RELAZIONE ANNUALE 2008

Sintesi

Introduzione

Il presente documento è una sintesi della relazione annuale 2008 del garante europeo della protezione dei dati (GEPD). Tale relazione riguarda il 2008, quarto anno completo di attività del GEPD in qualità di nuova autorità di controllo indipendente e ultimo del suo primo mandato, il che offre l’occasione di fare un bilancio dell’evoluzione delle attività del garante dall’inizio ad oggi.

Peter Hustinx (garante) e Joaquín Bayo Delgado (garante aggiunto) hanno assunto l’incarico nel gennaio 2004 per istituire l’autorità responsabile della protezione dei dati personali a livello di Unione europea (UE). Il mandato del GEPD consiste nel garantire il rispetto dei diritti e delle libertà fondamentali delle persone fi siche, segnatamente il diritto alla vita privata, in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari.

Come disposto nel regolamento (CE) n. 45/2001¹, le attività principali del GEPD sono le seguenti: controllare e garantire che le istituzioni e gli organismi comunitari rispettino le disposizioni del regolamento quando procedono al trattamento dei dati personali (controllo) fornire consulenza alle istituzioni e agli organismi comunitari su tutte le questioni relative al trattamento di dati personali, ivi compreso sulle proposte legislative, e sorvegliare i nuovi sviluppi che hanno un’incidenza sulla protezione dei dati personali (consultazione);

collaborare con le autorità nazionali di controllo e con gli organi di controllo nel quadro del “terzo pilastro” dell’UE per rendere più coerente la protezione dei dati personali (cooperazione).

La relazione indica che sono stati compiuti consistenti progressi in materia di controllo e consultazione.

Si registra una maggiore conformità alle norme e ai principi in materia di protezione dei dati da parte delle istituzioni e degli organismi comunitari, ma molto resta ancora da fare. Nell’ambito delle attività di controllo l’attenzione si sta quindi orientando verso la supervisione dell’attuazione delle raccomandazioni relative ai controlli preventivi e verso il miglioramento del livello di conformità delle agenzie. In tale contesto il GEPD ha portato a termine una prima serie di ispezioni sul posto presso varie istituzioni e organismi al fine di misurare la conformità nella pratica.

Nel 2008 il GEPD ha ulteriormente migliorato le sue attività in materia di consulenza e ha presentato pareri su un numero crescente di proposta legislative. Ha ampliato la portata dei suoi interventi a un vasto numero di settori e a tutte le fasi della procedura legislativa. La maggior parte dei pareri del GEPD continua a riguardare questioni attinenti al settore della libertà, della sicurezza e della giustizia, ma hanno assunto un ruolo di rilievo anche altri settori, come quello della tutela della vita privata nel settore delle comunicazioni elettroniche, dell’accesso del pubblico ai documenti e dell’assistenza sanitaria transfrontaliera.

La cooperazione con le autorità di controllo nazionali ha continuato ad essere incentrata sul ruolo del Gruppo dell’articolo 29 e ha portato all’adozione di un nuovo programma di lavoro e a numerosi risultati positivi nel primo anno di operatività. Inoltre, il GEPD ha continuato a porre l’accento sul controllo coordinato di Eurodac e a cooperare strettamente con le autorità per la protezione dei dati nel settore della cooperazione di polizia e giudiziaria.

Risultati del 2008

La relazione annuale 2007 menzionava i seguenti obiettivi principali per il 2008, la maggior parte dei quali è stata realizzata in tutto o in parte:

Sostegno alla rete dei responsabili della protezione dei dati

Il GEPD ha continuato a fornire un forte sostegno ai responsabili della protezione dei dati e ha incoraggiato un ulteriore scambio di competenze e di buone prassi tra di loro. Particolare attenzione è stata accordata ai responsabili della protezione dei dati delle nuove agenzie di recente istituzione.

Ruolo dei controlli preventivi

È stato formulato un numero record di pareri relativi a controlli preventivi, mentre resta ancora da concludere il controllo preventivo delle operazioni di trattamento in corso per la maggior parte delle istituzioni e degli organismi. È stato posto maggiormente l’accento sull’attuazione delle raccomandazioni.

Orientamenti orizzontali

Sono stati sviluppati orientamenti su temi importanti comuni alla maggior parte delle istituzioni e degli organismi (ad es. assunzione di personale, trattamento dei dati a carattere sanitario), innanzi tutto per facilitare il controllo preventivo per le agenzie. Tali orientamenti saranno prossimamente resi disponibili per tutte le parti interessate.

