Il GEPD in quanto consulentedelle istituzioni comunitarie sulle proposte legislative e sui documenticonnessi
Documento orientativo
1. Obiettivo del presentedocumento
Il presente documentointende precisare come opera il GEPD per assolvere il proprio compito in maniera efficace quando consultato su proposte legislative. Il GEPD si propone didiventare un consulente autorevole che contribuisce alla qualit della legislazione dell'Unione europea per quanto riguarda le questioni attinenti altrattamento dei dati personali. Nel presentare questo documento orientativo,il GEPD vuole assumere il ruolo di attore affidabile e solido del processolegislativo. Questo documento orientativo costituisce un importante passoverso il riconoscimento di tale ruolo e rafforza l'efficacia del ruolo del GEPD in quanto consulente su proposte legislative. Gli orientamenti definitinel presente documento si articolano in tre elementi: la portata della funzione consultiva del GEPD, la sostanza degli interventi e l'approccio e imetodi di lavoro. Da ultimo, ma non perimportanza, il presente documento riguardante la consultazione su propostelegislative non va considerato isolatamente. Il documento stato annunciatonella prima relazione annuale del GEPD e sar seguito da altri documenti incui il GEPD illustrer come intenda adempiere alle varie funzioni conferiteglidal regolamento (CE) n. 45/2001.
2. Quadro generale 2.1. Compiti del GEPD
Il regolamento (CE) n.45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismicomunitari, nonch la libera circolazione di tali dati (GU L8 del 12.1.2001)istituisce un'autorit di controllo indipendente denominata garante europeodella protezione dei dati (abbreviato in GEPD). Nell'adottare questoregolamento, il Parlamento europeo e il Consiglio hanno attuato le disposizioni dell'articolo 286 del trattato CE.
Istituito come autoritindipendente, il GEPD, a norma dell'articolo 41 del regolamento (CE) n.45/2001, ha il compito di garantire il rispetto dei diritti e delle libertfondamentali delle persone fisiche, segnatamente del diritto alla vitaprivata, da parte delle istituzioni e degli organismi comunitari (nel settoredel trattamento dei dati personali). Nel considerando 17 del regolamento, illegislatore comunitario indica al GEPD come debba intendere il compito assegnatogli: "L'efficacia della tutela delle persone in relazione altrattamento dei dati personali nell'Unione presuppone la coerenza delle normee delle procedure applicabili in materia ad attivit inserite in quadrigiuridici diversi." 1 L'articolo 41 attribuisceal GEPD due compiti: - egli incaricato disorvegliare e garantire il trattamento dei dati personali da parte di un'istituzione o di un organismo comunitario; - egli incaricato difornire alle istituzioni e agli organismi comunitari nonch agli interessatipareri su tutte le questioni relative al trattamento dei dati personali. Piprecisamente, conformemente all'articolo 46, lettera d) del suddettoregolamento, egli consiglia le istituzioni e gli organismi comunitari, dipropria iniziativa o su richiesta. Allorch si tratta di proposte legislativecomunitarie, l'articolo 28, paragrafo 2 prevede che la Commissione consulti ilGEPD "al momento dell'adozione di una proposta legislativa sulla tuteladei diritti e delle libert fondamentali delle persone in relazione altrattamento di dati personali". Il presente documentoorientativo riguarda unicamente il secondo dei compiti menzionati e prende inesame la funzione consultiva del GEPD su proposte legislative e sui documenti connessi. Esso non riguarda i pareri formulati dal GEPD prima che leistituzioni comunitarie adottino regolamentazioni interne (cfr. articolo 46,lettera d)), n i pareri su misure amministrative adottate dalle istituzioni odagli organismi comunitari.
2.2. La funzioneconsultiva del GEPD nel suo contesto
La funzione consultiva delGEPD sulle proposte legislative e sui documenti connessi va interpretatatenendo conto a) dell'importanzacrescente della tutela dei diritti fondamentali nell'ambito dell'integrazione europea; b) della necessit dicoerenza quale elemento costitutivo di un'efficace tutela dei dati; c) del fatto che ilGEPD opera nel contesto specifico della CE e dell'UE in cui coesistono competenze comunitarie e nazionali; d) degli obiettivistrategici 2005-2009 della Commissione 2 In merito al punto a):l'Unione europea fondata sul rispetto dei diritti fondamentali, come sancitodall'articolo 6 del trattato sull'Unione europea. Nel corso degli annil'importanza della protezione dei diritti fondamentali cresciuta. Iltrattato di Amsterdam prevedeva l'istituzione progressiva di