Parere del GEPD sulla decisione della Commissione, del 12/12/2007, relativa alla protezione dei dati personali nell'ambito del sistema di informazione del mercato interno (IMI) (2008/49/CE)

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del garante europeo della protezione dei dati sulla decisione della Commissione, del 12 dicembre 2007, relativa alla protezione dei dati personali nell'ambito del sistema di informazione del mercato interno (IMI) (2008/49/CE)

(Pubblicato sulla G.U.U.E. n. C 270 del 25.10.2008)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41,

HA ADOTTATO IL SEGUENTE PARERE:

1. INTRODUZIONE

Sistema di informazione del mercato interno

1. Il sistema di informazione del mercato interno (IMI) è uno strumento informatico volto a consentire alle autorità competenti degli Stati membri di scambiarsi informazioni nell'attuare la legislazione sul mercato interno. L'IMI è finanziato attraverso il programma IDABC (erogazione interoperabile di servizi paneuropei di governo elettronico alle amministrazioni pubbliche, alle imprese e ai cittadini) ⁽¹⁾.

2. L'IMI è inteso quale sistema generale a supporto di molteplici settori della legislazione sul mercato interno e il suo uso dovrebbe essere esteso in futuro per sostenere una serie di ambiti legislativi. Inizialmente l'IMI verrà usato ai fini delle disposizioni sull'assistenza reciproca contenute nella direttiva 2005/36/CE («direttiva sulle qualifiche professionali ») ⁽²⁾. Dal dicembre 2009 esso verrà inoltre usato ai fini delle disposizioni relative alla cooperazione amministrativa della direttiva 2006/123/CE («direttiva sui servizi») ⁽³⁾.

Parere del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 e intervento del GEPD

3. Nella primavera del 2007 la Commissione europea ha chiesto il parere del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 («gruppo dell'articolo 29») al fine di esaminare le implicazioni dell'IMI sotto il profilo della protezione dei dati. Il 20 settembre 2007 il gruppo dell'articolo 29 ha espresso un parere sugli aspetti relativi alla protezione dei dati con riferimento all'IMI ⁽⁴⁾. Nel suo parere il gruppo dell'articolo 29 appoggiava l'intenzione della Commissione di adottare una decisione che disciplinasse gli aspetti relativi alla protezione dei dati con riferimento all'IMI e di prevedere una base giuridica più specifica per lo scambio delle informazioni nell'ambito di tale sistema.

4. Il GEPD si compiace che la Commissione abbia chiesto il parere del gruppo dell'articolo 29 prima di redigere la decisione relativa all'IMI. Il GEPD ha partecipato attivamente ai lavori sull'IMI svolti dal sottogruppo competente e appoggia le conclusioni figuranti nel parere del gruppo dell'articolo 29. Si compiace inoltre che la Commissione lo abbia consultato informalmente prima dell'adozione della decisione sull'IMI, dando in tal modo la possibilità di avanzare suggerimenti ancor prima dell'adozione; ciò era particolarmente necessario in quanto la procedura riguardava una decisione della stessa Commissione e non una proposta della Commissione seguita da una procedura legislativa con l'intervento del Consiglio e del Parlamento europeo.

Decisione 2008/49/CE della Commissione

5. Il 12 dicembre 2007 la Commissione ha adottato la decisione 2008/49/CE relativa alla protezione dei dati personali nell'ambito del sistema di informazione del mercato interno (IMI) («decisione IMI»). La decisione tiene conto di alcune delle raccomandazioni formulate dal GEPD e dal gruppo dell'articolo 29, specificando inoltre la base giuridica.

Parere generale del GEPD sull'IMI

6. Il parere generale del GEPD sull'IMI è positivo. Il GEPD è favorevole allo scopo perseguito dalla Commissione nell'istituire un sistema elettronico di scambio delle informazioni e nel disciplinarne gli aspetti inerenti alla protezione dei dati.

Tale sistema semplificato può, non solo aumentare l'efficacia della cooperazione, ma contribuire anche ad assicurare il rispetto delle leggi vigenti in materia di protezione dei dati. Ciò è possibile in quanto fornisce un quadro chiaro per stabilire quali informazioni possono essere scambiate, con chi e a quali condizioni.