Verifica della conformità

Il GEPD ha continuato a misurare la conformità di tutti gli organismi e istituzioni con il regolamento (CE) n. 45/2001 ed entro la metà del 2009 riferirà in merito ai progressi compiuti al riguardo. Oltre a questa indagine generale, è stata effettuata una serie di ispezioni in vari organismi e istituzioni per verificare la conformità su questioni specifi che.

Sistemi su vasta scala

Il GEPD ha continuato a sviluppare un controllo coordinato di Eurodac insieme alle autorità di controllo nazionali e ad attuare il programma di lavoro adottato a tal fi ne. Ha inoltre compiuto i primi passi per quanto riguarda altri sistemi su vasta scala, come il SIS II e il VIS.

Pareri su atti legislativi

Il GEPD ha elaborato un numero record di pareri od osservazioni su nuovi atti legislativi o documenti connessi, coprendo un numero di settori più ampio che in passato e fornendo un contributo adeguato dalla prima all’ultima fase della procedura legislativa.

Trattato di Lisbona

L’impatto del trattato di Lisbona è stato analizzato attentamente, ma la sua entrata in vigore dipende dalla ratifica finale da parte di alcuni Stati membri. L’analisi ha evidenziato che il trattato ha un impatto potenziale importante, per motivi sia istituzionali che sostanziali, con ampie possibilità di miglioramento della protezione dei dati.

Informazioni online

Le informazioni disponibili sul sito web del GEPD sono state migliorate, aggiornandone e sviluppandone il contenuto e migliorandone l’accessibilità. Per il 2009 sono previsti ulteriori miglioramenti, tra i quali figura anche la pubblicazione di una newsletter elettronica.

Regolamento di procedura

Sono stati compiuti notevoli progressi nella preparazione del regolamento interno che contempla le varie funzioni e attività del GEPD, nonché nell’elaborazione di manuali interni di casistica per le attività di maggiore rilievo. I risultati saranno pubblicati sul sito web del GEPD nel corso del 2009, con strumenti pratici per le parti interessate.

Gestione delle risorse

La gestione delle risorse finanziarie e umane è stata consolidata o ulteriormente sviluppata e sono stati raff orzati altri processi interni. Sono state altresì migliorate la funzionalità e l’efficacia delle funzioni di controllo interno.

Obiettivi per il 2009

il 2009 sarà il primo anno di un nuovo mandato del GEPD, con una composizione parzialmente nuova dell’istituzione. È pertanto da prevedere una commistione di continuità e cambiamento.

Questo anno sarà utilizzato per una valutazione strategica dei ruoli e dei compiti del GEPD e per fissare le principali linee di sviluppo per i prossimi quattro anni. Tale riflessione coinciderà con cambiamenti significativi nel contesto esterno al GEPD, come le sfi de derivanti dalla nuova legislatura europea, la nuova Commissione europea, l’eventuale entrata in vigore del trattato di Lisbona e altre politiche e contesti a lungo termine e il relativo impatto combinato sulla protezione dei dati. Il GEPD intende assumere una posizione chiara al riguardo e riferirà sulle conclusioni nella prossima relazione annuale.

Per il 2009 sono stati selezionati gli obiettivi principali indicati in appresso, fatto salvo il risultato della riflessione strategica. I risultati conseguiti saranno riferiti nella prossima relazione annuale.

Sostegno alla rete dei responsabili della protezione dei dati

Il GEPD continuerà a offrire un forte sostegno ai responsabili della protezione dei dati, in particolare delle agenzie di recente istituzione, e incoraggerà uno scambio di competenze e di migliori prassi tra gli stessi, al fine di rafforzarne l’efficacia.

Ruolo dei controlli preventivi

Il GEPD intende portare a termine i controlli preventivi riguardanti le operazioni di trattamento in corso per la maggior parte delle istituzioni e degli organismi e porre maggiormente l’accento sull’attuazione delle raccomandazioni. Particolare attenzione sarà dedicata al controllo preventivo delle operazioni di trattamento comuni alla maggior parte delle agenzie.

Orientamenti orizzontali

Il GEPD continuerà a sviluppare orientamenti su questioni importanti comuni alla maggior parte delle istituzioni e degli organismi e a renderli generalmente disponibili. Saranno pubblicati orientamenti in materia di videosorveglianza, che contribuiranno anche ad attirare l’attenzione sulle situazioni che presentano rischi specifici.

Esame dei reclami

Il GEPD pubblicherà un quadro politico per il trattamento dei reclami allo scopo di informare tutte le parti in causa delle pertinenti procedure, compresi i criteri in base ai quali viene deciso l’avvio di un’indagine alla luce dei reclami pervenuti.

