RELAZIONE ANNUALE 2006
Sintesi
Introduzione Il presente documento una sintesi della terza relazione annuale1 del garante europeo della protezione dei dati (GEPD). Peter Hustinx (GEPD) e Joaqun Bayo Delgado (garante aggiunto) hanno avviato nel gennaio 2004 i lavori intesi all'istituzione di un'autorit indipendente incaricata della protezione dei dati personali a "livello europeo". Le loro principali attivit, enunciate nel regolamento 45/20012, sono le seguenti: controllare il trattamento dei dati personali da parte dell'amministrazione dell'UE, garantendo che i diritti e le libert delle persone i cui dati sono trattati non siano violati ; esprimere pareri sulle proposte di nuova legislazione dell'UE che hanno un'incidenza sulla protezione dei dati (consultazione); cooperare con altre autorit competenti in materia di protezione dei dati per garantire un livello elevato e coerente di protezione dei dati in tutta l'Europa.
Mentre nel primo anno stata letteralmente creata l'autorit, nel secondo sono stati consolidati i suoi compiti. Questa terza relazione comincia a valutare i risultati. L'impressione generale che le istituzioni e gli organismi della CE 3 abbiano registrato progressi, ricorrendo in misura sempre maggiore al GEPD per procedere correttamente nella loro pratica quotidiana del trattamento dei dati personali, nonch per elaborare nuova legislazione per l'UE.
Almeno due sono le sfide ancora da rilevare. La prima riguarda l'attuazione delle norme e dei principi sulla protezione dei dati nell'intera amministrazione dell'UE e lo sviluppo di una "cultura della protezione dei dati" nel quadro del "buon governo". Dalla primavera 2007, il GEPD comincer a vagliare i progressi compiuti in tutte le istituzioni e organismi e assicurer un'adeguata comunicazione dei risultati.
La seconda sfida riguarda l'integrazione dei principi sulla protezione dei dati nella legislazione comunitaria e il miglioramento della qualit delle politiche dell'UE, nella misura in cui la protezione effettiva dei dati costituisca una condizione di base per il successo di dette politiche. Chiaramente ci implica anche un'efficace integrazione delle prospettive relative alla vita privata in alcuni settori, quali la pubblica sicurezza e le politiche di applicazione della legge, che talvolta sembrano seguire un approccio differente.
Supervisione Nella societ odierna, le amministrazioni moderne trattano dati personali in un gran numero di settori. Si tratta di dati personali riguardanti il personale, ma anche i visitatori, i beneficiari di fondi e molte altre categorie di persone. Le istituzioni e gli organismi della CE trattano ogni giorno grandi quantit di dati personali nel quadro delle loro legittime attivit quotidiane.
Uno dei principali compiti del GEPD consiste nel controllare che non vi siano violazioni dei diritti e delle libert delle persone interessate allorch i loro dati personali sono trattati. Il quadro giuridico fornito dal regolamento n. 45/2001, che stabilisce una serie di obblighi per coloro che trattano dati e di diritti per le persone i cui dati sono trattati.
Le operazioni di trattamento di dati personali semplici, che non presentano particolari rischi per le persone interessate, sono notificate al responsabile della protezione dei dati (RPD) dell'istituzione od organismo interessato. L'RPD tiene un registro di tutti questi trattamenti e garantisce l'applicazione interna del regolamento, ad esempio che i dati personali siano trattati solo per motivi legittimi.
Quando presenta rischi particolari per le persone interessate, il trattamento di dati personali deve essere sottoposto a controllo preventivo del GEPD, che determina se il trattamento conforme o meno al regolamento. Esempi di trattamenti (a rischio) di dati personali riguardano la valutazione del personale, la salute delle persone, sospetti, ecc4.
I compiti di supervisione svolti dal garante aggiunto consistono nella formulazione di pareri e nell'assistenza agli RPD, attraverso il controllo preventivo delle operazioni di trattamento a rischio, nella realizzazione di indagini e nel trattamento dei reclami, ecc. Tale attivit include anche l'elaborazione di documenti di base e di sintesi e il controllo dell'unit centrale dell'Eurodac.