7. Tuttavia, la creazione di un sistema elettronico centralizzato comporta anche certi rischi. In primo luogo potrebbero essere scambiati più dati, e in modo più ampio, di quanto strettamente necessario ai fini di una cooperazione efficace; esiste poi il rischio che i dati, compresi i dati potenzialmente non aggiornati e imprecisi, possano rimanere nel sistema elettronico più a lungo di quanto necessario. La sicurezza di una banca dati accessibile in 27 Stati membri è anch'essa una questione sensibile poiché il sistema è sicuro solo nella misura consentita dalla maglia più debole della rete.

8. È pertanto molto importante che le questioni attinenti alla protezione dei dati siano affrontate in un atto comunitario giuridicamente vincolante, in modo quanto più completo e univoco possibile.

Netta demarcazione dell'ambito di applicazione dell'IMI

9. Il GEPD si compiace che la Commissione definisca e delimiti nettamente l'ambito di applicazione dell'IMI enumerando in un allegato gli atti comunitari pertinenti in base ai quali lo scambio di informazioni può essere effettuato. Al momento si contano soltanto la direttiva sulle qualifiche professionali e la direttiva sui servizi, ma si prevede di estendere in futuro l'ambito di applicazione dell'IMI. Ogni volta che sarà adottato un nuovo atto legislativo che preveda lo scambio di informazioni attraverso l'IMI, si procederà simultaneamente all'aggiornamento dell'allegato.

Il GEPD è favorevole a questa tecnica poiché i) delimita chiaramente l'ambito di applicazione dell'IMI; e ii) assicura la trasparenza; pur iii) offrendo nel contempo flessibilità nel caso in cui l'IMI sia usato in futuro per altri scambi di informazioni.

Consente inoltre di escludere qualsiasi scambio di informazioni attraverso l'IMI in mancanza di i) una base giuridica adeguata nella legislazione specifica sul mercato interno che autorizzi o prescriva lo scambio di informazioni; e ii) un riferimento a tale base giuridica nell'allegato della decisione IMI.

Principali preoccupazioni riguardo alla decisione IMI

10. Il GEPD, tuttavia, non accoglie con soddisfazione i) la scelta della base giuridica della decisione IMI, in quanto questa poggia ora su un fondamento giuridico incerto (cfr. sezione 2 del presente parere); e ii) il fatto che varie disposizioni necessarie che riguardano da vicino gli aspetti relativi alla protezione dei dati con riferimento all'IMI non siano incluse nell'atto (cfr. sezione 3 del parere).

11. In pratica, la soluzione adottata dalla Commissione implica purtroppo che, contrariamente a quanto auspicato dal GEPD e dal gruppo dell'articolo 29, la decisione IMI nello stato attuale non disciplina esaurientemente tutti i principali aspetti inerenti alla protezione dei dati con riferimento all'IMI, non ultimi il modo in cui i responsabili del trattamento condividono congiuntamente le competenze in materia di notificazione e conferiscono un diritto di accesso alle persone interessate o le questioni specifiche e pratiche in materia di proporzionalità. Il GEPD si rammarica inoltre che non sia stato previsto l'obbligo specifico per la Commissione di pubblicare sul suo sito web le domande e i campi di dati predefiniti, il che accrescerebbe la trasparenza e la certezza giuridica.

2. BASE GIURIDICA DELLA DECISIONE IMI

Decisione IDABC

12. La base giuridica della decisione IMI, come stabilito nella decisione stessa, è la decisione 2004/387/CE del Parlamento europeo e del Consiglio, del 21 aprile 2004, relativa all'erogazione interoperabile di servizi paneuropei di governo elettronico alle amministrazioni pubbliche, alle imprese e ai cittadini («decisione IDABC») ⁽⁵⁾, in particolare l'articolo 4.