Politica in materia di ispezioni

Il GEPD continuerà a verifi care la conformità al regolamento (CE) n. 45/2001 con diversi tipi di controlli per tutte le istituzioni e gli organismi e aumenterà il numero di ispezioni sul posto. Nel 2009 sarà pubblicata sul sito web del GEPD una politica generale in materia di ispezioni.

Portata della consultazione

Il GEPD continuerà a formulare in modo tempestivo pareri o osservazioni su proposte di nuovi atti legislativi, sulla base di un inventario sistematico degli argomenti e delle priorità pertinenti, e ad assicurare un seguito adeguato.

Programma di Stoccolma

Il GEPD intende dedicare particolare attenzione alla preparazione di un nuovo programma strategico quinquennale per il settore della libertà, della sicurezza e della giustizia destinato ad essere adottato dal Consiglio europeo alla fine del 2009. In tale contesto sarà indicata come condizione essenziale l’esigenza di salvaguardie effettive in materia di protezione dei dati.

Attività d’informazione

Il GEPD migliorerà ulteriormente la qualità e l’efficacia degli strumenti d’informazione online (sito web e newsletter elettronica) nonché valuterà e, se del caso, aggiornerà le altre attività in materia d’informazione.

Regolamento di procedura

Il GEPD adotterà e pubblicherà il regolamento interno, confermando o chiarendo le prassi attuali per quanto riguarda i suoi differenti ruoli e attività. Nel sito web saranno disponibili strumenti pratici per le parti interessate.

Gestione delle risorse

Il GEPD consoliderà e svilupperà ulteriormente le attività relative alle risorse finanziarie e umane, e rafforzerà altri processi di lavoro interni. Particolare attenzione sarà accordata all’assunzione di personale a lungo termine, alla necessità di spazi supplementari per uffici e allo sviluppo di un sistema di gestione dei fascicoli.

Supervisione

Uno dei ruoli principali del GEPD consiste nel monitorare in modo indipendente le operazioni di trattamento effettuate dalle istituzioni e dagli organi comunitari. Il quadro giuridico è il regolamento

(CE) n. 45/2001, che stabilisce una serie di obblighi per coloro che trattano dati e una serie di diritti per le persone i cui dati sono trattati.

Le operazioni di trattamento di dati personali che non presentano particolari rischi per gli interessati sono notificate esclusivamente al responsabile della protezione dei dati dell’istituzione o dell’organismo interessato. Quelle che presentano rischi specifi ci per le persone interessate devono essere sottoposte al controllo preventivo del GEPD, che determina se il trattamento è conforme o meno al regolamento.

Tra i compiti di supervisione svolti dal garante aggiunto figurano la consulenza e l’assistenza ai responsabili della protezione dei dati, il controllo preventivo delle operazioni di trattamento a rischio, la realizzazione di indagini, comprese le ispezioni sul posto, e il trattamento dei reclami.

Controlli preventivi

Nel 2008 i controlli preventivi hanno continuato a rappresentare l’aspetto principale dell’attività di controllo del GEPD.

Come citato nelle relazioni annuali precedenti, il GEPD ha costantemente incoraggiato i responsabili della protezione dei dati ad aumentare il numero delle notificazione di controllo preventivo ad esso rivolte. Il termine della primavera 2007 per il ricevimento delle notificazioni in vista di un controllo preventivo del GEPD - casi ex post - era stato fissato per incentivare le istituzioni e gli organismi comunitari a intensifi care gli sforzi verso il pieno adempimento del loro obbligo di notificazione.

Il risultato è stato un considerevole aumento delle notificazioni.

Nel complesso, il 2008 è stato un anno di lavoro intenso, con un numero di pareri su controlli preventivi (105 pareri) maggiore rispetto a tutti gli anni precedenti. Di questi, solo alcuni (18) erano “veri e propri” casi di controllo preventivo, vale a dire casi in cui le istituzioni interessate hanno seguito la procedura prevista per il controllo preventivo prima di effettuare l’operazione di trattamento.

Per la prima volta, il GEPD ha deciso di suggerire il ritiro di alcune notificazioni. Ciò è stato dovuto

al fatto che le notificazioni in questione riguardavano vecchi trattamenti destinati ad essere sostituiti

oppure non erano disponibili informazioni sufficienti a garantire un’adeguata conoscenza degli elementi della procedura.