Nel 2006, sono stati espressi 54 pareri su casi di controllo preventivo, il che rappresenta un aumento di due terzi rispetto al 2005. Di questi casi, solo 5 erano veri e propri casi di controllo preventivo, ossia sottoposti al GEPD prima dell'avvio delle operazioni di trattamento. I controlli preventivi hanno riguardato soprattutto il trattamento di dati personali concernenti la valutazione del personale, i fascicoli medici, la sorveglianza elettronica, le procedure disciplinari e i servizi sociali. L'arretrato dei controlli preventivi 'ex-post' 5 dovrebbe essere evaso entro la primavera 2007.
Tra i compiti rientra anche quello di determinare la necessit o meno di un controllo preventivo nei casi in cui l'RPD nutra dubbi e consulti il GEPD. Inoltre, poich il GEPD esprime una serie di raccomandazioni (affinch l'operazione di trattamento non violi il regolamento), all'atto della consultazione o della formulazione di un parere su un controllo preventivo, necessario assicurare il seguito delle iniziative intraprese dall'istituzione o organismo interessato.
Nel 2006 sono pervenuti 52 reclami, di cui 10 sono stati dichiarati ammissibili e successivamente esaminati. Si tratta pressoch delle stesse cifre del 2005. Gran parte dei reclami pervenuti ha continuato a non rientrare nelle competenze di supervisione del GEPD, ad esempio perch essi riguardavano esclusivamente il trattamento di dati personali a livello di Stato membro (in cui sono competenti le autorit nazionali per la protezione dei dati).
In novembre stato firmato con il mediatore europeo (che si occupa delle denunce riguardanti casi di cattiva amministrazione nelle istituzioni ed organismi) un memorandum d'intesa che offre un quadro per determinare in che modo agire quando entrambe le autorit sono competenti.
Durante il 2006 sono state condotte varie indagini in diversi settori. Due di esse meritano una particolare attenzione: quella sulla DG "Concorrenza" della Commissione europea e quella sul ruolo della Banca centrale europea (BCE) nel caso SWIFT6. La prima riguardava un'indagine settoriale su vasta scala realizzata dalla Commissione e concernente la raccolta di dati sui clienti. La seconda riguardava i vari ruoli della BCE in relazione al fatto che le autorit statunitensi avevano avuto accesso al sistema SWIFT (rete di messaggeria per i pagamenti internazionali). Il GEPD ha chiesto alla BCE di far s che i sistemi di pagamento europei siano pienamente conformi alla legislazione europea in materia di protezione dei dati. Il caso SWIFT sar oggetto di un seguito durante il 2007. Nel 2006, il GEPD ha inoltre espresso pareri su un numero maggiore di provvedimenti amministrativi rispetto agli anni precedenti. Di propria iniziativa ha avviato un'indagine sulle pratiche riguardanti i fascicoli personali. Il GEPD ha altres avviato indagini sui trasferimenti di dati personali ai paesi terzi e alle organizzazioni internazionali e sull'uso della videosorveglianza nelle istituzioni e negli organismi. I lavori su questi importanti fascicoli proseguiranno nel 2007.
Sono parimenti proseguiti i lavori riguardanti il documento sull'accesso del pubblico ai documenti e sulla protezione dei dati7 e il progetto di documento sulla sorveglianza elettronica riguardante i dati generati dall'uso delle comunicazioni elettroniche (telefono, posta elettronica, internet, ecc.). Il GEPD intervenuto in una causa dinanzi al tribunale di primo grado sull'accesso del pubblico, appoggiando la richiesta dei ricorrenti che la Commissione dovrebbe divulgare integralmente l'elenco dei partecipanti richiesto. Un progetto di documento sulla sorveglianza elettronica stato diffuso agli RPD per raccoglierne le osservazioni e reazioni ed stato organizzato un workshop per verificare i principi guida del documento.