uno spazio dilibert, sicurezza e giustizia; in occasione del trattato di Nizza stataproclamata la Carta dei diritti fondamentali dell'UE; la Corte di giustiziadelle Comunit europee insiste sempre pi sull'importanza dei dirittifondamentali nel quadro dell'azione comunitaria. La protezione dei datipersonali, che comprende un controllo esercitato da un'autorit indipendente, stata riconosciuta nella Carta dei diritti fondamentali come un diritto fondamentale avente lo stesso valore del rispetto della vita privata e familiare.Il Consiglio europeo del 4 e 5 novembre 2004 ha riaffermato l'importanza dellaprotezione dei diritti fondamentali nel programma dell'Aia ("rafforzarela libert, la sicurezza e la giustizia nell'Unione europea") come hafatto la Commissione nei suoi obiettivi strategici 2005-2009. Nel prossimo futurol'importanza dei diritti fondamentali sar ancora pi preminente in virt del trattato che adotta una Costituzione per l'Europa. L'Unione europea aderirquindi alla convenzione europea per la salvaguardia dei diritti dell'uomo edelle libert fondamentali. Il programma dell'Aia afferma inoltre che laCostituzione ha gi rappresentato un orientamento per quanto riguarda illivello di ambizione del Consiglio europeo nel settore della libert, della sicurezza e della giustizia. In merito al punto b): lacoerenza va considerata come un elemento indispensabile per raggiungere unlivello elevato di protezione dei dati su scala europea. Per assicurare lacoerenza dei livelli di protezione negli Stati membri l'articolo 286 statoinserito nel trattato CE. Il regolamento (CE) n. 45/2001 prevede strumenti permigliorare la coerenza a livello europeo (si veda ad esempio l'elenco dellefunzioni del GEPD di cui all'articolo 46 del regolamento). Vi una seconda ragioneper la quale il GEPD pone l'accento sulla coerenza. indispensabile un'interpretazione coerente delle questioni relative alla protezione dei dati.Un approccio coerente di tali questioni costituisce una condizione preliminareperch la Commissione, il Consiglio e il Parlamento europeo prestinocostantemente attenzione agli interessi legittimi degli interessati. Il che ciporta al punto c). In merito al punto c): Laprotezione dei dati personali nell'Unione europea in gran parte controllatadalle autorit nazionali incaricate della protezione dei dati previstedall'articolo 28 della direttiva 95/46/CE. Le competenze di controllo del GEPDsi limitano al trattamento dei dati da parte delle istituzioni comunitarie.Questa situazione rispecchia la ripartizione delle competenze a livelloeuropeo e a livello nazionale prevista dal trattato CE. Il coordinamento orizzontale delle attivit delle autorit nazionali si realizza nell'ambito delGruppo dell'articolo 29 che formula anche pareri su talune proposte dellaComunit. Nel quadro del titolo VIdel trattato UE (in prosieguo il "terzo pilastro") sono stateistituite alcune autorit di controllo comuni con compiti specifici (controllodella protezione dei dati nel quadro del Sistema di informazione Schengen, delSistema informativo doganale, dell'Europol e dell'Eurojust), ma finora questeautorit non hanno contribuito sistematicamente alle proposte legislative. Questa ripartizione dellecompetenze funziona in materia di controlli ma non sufficientemente adeguataper quanto riguarda la funzione consultiva sulle proposte legislative europee.Per sua natura, la legislazione europea incide sia a livello europeo che alivello nazionale. Vi pertanto il rischio di sovrapposizioni, o addiritturadi pareri contraddittori, e di importanti lacune nel quadro del terzopilastro. In merito al punto d): laCommissione chiede nei suoi obiettivi strategici un partenariato per il rinnovamento europeo. IL GEPD intende essere un partner responsabile dellegislatore europeo (Commissione, Consiglio e Parlamento europeo), nel settoredi sua competenza. Egli pu contribuire alla realizzazione di alcuni degliobiettivi menzionati dalla Commissione: legislazione di alta qualit, ponendol'accento sulla proporzionalit e sulle valutazioni di impatto, utilizzoresponsabile delle nuove tecnologie dell'informazione e delle comunicazioni (TIC), efficace protezione dei diritti dell'uomo e approccio strategico dellequestioni di sicurezza. Per concludere,nell'ambito della sua funzione consultiva, il GEPD prender come punto di partenza un elevato livello di protezione dei diritti fondamentali(conformemente alle osservazioni formulate al punto a)), ponendo l'accentosulla coerenza (conformemente alle osservazioni formulate ai punti b) e c)) etenendo debitamente conto degli obiettivi strategici formulati dallaCommissione.