Per quanto riguarda i tempi, il numero di giorni occorsi al GEPD per la formulazione di progetti di pareri è diminuito rispetto al 2007 di oltre due giorni, il che rappresenta un risultato molto soddisfacente, considerati il numero e la complessità crescenti delle notificazioni. Il GEPD è tuttavia preoccupato a causa dei lunghi periodi necessari alle istituzioni e agli organismi per fornire le necessarie informazioni. In tale contesto ricorda loro ancora una volta l’obbligo di cooperare con il garante e di fornirgli le informazioni richieste.

Nel 2008 i casi sottoposti a controllo preventivo ex-post² hanno riguardato principalmente le seguenti questioni: dati di carattere sanitario trattati da istituzioni e organismi, assunzione di personale e selezione di candidati, valutazione del personale, accreditamento di giornalisti, sistemi di gestione dell’identità, controllo dell’accesso e indagini di sicurezza.

Per quanto riguarda i controlli preventivi veri e propri, questi hanno riguardato essenzialmente procedure di selezione specifi che, in particolare per l’Agenzia per i diritti fondamentali e per il GEPD, un progetto pilota concernente il controllo individuale, il flexitime, il controllo dell’identità e dell’accesso e la sorveglianza elettronica.

Sono state inoltre affrontate per la prima volta alcune questioni importanti, come il servizio di gestione dell’identità, il controllo dell’accesso mediante scansione dell’iride o l’autenticazione mediante impronta digitale.

Reclami

Il numero totale di reclami ha continuato ad aumentare nel 2008 (91 reclami ricevuti), con un numero inferiore di reclami ammissibili rispetto agli anni precedenti (23 reclami ammissibili) ma in generale una maggiore complessità. La maggior parte dei reclami è stata dichiarata irricevibile poiché riguardava il trattamento dei dati personali a livello degli Stati membri (materia di competenza delle autorità nazionali per la protezione dei dati). I casi ammissibili riguardavano soprattutto questioni come l’accesso ai dati, il trattamento dei dati sensibili, il diritto di rettifica e l’obbligo d’informazione.

Il GEPD ha continuato a lavorare a un quadro strategico per il trattamento dei reclami. Nel 2009 saranno resi disponibili sul sito web del GEPD i principali elementi della procedura e un formulario tipo per la presentazione dei reclami, nonché informazioni sull’ammissibilità degli stessi. Tale pubblicazione dovrebbe aiutare i potenziali ricorrenti nella presentazione dei reclami, limitando nel contempo il numero di reclami non ammissibili.

Politica in materia di ispezioni

Nel quadro del “termine della primavera 2007”, la prima parte dell’operazione avviata nel 2007 è consistita nell’invio di lettere ai direttori delle istituzioni e agenzie per misurare il livello di conformità al regolamento. Sulla scorta delle risposte ricevute il GEPD ha elaborato una relazione generale che è stata resa pubblica nel maggio 2008 ed è stata trasmessa a tutte le istituzioni e agenzie.

Come annunciato, l’operazione ha segnato l’inizio di uno sforzo di lungo respiro del GEPD inteso ad assicurare la conformità con il regolamento, che si tradurrà in eventuali ispezioni sul posto.

In tale contesto, il GEPD ha ulteriormente sviluppato la sua politica in materia di ispezioni e ha compiuto una prima serie di ispezioni sul posto presso varie istituzioni e organismi al fine di misurare la conformità nella pratica. Le ispezioni possono essere effettuate in seguito ad un reclamo o su iniziativa del GEPD. Durante le ispezioni il GEPD verifica i fatti e la realtà sul posto.

Esse possono inoltre contribuire in misura sostanziale a sensibilizzare le istituzioni sulle questioni relative alla protezione dei dati.

Nel 2008 il GEPD ha definito la prima procedura globale per le sue attività d’ispezione. Questa è consistita in tre fasi:

in una prima fase sono state effettuate due visite di prova per verificare sul posto la metodologia del GEPD;

nella seconda fase il GEPD ha perfezionato la sua metodologia pratica;

nella terza fase sono state effettuate ispezioni presso due istituzioni e organismi europei - il Comitato economico e sociale europeo e l’Autorità europea per la sicurezza alimentare - che erano stati selezionati nel quadro dell’esercizio della primavera 2007.

Misure amministrative

Il GEPD ha inoltre continuato a fornire consulenza sulle misure amministrative previste dalle istituzioni e dagli organismi comunitari in relazione al trattamento dei dati personali. È stata sollevata una serie di questioni che pongono difficoltà, tra cui un nuovo modello di certificato medico, l’accesso al pubblico di documenti contenenti dati personali, la normativa applicabile ad alcune attività di trattamento, il trasferimento di un fascicolo medico a un tribunale nazionale, le norme di attuazione del regolamento (CE) n. 45/2001 e i reclami trattati dal mediatore europeo.