13. La stessa decisione IDABC è uno strumento che ricade nell'ambito del titolo XV del trattato che istituisce la Comunità europea («trattato CE») relativo alle reti transeuropee. L'articolo 154 del trattato CE dispone che la Comunità concorre alla costituzione e allo sviluppo di reti transeuropee nei settori delle infrastrutture dei trasporti, delle telecomunicazioni e dell'energia. Detta azione mira a favorire l'interconnessione e l'interoperabilità delle reti nazionali, nonché l'accesso a tali reti. L'articolo 155 elenca le misure che la Comunità può adottare a tal fine. Trattasi di i) orientamenti; ii) ogni azione che si riveli necessaria per garantire l'interoperabilità delle reti, in particolare nel campo dell'armonizzazione delle norme tecniche; iii) sostegno a progetti. La decisione IDABC si fonda sull'articolo 156, primo comma, che riguarda la procedura di adozione.

14. L'articolo 4 della decisione IDABC stabilisce, fra l'altro, che la Comunità attua progetti di interesse comune che devono rientrare in un programma di lavoro «staffetta» e la cui attuazione deve essere conforme ai principi di cui agli articoli 6 e 7 della stessa decisione. Tali principi, in particolare, incoraggiano un'ampia partecipazione, stabiliscono una procedura solida e imparziale e prevedono l'armonizzazione delle norme tecniche. Mirano inoltre ad assicurare progetti affidabili e fattibili sotto il profilo economico.

Direttiva sui servizi e direttiva sulle qualifiche professionali

15. Come spiegato poc'anzi, il sistema di informazione del mercato interno sarà usato inizialmente per lo scambio di dati personali nel quadro di due direttive:

— la direttiva sui servizi, e

— la direttiva sulle qualifiche professionali.

16. L'articolo 34, paragrafo 1, della direttiva sui servizi prevede una base giuridica specifica per la costituzione di un sistema elettronico per lo scambio di informazioni fra Stati membri, quale misura di accompagnamento ai fini della direttiva. L'articolo 34, paragrafo 1, recita: «La Commissione, in collaborazione con gli Stati membri, istituisce un sistema elettronico per lo scambio di informazioni tra gli Stati membri tenendo conto dei sistemi di informazione esistenti».

17. La direttiva sulle qualifiche professionali non prevede un sistema elettronico specifico per lo scambio di informazioni ma prescrive chiaramente in varie disposizioni lo scambio di informazioni. Nel novero delle pertinenti disposizioni che dispongono lo scambio di informazioni rientra l'articolo 56 della direttiva, secondo il quale le autorità competenti degli Stati membri sono tenute a collaborare strettamente e ad assistersi reciprocamente per agevolare l'applicazione della direttiva. L'articolo 56, paragrafo 2, prevede che talune informazioni sensibili siano trattate nel rispetto della normativa sulla protezione dei dati personali. Del pari, l'articolo 8 dispone inoltre specificamente che le autorità competenti dello Stato membro ospitante possono chiedere alle autorità competenti dello Stato membro di stabilimento di fornire qualsivoglia informazione pertinente circa la legalità dello stabilimento e la buona condotta del prestatore nonché l'assenza di sanzioni disciplinari o penali di carattere professionale. Infine, l'articolo 50, paragrafo 2, prevede che, in caso di dubbio fondato, lo Stato membro ospitante possa richiedere alle autorità competenti di uno Stato membro una conferma dell'autenticità degli attestati e dei titoli di formazione.

Necessità di una base giuridica adeguata per le disposizioni sulla protezione dei dati

18. La protezione dei dati di carattere personale è riconosciuta come un diritto fondamentale nell'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e nella giurisprudenza fondata sull'articolo 8 della convenzione europea dei diritti dell'uomo («CEDU»).

19. La decisione IMI fissa, ai sensi del suo articolo 1, le funzioni, i diritti e gli obblighi dei partecipanti e degli utenti IMI per quanto riguarda gli obblighi di protezione dei dati. Il GEPD desume dal considerando 7 che la decisione IMI è intesa a precisare il dispositivo comunitario generale sulla protezione dei dati previsto dalla direttiva 95/46/CE e dal regolamento (CE) n. 45/2001. Sono contemplati specificamente la definizione dei responsabili del trattamento e le loro competenze, i periodi di conservazione dei dati e i diritti delle persone interessate. La decisione IMI concerne pertanto limitazioni/precisazioni dei diritti fondamentali e mira a specificare i diritti soggettivi dei cittadini.