3. Portata della funzioneconsultiva del GEPD
Il GEPD intende la suafunzione consultiva come segue: a) fornisce consulenzaalle istituzioni comunitarie sulle proposte legislative e sui documenti connessi; b) emette pareri su tuttele proposte che incidono in maniera significativa sulla protezione dei dirittie delle libert delle persone riguardo al trattamento dei dati personali; c) fornisce altres parerisulla legislazione nell'ambito del terzo pilastro dell'Unione europea (ossiaal di fuori del campo di applicazione del trattato CE). Questa interpretazioneampia della funzione consultiva deriva dalle prospettive esposte al paragrafo2. In merito al punto a): invirt del trattato CE, la legislazione assume la forma di una direttiva o diun regolamento. In vari casi la proposta formale della Commissione precedutada un documento di consultazione e/o da una comunicazione. Il GEPD nonfornisce unicamente pareri sulle proposte formali, egli pu anche reagire aidocumenti che le precedono e che servono da base per le scelte politicheoperate nelle proposte legislative. La funzione consultiva delGEPD si estende anche: - all'attuazione degliatti di cui all'articolo 202, terzo trattino, del trattato CE ("comitologia"); - ai negoziati condotti anome della CE e alla conclusione di accordi tra la CE e uno o pi Stati oorganizzazioni internazionali, nel rispetto della necessaria riservatezza ditali negoziati. In merito al punto b): aisensi del regolamento (CE) n. 45/2001, i pareri del GEPD riguardano "questioni relative al trattamento dei dati personali". Questadefinizione pi ampia del campo di applicazione del regolamento (CE) n.45/2001 e anche pi ampia della legislazione avente come obiettivo principaleil trattamento dei dati personali, quale la direttiva 95/46/CE relativa allatutela delle persone fisiche con riguardo al trattamento dei dati personali,nonch alla libera circolazione di tali dati (GU L 281 del 23.11.1995) e ladirettiva 2002/58/CE vita privata e comunicazioni elettroniche (GU L 201 del31.7.2002). Qualsiasi atto legislativo contenente disposizioni relative altrattamento dei dati personali o disposizioni che hanno un'incidenza (reale opotenziale) sul trattamento di tali dati pu essere oggetto di consultazione.Nel parere del 22 ottobre 2004 riguardante una proposta di regolamentorelativo alla tutela degli interessi finanziari della Comunit, il GEPD si espresso in questi termini: "proposte basate sul quadro giuridico vigentein materia di protezione dei dati o che lo integrano e lo modificano, e [...] proposte aventi un impatto significativo sulla tutela dei diritti e dellelibert delle persone in relazione al trattamento dei dati personali".Quello che importa l'incidenza sull'efficacia della protezione stessapiuttosto che l'incidenza formale sul quadro comunitario vigente in materia di protezione dei dati. In merito al punto c): ilregolamento (CE) n. 45/2001, che conferisce funzioni e competenze al GEPD, nonlimita la funzione consultiva alle proposte legislative che rientrano nel primo pilastro. Al contrario il GEPD ha il compito generale di garantire il rispettodei diritti e delle libert fondamentali, compito che non pu esserefacilmente assolto se viene escluso un settore cos importante come il terzopilastro. Inoltre: - Spetta al GEPD,nell'ambito dei suoi compiti, porre l'accento sulla coerenza del livello di protezione delle persone in quadri giuridici diversi (cfr. segnatamente ilconsiderando 17 del citato regolamento (CE) n. 45/2001). - La"collaborazione" con gli organi istituiti in virt del terzopilastro, per migliorare la coerenza, esplicitamente menzionata all'articolo46, lettera f), punto ii). - Il regolamento (CE) n.45/2001 rinvia pertanto ad un approccio coerente della protezione dei dati chenon si limita all'azione dell'Unione europea nel quadro del primo pilastro. Unsimile approccio va seguito dato che gli strumenti giuridici vigentigarantiscono principalmente un elevato livello di protezione dei datinell'ambito del primo pilastro ma non si applicano al terzo pilastro. Inoltre,quanto al merito delle questioni, non chiara la linea di demarcazione tra i pilastri. - L'articolo 28, paragrafo2 obbliga la Commissione a consultare il GEPD quando adotta una propostalegislativa. Detto obbligo si applica a qualsiasi - La linea di demarcazionefra il primo e il terzo pilastro non sempre chiara. Accade che proposteelaborate nell'ambito del terzo pilastro riguardino competenze nell'ambito deltrattato CE. In siffatti casi, conformemente all'articolo 47 del trattatto UE,si dovrebbe considerare che la questione appartenga al primo pilastro. - Nell'ambito dellaCostituzione, la struttura a pilastri scomparir. Infine, se necessario, ilGEPD fornir consulenza d'ufficio sulle proposte nell'ambito del terzo pilastro, ad esempio nel caso di un'iniziativa legislativa di uno o pi Statimembri a norma dell'articolo 34, paragrafo 2 del trattato UE.
4. Sostanza degliinterventi 4.1. Concetti generali
Il GEPD un consulente enon partecipa al processo legislativo. Nella sua qualit di esperto di unsettore specifico, il GEPD fornisce consulenze opportunamente mirate. Ilpresupposto generale degli interventi del GEPD che devono assicurarel'apporto di un valore aggiunto al processo legislativo,in conformit dellamissione del GEPD quale stabilita dal regolamento (CE) 45/2001. I seguenti concettid'ordine generale svolgeranno un ruolo essenziale negli interventi del GEPD. In primo luogo, un elevatolivello di protezione dei dati un valore chiave in una societ democraticama non sempre visibile in quanto tale. Inoltre, l'impatto di una propostasulla protezione dei dati personali non sempre evidente, data la naturatecnica del trattamento dei dati e i diversi criteri che entrano in gioco. IlGEPD comunica un messaggio chiaro e riconoscibile al fine di renderevisibile la rilevanza di una proposta per la protezione dei dati In secondo luogo, il GEPDriconosce che la legislazione deve rispondere a interessi pubblici diversi etalvolta contradditori. Il GEPD terr conto del fatto che a questo fine idiritti e le libert fondamentali di persone fisiche per quanto riguarda laprotezione della loro vita privata potrebbe essere oggetto di eccezioni,condizioni e limitazioni, ma questo non dovrebbe comportare uno svuotamentodel contenuto sostanziale di detti diritti e libert. In altri termini, nonsi deve giungere al risultato diprivare un individuo dei suoi legittimi diritti in materia di protezione dei In terzo luogo, il GEPD valutaatti CE/UE aventi un impatto sulla protezione dei dati da una Si devono evitare obblighiburocratici inutili, in quanto essi non apportano alcun beneficio a livello diprotezione dei dati. In quarto luogo, il GEPDtiene conto della proporzionalit di un'interferenza con la protezione deidati. Proporzionalit non significa che due questioni di pubblico interessedebbano essere soppesate l'una rispetto all'altra, bens riguarda unicamentela scelta della misura che viene proposta a tutela di un pubblico interesse,come ad esempio la sicurezza dei cittadini o la trasparenza del governo. Lamisura proposta adeguata ed esiste un'altra misura - meno intrusiva - chefornisca una protezione di pari efficacia? A questo riguardo, il GEPD sisforza di fornire alternative In quinto luogo, laconsulenza deve essere abbastanza rapida da non ritardare il processo legislativo. Il GEPD valuta la rapiditdel suo intervento come un criterio autonomo di qualit.