Videosorveglianza

Il GEPD ha continuato a lavorare ai suoi orientamenti in materia di videosorveglianza per fornire alle istituzioni e agli organismi dell’UE indicazioni pratiche sul rispetto delle norme di protezione dei dati nell’uso dei sistemi di videosorveglianza. Il primo progetto interno di orientamenti è stato elaborato alla fine del 2008 e sarà consultabile pubblicamente entro la metà del 2009.

Consultazione

Il GEPS fornisce alle istituzioni e agli organismi europei consulenza in materia di protezione dei dati in tutta una serie di settori. Questo ruolo consultivo riguarda nuove proposte legislative come pure altre iniziative che possono incidere sulla protezione dei dati personali nell’UE. Di norma assume la forma di un parere ufficiale, ma il GEPD può fornire orientamenti anche attraverso l’elaborazione di osservazioni e documenti strategici. Anche gli sviluppi tecnologici aventi un impatto sulla protezione dei dati sono oggetto di controllo nell’ambito di tale attività.

Pareri del GEPD e questioni chiave

Nel 2008 il GEPD ha emesso 14 pareri su proposte legislative dell’UE. Come negli anni precedenti una parte consistente dei pareri riguarda il settore della libertà, della sicurezza e della giustizia, sia nell’ambito del “pilastro” comunitario sia nel settore della cooperazione giudiziaria e di polizia in materia penale (“terzo pilastro”). Questo settore rappresenta quasi la metà dei pareri pubblicati in materia legislativa, ossia 6 su 14. L’adozione della decisione quadro sulla protezione dei dati, del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale ha rappresentato uno sviluppo importante in questo settore.

Nel corso dei negoziati questa parte della normativa è stata oggetto della massima attenzione da parte del GEPD, che ha pubblicato tre pareri, nonché osservazioni sulla materia.

Il GEPD si è anche soffermato sulla proposta di modifica del regolamento relativo all’accesso del pubblico ai documenti delle istituzioni UE, nonché sul riesame della direttiva relativa alla vita privata e alle comunicazioni elettroniche (direttiva e-privacy). Le questioni relative al codice di prenotazione (PNR) sono state anch’esse al centro delle attività consultive del GEPD, in particolare per quanto riguarda il seguito della proposta dell’UE sul PNR.

Scambio di informazioni

Un’altra questione centrale è stata quella dello scambio di informazioni, in particolare la creazione di sistemi di informazione e l’accesso a tali sistemi. Il GEPD ha adottato pareri sui sistemi di scambio di informazioni proposti nel quadro del sistema d’informazione del mercato interno (IMI), di Eurojust, della sicurezza stradale, della protezione dei bambini che usano internet, di ECRIS, del Gruppo di contatto ad alto livello UE-Stati Uniti sulla condivisione delle informazioni e sulla strategia europea in materia di giustizia elettronica. Sono state inoltre pubblicate osservazioni preliminari sul pacchetto della Commissione relativo alla gestione delle frontiere dell’UE.

I pareri del GEPD hanno sottolineato l’esigenza che lo scambio di informazioni sia valutato in modo appropriato e attento in ciascun caso. Inoltre, allorché tale scambio è istituito occorre prevedere garanzie specifi che in materia di protezione dei dati.

Nuove tecnologie

Il GEPD ha sollevato a varie riprese la questione del ricorso alle nuove tecnologie (ad es. ECRIS, strategia europea in materia di giustizia elettronica). Ha ripetutamente invitato a garantire che gli aspetti inerenti alla protezione dei dati siano tenuti in considerazione nelle primissime fasi (“privacy-by-design”). Ha inoltre rilevato che gli strumenti tecnologici dovrebbero essere utilizzati non solo per garantire lo scambio di informazioni, ma anche per raff orzare i diritti degli interessati.

Gli sviluppi attualmente in corso nel settore della Società dell’informazione sono stati seguiti ed esaminati ancora una volta, quali la RFID e l’intelligenza diff usa, come seguito della comunicazione della Commissione europea sulla RFID ed il relativo parere del GEPD.

Il GEPD ha inoltre fornito chiarimenti su un suo eventuale contributo alla ricerca e sviluppo tecnologico (RST) nell’UE, nonché ad azioni consolidate già avviate. È stato adottato un documento orientativo che descrive l’eventuale ruolo che l’istituzione potrebbe svolgere a favore di progetti di ricerca e sviluppo nell’ambito del settimo programma quadro di ricerca e sviluppo tecnologico.