20. Alla luce della giurisprudenza relativa alla CEDU, non dovrebbe esservi alcun dubbio circa lo status giuridico delle disposizioni limitative dei diritti fondamentali. Tali disposizioni devono essere stabilite in uno strumento giuridico, sulla scorta del trattato CE, che possa essere invocato dinanzi a un giudice. Se così non fosse, si creerebbe una situazione di incertezza giuridica, per cui la persona interessata non potrebbe contare sul fatto che le disposizioni possono essere invocate dinanzi a un giudice.

21. La questione della certezza giuridica è tanto più importante se si considera che, in base al sistema istituito dal trattato CE, sarà lasciato essenzialmente alla discrezione dei giudici nazionali decidere quale valore annettere alla decisione IMI.

Ciò potrebbe portare a risultati differenti in Stati membri diversi e addirittura all'interno di un singolo Stato membro.

Tale incertezza giuridica non è accettabile.

22. La mancata (certezza quanto alla) possibilità di adire le vie legali sarebbe in ogni caso contraria all'articolo 6 della CEDU, relativo al diritto a un equo processo, e alla giurisprudenza su tale articolo. In tali circostanze, la Comunità non assolverebbe gli obblighi che le incombono a norma dell'articolo 6 del trattato sull'Unione europea («trattato UE») che esige da parte dell'Unione il rispetto dei diritti fondamentali garantiti dalla CEDU.

Imperfezioni della base giuridica scelta

23. Il GEPD teme fortemente che, nello scegliere l'articolo 4 della decisione IDABC come base giuridica della decisione, i redattori della decisione della Commissione non abbiano superato la prova della certezza giuridica illustrata sopra. Il GEPD espone di seguito gli elementi che possono destare dubbi circa l'adeguatezza della base giuridica scelta per la decisione IMI:

— il quadro del titolo XV del trattato CE relativo alle reti transeuropee, in base al quale la Comunità europea può concorrere alla costituzione di tali reti per offrire ai cittadini europei condizioni migliori, più sicure e meno onerose nei settori dei trasporti, delle telecomunicazioni e dell'energia ⁽⁶⁾. Non è chiaro se questo quadro sia inteso anche per le reti tra autorità pubbliche necessarie per l'attuazione di atti legislativi, come nel caso dell'IMI,

— le misure previste nel titolo XV del trattato CE (articolo 155) che, come detto sopra, consistono in i) orientamenti; ii) ogni azione che si riveli necessaria per garantire l'interoperabilità delle reti, in particolare nel campo dell'armonizzazione delle norme tecniche; iii) sostegno a progetti. Sebbene l'articolo non sia del tutto chiaro — in esso è fatto un generico riferimento a «ogni azione» — questa elencazione di possibili misure lascia intendere che gli obiettivi del titolo XV saranno conseguiti essenzialmente attraverso misure non legislative.

Il GEPD rileva che in questo contesto l'espressione «ogni azione» è riferita in particolare all'armonizzazione delle norme tecniche, — l'articolo 4 della decisione IDABC mira ad attuare i progetti di interesse comune specificati nel programma di lavoro «staffetta», sulla cui base il sistema IMI è stato istituito e finanziato. Il GEPD tuttavia non è convinto che l'articolo 4 possa costituire la base giuridica di norme sulla protezione dei dati, che sono vincolanti per i partecipanti IMI e prevedono diritti soggettivi per i cittadini,

— gli articoli 6 e 7 della decisione IDABC, di cui all'articolo 4, stabiliscono i principi per l'attuazione dei progetti di interesse comune. Tali principi riguardano la partecipazione, la procedura e l'armonizzazione delle norme tecniche, nonché l'affidabilità e la fattibilità economiche dei progetti. Essi non hanno nulla a che vedere con i principi della protezione dei dati, né con altri principi analoghi del diritto pubblico,

— la procedura della decisione IDABC: ai sensi del considerando 30 della decisione dovrebbero essere adottate misure di esecuzione conformemente alla decisione 1999/468/CE del Consiglio, del 28 giugno 1999, recante modalità per l'esercizio delle competenze di esecuzione conferite alla Commissione ⁽⁷⁾. Ciò richiede il coinvolgimento di un comitato del tipo previsto dalla comitatologia con rappresentanti degli Stati membri. I considerando della decisione IMI non fanno riferimento ad alcun coinvolgimento di un siffatto comitato. A quanto ci risulta, non è stato previsto alcun comitato di questo genere,

— un altro punto specifico è che gli Stati membri sono destinatari della decisione IMI. Per tale ragione e nonostante i riferimenti nella decisione IMI al regolamento (CE) n. 45/2001 e il fatto che la Commissione venga menzionata dall'articolo 6 quale partecipante IMI, la decisione IMI non può riguardare il trattamento dei dati personali da parte della Commissione stessa.

