RELAZIONE ANNUALE 2011 SINTESI
INTRODUZIONE Il presente documento è una sintesi dellarelazione annuale 2011 del garante europeo della protezione dei dati (GEPD). Larelazione riguarda il 2011, settimo anno completo dall'istituzione del GEPDquale nuova autorità di controllo indipendente incaricata di garantire che leistituzioni e gli organismi dell'Unione europea (UE) rispettino i diritti e lelibertà fondamentali delle persone fisiche, in particolare il diritto alla vitaprivata, in relazione al trattamento dei dati personali. La relazione riguardainoltre il terzo anno del mandato quinquennale comune di Peter Hustinx(garante) e Giovanni Buttarelli (garante aggiunto). Come disposto nel regolamento (CE) n. 45/2001 * controllare e garantireche le istituzioni e gli organismi dell'UE rispettino le disposizioni delregolamento quando procedono al trattamento dei dati personali (controllo); * fornire consulenza alleistituzioni e agli organismi dell'UE in relazione a tutte le questioni relativeal trattamento di dati personali, ivi compresi la consultazione sulle propostelegislative e il monitoraggio dei nuovi sviluppi incidenti sulla protezione deidati personali (consultazione); * collaborare con leautorità nazionali di controllo e con gli organi di controllo nel quadrodell'ex «terzo pilastro» dell'UE per rendere più coerente la protezione deidati personali (cooperazione). Nel corso del 2011, il GEPD ha stabilito nuoviparametri di riferimento in diverse aree di attività. Nel trattamento dei datipersonali nell'ambito del controllo delle istituzioni e degli organismidell'UE, il GEPD ha interagito con numerosi responsabili della protezione deidati appartenenti a organismi e istituzioni di diversi tipi, intrattenendo unnumero di relazioni senza precedenti. Inoltre, il GEPD ha assistito aglieffetti della sua nuova politica di esecuzione: la maggior parte delleistituzioni e degli organismi dell'UE sta realizzando buoni progressi in materiadi conformità al regolamento sulla protezione dei dati, mentre altri organismie istituzioni dovrebbero profondere maggiore impegno. Nell'ambito della consultazione sulle nuovemisure legislative, il GEPD ha emesso un numero record di pareri su un'ampiagamma di argomenti. Il tema principale è il riesame del quadro giuridicodell'UE per la protezione dei dati, al quale viene attribuita la massimaimportanza. Tuttavia, anche l'attuazione del programma di Stoccolma in materiadi libertà, sicurezza e giustizia e l'agenda digitale, fondamenti dellastrategia Europa 2020, hanno un impatto significativo sulla protezione deidati. Lo stesso vale per le questioni relative a mercato interno, sanitàpubblica e consumi nonché per la politica di esecuzione in un contestotransnazionale. Al contempo, il GEPD ha potenziato lacooperazione con altre autorità di controllo e migliorato ulteriormentel'efficienza e l'efficacia della sua organizzazione.
RISULTATI NEL 2011 I seguenti obiettivi principali sono statistabiliti nel 2010. La maggior parte di questi obiettivi è stata realizzata intutto o in parte nel 2011. In alcuni casi, le attività proseguiranno nel 2012. * Sensibilizzazione Il GEPD ha investito tempo e risorse inattività di sensibilizzazione rivolte alle istituzioni e agli organismi dell'UEnonché ai responsabili della protezione dei dati (RPD). Queste attività hannocomportato la stesura di orientamenti tematici, in particolare nei settoridelle procedure di contrasto alle molestie e di valutazione del personale,nonché l'organizzazione di workshop sulla protezione dei dati destinati airesponsabili della protezione o ai responsabili del trattamento dei dati. * Ruolo del controllopreventivo Nel 2011, sono pervenute al GEPD 164 notifichedi controllo preventivo, il secondo record numerico mai raggiunto. Questoaumento è stato attribuito principalmente all'introduzione di visite presso leagenzie, alle ispezioni in loco e alla stesura di orientamenti tematici. Anchele notifiche ricevute da agenzie di recente creazione hanno contribuitoall'incremento. Il GEPD ha continuato a sottolineare l'importanzadell'attuazione delle raccomandazioni formulate nei pareri sui controllipreventivi. * Attività di monitoraggio ecomunicazione Il GEPD ha avviato la sua terza raccolta diindicatori di risultati, per