Qualità dei dati

La qualità dei dati è stato un altro soggetto importante. Un livello elevato di accuratezza dei dati è infatti necessario se si vogliono evitare ambiguità riguardo al contenuto delle informazioni trattate.

È pertanto fondamentale che l’accuratezza sia verificata regolarmente e adeguatamente. Un livello elevato di qualità dei dati rappresenta inoltre non soltanto una garanzia di base per l’interessato, ma facilita inoltre l’uso efficiente da parte di coloro che si occupano del trattamento dei dati in questione.

Nuovi sviluppi e priorità

Sono state individuate una serie di prospettive per cambiamenti futuri, che costituiranno l’ordine del giorno delle principali priorità per il GEPD. Queste comprendono nuove tendenze tecnologiche che accrescono la protezione dei dati critici e le preoccupazioni in materia di vita privata, quali lo sviluppo di sistemi di “cloud computing”³ e tecnologie di sequenziamento del DNA alla velocità della luce.

Per quanto riguarda i nuovi sviluppi nel settore delle politiche e della legislazione le principali questioni cui il GEPD intende riservare un’attenzione particolare comprendono:

una riflessione su ulteriori miglioramenti della decisione quadro sulla protezione dei dati, in modo da aumentare il livello di protezione previsto dal nuovo strumento nell’ambito del terzo pilastro;

il futuro della direttiva sulla protezione dei dati;

il programma pluriennale della Commissione europea nel settore della libertà, della sicurezza e della giustizia - noto come “programma di Stoccolma”;

le principali tendenze nelle attività di contrasto e legislative in materia di lotta al terrorismo e alla criminalità organizzata;

la revisione del regolamento sull’accesso del pubblico ai documenti;

nuove iniziative volte a potenziare l’assistenza sanitaria transfrontaliera in combinazione con il ricorso alle tecnologie informatiche.

Cooperazione

il GEPD coopera con le autorità nazionali per la protezione dei dati al fi ne di promuovere una protezione coerente dei dati in tutta Europa. Tale ruolo abbraccia anche la cooperazione con gli organi di controllo istituiti nell’ambito del terzo pilastro dell’UE e nel contesto dei sistemi di TI su vasta scala.

La principale piattaforma di cooperazione tra le autorità per la protezione dei dati in Europa è il Gruppo dell’articolo 29, che fornisce alla Commissione europea consulenze indipendenti in materia di protezione dei dati. Il GEPD partecipa alle attività del Gruppo, che svolge un ruolo cruciale nell’applicazione uniforme della direttiva sulla protezione dei dati.

Il GEPD ed il Gruppo hanno collaborato efficacemente in una serie di ambiti, concentrandosi in particolare sull’attuazione della direttiva sulla protezione dei dati e sulle sfi de in materia di protezione dei dati poste dalle nuove tecnologie. Il GEPD ha inoltre appoggiato con fermezza iniziative volte a facilitare i flussi internazionali di dati (ad esempio le norme vincolanti d’impresa).

Nel 2008 il Gruppo ha adottato pareri su proposte legislative, che in taluni casi erano state oggetto di pareri del GEPD (ad esempio il riesame della direttiva e-privacy). Sebbene la consultazione del GEPD sia un elemento obbligatorio del processo legislativo dell’UE, i contributi del Gruppo sono anch’essi molto utili, soprattutto perché potrebbero contenere elementi di particolare interesse sul piano nazionale. Il GEPD si rallegra pertanto di tali contributi, che sono stati in linea con i suoi pareri.

Uno dei più importanti compiti cooperativi del GEPD riguarda il controllo coordinato di Eurodac, in cui le responsabilità del controllo in materia di protezione dei dati sono ripartite tra le autorità nazionali per la protezione dei dati e il GEPD. Il Gruppo di coordinamento della supervisione di Eurodac - composto dalle autorità nazionali per la protezione dei dati e dal GEPD - si è riunito due volte nel 2008, occupandosi principalmente dell’attuazione del programma di lavoro adottato dal gruppo nel dicembre 2007. Nell’ambito del programma di lavoro sono stati selezionati tre argomenti al fine di approfondirne l’esame e riferire in proposito: l’informazione degli interessati, i bambini ed Eurodac, DubliNet⁴. Nel contempo il quadro in cui il Gruppo opera è stato anch’esso al centro dell’attenzione: la Commissione europea ha intrapreso un riesame dei regolamenti Dublino e

Eurodac nel quadro delle misure generali in materia di asilo.

