base di dati CPCS. Ad esempio, il capitolo IV prevede le attivit cooperative relative alla formazione dei funzionari addetti all'esecuzione della normativa sulla tutela dei consumatori. Dal momento che lo scambio di informazioni relativo a tali attivit non rientra nella sfera di applicazione del CPCS, esso non sar oggetto di analisi nel presente documento. 2 L'articolo 3, lettera (i), del regolamento CPC definisce le attivit di sorveglianza del mercato come "le azioni di un'autorit competente incaricata di individuare se vi siano state infrazioni intracomunitarie nell'ambito della propria giurisdizione." 3 Se la Commissione partecipa a inchieste transfrontaliere che coinvolgono pi di due paesi, in virt dell'articolo 9, paragrafo 3, su invito di autorit competenti, dovr ricevere informazioni collegate ai casi in questione. Inoltre, in virt dell'articolo 8, paragrafo 5, e dell'articolo 15, paragrafo 5, la Commissione dovr inoltre avere accesso a talune informazioni relative a domande di assistenza reciproca nei casi in cui deve contribuire a dirimere controversie tra le autorit richiedenti e le autorit interpellate. 4 Vi sono alcune eccezioni. Le informazioni confidenziali possono essere utilizzate, se necessario, nei casi in cui la Commissione chiamata a dirimere controversie e nei casi in cui partecipa a un'inchiesta (si vedano gli articoli 8, paragrafo 5, 9, paragrafo 3, e 15, paragrafo 5, del regolamento CPC).
|