4.2. Analisi dell'impatto
Il GEPD analizza l'impattodi una proposta sulla protezione dei diritti e delle libert individuali inrelazione al trattamento dei dati personali. Questa analisi contiene i seguentielementi: a. Descrizionedell'impatto - elementi rilevanti dellaproposta nella prospettiva della protezione dei dati; - impatto di una propostasulla protezione stessa dei dati personali; - tipologia dei datipersonali interessati (ad esempio, si tratta di dati sensibili come previsto all'articolo 8, paragrafo 1 della direttiva CE...?); - la proposta migliora opeggiora il livello di protezione dei dati nel settore in questione? b. Compatibilit con ilquadro giuridico esistente in materia di protezione dei dati - qualit eproporzionalit dei dati, loro raccolta e trattamento; - esplicita specificazionedegli scopi della raccolta, del trattamento o dello scambio di dati; - garanzie che i dati nonsiano conservati pi a lungo di quanto richiesto per questi scopi; - se del caso, garanzieche l'accesso a questi dati sia limitato a persone che operano con qualifichespecifiche e per quanto necessario nella prospettiva dei succitati scopi; - in tutti i suoi aspetti,un equo trattamento della persona interessata, in conformit dei principiispiratori della direttiva 95/46; c. Valutazione dellaqualit - qualit delledisposizioni proposte, vista dalla prospettiva di un'efficace protezione dei dati; - auspicabile che vengastabilita, modificata o applicata una competenza comunitaria? - le disposizioni sonoapplicabili? d. Necessit eproporzionalit delle eccezioni - giustificazione delleeccezioni, condizioni o limitazioni alla protezione a nome di un altro pubblico interesse; - queste eccezioni,condizioni o limitazioni sono necessarie per raggiungere l'obiettivo politico? - inoltre, un nuovo (omodificato) strumento giuridico auspicabile? - valutazione a prioridella proporzionalit delle misure proposte; - dove necessario, ricercadi un equilibrio. L'intensit di questaanalisi dipender dalla seriet dell'impatto di una proposta sulla protezione dei dati personali. In alcuni casi sar sufficiente un rapido esame dellaproposta. Nel parere sar inclusauna sintesi dell'analisi.
4.3. Punti di riferimento
I punti di riferimento perl'analisi sono: - l'articolo 8 della Cartadei diritti fondamentali dell'Unione europea, in relazione al significato ealla portata dei diritti garantiti dalla Convenzione europea per lasalvaguardia dei diritti dell'uomo e delle libert fondamentali (CEDU), inparticolare dell'articolo 8. In base alla giurisprudenza costante della Cortedi giustizia europea, i testi giuridici debbono necessariamente essereinterpretati alla luce dei diritti fondamentali che costituiscono parte integrante dei principi generali della legislazione la cui osservanza assicurata dalla Corte, e particolarmente alla luce dell'articolo 8 dellaCEDU. Si sottolinea che nellaCarta - in contrasto con la CEDU - la protezione dei dati personali Si vedano gli articoliII-67 e II-68 della Costituzione; - le norme comunitariesulla legalit del trattamento dei dati personali, quali risultano dalla direttiva 95/46/CE, dal regolamento (CE) 45/2001 e dalla direttiva 2002/58/CE. Nei suoi pareri, inogni caso, il GEPD controlla se i principi basilari della raccolta e del - la giurisprudenza dellaCorte di giustizia europea e della Corte europea dei diritti dell'uomo. IlGEPD segnala in particolare i criteri sull'esistenza e la giustificazione di un'interferenza con la vita privata sviluppati dalla Corte di giustizia nellacausa sterreichischer Rundfunk 3 Un'altra importantecausa in questo settore la causa Lindqvist 4
4.4. Equilibrare altriinteressi pubblici
L'obiettivo di garantireun elevato livello di protezione dei dati pu avere un effetto su altri interessi pubblici, quali: a. prevenzione e lottaalle forme gravi di criminalit e alla criminalit organizzata, mantenimentodell'ordine pubblico e tutela della sicurezza; b. apertura e trasparenza; c. competitivit. Va da s che questaenumerazione di interessi pubblici non esaustiva. La protezione dei dati puavere effetti anche su altri interessi pubblici, come quelli elencati nell'articolo13 della direttiva 95/46/CE o nell'articolo 30 del trattato CE, ad esempio: latutela della vita e della salute umana, animale o vegetale pu richiederel'accesso a taluni dati personali per combattere la diffusione di epidemie.Altro esempio connesso ad interessi vitali degli esseri umani pu ritrovarsinella direttiva 2002/58/CE. Il considerando 36 - sviluppato nell'articolo 10della direttiva - dichiara che gli Stati membri possono limitare il dirittoalla vita privata degli utenti e degli abbonati riguardo all'identificazionedella linea chiamante e ai dati relativi allubicazione allorch ci necessario per consentire ai servizi di emergenza di svolgere il loro compitonel modo pi efficace possibile. Pi esattamente, una persona ha il dirittodi annullare la presentazione dell'identificazione della linea chiamante e dirifiutare il consenso al trattamento dei dati relativi all'ubicazione di untelefono mobile, per tale diritto non deve avere conseguenze rispetto aiservizi di emergenza. Per quanto riguarda ilpunto a): da un canto, come ribadito nel programma dell'Aia, l'Unione europeaha accentuato il suo ruolo nell'assicurare la cooperazione di polizia, doganalee giudiziaria. Il programma rammenta altres la nuova urgenza riguardante lasicurezza dell'Unione europea e degli Stati membri, specialmente alla luce deirecenti attentati terroristici e della minaccia di nuovi attentati. Il dirittoalla vita e alla sicurezza sancito nella Convenzione europea dei dirittidell'uomo (CEDU) e nella Carta dei diritti fondamentali dell'Unione europea. L'efficacia dellaprevenzione e della lotta alla criminalit su vasta scala presuppone che gli organi