eseguire il monitoraggio della conformità allenorme sulla protezione dei dati (indagine 2011). Oltre a questa attivitàgenerale, sono state condotte attività di monitoraggio mirate in casi in cui, aseguito delle attività di controllo, il GEPD aveva avuto motivo di dubitare dellivello di conformità di istituzioni o organismi specifici. Alcune di questeattività sono state effettuate a distanza, mentre altre hanno comportato unavisita della durata di un giorno all'organismo in questione, allo scopo dioccuparsi delle lacune in materia di conformità. * Ispezioni Le ispezioni sono uno strumento cruciale checonsente al GEPD di monitorare e assicurare l'applicazione del regolamento. Nel2011, il GEPD ha avviato quattro ispezioni e ha proseguito il follow-up delleraccomandazioni formulate durante le ispezioni precedenti. Inoltre, è statocondotto un controllo di sicurezza del sistema di informazione visti. * Portata della consultazione Il GEPD ha migliorato ulteriormente i suoirisultati, emettendo un numero record di 24 pareri e 12 serie di osservazioniformali. In molti casi, la Commissione aveva già consultato il GEPD primadell'adozione delle sue proposte e ciò ha portato all'emissione di 41 serie diosservazioni informali. A numerosi pareri avevano fatto seguito lepresentazioni nella commissione LIBE del Parlamento europeo o nei pertinentigruppi di lavoro del Consiglio. La selezione delle proposte per le quali eranostati pubblicati i pareri era stata effettuata avvalendosi di un inventariosistematico di oggetti e priorità rilevanti per il GEPD. I pareri, leosservazioni formali e l'inventario sono pubblicati nel sito web del GEPD. * Riesame del quadro giuridicoper la protezione dei dati Il GEPD ha emesso un parere sulla comunicazionedella Commissione che definisce un approccio globale alla protezione dei datipersonali, oltre a osservazioni informali sulle proposte legislative. Haseguito da vicino il processo e ha fornito il suo contributo laddove opportunoe necessario. * Attuazione del programma diStoccolma Il GEPD ha seguito da vicino gli sviluppi dellepolitiche correlate al programma di Stoccolma e ha emesso un parere sullaproposta per una direttiva sull'uso del programma per viaggiatori registrati ascopo di esecuzione della legge oltre alle osservazioni formalisull'introduzione di un programma europeo di controllo delle transazionifinanziarie dei terroristi. Non sono state emesse proposte legislativesull'argomento delle «frontiere intelligenti», tuttavia il GEPD ha affrontatola questione nel suo parere sulla comunicazione della Commissione in materia dimigrazione. * Iniziative nel settore dellatecnologia Il GEPD ha emesso il suo primo parere su unprogetto di ricerca finanziato dall'UE; il progetto riguarda la tutela dellavita privata nell'ambito delle applicazioni della biometria. Nel contestodell'agenda digitale, il GEPD ha pubblicato un parere sulla neutralità dellarete. * Altre iniziative Il GEPD ha emesso diversi pareri e osservazionisu altre iniziative che hanno avuto conseguenze sulla protezione dei datipersonali, quali il sistema di informazione del mercato interno e l'utilizzodei body scanner negli aeroporti. * Cooperazione con le autoritàper la protezione dei dati Il GEPD ha partecipato attivamente alleattività del gruppo di lavoro articolo 29 per la protezione dei dati,specialmente a quelle del sottogruppo sulle disposizioni fondamentali e sullefrontiere, sui viaggi e sull'applicazione della legge. * Controllo coordinato Il GEPD ha fornito alle autorità per laprotezione dei dati coinvolte nel controllo coordinato di Eurodac e nel sistemainformativo doganale un segretariato efficiente. Per il sistema di informazionevisti, le autorità di protezione dei dati rappresentate nel gruppo di coordinamentodella supervisione hanno avuto un primo scambio di opinioni nell'ambito di unadelle riunioni di controllo coordinate Eurodac, riguardo alle implicazioni delsistema e all'approccio alla supervisione. * Organizzazione interna In seguito alla riorganizzazione delsegretariato nel 2010, l'istituzione ha deciso di avviare un riesame strategicodi tutte le sue attività nel 2011, diretto dalla task force «Riesamestrategico», composta dal direttore e da rappresentanti di tutti i gruppi e ditutte le discipline. La prima fase del riesame è culminata, nell'ottobre 2011,in una riunione interna dell'intera istituzione, che ha consentito ai membri eal personale di riflettere sui propri compiti, valori e obiettivi. * Gestione delle risorse Il GEPD, in cooperazione con il Parlamento, hacondotto un esame approfondito del mercato dei fornitori di
