RELAZIONE ANNUALE 2009

SINTESI

 

INTRODUZIONE

Il presente documento è una sintesi della relazione annuale 2009 del Garante europeo della protezione dei dati (GEPD). Tale relazione riguarda il 2009, quinto anno completo di attività del GEPD quale nuova autorità di controllo indipendente, con il compito di garantire che le istituzioni e gli organismi dell’Unione europea (UE) rispettino i diritti e le libertà fondamentali delle persone fisiche, e in particolare il diritto alla vita privata, in relazione al trattamento dei dati personali. Tale sintesi riguarda il primo anno del mandato quinquennale comune di Peter Hustinx (garante) e Giovanni Buttarelli (garante aggiunto).

Come disposto nel regolamento (CE) n. 45/2001⁽¹⁾ («il regolamento»), le attività principali del GEPD sono le seguenti:

• controllare e garantire che le istituzioni e gli organismi dell’UE rispettino le disposizioni del regolamento quando procedono al trattamento dei dati personali (controllo);

• fornire consulenza alle istituzioni e agli organismi dell’UE su tutte le questioni relative al trattamento di dati personali, ivi comprese le proposte legislative, e sorvegliare i nuovi sviluppi che hanno un’incidenza sulla protezione dei dati personali (consultazione);

• collaborare con le autorità nazionali di controllo e con gli organi di controllo nel quadro dell’ex «terzo pilastro» dell’UE per rendere più coerente la protezione dei dati personali (cooperazione).

Il 2009 è stato un anno di estrema importanza per il diritto fondamentale alla protezione dei dati, in virtù di alcuni sviluppi fondamentali: l’entrata in vigore del trattato di Lisbona, che assicura una solida base giuridica per una tutela generale dei dati in tutte le aree della politica dell’UE, il varo di una consultazione pubblica sul futuro del quadro giuridico dell’UE per la protezione dei dati e l’adozione di un nuovo programma politico quinquennale in materia di libertà, sicurezza e giustizia («programma di Stoccolma») che pone un forte accento sulla protezione dei dati in quanto elemento cruciale per assicurare legittimità ed efficacia in questo campo.

Il GEPD si è fortemente impegnato in questi settori ed è determinato a proseguire su questa strada nel prossimo futuro. Nel contempo, ha continuato ad esercitare il suo ruolo di autorità di controllo indipendente in tutte le normali aree di attività, realizzando progressi significativi nella supervisione delle istituzioni e degli organismi dell’UE in relazione al trattamento dei dati personali e nella consultazione su nuove politiche e misure legislative, nonché nella stretta collaborazione con altre autorità di controllo onde garantire una maggiore coerenza nella protezione dei dati.

La relazione annuale del 2008 ha menzionato che i seguenti obiettivi principali sono stati selezionati per il 2009. La maggior parte di tali obiettivi è stata interamente o parzialmente raggiunta.

• Sostegno alla rete dei responsabili della protezione dei dati

Il GEPD ha continuato a fornire un forte sostegno ai responsabili della protezione dei dati, in particolare nelle agenzie stabilite di recente, e ha incoraggiato uno scambio di esperienze e migliori pratiche tra di esse, al fine di rafforzarne l’efficacia.

• Ruolo del controllo preventivo

Il GEPD ha quasi completato il controllo preventivo delle operazioni di trattamento esistenti per la maggior parte delle istituzioni e degli organismi di lunga data e ha sottolineato in misura sempre maggiore l’importanza del follow-up delle raccomandazioni.

Un’attenzione speciale è stata rivolta al controllo preventivo delle comuni operazioni di trattamento che si svolgono nelle agenzie.

• Orientamento orizzontale

Il GEPD ha pubblicato gli orientamenti sull’assunzione del personale e sui dati relativi alla salute sul posto di lavoro, nonché il progetto degli orientamenti sulla videosorveglianza, che sono stati oggetto di una consultazione. Tali orientamenti sono stati sviluppati per assicurare la conformità delle istituzioni e degli organismi e per snellire le procedure di controllo preventivo.