L’esigenza di una più stretta cooperazione tra i GEPD ed altre autorità per la protezione dei dati nelle questioni relative al terzo pilastro - il settore della cooperazione giudiziaria e di polizia - si è accentuata negli ultimi anni in seguito all’aumento di iniziative a livello europeo e internazionale volte a raccogliere e condividere dati personali. Il GEPD si impegna a garantire un livello elevato e omogeneo di protezione dei dati nei lavori degli organi di controllo della protezione dei dati (autorità di controllo comune per Schengen, Europol, Eurojust e il sistema d’informazione doganale) istituiti nell’ambito del terzo pilastro dell’UE. Nel 2008 il GEPD ha contribuito attivamente alle riunioni organizzate dal Gruppo “Polizia e giustizia” incentrate su questioni sensibili, quali l’attuazione del trattato di Prüm, la decisione quadro sulla protezione dei dati nell’ambito del terzo pilastro e il PNR.

La cooperazione nell’ambito di altri consessi internazionali ha continuato ad essere al centro dell’attenzione. Come negli anni precedenti, il GEPD ha partecipato alle conferenze europee ed internazionali dei commissari in materia di protezione dei dati e della vita privata, che hanno offerto ai partecipanti l’opportunità di discutere le sfi de attuali in materia di protezione dei dati, quali gli sviluppi correlati alle nuove tecnologie e la questione della vita privata in un mondo senza frontiere. È stato inoltre riservato un seguito appropriato all’”iniziativa di Londra” relativa alla sensibilizzazione in materia di protezione dei dati ed ai metodi per renderla più efficace. Infine, sulla scia di eventi simili organizzati nel 2005 e 2007, è allo studio un terzo workshop sulla protezione dei dati nelle organizzazioni internazionali.

Comunicazione

L’informazione e la comunicazione svolgono un ruolo centrale nell’assicurare la visibilità delle principali attività del GEPD e nel sensibilizzare il pubblico sull’operato del GEPD e sulla protezione dei dati in generale. Si tratta di una questione particolarmente strategica, poiché il GEPD è ancora un’istituzione relativamente nuova ed il suo ruolo al livello dell’UE deve essere consolidato ulteriormente.

A quattro anni dall’avvio dei lavori, si pone l’accento sui benefi ci derivanti dalla comunicazione in termini di visibilità. Indicatori signifi cativi dei risultati raggiunti sono l’aumento delle richieste di informazioni, l’incremento del traffi co sul sito, una crescita costante del numero di abbonati alla newsletter, continue richieste per visite di studio presso il GEPD ed inviti a partecipare a conferenze.

Inoltre, contatti più sistematici con i media e, di conseguenza, un aumento sostanziale della copertura mediatica delle attività del GEPD avvalorano ulteriormente l’opinione che il GEPD sia diventato un punto di riferimento per le questioni relative alla protezione dei dati.

Le relazioni con i media hanno continuato ad essere un elemento centrale delle attività di comunicazione ed il GEPD ha concesso circa venticinque interviste a giornalisti della carta stampata, televisivi e dei media elettronici nel 2008. Il servizio stampa ha pubblicato tredici comunicati stampa, la maggior parte dei quali riguardavano nuovi pareri legislativi di grande profilo pubblico generale. Essi hanno trattato questioni quali il riesame della direttiva e-privacy, l’adozione della decisione quadro sulla protezione dei dati nell’ambito del terzo pilastro, l’accesso del pubblico ai documenti UE e la condivisione di informazioni sul piano transatlantico ai fini delle attività di contrasto. Nel maggio 2008 è stata inoltre organizzata una conferenza stampa per presentare le principali conclusioni della relazione annuale 2007.

Oltre alle richieste che riceve regolarmente dai media, il servizio stampa si è occupato di circa 180 richieste di informazioni del pubblico, provenienti da una vasta gamma di persone e parti interessate. Il GEPD si è rallegrato delle visite da parte di gruppi di studenti specializzati in diritto europeo, nonché nelle questioni relative alle protezione dei dati e/o alla sicurezza delle TI nel mondo accademico.

Al fine di dare ulteriore visibilità alle attività in corso, il GEPD ha continuato a utilizzare i seguenti strumenti di informazione e comunicazione: sito web: il sito web è stato aggiornato da un punto di vista tecnico e dei contenuti, compresa la pubblicazione di un Glossario sulla protezione dei dati personali e di una sezione “Domande e Risposte”. Le statistiche mostrano che tra il 1º febbraio ed il 31 dicembre 2008 il sito ha ricevuto un totale di 81.841 visite, con un picco di 10.095 visite nel mese di maggio, al momento della pubblicazione della relazione annuale 2007;

newsletter elettronica: nel 2008 sono stati pubblicati cinque numeri della newsletter del GEPD. Il numero degli abbonati è aumentato in modo significativo tra il 2007 e il 2008. Sono in corso i lavori preparatori per la pubblicazione di una nuova versione della newsletter, al fine di fornire uno strumento di informazione di più facile lettura.

eventi promozionali: il GEPD ha nuovamente partecipato alla giornata sulla protezione dei dati e alla Giornata porte aperte dell’UE, allestendo stand informativi nelle principali istituzioni dell’UE;

opuscolo informativo: è stata avviata la preparazione di un nuovo opuscolo informativo, in particolare nella prospettiva della conclusione del primo mandato del GEPD nel gennaio 2009.