Alcuni dati chiave del GEPD nel 2011 = = = = = = = = =
SUPERVISIONE E MISURE DI ESECUZIONE Uno dei ruoli principali del GEPD consiste nel monitorare in modoindipendente le operazioni di trattamento effettuate dalle istituzioni e dagliorganismi europei. Il quadro giuridico è fornito dal regolamento (CE) n.45/2001 sulla protezione dei dati, che stabilisce una serie di obblighi percoloro che effettuano il trattamento dei dati e una serie di diritti per lepersone i cui dati sono trattati. I compiti di supervisione spaziano dalla consulenza e assistenza deiresponsabili della protezione dei dati al controllo preventivo delle operazionirischiose di trattamento dei dati e alla conduzione di indagini, comprese leispezioni in loco e la gestione dei reclami. L'ulteriore consulenzaall'amministrazione dell'UE può anche assumere la forma di consulenze sullemisure amministrative o di pubblicazione di orientamenti tematici. Responsabili della protezione dei dati Tutti gli organismi e le istituzioni dell'UEdevono disporre almeno di un responsabile della protezione dei dati (RPD). Nel2011, il numero di RPD ha raggiunto le 54 unità. L'interazione regolare con iresponsabili della protezione dei dati e con la loro rete è una condizioneimportante per una supervisione efficace. Il GEPD ha lavorato in strettacollaborazione con il «quartetto di RPD» composto da quattro RPD (Consiglio,Parlamento europeo, Commissione europea e Agenzia europea per la sicurezzaalimentare) che coordina la rete di RPD. Le riunioni della rete di RPD, a cuipartecipa il GEPD, rappresentano un'opportunità per fornire aggiornamenti sulleattività svolte dal GEPD, presentare una panoramica degli sviluppi in materiadi protezione dei dati dell'UE e discutere le questioni di interesse comune. Controllo preventivo Il regolamento (CE) n. 45/2001 prevede chetutte le operazioni di trattamento di dati personali che possono presentarerischi particolari per quanto riguarda i diritti e le libertà degli interessatisiano soggette al controllo preventivo del GEPD, che determina se iltrattamento è conforme al regolamento. Il controllo preventivo delle operazioni ditrattamento di dati personali che possono presentare rischi continuano a essereun aspetto importante della supervisione. Nel 2011, il GEPD ha ricevuto 164notifiche di controllo preventivo e ha adottato 71 pareri su controllipreventivi riguardanti procedure amministrative standard, come la valutazionedel personale, le indagini amministrative, i provvedimenti disciplinari econtro le molestie nonché su attività fondamentali quali il sistema diprotezione dei consumatori, il sistema di gestione della qualità e i controllidi qualità expost presso l'UAMI e il sistema EESSI (Electronic Exchange ofSocial Security Information) presso la Commissione europea. I pareri sonopubblicati sul sito web del GEPD, e la loro attuazione è oggetto di unfollow-up sistematico. Controlli di conformità L'attuazione del regolamento da parte diistituzioni e organismi viene monitorata sistematicamente anche mediante laregolare raccolta di indicatori di risultati, con riferimento a tutte leistituzioni e agli organismi dell'UE. Il GEPD ha avviato la sua terza raccoltadi indicatori di risultati eseguendo un monitoraggio della conformità allenorme sulla protezione dei dati (indagine 2011), che ha portato alla stesura diuna relazione che sottolinea i progressi realizzati dalle istituzioni e dagliorganismi nell'attuazione del regolamento ma sottolinea anche le lacuneriscontrate. Oltre a questa attività generale, saranno condotte attività dimonitoraggio mirate nei casi in cui, in conseguenza delle attività disupervisione, il GEPD abbia avuto motivo di dubitare del livello di conformitàdi istituzioni o organismi specifici. Alcune di queste attività sono stateeffettuate a distanza, mentre altre hanno comportato una visita di un giorno,in particolare nel caso dell'Agenzia ferroviaria