• Gestione dei reclami

Il GEPD ha adottato un manuale per il personale sulla gestione dei reclami e ne ha pubblicato le linee principali sul sito Internet per informare tutte le parti coinvolte in merito alle procedure rilevanti, compresi i criteri riguardanti l’avvio o meno di un’indagine sui reclami presentati al GEPD. Attualmente, un modulo da utilizzare per i reclami è anche disponibile sul sito Internet.

• Politica d’ispezione

Il GEPD ha continuato a misurare la conformità al regolamento (CE) n.!45/2001, tramite diversi tipi di controlli, per tutte le istituzioni ed organismi e ha condotto un certo numero di ispezioni in loco. Per garantire un processo più prevedibile, è stato pubblicato un primo insieme di procedure d’ispezione.

• Portata della consultazione

Il GEPD ha emesso un numero record di pareri pari a 16 e 4 insiemi di osservazioni formali su proposte di nuova legislazione, sulla base di un inventario sistematico degli argomenti e delle priorità rilevanti e ha assicurato un adeguato follow-up. Tutti i pareri e le osservazioni sono disponibili sul sito Internet, insieme all’inventario.

• Programma di Stoccolma

Il GEPD ha rivolto un’attenzione speciale alla preparazione del nuovo programma politico quinquennale per il settore della libertà, della sicurezza e della giustizia, adottato dal Consiglio alla fine del 2009. La necessità di una protezione dei dati efficace è stata riconosciuta come condizione essenziale.

• Attività d’informazione

Il GEPD ha migliorato la qualità e l’efficacia degli strumenti d’informazione online (sito Internet e newsletter elettronica) e ha aggiornato altre attività d’informazione (nuovo opuscolo informativo ed eventi di sensibilizzazione), ove necessario.

• Norme procedurali

Per le diverse attività del GEPD saranno tempestivamente adottate norme procedurali che, per la maggior parte, confermeranno le pratiche attuali o forniranno chiarimenti su di esse e che saranno disponibili sul sito Internet.

• Gestione delle risorse

Il GEPD ha consolidato ed ulteriormente sviluppato attività relative alle risorse finanziare ed umane e ha rivolto un’attenzione speciale all’assunzione del personale tramite un concorso dell’Ufficio europeo di selezione del personale (EPSO) nell’ambito della protezione dei dati. La selezione delle prime candidature è prevista nel corso del 2010.

Alcune cifre chiave del GEPD nel 2009

➔ 110 pareri di controllo preventivo adottati in materia di dati sulla salute, valutazione del personale, assunzione, gestione del tempo, indagini di sicurezza, registrazione telefonica, strumenti di misurazione delle prestazioni.

➔ 111 reclami ricevuti, 42 ammissibili. Principali tipologie di presunte violazioni: violazione della riservatezza dei dati, raccolta eccessiva di dati o uso illegale dei dati da parte del responsabile del trattamento.

• 12 casi risolti in cui il GEPD non ha riscontrato alcuna violazione delle norme in materia di protezione dei dati.

• 8 casi di non conformità con le norme in materia di protezione dei dati dichiarati.

➔ 32 consultazioni su misure amministrative. È stata fornita consulenza su un’ampia gamma di aspetti legali correlati al trattamento dei dati personali da parte delle istituzioni e degli organismi dell’UE.

➔ 4 ispezioni in loco condotte presso diversi organismi e istituzioni dell’UE.

➔ 3 orientamenti pubblicati sull’assunzione del personale, sui dati relativi alla salute e sulla videosorveglianza.

➔ 16 pareri legislativi emessi su sistemi informativi di vasta scala, elenchi di terroristi, quadro futuro per la protezione dei dati, salute pubblica, imposizione fiscale e trasporti

➔ 4 insiemi di osservazioni formali formulate sull’accesso pubblico ai documenti, sul servizio universale e sull’e-privacy e sulle trattative tra l’UE e gli Stati Uniti sul nuovo accordo SWIFT.