Nel corso del 2006 sono proseguiti assieme agli RPD nazionali i lavori sulla supervisione comune dell'Eurodac. In giugno il GEPD ha organizzato, tra l'altro, una seconda riunione di coordinamento. In qualit di autorit di controllo dell'unit centrale, il GEPD ha inoltre tenuto riunioni periodiche con la Commissione che gestisce il sistema a nome degli Stati membri partecipanti. Nel settembre 2006, il GEPD ha avviato un controllo di sicurezza approfondito in collaborazione con esperti tedeschi e francesi; la relazione finale sar pubblicata entro la primavera 2007.
Consultazione Il ruolo consultivo del GEPD consiste nel fornire consulenza alle istituzioni e agli organismi su tutte le questioni inerenti alla protezione dei dati personali. Ci vale particolarmente per le proposte di nuovi atti legislativi aventi un'incidenza sulla protezione dei dati. In tali casi, il parere del GEPD un elemento obbligatorio del processo legislativo dell'UE.
Nel 2006 la politica di consultazione8 stata ulteriormente sviluppata. In dicembre stato pubblicato sul sito web un inventario delle intenzioni per il 2007. Inoltre, il numero di pareri resi quasi raddoppiato rispetto al 2006: sono stati espressi 11 pareri, riguardanti settori quali lo scambio di informazioni in virt del principio di disponibilit, i visti (compreso l'accesso al sistema d'informazione visti (VIS) su vasta scala), i passaporti e le istruzioni consolari e in campo finanziario.
L'ordine delle proposte fonte di grande preoccupazione nell'ambito della cooperazione di polizia e giudiziaria in materia penale. Il GEPD contrario all'adozione di atti legislativi che favoriscono lo scambio di dati prima che sia garantito un adeguato livello di protezione dei dati. La proposta relativa all'istituzione di un siffatto quadro stata oggetto di due pareri del GEPD, che insistono entrambi sulla necessit di stabilire un quadro di protezione prima che i dati siano scambiati.
In varie occasioni, il GEPD ha affrontato la questione dell'introduzione dell'uso di dati biometrici in numerose proposte della Commissione. Poich i dati biometrici sono altamente sensibili e presentano particolari rischi per le persone interessate, il loro trattamento deve essere corredato di garanzie particolarmente solide e appropriate. Un altro tema generale che stato oggetto di particolare attenzione in vari pareri espressi nel corso del 2006 la crescente tendenza a creare banche dati centrali e sistemi TI su vasta scala. Il GEPD ha constatato che una volta che una banca dati stata creata, il suo accesso tende ad essere esteso ad un numero maggiore di autorit, per finalit diverse da quelle per cui stata istituita. Il rischio di un uso illecito un altro importante motivo per il quale tali banche dati presentano rischi particolari per le persone interessate.
Un altro settore fonte di particolare preoccupazione riguarda la carenza di garanzie applicate allo scambio di dati personali con i paesi terzi. Il GEPD ha insistito affinch tali trasferimenti siano ammessi soltanto se garantiscono un livello adeguato di protezione dei dati personali o se ricadono in una delle deroghe previste dalla direttiva 95/46/CE9.
Oltre ai pareri espressi sulle proposte legislative, il GEPD ha trattato altri temi di rilievo, quali il modo migliore di strutturare la supervisione del sistema d'informazione Schengen di seconda generazione (SIS II), l'interoperabilit delle banche dati e il trasferimento dei dati PNR10 agli Stati Uniti.
Il GEPD continua a monitorare i nuovi progressi tecnologici, quali il ruolo delle tecnologie dell'R&S per la protezione dei dati e della vita privata. Ha altres seguito gli sviluppi in campo politico e legislativo, non solo in relazione allo spazio di libert, sicurezza e giustizia, ma anche ad altri campi, quali il riesame del quadro relativo alla vita privata e alle comunicazioni elettroniche.
Cooperazione I lavori del GEPD sul merito della protezione dei dati non si arrestano agli sforzi profusi nei due settori specifici della supervisione e della consultazione. L'integrazione europea ha fatto della cooperazione con le altre autorit un aspetto essenziale del buon funzionamento del libero flusso dei dati personali, fondato su un elevato livello di protezione dei cittadini.