europea, dell'Ufficiocomunitario delle varietà vegetali, della Fondazione europea per ilmiglioramento delle condizioni di vita e di lavoro e dell'Agenzia europea delsistema globale di navigazione satellitare. Il GEPD ha inoltre condotto un'ispezione inloco presso CEDEFOP, OLAF e BCE al fine di verificare la conformità inrelazione a questioni specifiche. Reclami Uno dei compiti principali del GEPD, comestabilito dal regolamento sulla protezione dei dati, consiste nel trattare ireclami e compiere i relativi accertamenti, nonché svolgere indagini di propriainiziativa o in seguito a un reclamo. Nel 2011, il numero di reclami pervenuti alGEPD è salito a 107, di cui 26 sono stati giudicati ammissibili. Molti deireclami inammissibili vertevano su questioni di portata nazionale, per le qualiil GEPD non è competente. In 15 casi risolti nel corso del 2011, il GEPD haconcluso che le norme sulla protezione dei dati non erano state violate o cheil responsabile del trattamento aveva intrapreso le misure di conformitànecessarie, mentre sono stati riscontrati due casi di mancata conformità e sonostate formulate raccomandazioni rivolte al responsabile del trattamento. Consultazione sulle misure amministrative Ulteriori attività sono state inoltre condottein risposta alle consultazioni sulle misure amministrative da parte delleistituzioni e degli organismi dell'UE in tema di trattamento dei datipersonali. «Sono state sollevate diverse questioni, tra cui la pubblicazionenell'Intranet delle fotografie dei dipendenti, la responsabilità deltrattamento dei dati quando la CCTV è esercitata presso la sede di un'altraistituzione e il trattamento delle e-mail dei dipendenti». Orientamenti orizzontali Il GEPD ha adottato orientamenti in materia diprovvedimenti contro le molestie e valutazione del personale e ha eseguito ilfollow-up dei progressi compiuti dalle istituzioni e dagli organismi nelseguire gli orientamenti sulla videosorveglianza.
POLITICHE E CONSULTAZIONE Il GEPD fornisce consulenza alle istituzioni e agli organismidell'Unione europea su questioni relative alla protezione dei dati in un'ampiagamma di settori della politica. Questa vocazione consultiva è correlata alleproposte per una nuova legislazione oltre che ad altre iniziative chepotrebbero influire sulla protezione dei dati personali nell'UE. In genereassume la forma di un parere formale, tuttavia il GEPD può anche fornireorientamenti sotto forma di osservazioni o di documenti strategici. Vengono monitoraticome parte integrante di questa attività anche i progressi tecnologici chehanno un impatto sulla protezione dei dati. Principali tendenze Il 2011 è stato un anno impegnativo per laconsultazione, che ha portato a 24 pareri, 12 osservazioni formali e 41osservazioni informali. Il GEPD ha continuato ad adottare un approccioproattivo alla consultazione, in base a un inventario aggiornato regolarmentedi proposte legislative da presentare per la consultazione, oltre a garantirela sua disponibilità per la formulazione di osservazioni informali nelle fasipreparatorie delle proposte legislative. I servizi della Commissione hannotratto beneficio da questa disponibilità a formulare osservazioni informali enel 2011 hanno quasi raddoppiato il numero di consultazioni informali rispettoal 2010. Il lavoro della Commissione su un quadrogiuridico modernizzato per la protezione dei dati in Europa merita una menzionespeciale. Il processo di revisione legislativa è stato seguito da vicino dalGEPD, che ha fornito un contributo a diversi livelli, fra l'altro emanando ingennaio un parere sulla comunicazione della Commissione che definisce unapproccio globale alla protezione dei dati personali in Europa e formulandoosservazioni informali sui progetti di proposte legislative in dicembre. Sembra esistere una diversificazione generalenei campi che riguardano le questioni correlate alla protezione dei dati;inoltre stanno emergendo nuove priorità tradizionali quali l'ambito di libertà, sicurezza egiustizia e dei trasferimenti di dati internazionali, come può essere osservatonei numerosi pareri adottati relativi al mercato interno. Di seguito vienepresentata una selezione dei pareri adottati nei diversi campi. Pareri del GEPD e questioni chiave In materia di libertà, sicurezza