➔ 3 riunioni del gruppo di coordinamento del controllo di Eurodac organizzate, che si sono concretizzate in una seconda relazione d’ispezione coordinata sulle informazioni dirette agli interessati e sulla valutazione dell’età dei giovani che chiedono asilo politico.

 

SUPERVISIONE

Controlli preventivi

Il regolamento (CE) n.!45/2001 prevede che tutte le operazioni di trattamento di dati personali che possono presentare rischi particolari per quanto riguarda i diritti e le libertà degli interessati siano soggette al controllo preventivo del GEPD, che determina se il trattamento è conforme al regolamento.

Nel 2009, il GEPD ha adottato 110 pareri su controlli preventivi, riguardanti principalmente questioni quali dati di carattere sanitario, valutazioni del personale, assunzioni, gestione del tempo, registrazioni telefoniche, strumenti per la verifica di prestazioni ed indagini di sicurezza. I pareri sono pubblicati sul sito web del GEPD e la loro attuazione è oggetto di un follow-up sistematico.

Tra le varie consultazioni promosse dai responsabili della protezione dei dati sulla necessità di controlli preventivi del GEPD, numerosi casi sono stati dichiarati soggetti a controllo preventivo, quali audizioni di commissari designati al Parlamento europeo, valutazione ergonomica di ambienti di lavoro nel Parlamento europeo e nomine di personale di alto livello presso il Parlamento europeo.

Controlli di conformità

L’attuazione del regolamento sulla protezione dei dati da parte di istituzioni ed organismi viene monitorata sistematicamente mediante la regolare raccolta di indicatori di risultati, con riferimento a tutte le istituzioni ed organismi dell’UE. Facendo seguito all’esercizio «primavera 2009», il GEPD ha pubblicato una relazione dove risulta che le istituzioni dell’UE hanno compiuto progressi positivi nel rispetto dei requisiti in materia di protezione dei dati, mentre nella maggior parte delle agenzie si osserva un livello di conformità inferiore.

Oltre a questa attività generale di monitoraggio, il GEPD ha effettuato quattro ispezioni in loco in varie istituzioni ed organismi. Queste ispezioni sono oggetto di un follow-up sistematico e nel prossimo futuro saranno effettuate con maggiore frequenza.

Nel luglio 2009 il GEPD ha adottato un manuale di procedura per le ispezioni e ha pubblicato gli elementi principali di tale procedura sul suo sito web.

Reclami

Uno dei compiti principali del GEPD, come stabilito dal regolamento sulla protezione dei dati, consiste nel trattare i reclami e compiere i relativi accerta- menti, nonché svolgere indagini di propria iniziativa o in seguito ad un reclamo.

Il numero e la complessità dei reclami pervenuti al GEPD sono in aumento. Nel 2009 il GEPD ha ricevuto 111 reclami (un incremento del 32 % rispetto al 2008). Di questi, circa i due terzi erano inammissibili, poiché riguardavano questioni di livello nazionale, per le quali il GEPD non è competente. I restanti reclami hanno richiesto indagini più approfondite.

La maggior parte dei casi ammissibili riguardavano presunte violazioni della riservatezza, la raccolta di dati in eccesso o l’uso illegale dei dati da parte del responsabile del trattamento, l’accesso ai dati, il diritto di rettifica e la cancellazione di dati. In otto casi, il GEPD ha concluso che erano state violate le norme sulla protezione dei dati.

Dei reclami ammissibili presentati nel 2009, la maggioranza era diretta contro la Commissione europea, ivi compreso l’Ufficio europeo per la lotta antifrode (OLAF) e l’Ufficio europeo di selezione del personale (EPSO). È un dato prevedibile, poiché la Commissione esegue più trattamenti di dati personali che le altre istituzioni ed organismi dell’UE. Il numero elevato di reclami relativi a OLAF ed EPSO si può spiegare con la natura delle attività svolte da questi organismi.