Il principale forum di cooperazione tra le autorit incaricate della protezione dei dati in Europa il Gruppo dell'articolo 29. Questo si riunisce in assemblea plenaria cinque volte all'anno, ma prevede anche attivit pratiche in vari sottogruppi, nonch attraverso un sito web riservato che facilita la condivisione delle informazioni. Il Gruppo svolge un ruolo cruciale nell'applicazione uniforme e nell'interpretazione dei principi generali della direttiva 95/46.
Tra le altre questioni, il GEPD ha contribuito attivamente ai tre pareri del Gruppo sul trasferimento negli Stati Uniti dei dati relativi a passeggeri di vettori aerei. Il GEPD ha inoltre contribuito a vari pareri del Gruppo sulla legislazione proposta. Il Gruppo pu formulare tali pareri, adducendo argomenti relativi alle prospettive nazionali. Esempi di sinergie positive tra i pareri del Gruppo e il GEPD nel corso del 2006 hanno riguardato anche i settori della conservazione dei dati relativi alle telecomunicazioni, le obbligazioni alimentari e la revisione della direttiva relativa alla vita privata e alle comunicazioni elettroniche.
Il GEPD ha il dovere di cooperare con gli organi di controllo della protezione dei dati nel "terzo pilastro" dell'UE (cooperazione di polizia e giudiziaria in materia penale). Il GEPD si impegna a garantire un livello elevato e omogeneo di protezione dei dati nei lavori delle autorit di controllo comune (ACC) per Schengen, l'Europol, l'Eurojust e il sistema d'informazione doganale (SID). Il costante aumento delle iniziative a livello europeo per combattere la criminalit organizzata e il terrorismo, tra cui varie proposte per lo scambio di dati personali, si trasformato da una stretta cooperazione in un'esigenza primaria. Nel corso del 2006 l'attenzione si focalizzata principalmente sulle proposte intercorrelate di decisioni quadro sulla protezione dei dati nell'ambito del terzo pilastro e sullo scambio di informazioni in virt del principio di disponibilit.
Il GEPD ha inoltre partecipato a conferenze europee e internazionali sulla protezione dei dati e della vita privata. L'ultima di tali conferenze era interamente dedicata al tema della "societ della sorveglianza" e si tradotta, tra l'altro, in una dichiarazione che ha ricevuto un sostegno generale intitolata "Comunicare e rendere pi efficace la protezione dei dati" (denominata anche iniziativa di Londra).
Comunicazione Essendo uno dei promotori dell'iniziativa di Londra, il GEPD contribuir attivamente ai lavori di follow-up sul modo di migliorare la comunicazione relativa alla protezione dei dati. Questo essenziale, in quanto la protezione della vita privata e dei dati personali dei cittadini fondamentale per qualsiasi societ democratica. In pratica, l'iniziativa di Londra invita le autorit nazionali per la protezione dei dati a valutare la propria efficienza, rafforzare le proprie capacit nei settori tecnologici, elaborare una nuova strategia di comunicazione, comunicare in materia di protezione dei dati in modo pi concreto e promuovere il coinvolgimento di altri attori.
Nel corso del 2006 il GEPD ha continuato a concentrare la propria attenzione sui differenti gruppi bersaglio individuati nell'ambito di ciascuna attivit principale. Alcuni esempi sono indicati in appresso: intervista rilasciata a un settimanale interno della Commissione che stampato in oltre 50.000 copie ed distribuito anche al personale di altre istituzioni (che informa il personale dei propri diritti; controllo); partecipazione alle riunioni periodiche della rete degli RPD (che li informa per esempio sull'interpretazione delle disposizioni del regolamento 45/2001; controllo); presentazione di pareri legislativi ai pertinenti gruppi e commissioni del Parlamento europeo e del Consiglio, nonch diffusione di comunicati stampa e rilascio di interviste a giornalisti (consultazione).