e giustizia,il GEPD ha espresso diversi pareri di importanza cruciale su questioni quali larelazione di valutazione sulla direttiva sulla conservazione dei dati2006/24/CE e la proposta di Direttiva europea sull'uso dei dati del codice di prenotazione(Passenger Name Records, PNR). I dati del codice di prenotazione sono statianche il tema di due pareri incentrati sugli accordi per il trasferimento ditali dati rispettivamente all'Australia e agli Stati Uniti. Inoltre, il GEPD haformulato un'osservazione sulla comunicazione della Commissione sul sistema UEdi controllo delle transazioni finanziarie dei terroristi (Terrorist FinanceTracking System, TFTS), interrogandosi circa la sua necessità. Per quanto riguarda la tecnologia dell'informazionee l'agenda digitale, il GEPD ha pubblicato un parere innovativo sullaneutralità della rete, evidenziando l'effetto di alcune pratiche dimonitoraggio da parte dei fornitori di servizi Internet. Inoltre, ha espressoil suo primo parere in assoluto su un progetto di ricerca finanziato dalla UEche si occupava di modi di integrazione dei dati biometrici nel rispetto dellariservatezza. Nell'ambito del mercato interno, il GEPD haespresso un parere sul sistema d'informazione del mercato interno (IMI), invitandoa chiarire le nuove funzionalità che saranno aggiunte in futuro. Sono statiespressi altri importanti pareri sull'integrità del mercato dell'energia esulla trasparenza, nonché sugli strumenti derivati OTC, sulle controparticentrali e sui repertori di dati sulle negoziazioni. In questi casi le proposteintendevano concedere poteri di indagine di ampia portata che non eranochiaramente circoscritti alle autorità normative, pertanto il GEPD ha richiestouna maggiore chiarezza. Sono stati espressi diversi pareri sul rispettodelle norme in un contesto transfrontaliero. Ad esempio, il GEPD ha fornitoorientamenti sulle proposte in vista della direttiva sulla tutela dei dirittidi proprietà intellettuale, richiedendo l'istituzione di un chiaro periodo di ritenzionenonché il chiarimento del fondamento giuridico di una base di dati associata.Per quanto riguarda la proposta di ordinanza europea di sequestro conservativosui conti bancari, ha sottolineato la necessità di limitare i dati personalitrattati al minimo necessario. Per quanto riguarda le questioni relative amercato interno, sanità pubblica e consumi, il GEPD ha emesso un parere sulSistema di cooperazione per la tutela dei consumatori (CPCS), invitando ilegislatori a riconsiderare i periodi di ritenzione e a esaminare modi pergarantire la «privacy by design» (tutela della vita privata fin dallaprogettazione). Il GEPD è intervenuto anche in altri ambiti,quali il regolamento di riforma dell'OLAF, il regolamento finanziario dell'UE el'utilizzo di tachigrafi per gli autisti professionali. Cause legali Nel 2011, il GEPD è intervenuto in cinque causedinanzi al Tribunale e al Tribunale della funzione pubblica. Una delle cause si occupava di un presuntotrasferimento illegale di dati medici tra i servizi medici del Parlamento e laCommissione. Il Tribunale della funzione pubblica, adottando questa iniziativaper la prima volta, ha invitato il GEPD a intervenire. Nella sua sentenza, ilTribunale ha seguito il ragionamento del GEPD e ha assegnato una compensazionefinanziaria al richiedente. Altre tre cause si sono occupate dell'accessoai documenti delle istituzioni dell'UE e possono essere visti come seguitodella sentenza nella causa Bavarian Lager. In tutte e tre le cause il GEPD si èdichiarato a favore di una maggiore trasparenza. In una causa il Tribunale haseguito questo ragionamento; in un'altra ha confermato la decisione delParlamento di non concedere l'accesso; la terza causa è in sospeso al momentodella stesura della presente relazione. Inoltre, il GEPD è intervenuto in unprocedimento di infrazione contro l'Austria sull'indipendenza delle autoritàper la protezione dei dati. Nel suo intervento ha sostenuto che la strutturaorganizzativa dell'ufficio dell'autorità per la protezione dei dati austriaca,secondo quanto disposto nella legislazione nazionale, non rispetta il livellodi indipendenza richiesto dalla direttiva 95/46/CE. Anche questa causa è insospeso al momento della stesura della presente relazione.