Misure amministrative

Il GEPD ha continuato a fornire consulenza sulle misure amministrative previste dalle istituzioni ed organismi europei in relazione al trattamento dei dati personali. Sono state sollevate diverse questioni, tra cui i trasferimenti di dati personali a paesi terzi o organizzazioni internazionali, il trattamento di dati in caso di pandemie, la protezione dei dati nel servizio di audit interno e le norme di attuazione del regolamento sulla protezione dei dati.

Orientamenti tematici

Il GEPD ha adottato orientamenti sul trattamento dei dati personali per l’assunzione e sui dati di carattere sanitario sul luogo di lavoro. Nel 2009, il GEPD ha anche indetto una consultazione pubblica sugli orientamenti in materia di videosorveglianza, sottolineando tra l’altro il concetto di «privacy by design» (tutela della vita privata fin dalla progettazione) e la responsabilità come principi fondamentali in tale ambito.

 

CONSULTAZIONE

Principali tendenze

Nel 2009 una serie di attività ed eventi significativi hanno contribuito ad avvicinare la prospettiva di un nuovo quadro giuridico per la protezione dei dati. La realizzazione di questa prospettiva sarà un tema dominante nell’agenda del GEPD per i prossimi anni.

Alla fine del 2008 è stato adottato per la prima volta a livello dell’UE un quadro giuridico generale per la protezione dei dati in materia di cooperazione giudiziaria e di polizia. Benché non pienamente soddisfacente, si è trattato di un passo importante nella giusta direzione.

Nel 2009 un secondo sviluppo rilevante è stato l’adozione della direttiva e-privacy modificata, adottata nel quadro di un pacchetto legislativo più ampio. Questo è stato anche un primo passo verso la modernizzazione del quadro giuridico per la protezione dei dati.

L’entrata in vigore del trattato di Lisbona segna una nuova era per la protezione dei dati. Oltre a rendere vincolante la Carta dei diritti fondamentali per le istituzioni e gli organismi e per gli Stati membri quando agiscono nell’ambito del diritto dell’UE, ha determinato anche l’introduzione di una base generale per un quadro giuridico completo con l’articolo 16 del trattato sul funzionamento dell’Unione europea (TFUE).

Nel 2009 la Commissione ha avviato anche una consultazione pubblica sul futuro del quadro giuridico in materia di protezione dei dati. Il GEPD ha collaborato strettamente con i colleghi al fine di garantire un adeguato contributo congiunto alla consultazione e in varie occasioni ha messo in evidenza la necessità di un sistema più completo ed efficace di protezione dei dati nell’Unione europea.

Pareri del GEPD e questioni chiave

Il GEPD ha continuato ad attuare la sua politica di consultazione generale e ha emesso un numero record di pareri legislativi su diversi argomenti.

Questa politica prevede inoltre un approccio proattivo, che comporta un inventario periodico delle proposte legislative da sottoporre a consultazione e la disponibilità a fornire pareri informali nelle fasi preparatorie delle proposte legislative. Alla maggior parte dei pareri del GEPD è stato dato seguito nelle discussioni con il Parlamento e il Consiglio.

In materia di libertà, sicurezza e giustizia, il GEPD ha seguito con particolare interesse gli sviluppi concernenti il programma di Stoccolma e la sua visione per i prossimi cinque anni nel settore giustizia e affari interni. Il GEPD ha fornito consulenze sull’elaborazione del programma e ha partecipato al lavoro preparatorio per il modello europeo di informazione.

Altre attività in tale campo comprendono la revisione dei regolamenti Eurodac e Dublino, l’istituzione di un’agenzia per la gestione operativa dei sistemi di tecnologia dell’informazione su larga scala e un approccio coerente alla supervisione in questo settore.

In materia di e-privacy e tecnologia, a parte il riesame generale citato sopra, il GEPD è stato coinvolto in questioni relative alla direttiva sulla conservazione dei dati, all’uso di tag RFID o di sistemi di trasporto intelligente, nonché alla relazione Riseptis «Fiducia nella società dell’informazione».