Possibili soluzioni per porre rimedio alle imperfezioni della base giuridica scelta

24. La decisione IMI ha bisogno di una base giuridica solida, per le ragioni summenzionate. Esistono seri dubbi sul fatto che la base giuridica della decisione IMI soddisfi il requisito della certezza giuridica. Il GEPD raccomanda alla Commissione di riesaminare questa base giuridica e cercare soluzioni per porre rimedio alle imperfezioni della base giuridica scelta, eventualmente sostituendo la decisione IMI con uno strumento giuridico che soddisfi il requisito della certezza giuridica.

25. In tale contesto, la soluzione più appropriata potrebbe essere l'adozione, da parte del Consiglio e del Parlamento europeo, di uno strumento giuridico separato per il sistema IMI, analogo al sistema d'informazione Schengen, al sistema d'informazione visti e ad altre banche dati informatizzate su larga scala.

26. Il GEPD propone di analizzare quest'opzione. Tale strumento giuridico separato potrebbe quindi illustrare le funzioni, i diritti e gli obblighi dei partecipanti e degli utenti IMI per quanto riguarda gli obblighi di protezione dei dati (l'oggetto definito nella decisione IMI) nonché altri obblighi relativi all'istituzione e al funzionamento del sistema IMI.

27. Una seconda opzione potrebbe consistere nella ricerca di una base giuridica tra i diversi strumenti del mercato interno. Nella misura in cui la decisione IMI si applica allo scambio di dati personali nel contesto della direttiva sui servizi, occorrerebbe analizzare ulteriormente se tale direttiva, e in particolare l'articolo 34, possa fornire la base giuridica necessaria. Poiché la decisione IMI si applica allo scambio di dati personali nel contesto della direttiva sulle qualifiche professionali, potrebbe inoltre funzionare un approccio analogo: si potrebbe anche creare una base giuridica specifica e chiara, modificando la direttiva stessa.

28. Quanto all'ulteriore legislazione sul mercato interno che in futuro possa richiedere uno scambio di informazioni tra le autorità competenti degli Stati membri, si potrebbe adottare ogni volta una base giuridica specifica di tale nuova legislazione specifica.

3. OSSERVAZIONI SUL CONTENUTO DELLA DECISIONE IMI

29. In questa sezione del parere, il GEPD discute le disposizioni che disciplinano gli aspetti dell'IMI inerenti alla protezione dei dati quali figurano nella decisione IMI. I suggerimenti del GEPD potrebbero essere inseriti in un nuovo strumento giuridico che sostituisca la decisione IMI, come sopra proposto. Tuttavia, in assenza di tale nuovo strumento, i suggerimenti potrebbero essere inclusi nella stessa decisione IMI, dopo averla modificata.

30. Inoltre, taluni dei suggerimenti possono essere applicati sin d'ora nella pratica dai partecipanti IMI, senza modificare la decisione. Il GEPD si aspetta che la Commissione adotti le raccomandazioni fornite nel presente parere, almeno a livello operativo, nella misura in cui riguardano attività della Commissione quale partecipante IMI e, pertanto, soggette alla supervisione del GEPD.

Articolo 2 — Campi di dati predefiniti: trasparenza e proporzionalità

31. Il GEPD si rallegra che la Commissione abbia pubblicato sul sito web dell'IMI la prima serie di domande predefinite e gli altri campi di dati. Essi riguardano le informazioni scambiate a titolo della direttiva sulle qualifiche professionali.

32. Per rendere tale buona pratica un chiaro obbligo per la Commissione, in tal modo garantendo e migliorando la trasparenza, il GEPD raccomanda che uno strumento giuridico per l'IMI preveda l'obbligo per la Commissione di pubblicare le domande e gli altri campi di dati predefiniti sul sito web dell'IMI.