COOPERAZIONE Il GEPD collabora con altre autorità per la protezione dei dati alfine di promuovere una protezione dei dati coerente in tutta Europa. Talecooperazione si estende anche agli organi di controllo istituiti nell'ambitodell'ex «terzo pilastro» dell'UE e nel contesto dei sistemi di tecnologiadell'informazione su larga scala. La principale piattaforma di cooperazione trale autorità per la protezione dei dati in Europa è il gruppo di lavoro articolo29 per la protezione dei dati. Il GEPD partecipa alle attività del gruppo, chesvolge un ruolo cruciale per garantire un'applicazione uniforme della direttivasulla protezione dei dati. Il GEPD e il gruppo di lavoro articolo 29 hannointrattenuto una collaborazione efficace in diverse aree, in particolarenell'ambito dei sottogruppi sulle disposizioni fondamentali e sulle frontiere,i viaggi e l'applicazione della legge (borders, travel and law-enforcement,BTLE). Nel primo sottogruppo il GEPD è stato il relatore del parere sullanozione di «consenso». Oltre che con il gruppo di lavoro articolo 29,il GEPD ha proseguito la stretta collaborazione con le autorità preposte aesercitare un controllo congiunto dei sistemi IT su larga scala dell'Unioneeuropea. Un elemento importante di queste attività dicooperazione è Eurodac. Il Gruppo di coordinamento della supervisione diEurodac, composto dalle autorità nazionali per la protezione dei dati e dalGEPD, si è riunito a Bruxelles nel giugno e nell'ottobre 2011. Il gruppo haportato a termine un'ispezione coordinata sulla questione della cancellazioneanticipata, ha elaborato successivamente un quadro comune per il controllo disicurezza completo pianificato e ha programmato un'altra ispezione coordinata,i cui risultati saranno riferiti nel 2012. Inoltre, il gruppo ha discusso inmaniera informale della questione della supervisione coordinata del sistema diinformazione visti, introdotto nell'ottobre 2011. Una disposizione analoga disciplina lasupervisione del sistema informativo doganale (SID), nell'ambito del quale ilGEPD ha organizzato due riunioni del gruppo di coordinamento della supervisionedel SID nel 2011. Nelle riunioni si sono incontrati i rappresentanti delleautorità nazionali per la protezione dei dati, oltre ai rappresentantidell'autorità comune di controllo in materia doganale e del segretariato«Protezione dati». Nella riunione di giugno, il gruppo ha adottato un pianod'azione in cui ha evidenziato le attività pianificate per il 2011 e il 2012,mentre nella riunione di dicembre ha concordato le prime due ispezioni coordinate.I risultati di tali ispezioni verranno resi noti nel corso del 2012. La cooperazione all'interno di foruminternazionali ha continuato a suscitare interesse, in particolare laconferenza europea e la conferenza internazionale delle autorità di protezionedei dati e della privacy. Nel 2011 la conferenza europea si è tenuta aBruxelles, ospitata dal gruppo di lavoro articolo 29 e dal GEPD. A Città delMessico i commissari per la protezione della vita privata e dei dati personalidi tutto il mondo hanno adottato una dichiarazione in cui si auspica unacooperazione efficiente in un mondo di «grandi dati».
OBIETTIVI PRINCIPALI PER IL 2012 Per il 2012 sono stati selezionati gliobiettivi seguenti. I risultati raggiunti saranno riferiti nel 2013. Supervisione e misure di esecuzione Conformemente al documento politico sullaconformità e sull'attività di esecuzione adottato nel dicembre 2010, il GEPD hastabilito i seguenti obiettivi nel campo del controllo e dell'esecuzione. * Sensibilizzazione Il GEPD investirà tempo e risorse per fornireorientamento alle istituzioni e alle agenzie dell'UE. Ciò è necessario percontribuire a realizzare un passaggio verso una maggiore responsabilità delleistituzioni e delle agenzie. Tale orientamento si realizzerà attraverso documentitematici sulle procedure amministrative standard e sui temi orizzontali qualila sorveglianza elettronica (e-monitoring), i trasferimenti e i diritti degliinteressati. Verranno organizzati inoltre corsi di formazione e seminari per iresponsabili della protezione dei dati (RPD)/coordinatori della protezione deidati (CPD), dietro richiesta di un'istituzione o agenzia specifica o suiniziativa del GEPD, qualora venga individuata una necessità. Il sito Internetdel GEPD verrà sviluppato in modo da fornire informazioni utili ai RPD.Inoltre, il registro pubblico delle notifiche dei controlli preventivi saràreso accessibile in base a una tassonomia comune degli argomenti. * Controlli preventivi Il GEPD continua a ricevere notifiche ex-postrelative a procedure amministrative