Nel contesto della globalizzazione, il GEPD ha contribuito alla definizione di standard globali, al dialogo transatlantico in materia di protezione dei dati e informazioni per attività di contrasto, nonché al dibattito relativo a misure restrittive concernenti sospetti terroristi e taluni paesi terzi.

Altre aree di interesse sostanziale per il GEPD sono state la sanità pubblica - ivi comprese assistenza sanitaria transfrontaliera, e-health e farmacovigilanza - e l’accesso del pubblico ai documenti, con la revisione del regolamento (CE) n. 1049/2001 relativo all’accesso del pubblico e varie cause in merito al rapporto tra accesso del pubblico e protezione dei dati.

Nuovi sviluppi e priorità

È stata individuata una serie di prospettive relative a cambiamenti futuri che costituiranno l’agenda delle principali priorità per il GEPD. Vi si comprendono nuove tendenze tecnologiche che creano preoccupazioni in materia di protezione di dati critici e di vita privata, quali sistemi CCTV (televisione a circuito chiuso) «intelligenti», sviluppi del concetto di «Internet of things» (Internet delle cose) e pubblicità comportamentale online.

Il contesto delle attività di consultazione del GEPD nel 2010 sarà determinato anche da importanti sviluppi in materia di politica e legislazione. In aggiunta al riesame del quadro giuridico per la protezione dei dati, già citato in precedenza, il GEPD dedicherà un’attenzione particolare all’agenda digitale della Commissione, dove la protezione della vita privata e dei dati rappresenta un prerequisito indispensabile. Sono altresì in atto sviluppi significativi che consentiranno all’UE e ai suoi Stati membri di trattare con maggiore efficacia la dimensione esterna della protezione dei dati, non solo in relazione agli Stati Uniti, ma anche su una scala più ampia, grazie all’ulteriore sviluppo di norme globali.

 

COOPERAZIONE

La principale piattaforma di cooperazione tra le autorità per la protezione dei dati in Europa è il gruppo dell’articolo 29. Il GEPD partecipa alle attività del gruppo, che svolge un ruolo cruciale nell’applicazione uniforme della direttiva sulla protezione dei dati.

Il GEPD e il gruppo di lavoro hanno collaborato con una buona sinergia in una serie di ambiti, concentrandosi in particolare sull’attuazione della direttiva sulla protezione dei dati e sulle sfide poste dalle nuove tecnologie. Il GEPD ha inoltre appoggiato con fermezza iniziative volte a facilitare i %ussi internazionali di dati.

È opportuno citare in particolare il contributo congiunto «Il futuro della privacy» in risposta alla consultazione della Commissione europea sul quadro giuridico dell’UE per la protezione dei dati e alla consultazione della Commissione sull’impatto degli «scanner corporei» nel campo della sicurezza del trasporto aereo.

Uno dei più importanti compiti cooperativi del GEPD riguarda Eurodac, dove le responsabilità del controllo sono condivise con le autorità nazionali per la protezione dei dati. Il gruppo di coordinamento del controllo di Eurodac (composto dalle autorità nazionali per la protezione dei dati e dal GEPD) si è riunito tre volte, occupandosi principalmente dell’attuazione del programma di lavoro adottato nel dicembre 2007.

Uno dei principali risultati ottenuti è stato l’adozione nel giugno 2009 di una seconda relazione sulle ispezioni incentrata su due argomenti: il diritto all’informazione per i richiedenti asilo e i metodi di valutazione dell’età dei giovani richiedenti asilo.

Il GEPD ha continuato a collaborare strettamente con le autorità per la protezione dei dati nell’ex «terzo pilastro», ossia il settore della cooperazione di polizia e giudiziaria, e con il gruppo «polizia e giustizia». Nel 2009 questa cooperazione ha compreso la partecipazione al dibattito sul programma di Stoccolma e la valutazione dell’impatto della decisione quadro del Consiglio sulla protezione dei dati. La cooperazione in seno ad altri consessi internazionali ha continuato a essere al centro dell’attenzione, in particolare la 31a conferenza internazionale delle autorità di protezione dei dati e della privacy a Madrid, che ha portato alla definizione di una serie di standard globali per la protezione dei dati.