Amministrazione, bilancio e personale

Nell’obiettivo di consolidare ulteriormente il suo buon avvio, e di conseguenza di far fronte ai nuovi compiti, sono state destinate al GEPD risorse supplementari in termini di bilancio (aumento da 4.955.726 EUR nel 2007 a 5.307.753 EUR nel 2008) e di personale (da 29 a 33 membri).

In materia di bilancio, è stata introdotta nel 2008 una nuova terminologia al fine di garantire la trasparenza richiesta dall’autorità di bilancio. Nella sua relazione sull’esercizio 2007 la Corte dei conti europea ha dichiarato che l’audit non dava luogo ad alcuna osservazione.

In termini di risorse umane, la crescente visibilità dell’istituzione sta comportando un aumento del carico di lavoro, insieme ad un ampliamento dei suoi compiti. Il GEPD ha tuttavia scelto di adottare una crescita controllata per garantire che i nuovi membri del personale siano pienamente integrati. Il GEPD ha chiesto pertanto la creazione di soli quattro posti nel 2008. Il programma di tirocinio ha continuato ad ospitare circa due tirocinanti per sessione. Sono stati inoltre assunti due esperti nazionali distaccati da autorità nazionali per la protezione dei dati.

Per quanto riguarda l’organigramma del GEPD, l’aumento del carico di lavoro ha portato alla creazione della nuova mansione di coordinatore. A tal fine sono stati designati cinque coordinatori nelle unità di consultazione e di controllo.

Riguardo al controllo interno, la valutazione effettuata dai servizi del GEPD e dal revisore interno ha comprovato la funzionalità e l’efficienza del sistema di controllo interno e la sua capacità di garantire in modo ragionevole il raggiungimento degli obiettivi dell’istituzione.

Il GEPD ha nominato il proprio responsabile della protezione dei dati per garantire l’applicazione interna delle disposizioni del regolamento (CE) n. 45/2001. I lavori volti ad individuare le operazioni di trattamento che contengono dati personali e a determinare quali operazioni sono soggette a controllo preventivo sono proseguiti nel 2008. È stato messo a punto un inventario delle operazioni interne. Su questa base è stato avviato il primo processo di notificazione.

Sono state adottate nuove norme interne necessarie per garantire il corretto funzionamento dell’istituzione, tra cui decisioni sulla certificazione, sulle misure di sicurezza e sulla nomina di un addetto alla sicurezza locale per il GEPD.

È stata completata l’attuazione di un nuovo sistema di gestione dei documenti (GEDA). Tale attuazione è vista come una prima fase nello sviluppo di un sistema di gestione dei casi trattati ai fini di un migliore sostegno alle attività del GEPD.

Lussemburgo: Ufficio delle pubblicazioni ufficiali delle Comunità europee 2008

Il guardiano europeo della protezione

dei dati personali

www.edps.europa.eu

GARANTE EUROPEO DELLA

PROTEZIONE DEI DATI

NOTE                                              
1 Regolamento (CE) n. 45/2001, del 18 dicembre 2000, concernente la tutela delle persone fi siche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, GU L 8 del 12.1.2001.

2 I controlli preventivi ‘ex post’ riguardano operazioni di trattamento avviate prima della nomina del GEPD e del garante aggiunto (17 gennaio 2004) e che quindi non è stato possibile sottoporre a controllo prima del loro inizio.

3 Il termine “cloud computing” si riferisce all’utilizzo di tecnologie informatiche fondate su internet (“cloud”, letteralmente “nuvola”) per una molteplicità di servizi. Si tratta di un metodo informatico che prevede la fornitura tramite internet di risorse scalabili in modo dinamico e spesso virtualizzate.

4 DubliNet è la rete elettronica sicura dei canali d’informazione tra le autorità nazionali che si occupano delle domande di asilo. Di regola una “hit” nel sistema Eurodac determina uno scambio di dati riguardo alla persona che ha presentato la domanda di asilo. Tale scambio utilizza DubliNet.