preposti all'applicazione della legge abbiano accesso a determinati datipersonali. A ci va aggiunto che i metodi e le esigenze nel settore delleindagini penali sono cambiati. Nel corso degli anni cresciuta l'importanzadi un'analisi proattiva della criminalit. D'altro canto, esattamente questa pressione sul piano della protezione dei dati - unapressione di per s comprensibile e giustificabile in un mutato contestosociale - a creare la necessit di un approccio proporzionale. Il GEPDsottolinea l'importanza del fondamentale diritto alla protezione dei datipersonali. La tutela della nostra societ occidentale non deve condurre alla svalutazione dei valori di base di questa stessa societ. Per di pi, il quadrogiuridico pi o meno completo in materia di trattamento dei dati personali nelprimo pilastro non si applica nel terzo pilastro, almeno non direttamente. Inbreve, nel terzo pilastro manca un quadro coerente ed integrato che assicuriil livello di protezione dei dati, a parte la Convenzione del Consigliod'Europa sulla protezione delle persone rispetto al trattamento automatizzatodi dati di carattere personale (Convenzione 108, adottata nel 1981). Attualmente la Commissioneha iniziato a lavorare a un siffatto quadro, che per non ancora definito.Secondo il GEDP, il punto di partenza dovrebbe essere che i principi stabilitinella direttiva 95/46 si applicano a questo settore e dovrebbero servire dacriteri di riferimento. La natura specifica di questo settore giustifical'inclusione di principi supplementari. Ad esempio, il programma dell'Aia haintrodotto il principio di disponibilit (vale a dire la disponibilit condizionata di taluni dati di cui dispongono gli Stati membri a vantaggiodelle autorit di polizia e giudiziarie di altri Stati membri). Inoltre, comeprecedentemente affermato, nelle attivit del terzo pilastro - e nelle attivitin materia di asilo e immigrazione - predomina la pressione ad avvalersidell'accesso a dati personali come strumento per ottenere un'efficace tuteladel diritto alla vita e alla sicurezza. L'importanza di un approccioequilibrato da parte del GEDP tanto pi importante in quanto nel titolo VIdel TUE si riscontra una carenza di equilibrio istituzionale. In questo settorei poteri del Parlamento europeo nonch della Corte europea di giustizia sonolimitati. Infine, occorre osservareche protezione dei dati ed applicazione della legge non rappresentano necessariamente interessi in conflitto. Ambedue richiedono integrit esicurezza dei dati personali, protezione contro la manipolazione di questidati e un trattamento efficace in modo da evitare che siano trattati datipersonali in quantit eccessiva. Di certo, il GEDP tienepienamente conto dell'importanza di un'adeguata protezione da parte delloStato della sicurezza fisica delle persone che si trovano sul suo territorio,in conseguenza di ci non per possibile limitare altri dirittifondamentali, come quello alla protezione dei dati, senza bisogno didimostrare la necessit e la proporzionalit di tale limitazione. Per quanto riguarda ilpunto b): due diritti fondamentali equivalenti possono essere incompatibili.Per questo motivo il regolamento (CE) n. 1049/2001 sulla trasparenza5prevede un'eccezione qualora "la divulgazione arrechi pregiudizio (...)alla vita privata e all'integrit dell'individuo, in particolare in conformitcon la legislazione comunitaria sulla protezione dei dati personali".D'altronde, secondo l'articolo 8 CEDU, accettata un'ingerenza nellaprotezione della sfera privata se si tratta di "una misura che, in unasociet democratica, necessaria". In particolare si possono creareconflitti su questioni di accesso a dati personali o quando un proposta dilegge richiede la pubblicazione di tali dati da parte di istituzioni oorganismi della Comunit. Il GEDP, nel suo parere,si concentrer sulla questione se una proposta di legge garantisca che la divulgazione di documenti contenenti dati personali si limiti ai casi in cuitale misura necessaria in una societ democratica. Per quanto riguarda ilpunto c): Il libero flusso di informazioni nell'ambito del mercato interno uno degli obiettivi della legislazione comunitaria in materia di protezione deidati. Questo obiettivo, se viene raggiunto, pu contribuire alla competitivitdelle imprese dell'Unione europea. Inoltre, la realizzazione di una societdell'informazione per tutti una delle priorit della strategia di Lisbonaper la crescita e l'occupazione, adottata dal Consiglio europeo. Ci richiedeun significativo sviluppo delle tecnologie dell'informazione e dellacomunicazione (TIC), ed anche un flusso di dati enorme e sicuro. Per talemotivo, uno dei fattori del successo della strategia di Lisbona un'efficaceprotezione dei dati personali. D'altro canto, i costi checomporta il rispetto della legislazione sulla protezione dei dati possono essere relativamente elevati in taluni casi. Tale legislazione implica oneriamministrativi e pertanto pu nuocere alla competitivit. Un'altra prioritdella strategia di Lisbona per la crescita e l'occupazione, adottata dalConsiglio europeo, fissare obiettivi intesi a ridurre gli oneri amministrativi (come elemento tra gli altri di una migliore legiferazione).Quanto alla semplificazione della legislazione comunitaria esistente, statosottolineato che dovrebbe essere rispettato l'acquis comunitario. Il GEDP concentrer la suaattivit sulla necessit di un elevato livello di protezione della sfera privata. L'esigenza di competitivit non dovrebbe essere usata per ridurre glistandard, imposti per legge. Inoltre, il GEDPsottolinea il contributo dato alla competitivit dalla legislazione in materiadi protezione dei dati. Egli soppesa i diversi interessi equilibrandoli evaluta se gli oneri amministrativi finalizzati alla protezione della sferaprivata sono proporzionati.