Il GEPD ha organizzato anche un seminario su «Come rispondere alle violazioni della sicurezza» nel contesto dell’«iniziativa di Londra» varata in occasione della 28a conferenza internazionale nel novembre 2006 per promuovere la consapevolezza in materia di protezione dei dati e accrescerne l’efficacia.

 

OBIETTIVI PRINCIPALI PER IL 2010

Per il 2010 sono stati selezionati i seguenti obiettivi principali.

• Sostegno alla rete RPD

Il GEPD continuerà a fornire un importante sostegno ai responsabili della protezione dei dati, soprattutto nelle agenzie di recente istituzione e a incoraggiare uno scambio di competenze e di migliori prassi, tra cui la possibile adozione di standard professionali al fine di rafforzarne l’efficacia.

• Ruolo dei controlli preventivi

Il GEPD porrà un maggiore accento sull’attuazione delle raccomandazioni nei pareri relativi ai controlli preventivi e garantirà un follow-up adeguato. Continuerà a ricevere un’attenzione particolare il controllo preventivo delle operazioni di trattamento comuni alla maggior parte delle agenzie.

• Orientamenti orizzontali

Il GEPD continuerà a sviluppare orientamenti su temi importanti e a renderli disponibili a tutte le parti interessate. Verranno pubblicati orientamenti sulla videosorveglianza, sulle indagini amministrative e sui procedimenti disciplinari, nonché sulle norme di attuazione relative alle attività e alle mansioni dei responsabili della protezione dei dati.

• Politica in materia di ispezioni

Il GEPD pubblicherà una politica completa sul monitoraggio della conformità e dell’applicazione delle norme sulla protezione dei dati nelle istituzioni e negli organismi. Ciò comprenderà tutti i mezzi adeguati per misurare e assicurare la conformità alle norme di protezione dei dati e incoraggerà la responsabilità istituzionale per una buona gestione dei dati.

• Portata della consultazione

Il GEPD continuerà a formulare in modo tempestivo pareri od osservazioni su proposte di nuovi atti legislativi e ad assicurare un seguito adeguato in tutti gli ambiti pertinenti. Verrà attribuita un’attenzione speciale al piano d’azione per l’attuazione del programma di Stoccolma.

• Riesame del quadro giuridico

Il GEPD darà la priorità allo sviluppo di un quadro giuridico completo per la protezione dei dati che riguardi tutti gli ambiti della politica dell’UE e assicuri una protezione efficace nella pratica e contribuisca al dibattito pubblico, qualora necessario e appropriato.

• Agenda digitale

Il GEPD presterà un’attenzione particolare all’agenda digitale della Commissione in tutti gli ambiti che hanno un effetto ovvio sulla protezione dei dati.

Verranno fortemente supportati il principio della «privacy by design» e la sua attuazione pratica.

• Attività d’informazione

Il GEPD migliorerà ulteriormente i suoi strumenti di informazione online (sito Internet e newsletter elettronica) per rispondere meglio alle domande dei visitatori. Verranno sviluppate nuove pubblicazioni («schede informative») su questioni tematiche.

• Organizzazione interna

Il GEPD modificherà la struttura organizzativa del suo segretariato per assicurare un’attuazione più efficace ed efficiente dei diversi ruoli e mansioni. Sul sito Internet verranno pubblicate le linee principali della nuova struttura.

• Gestione delle risorse

Il GEPD svilupperà ulteriormente le attività relative alle risorse finanziarie e umane, e rafforzerà altri processi operativi interni. Particolare attenzione sarà accordata alla necessità di spazi supplementari per uffici e allo sviluppo di un sistema di gestione dei fascicoli.

 

Garante europeo della protezione dei dati