standard o a operazioni di trattamento giàin corso. Nel 2012 verranno adottate azioni per definire procedure adeguate perla gestione di tali notifiche e per assicurare che non siano consentite lenotifiche per i controlli ex-post tranne in circostanze eccezionali egiustificate. Il follow-up delle raccomandazioni espresse nei pareri dicontrollo preventivo è un elemento fondamentale della strategia di attuazionedel GEPD. Il GEPD continuerà a insistere sull'attuazione delle raccomandazioninei pareri di controllo preventivo, garantendo un follow-up adeguato. * Raccolta di indicatori di risultati generali Nel 2011 il GEPD ha avviato un'iniziativa diraccolta generale di indicatori di risultati, fornendo indicatori di conformitàper istituzioni ed organismi che hanno determinati obblighi (ad esempio lanomina di un RPD, l'adozione di norme di attuazione, il livello di notifiche inbase all'articolo 25, il livello di notifiche in base all'articolo27). La relazione pubblicata dal GEPD ha dato risalto ai progressi realizzatinell'attuazione del regolamento, ma ha sottolineato anche imperfezioni.L'indagine del 2011 sarà integrata nel 2012 da un esercizio specifico sullacondizione di RPD: questo esercizio è destinato anche a fornire sostegno allafunzione di RPD in conformità con il principio di responsabilità. Inoltre, ilGEPD avvierà un'indagine apposita per la Commissione nel 2012, allo scopo diraccogliere informazioni direttamente dalle varie DG presso la Commissione. * Visite In base agli indicatori ricavati dall'indagine2011, il GEPD ha selezionato alcune istituzioni e agenzie per visite (6 visitepreviste). Queste visite vengono effettuate in seguito a un'apparente carenzanell'impegno o nella comunicazione da parte dell'amministrazione, o seun'istituzione o un'agenzia non raggiunge il parametro di riferimento stabilitoper un gruppo di questo tipo. * Ispezioni Le ispezioni sono uno strumento fondamentaleche consente al GEPD di controllare e garantire l'applicazione del regolamento:un aumento nel numero delle ispezioni è fondamentale non solo come strumento diattuazione, ma anche come strumento per sensibilizzare in merito ai temi dellaprotezione dei dati e del GEPD. Le ispezioni aumenteranno nel 2012 a causadell'introduzione di controlli più rapidi e mirati in aggiunta alle ispezionicomplete. Alcune istituzioni o alcuni organismi trattano dati personali nelleloro attività aziendali principali, pertanto la protezione dei dati è unelemento fondamentale. Questi organismi saranno individuati e sottoposti a uncontrollo mirato (su carta) o a ispezioni. Nel 2012 sono previste ispezionigenerali, selezionate in base agli obblighi legali, anche per i sistemiinformatici su vasta scala. Le ispezioni tematiche verranno avviate negli ambitiin cui il GEPD ha fornito orientamento e desidera verificare la situazionereale (ad esempio CCTV). Politiche e consultazione Gli obiettivi principali del GEPD per il suoruolo consultivo sono stabiliti nell'inventario e nella nota allegatapubblicati sul sito Internet. Il GEPD affronta la sfida rappresentata dallosvolgimento del suo ruolo sempre più rilevante nella procedura legislativa,garantendo contributi di alta qualità fortemente apprezzati, forniti attraversorisorse limitate. Alla luce di ciò il GEPD ha individuato questioni di importanzastrategica che costituiranno i pilastri della sua attività di consultazione peril 2012, senza trascurare al contempo l'importanza di altre procedurelegislative in cui è coinvolta la protezione dei dati. * Verso un nuovo quadro giuridico per laprotezione dei dati Il GEPD darà la priorità al lavoro su un nuovoquadro giuridico per la protezione dei dati nell'Unione europea. Esprimerà unparere sulle proposte legislative per il quadro e contribuirà ai dibattitinelle fasi successive della procedura legislativa, ove necessario eappropriato. * Sviluppi tecnologici e agenda digitale,diritti di proprietà intellettuale e Internet Gli sviluppi tecnologici, soprattutto quellicollegati a Internet e le risposte politiche correlate costituiranno un altroambito di interesse per il GEPD nel 2012. I temi vanno dai piani per un quadropaneuropeo per l'identificazione, l'autenticazione e la firma elettronica, allaquestione della sorveglianza in Internet (ad esempio il rispetto dei diritti diPI, le procedure di scomposizione) ai servizi di cloud computing e diassistenza sanitaria on-line. Inoltre, il GEDP rafforzerà la propria competenzatecnologica e si impegnerà nella ricerca di tecnologie perfezionate per ilrispetto della vita privata. * Ulteriore sviluppo dell'ambito di libertà,sicurezza e giustizia