5. Approccio e metodi dilavoro 5.1. Un approccio efficace
Per essere efficace, ilGEDP deve elaborare un approccio che tenga conto dei seguenti aspetti: - i tempi dei suoiinterventi; - il suo incarico e gliincarichi di altri consulenti riguardo a proposte di legislazione comunitaria; - la scelta dei fascicolie le attivit supplementari. Le risorse sono limitate.
5.2. Tempi
Il GEDP un consulenteindipendente degli attori principali del processo legislativo, la Commissione,il Parlamento europeo e il Consiglio. La sua funzione consultiva non incidesulle prerogative delle tre istituzioni. In base all'articolo 251 del trattatoCE, la Commissione presenta una proposta di regolamento o di direttiva alParlamento europeo e al Consiglio. La Commissione tenuta a consultare ilGEDP. Tuttavia, l'articolo 28, paragrafo 2, del regolamento n. 45/2001 non chiaro quanto ai tempi della consultazione, cio se essa debba avere luogoprima o dopo l'adozione della proposta. Data la sua posizioneall'interno del quadro istituzionale, il GEDP dovrebbe rendere un parere ufficiale e pubblico. Tuttavia i tempi degli interventi del GEDP nel processolegislativo sono determinati anche dalla sua volont di essere efficace.L'efficacia degli interventi pu richiedere una consultazione pi informalecon le istituzioni, specialmente con la Commissione come essa elabora unaproposta. Una consultazione in una fase iniziale del processo legislativoconsente al GEDP di attirare l'attenzione sull'importanza della protezione deidati personali e di proporre modifiche di un testo senza intervenire neldibattito politico. Fatto salvo l'articolo 28,paragrafo 2, la consultazione dovrebbe, secondo il GEPD, comportare da due aquattro fasi: 1. una consultazioneinformale da parte del servizio competente della Commissione, ove necessario,prima della presentazione della proposta formale della Commissione; 2. un parere formale epubblico sulla proposta della Commissione al Parlamento e al Consiglio. Tale parere sarpubblicato nella Gazzetta ufficiale (serie C) e sul sito web del GEPD. Inoltreil GEPD pubblicher in taluni casi un comunicato stampa; 3. a titolo facoltativo,una consultazione informale da parte del Parlamento europeo e del Consiglio, arichiesta di una delle istituzioni o su iniziativa del GEPD; 4. a titolo facoltativo,un parere formale e pubblico su modifiche sostanziali della proposta della Commissione, nella misura in cui tali modifiche hanno un'incidenzasignificativa sulla protezione dei dati. Il GEPD intende applicare,per quanto possibile, questo metodo di lavoro alle proposte che esulano dalcampo di applicazione dell'articolo 251 del trattato CE. Affinch questo metodo dilavoro funzioni: - il GEPD selezioner leproposte pi importanti dal punto di vista della protezione dei dati, sullabase del programma di lavoro annuale della Commissione, e informer leistituzioni delle sue scelte; - il GEPD sar disponibileper consultazioni informali e si adoperer per adattare le medesime ai metodidi pianificazione e di lavoro (interni) della Commissione, d'intesa con ilServizio giuridico e il Segretariato generale della Commissione; - la pianificazione delleconsultazioni sar effettuata sulla base del programma di lavoro annuale dellaCommissione, della revisione intermedia del programma e degli altri strumentidi programmazione e di pianificazione utilizzati dalla Commissione; - saranno realizzati unesame regolare della pianificazione e una valutazione del metodo di lavoro. Atal fine, il GEPD si riunir su base regolare con il Segretariato generaledella Commissione, il suo Servizio giuridico, la Direzione generale giustizia,libert et sicurezza (DG JLS), nel quadro della sua responsabilit di coordinamentodella protezione dei dati, e con alcune direzioni generali della Commissioneche svolgono un ruolo particolarmente importante al riguardo (ad es. la DGINFSO); - in tutte lecomunicazioni con funzionari della Commissione, il GEPD sottolineer il suoruolo consultivo ufficiale, il suo obbligo di formulare pareri pubblici eindipendenti e la sua funzione di consulente non soltanto della Commissione maanche del Consiglio e del Parlamento; - nell'esprimere un parerein merito ad una proposta della Commissione non formuler unicamente criticheal riguardo ma menzioner anche, se del caso, la sua valutazione positiva della proposta stessa; - il GEPD si adoperer perintegrare la consultazione nei metodi di lavoro (interni) della Commissione LIBEdel Parlamento (Commissione delle libert civili, di giustizia e affari interni) ed instaurer contatti regolari con il Segretariato generale delConsiglio; - nella sua relazioneannuale il GEPD valuter il metodo di lavoro.