33. Per quanto riguarda la proporzionalità, uno strumento giuridico per l'IMI dovrebbe specificare che le domande e gli altri campi di dati predefiniti devono essere adeguati, pertinenti e non eccedenti. Inoltre, il GEPD ha due raccomandazioni specifiche per quanto riguarda la proporzionalità:

— specificare con chiarezza che l'IMI non è destinato ad essere utilizzato abitualmente per effettuare verifiche degli antecedenti sui professionisti e i prestatori di servizi migranti ma solo nei casi consentiti dalla legislazione applicabile e laddove sussistano ragionevoli dubbi i) sull'autenticità delle informazioni fornite dal prestatore di servizi migrante all'autorità competente dello Stato membro ospitante; o ii) sulla sua ammissibilità allo stabilimento o all'esercizio della sua professione nello Stato membro ospitante,

— al fine di minimizzare la trasmissione superflua di dati sensibili ma non sempre pertinenti, prevedere che, qualora non sia strettamente necessario trasmettere reali informazioni sui precedenti penali, le domande e risposte predefinite dell'interfaccia IMI non includano una richiesta di precedenti penali e siano formulate in altro modo, così da ridurre al minimo lo scambio di dati sensibili. Per esempio, all'autorità competente di un paese ospitante potrebbe bastare l'informazione che un avvocato migrante è legalmente e regolarmente registrato nell'albo nazionale degli avvocati senza bisogno di sapere se nei suoi precedenti vi sia un'infrazione al codice stradale, se ciò non gli impedisce di esercitare in patria la sua professione.

Articolo 3 — Controllo congiunto e ripartizione delle competenze

34. La ripartizione delle competenze di cui all'articolo 3 della decisione IMI è poco chiara e ambigua. Il GEPD riconosce che potrebbe non essere fattibile indicare precisamente nella decisione IMI ogni singola operazione di trattamento e per ciascuna ripartire la competenza alla Commissione ovvero a una particolare autorità competente di un determinato Stato membro. Tuttavia, almeno per quanto riguarda i più importanti obblighi di protezione dei dati di un responsabile del trattamento, la decisione IMI avrebbe dovuto fornire qualche orientamento.

35. In particolare, il GEPD raccomanda che uno strumento giuridico per l'IMI specifichi che:

— ciascuna autorità competente e ciascun coordinatore IMI sono responsabili del trattamento per quanto riguarda le proprie attività di trattamento dei dati quali utenti del sistema,

— la Commissione non è un utente bensì l'operatore del sistema ed è responsabile innanzi tutto del funzionamento tecnico, della manutenzione nonché di assicurare la sicurezza generale del sistema, e che

— i partecipanti IMI condividono responsabilità in materia di notificazione e di conferimento del diritto di accesso, di opposizione e di rettifica nel modo specificato nei (nuovi) paragrafi, come indicato nei punti successivi.

Notificazione alle persone interessate

36. Il GEPD raccomanda di inserire nello strumento giuridico per l'IMI un nuovo paragrafo che riparta le competenze in materia di notificazione tra i responsabili del trattamento che le esercitano congiuntamente, secondo un approccio «a più livelli». In particolare, il testo dovrebbe specificare quanto segue:

— in primo luogo, nella sua pagina web dedicata all'IMI la Commissione dovrebbe inserire una notificazione sulla riservatezza esaustiva che comprenda tutti i punti richiesti ai sensi degli articoli 10 e 11 del regolamento (CE) n. 45/2001, in termini chiari e semplici. Il GEPD raccomanda che la notificazione non riguardi esclusivamente le limitate operazioni di trattamento della Commissione relativamente ai dati cui ha accesso (dati personali degli utenti IMI) ma inserisca anche una notificazione generale relativa agli scambi di informazioni tra le autorità competenti dei diversi Stati membri, che è lo scopo della banca dati,

— in secondo luogo, e in aggiunta, ogni autorità competente dovrebbe inserire una notificazione sulla riservatezza nella propria pagina web. Le notificazioni sulla riservatezza dovrebbero includere un riferimento e un collegamento alle notificazioni sulla riservatezza della Commissione nonché ulteriori dettagli specifici alla particolare autorità o Stato membro. Ad esempio, in tali notificazioni devono figurare le limitazioni ai diritti di accesso o di informazione specifiche ai singoli paesi. La notificazione potrebbe essere coordinata dal singolo ufficio di collegamento tra le autorità competenti di uno specifico paese,