Amministrazione, bilancio e personale Il GEPD in quanto autorit di recente istituzione ha continuato a espandersi, ottenendo nel 2006 risorse aggiuntive rispetto al 2005. Il bilancio passato da un importo lievemente inferiore a 3 milioni di EUR a poco pi di 4 milioni di EUR e il personale passato da 19 e 24 unit. Il quadro amministrativo si gradualmente esteso, con l'adozione di vari regolamenti interni necessari per il corretto funzionamento dell'autorit, la creazione di un comitato del personale, ecc.
La collaborazione con il Parlamento europeo, il Consiglio e la Commissione europea ulteriormente migliorata, consentendo notevoli economie di scala. Un'iniziativa significativa nel 2006 stata la proroga di tre anni dell'accordo di cooperazione interistituzionale con queste istituzioni.
In termini di risorse umane, eccettuate le assunzioni, il programma di tirocini ha continuato ad accogliere due-tre tirocinanti per semestre.
Risultati nel 2006 La relazione annuale 2005 illustrava i cinque obiettivi principali seguenti per il 2006 - la maggior parte dei quali stata realizzata.
Sostegno alla rete RPD Il numero degli RPD aumentato nel corso dell'anno. Il GEPD ha continuato a sostenerne la rete e ha organizzato un seminario per i nuovi RPD. Si tengono periodicamente valutazioni bilaterali dei progressi in materia di notificazioni nelle grandi istituzioni.
Prosecuzione dei controlli preventivi Sono aumentati considerevolmente i controlli preventivi delle operazioni di trattamento in corso. Le pertinenti politiche e principali questioni trattate sono state oggetto di scambi con gli RPD nel corso di riunioni periodiche.
E-monitoring e dati sul traffico La versione definitiva del documento contenente gli orientamenti sul trattamento di dati personali connessi all'uso delle reti di comunicazione elettronica sar pubblicata all'inizio del 2007. I primi pareri sui controlli preventivi in questo settore sono stati emessi nel 2006.
Orientamenti sui fascicoli personali stata avviata un'indagine sulle pratiche attuali concernenti i fascicoli personali dei dipendenti nell'ambito delle istituzioni e degli organismi e sono in corso di elaborazione orientamenti.
Trasferimento verso paesi terzi I trasferimenti dei dati verso paesi terzi e organizzazioni internazionali sono stati analizzati in un documento preliminare.
Un controllo di sicurezza approfondito della banca dati centrale dell'Eurodac, attualmente in corso di svolgimento, sar ultimato entro la met del 2007.
Ruolo consultivo in materia di legislazione Il numero di pareri emessi quasi raddoppiato, contemplando una grande variet di temi. Un primo inventario dei relativi argomenti per il 2007 era stato pubblicato nel sito web.
Interventi in cause dinanzi a tribunali Il GEPD sui visto accordare il diritto di intervenire in tre cause dinanzi al Tribunale di primo grado riguardanti l'accesso del pubblico ai documenti e la protezione dei dati e, in una di esse, ha partecipato a un'udienza. Ha altres chiesto di intervenire nella causa dinanzi alla Corte di giustizia sulla validit della direttiva 2006/24/CE riguardante la conservazione di dati.
Seconda versione del sito web Nel gennaio 2007 stato lanciato un sito web completamente riveduto strutturato secondo i ruoli principali del GEPD.
Sviluppo di risorse Il GEPD ha continuato a sviluppare le risorse e l'infrastruttura necessarie per assicurare un adempimento efficace dei suoi compiti. L'accordo amministrativo con la Commissione, il Parlamento e il Consiglio stato prorogato di un altro triennio.
Obiettivi per il 2007 Per il 2007 sono stati scelti i seguenti obiettivi principali. I risultati conseguiti saranno riferiti nella prossima relazione annuale.
Ambito d'attivit della rete RPD La rete degli RPD dovrebbe raggiungere la sua portata completa, con la partecipazione di tutti gli organismi alle sue attivit. Il GEPD continuer a sostenere fortemente e orientare lo sviluppo delle funzioni degli RPD e incoragger lo scambio di buone pratiche.