5.3. Il GEPD e gli altriconsulenti in materia di protezione dei dati
In una certa misura ilruolo consultivo del GEPD si sovrappone a quello attribuito al cosiddetto "Gruppo dell'articolo 29" per la tutela delle persone con riguardo altrattamento dei dati personali, istituito dalla direttiva 95/46/CE. Questasovrapposizione tanto pi importante in quanto il GEPD partecipa ai lavoridi detto gruppo. Gi da diversi anni ilGruppo svolge un importante ruolo di consulente sulle questioni inerenti allaprotezione dei dati, in assenza di un GEPD pienamente operativo. Il Gruppo deve proseguire il suo importante lavoro in questo settore. Tuttavia, il ruoloemergente del GEPD in quanto consulente in materia di legislazione - nelquadro istituzionale esistente, come previsto dall'articolo 286 del trattatoCE - destinato ad avere conseguenze sull'attuale ruolo del Gruppo. Come sopra indicato, ilGEPD prender come base un livello elevato di protezione dei diritti fondamentali, ponendo l'accento sulla coerenza. Il compito del GEPD ha un'ampiaportata. Il Gruppo dell'articolo 29e il GEPD non dovrebbero agire come concorrenti ma, dove possibile, esserecomplementari. Il Gruppo dell'articolo 29 una piattaforma permanente di cooperazione tra le autorit degli Stati membriincaricate della protezione dei dati, intesa a facilitare l'applicazioneuniforme della direttiva negli Stati membri. Come ha rilevato nel documentostrategico del 29 settembre 2004, esso fermamente impegnato a promuovere ilmiglioramento e l'armonizzazione della protezione dei dati nell'Unioneeuropea. Data la sua composizione, il Gruppo un'importante fonte diinformazioni per le istituzioni dell'Unione europea per quanto riguardal'attuazione e l'applicazione della legislazione in materia di protezione deidati negli Stati membri. Dieci anni dopo la pubblicazione della direttiva95/46, esso pu fornire informazioni sull'adeguatezza delle descrizioni ivicontemplate e sulla necessit di eventuali modifiche. Inoltre, nel corso deglianni ha acquisito una competenza specifica in determinati settori, quali itrasferimenti internazionali di dati e la cooperazione globale. Il GEPD assumer leproprie responsabilit con il debito rispetto per le caratteristiche specifiche del Gruppo dell'articolo 29. Pi concretamente, egli trarr innanzituttovantaggio dalla sua posizione centrale nel quadro istituzionale. In quantoorgano permanente con sede a Bruxelles, incaricato di fornire consulenza allaCommissione, al Consiglio e al Parlamento europeo, pu reagire con prontezza eflessibilit alle proposte e formulare pareri in settori in cui il Gruppo non ha un ruolo formale (come il terzo pilastro) o non possiede competenze ointeressi specifici. Il GEPD cooperer, oveopportuno, con il Gruppo dell'articolo 29. Tale cooperazione deve portare auna ripartizione dei compiti che consenta al GEPD di svolgere adeguatamente i compiti assegnatigli dal regolamento (CE) n. 45/2001, in un prossimo futuroforse sulla base dell'articolo I-51 e dell'articolo II-68 della Costituzione.Nel contempo, il legislatore europeo deve trarre vantaggio quanto pipossibile dalle esperienze acquisite a livello nazionale, presentate dalGruppo dell'articolo 29. Il Gruppo dell'articolo 29ha un ruolo consultivo nell'ambito del primo pilastro. Nell'ambito del terzopilastro non esiste un gruppo consultivo formale delle agenzie nazionali diprotezione dei dati. Tuttavia, tali agenzie stanno gradualmente assumendo unruolo consultivo informale per quanto riguarda le proposte legislative, inquanto esse si riuniscono a intervalli regolari in sede di Gruppo informaledelle autorit di controllo comuni nell'ambito del terzo pilastro (Dogane, Eurojust, Europol e Schengen). Tale Gruppo fornisce informazioni sulleesperienze acquisite a livello nazionale, analogamente al Gruppo dell'articolo29. Vari Stati membri inviano gli stessi rappresentanti al Gruppo informale eal Gruppo dell'articolo 29. Il GEPD assiste alle riunioni in veste diosservatore, nel quadro della sua missione di collaborazione con gli organi dicontrollo della protezione dei dati istituiti in virt del titolo VI deltrattato sull'Unione europea (articolo 46, lettera f), punto ii) delregolamento n. 45/2001). Il Gruppo informale hainiziato i suoi lavori molto di recente e non ha ancora una prassi consolidata. Il GEPD prevede di cooperare con tale Gruppo, come fa con ilGruppo dell'articolo 29. Inoltre il GEPD pu garantire la coerenza tra ipilastri, come espressamente previsto nel summenzionato articolo 46, letteraf), punto ii). La Conferenza europeasulla protezione dei dati, che si riunisce una volta all'anno, una piattaforma ancor pi informale delle agenzie di protezione dei dati. In unarisoluzione adottata a Wroclaw (Polonia) il 14 settembre 2004 sulla protezionedei dati nell'ambito del terzo pilastro, la Conferenza ha sottolineatol'importanza della consulenza in materia legislativa. Infine, occorre menzionareche le questioni relative alla protezione dei dati sono coordinate in seno allaCommissione dalla DG JLS e segnatamente dalla sua Unit Protezione dei dati(l'ex Unit E-5 della DG Mercato interno, di recente trasferita alla DG JLS).Questa unit deve essere consultata dagli altri servizi della Commissione, sesono in gioco questioni relative alla protezione dei dati. La definizione deicompiti di questa unit esula dall'ambito del presente documento, in quantol'unit fornisce soltanto pareri interni. Lo stesso vale per i compiti del responsabile della protezione dei dati (RPD), del Servizio giuridico e delSegretariato generale della Commissione nonch delle altre unit della DG JLSche svolgono un ruolo pi generale nel settore della protezione dei dati.
