[COM (2004) 509 definitivo del 20 luglio 2004]
(Pubblicato sulla G.U.C.E. n. 301 del 7/12/2004)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽²⁾, in particolare l'articolo 28, paragrafo 2,

HA ADOTTATO IL SEGUENTE PARERE:

1. La proposta è stata sottoposta dalla Commissione europea il 28 settembre 2004 al parere del garante europeo della protezione dei dati (GEPD) ai sensi dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, che prevede che la Commissione consulti il GEPD nell'adottare una proposta legislativa comunitaria concernente la tutela dei diritti e delle libertà delle persone fisiche in relazione al trattamento dei dati personali. Come illustra il presente caso, tale obbligo non si applica soltanto alle proposte concernenti il trattamento dei dati personali quale tema principale, ma anche alle proposte che sviluppano, integrano o modificano l'attuale quadro giuridico per la protezione dei dati e alle proposte che hanno un impatto significativo sulla tutela dei diritti e delle libertà delle persone fisiche in relazione al trattamento dei dati personali ma non tengono conto del quadro giuridico esistente.

2. La proposta si basa sull'articolo 280 del trattato CE. Essa rientra pertanto pienamente nelle attività relative al primo pilastro e, riguardo al trattamento dei dati personali, riconosce la necessità di garantire un'adeguata tutela dei dati, come previsto dalla direttiva 95/46/CE e, se del caso, dal regolamento (CE) n. 45/2001 (tra l'altro il considerando 11 e l'articolo 18 della proposta).

3. La proposta non include nuove norme sulla protezione dei dati né prevede eccezioni alla succitata legislazione sulla protezione dei dati. Il suo articolo 18 rinvia invece in complesso la questione a tale legislazione e prevede un regolamento di attuazione in alcuni settori, in particolare l'accesso e l'utilizzo da parte della Commissione delle informazioni ottenute dai registri IVA degli Stati membri (articolo 11, paragrafo 1), per lo scambio spontaneo di informazioni finanziarie tra gli Stati membri e la Commissione (articolo 12, paragrafo 4) e l'assistenza reciproca e lo scambio di informazioni (articolo 21). Si è preso atto con soddisfazione che il GEPD sarà consultato prima dell'adozione di tali norme attuative.

4. L'articolo 18, paragrafo 1, secondo comma, prevede un obbligo specifico di riservatezza nei confronti delle persone o autorità diverse da quelle che, all'interno delle istituzioni e degli organi comunitari o degli Stati membri, devono essere a conoscenza delle suddette informazioni per le esigenze delle loro funzioni.

Si suppone che ciò non incida sui diritti delle persone fisiche di avere accesso ai dati personali ad esse relativi, a meno che non si ritenga applicabile una delle eccezioni pertinenti, che dovrebbe essere determinata in linea di massima caso per caso [articolo 13 della direttiva 95/46/CE e articolo 20 del regolamento (CE) 45/2001].

5. La proposta è un complemento e un potenziamento del regolamento (CE) n. 1073/1999, del regolamento (CE) n. 515/97 del Consiglio e del regolamento (CE) n. 1798/2003 del Consiglio e per molti aspetti contiene disposizioni parallele a quelle della precedente normativa. Al riguardo sono pertinenti le seguenti osservazioni:

a) l'articolo 37, paragrafo 4, del regolamento (CE) n. 515/97 del Consiglio sul controllo della protezione dei dati personali, dovrebbe essere modificato, in una disposizione aggiuntiva del progetto per tener conto del fatto che il GEPD è stato ora nominato. Alla luce di ciò, l'articolo 37 dovrebbe inoltre essere riesaminato nella sua totalità al fine di fornire un sistema di controllo e di cooperazione tra le autorità di controllo più adeguato e più efficace. Un sistema analogo dovrebbe essere previsto dal proposto regolamento o basarsi su di esso;

b) il comitato istituito ai sensi dell'articolo 43 del regolamento (CE) n. 515/97, i cui compiti sono estesi in modo da includere il campo di applicazione della proposta, crea alcuni problemi che occorrerebbe affrontare, almeno ai fini della presente proposta, non fosse altro che per cogliere l'occasione di modificare

ulteriormente il regolamento (CE) n. 515/97. La versione inglese di tale regolamento sembra indicare che la composizione ad hoc consiste dei rappresentanti di cui all'articolo 43, paragrafo 1, oltre che dei rappresentanti per la protezione dei dati. Dovrebbe essere chiaro che, come nella versione francese, alla composizione ad hoc "partecipano rappresentanti designati da ciascuno Stato membro e provenienti dalla o dalle sue autorità nazionali di controllo". In ogni caso, anche il GEPD dovrebbe essere espressamente nominato.

6. Infine, come è il caso per altri pareri di carattere obbligatorio, il parere formale del GEPD basato sull'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 dovrebbe essere citato prima dei considerando ("visto il parere …").

Fatto a Bruxelles, addì 22 ottobre 2004.