Prosecuzione dei controlli preventivi Saranno completati i controlli preventivi delle operazioni di trattamento in corso. Un'attenzione particolare sar riservata ai sistemi interistituzionali e ad altre situazioni di uso comune da parte delle istituzioni e organismi, al fine di razionalizzare e semplificare le procedure.
Ispezioni e controlli Il GEPD comincer a vagliare i progressi compiuti nell'attuazione del regolamento 45/2001, con controlli per tutte le istituzioni e organismi a partire dalla primavera del 2007.
Videosorveglianza Saranno elaborati ed emanati orientamenti sulla videosorveglianza da parte delle istituzioni e degli organismi, suscettibili di avere un impatto sulla vita privata del personale e dei visitatori.
Nei pareri sui controlli preventivi e nelle decisioni sui reclami sono state affrontate varie questioni comuni che rivestono un interesse anche per istituzioni e organismi diversi da quelli implicati nei casi in questione. Su tali questioni orizzontali il GEPD elaborer documenti che render largamente accessibili a tutte le istituzioni e organismi a titolo orientativo.
Consultazione in materia legislativa Il GEPD continuer a formulare pareri su proposte di nuovi atti legislativi e ad assicurare un seguito adeguato. Un'attenzione particolare sar riservata alle proposte di decisioni di attuazione pertinenti.
Protezione dei dati nel terzo pilastro Particolare attenzione sar prestata allo sviluppo e all'adozione di un quadro generale per la protezione dei dati nel terzo pilastro. Il GEPD seguir inoltre con attenzione le proposte relative allo scambio transfrontaliero di dati personali o intese a fornire un accesso ai dati nel settore privato o pubblico ai fini dell'applicazione della legge.
Comunicazione della protezione dei dati Il GEPD dar un forte sostegno alle attivit di follow-up della "iniziativa di Londra". Ci implica azioni che vanno dalla "sensibilizzazione" alla promozione di una "migliore attuazione" ed "efficace applicazione" dei principi sulla protezione dei dati.
Regolamento interno Il regolamento interno che contempla i differenti ruoli e attivit assolti dal GEPD sar adottato e reso largamente accessibile.
Gestione delle risorse La gestione delle risorse finanziarie e umane sar ulteriormente migliorata, rinnovando la struttura del bilancio, adottando regole interne nei settori pertinenti (quali la valutazione del personale) e sviluppando una politica di formazione.
NOTE http://www.edps.europa.eu/EDPSWEB/edps/lang/en/pid/22. Esemplari gratuiti possono essere richiesti nelle tre versioni linguistiche stampate (inglese, francese e tedesco). 2 Regolamento (CE) n. 45/2001, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonch la libera circolazione di tali dati, GU L 8, del 12.1.2001, pag. 1. 3 I termini "istituzioni" e "organismi" figuranti nel regolamento (CE) n. 45/2001 sono utilizzati in tutta la relazione. Sono incluse anche le agenzie comunitarie. Per l'elenco completo, visitare il seguente collegamento: http://europa.eu/agencies/community_agencies/index_en.htm 4 Per maggiori dettagli, si vedano la versione integrale del testo e l'articolo 27 del regolamento n. 45/2001. 5 Il regolamento n. 45/2001 entrato in vigore il 1 febbraio 2001, mentre le nomine del GEPD e del garante aggiunto hanno preso effetto il 17 gennaio 2004. I controlli preventivi 'ex post' riguardano operazioni di trattamento avviate prima delle nomine e che, quindi, non stato possibile sottoporre a controllo preventive. 6 Societ per le telecomunicazioni finanziarie interbancarie mondiali. 7 T-194/04; Bavarian Lager e Commissione. 8 Cfr. anche il documento orientativo pubblicato nel marzo 2005 e disponibile sul sito web http://www.edps.europa.eu/EDPSWEB/edps/lang/en/pid/21 9 Questa direttiva l'atto centrale della legislazione sulla protezione dei dati in Europa. E' stata recepita nel diritto nazionale di tutti gli Stati membri nonch in Islanda, Norvegia e Liechtenstein. 10 Passenger Name Record = Codice di prenotazione. |