5.4. Scelta dei fascicolie attivit supplementari
L'approccio del GEPD saril seguente: a. nel campo oggetto delpresente documento, l'attivit del GEPD si focalizzer sul seguito effettivodei fascicoli in preparazione in seno alle istituzioni dell'Unione europea esulla formulazione di pareri al momento opportuno (cfr. punto 5.2); b. le prassi in vigoresubiranno un'evoluzione, per quanto riguarda sia la metodologia sia la sostanza nei diversi settori della legislazione. Potrebbe essere opportunodefinire tali prassi nell'ambito di orientamenti, manuali o documentistrategici. Tali strumenti potrebbero accrescere l'efficacia dei lavoriconsultivi del GEPD. Le decisioni in merito allo sviluppo di siffattistrumenti saranno prese in una fase successiva. c. Inoltre, il GEPD siadopera per individuare alcuni temi politici strategici. Quando affronter tali temi strategici, il GEPD dovr agire in maniera pi proattiva. Se delcaso, i pareri saranno resi d'ufficio, anche in mancanza di una propostalegislativa formale. Il GEPD prende in considerazione anche altri mezzi peraccrescere la sensibilizzazione a tali questioni, come l'organizzazione diworkshop, pubblicazioni sul sito web e sintesi tecniche. Questo ruolo pi proattivo dovrebbe essere considerato come una concretizzazione della funzionedel GEPD di sorvegliare le pertinenti evoluzioni (articolo 46, lettera e) delregolamento (CE) n. 45/2001). In merito al punto a. Comesopra indicato (al punto 2), il GEPD d un'interpretazione ampia della suafunzione consultiva in relazione alle proposte legislative, che non limitataa proposte specifiche. Tuttavia, il GEPD si sforza di modulare l'intensit concui adempie alla funzione consultiva secondo l'incidenza delle proposte sullaprotezione dei dati di carattere personale. Tale intensit varier essastessa nel corso degli anni, in funzione dell'incidenza delle proposte rientranti in un determinato settore sulla protezione dei dati di caratterepersonale . Attualmente, le proposte nel settore della libert, dellasicurezza e della giustizia rivestono notevole importanza. Temi fondamentaliin questo settore sono la condivisione delle informazioni nel contesto dellacooperazione giudiziaria e di polizia nonch le questioni connesse ai sistemi d'informazione su vasta scala quali Eurodac, VIS e SIS II. In un prossimofuturo, la priorit sar accordata alle eventuali proposte di modifica delladirettiva 95/46/CE. Il GEPD pubblicher sulsuo sito web un elenco di proposte che considera pertinenti dal punto di vistadella protezione dei dati. L'importanza della proposta (sotto questo profilo)sar indicata nell'elenco. In merito al punto c:Semplicemente per illustrare la prospettiva in cui si collocano i lavori del GEPD, si menzionano i temi seguenti che potrebbero essere considerati temipolitici strategici: - trasparenza e rispettodella vita privata; - trasferimento dei datidi carattere personale a paesi terzi (in connessione con la questione dei PNR). - conservazione dei dati eapplicazione del diritto penale. - sviluppi concernenti letecnologie connesse all'identit (biometria, identificazione a radiofrequenza,ecc.).
Bruxelles, 18 marzo 2005
NOTE 2Comunicazione del 26 gennaio 2005, doc. COM (2005) 12 final. 3Sentenza della Corte del 20 maggio 2003, Rechnungshof (C-465/00) controsterreichischer Rundfunk e altri e Christa Neukomm (C-138/01) e JosephLauermann (C-139/01) contro sterreichischer Rundfunk, cause congiunteC-465/00, C-138/01 e C-139/01 [Raccolta 2003 Page I-4989]. 4 Sentenzadella Corte del 6 novembre 2003 (C-101/01). Procedimento penale contro BodilLindqvist [Raccolta 2003, pag]. 5 Regolamento(CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001,relativo all'accesso del pubblico ai documenti del Parlamento europeo, delConsiglio e della Commissione. GU L 145 [2001], pag. 43.
|