L'ambito della libertà, sicurezza e giustiziarimarrà un settore fondamentale delle politiche che il GEPD dovrà affrontare.Le proposte importanti imminenti comprendono il sistema di telecomunicazionetra aeromobili e rete terrestre dell'UE e le frontiere intelligenti. Inoltre,il GEPD continuerà a seguire il riesame della direttiva sulla conservazione deidati. Infine, controllerà attentamente le trattative con i paesi terzi sugliaccordi di protezione dei dati. * Riforma del settore finanziario Il GEPD continuerà a seguire e a controllare lenuove proposte di regolamentazione e controllo dei mercati finanziari e deiloro protagonisti, nella misura in cui influiscono sul diritto allariservatezza e sulla protezione dei dati. * Altre iniziative Il GEPD seguirà inoltre le proposte in altriambiti delle politiche che hanno un effetto rilevante sulla protezione deidati. Continuerà a essere disponibile per le consultazioni formali e informalisulle proposte che interessano il diritto alla riservatezza e la protezione deidati. Cooperazione Il GEPD continuerà a rispettare le proprieresponsabilità nel campo del controllo coordinato. Inoltre, fornirà assistenzaalle autorità di protezione dei dati e alle organizzazioni internazionali. * Controllo coordinato Il GEPD svolgerà il proprio ruolo nel controllocoordinato di Eurodac, del sistema informativo doganale e del sistema diinformazione visti (VIS). Il controllo coordinato del VIS, avviato nell'ottobre2011, è ancora in fase iniziale. In seguito a discussioni informali nel quadrodelle riunioni di coordinamento del controllo di Eurodac, l'obiettivo per il2012 è di istituire gradualmente il controllo in questo ambito. Quando verràavviato il SIS II, sarà sottoposto anch'esso al controllo coordinato; il suoavvio è previsto per il 2013 e i preparativi saranno seguiti moltoattentamente. Il GEPD svolgerà anche ispezioni sulle unità centrali di questisistemi, qualora necessario o richiesto giuridicamente. * Cooperazione con le autorità per laprotezione dei dati Il GEPD continuerà a contribuire attivamentealle operazioni e al successo del gruppo di lavoro articolo 29 per laprotezione dei dati, assicurando la coerenza e la sinergia tra il gruppo dilavoro e le posizioni del GEPD in linea con le rispettive priorità e mantenendoun rapporto costruttivo con le autorità nazionali per la protezione dei dati.In quanto relatore di determinati fascicoli, il GEPD guiderà e prepareràl'adozione dei pareri del gruppo di lavoro articolo 29. * Protezione dei dati nelle organizzazioniinternazionali Le organizzazioni internazionali non sonogeneralmente soggette alla legislazione sulla protezione dei dati nei paesi chele ospitano; tuttavia non tutte dispongono di norme adeguate per la protezionedei dati. Il GEPD fornirà assistenza alle organizzazioni internazionaliorganizzando un seminario destinato a sensibilizzare e a diffondere le buoneprassi. Altri ambiti * Informazione e comunicazione Continueranno a essere sviluppate e miglioratel'informazione, la comunicazione e le attività di rassegna stampa, conun'attenzione particolare alle pubblicazioni di sensibilizzazione eall'informazione on-line. Inoltre, il GEPD inizierà ad attuare il riesame dellasua strategia di comunicazione, in seguito alla consultazione delle principaliparti interessate. Č prevista la riorganizzazione di alcune parti importantidel sito Internet del GEPD per migliorare la facilità di consultazione eagevolare la ricerca e la consultazione delle informazioni disponibili. * Organizzazione interna Il riesame strategico del GEPD continuerà nel2012, con una consultazione esterna delle parti interessate attraverso indaginion-line, interviste, gruppi di studio e seminari. I risultati immediati delriesame avviato nel 2011 hanno portato alla decisione di elaborare un approcciopiù strategico alle attività di controllo e consultazione e di creare un nuovosettore per le politiche informatiche nel 2012. Una volta concluso il riesame eanalizzati i risultati, il GEPD perfezionerà la propria strategia di medioperiodo e metterà a punto gli strumenti di misurazione delle prestazioninecessari a valutare gli elementi fondamentali di tale strategia. * Gestione delle risorse L'attività di sviluppo di un sistemapersonalizzato di gestione dei casi presso il GEPD proseguirà nel 2012.Inoltre, saranno sviluppate ulteriormente le applicazioni informatiche nelsettore delle risorse umane in base agli accordi sul livello di servizio, inparticolare con l'attuazione di Sysper II, che sarà completata nel 2012 e conl'introduzione dei MIPS.
Garante europeo della protezione dei dati
1
|