— in terzo luogo, e da ultimo, al più tardi al momento del telecaricamento dei dati personali, e salvo che possa essere applicato una restrizione, la notificazione dovrebbe essere trasmessa anche direttamente alle persone interessate, con mezzi diversi dalla notificazione sulla riservatezza nel sito web. Un approccio raccomandato potrebbe essere l'inclusione di un breve riferimento all'IMI e un collegamento alle pertinenti notificazioni sulla riservatezza su Internet in tutta la corrispondenza che le autorità competenti scambiano con le persone interessate (normalmente il prestatore di servizi o il professionista migranti).

Diritti di accesso, di opposizione e di rettifica

37. Il GEPD raccomanda inoltre di inserire un nuovo paragrafo, al fine di:

— specificare a chi le persone interessate debbano indirizzare la loro richiesta d'accesso, l'opposizione o la richiesta di rettifica,

— specificare a quale autorità competente spetterà decidere in merito a tali richieste, e

— stabilire una procedura nel caso in cui la persona interessata presenti la propria richiesta a un partecipante IMI non competente a decidere in materia.

38. Inoltre, si dovrebbe specificare che la Commissione può fornire accesso solo ai dati a cui la Commissione stessa ha legittimo accesso. Pertanto, la Commissione non avrà l'obbligo di fornire accesso a scambi di informazioni tra autorità competenti. Se, nonostante ciò, la persona interessata rivolge tale richiesta alla Commissione, è necessario che quest'ultima la indirizzi senza indebiti ritardi alle autorità che hanno accesso alle informazioni e la consigli di conseguenza.

Articolo 4 — Conservazione dei dati personali delle persone interessate oggetto dello scambio di informazioni

39. L'articolo 4, paragrafo 1, della decisione IMI prevede un periodo di conservazione dei dati di sei mesi dopo la «conclusione ufficiale» dello scambio di informazioni.

40. Il GEPD comprende che le autorità competenti possono aver bisogno di una certa flessibilità nella conservazione dei dati in quanto al di là della domanda e risposta iniziale possono seguire altre domande relative allo stesso caso tra le autorità competenti. In realtà, durante la preparazione del parere del gruppo dell'articolo 29, la Commissione ha spiegato che le procedure amministrative nel quadro delle quali possono essere necessari scambi di informazioni vengono normalmente ultimate in un paio di mesi e il periodo di conservazione di sei mesi è inteso a consentire una flessibilità per qualsiasi ritardo imprevisto.

41. Detto ciò, e in base alle spiegazioni della Commissione, il GEPD dubita che vi sia un motivo legittimo per conservare i dati nell'IMI per altri sei mesi dopo la conclusione ufficiale di uno scambio di informazioni. Pertanto, il GEPD raccomanda che il termine di sei mesi per la cancellazione automatica cominci a decorrere dalla data in cui l'autorità richiedente contatta per la prima volta la sua controparte in qualsiasi scambio di informazioni specifico. In realtà, un migliore approccio sarebbe quello di fissare la data di cancellazione automatica a seconda dei diversi tipi di scambio di informazioni (sempre contando i termini a decorrere dall'avvio dello scambio). Per esempio, mentre un periodo di conservazione di sei mesi può essere appropriato per gli scambi di informazioni a titolo della direttiva sulle qualifiche professionali, potrebbe non essere necessariamente adeguato per altri scambi di informazioni nell'ambito della futura legislazione sul mercato interno.

42. Il GEPD aggiunge inoltre che se le sue raccomandazioni non venissero prese in considerazione, occorrerebbe quanto meno chiarire che cosa si intende per «chiusura ufficiale» di uno scambio di informazioni. In particolare, si deve assicurare che nessun dato possa rimanere nella banca dati più a lungo del necessario semplicemente perché un'autorità competente non ha «chiuso il caso».

43. Il GEPD raccomanda inoltre che al secondo comma dell'articolo 4 sia invertita la logica della cancellazione/conservazione.

La Commissione dovrebbe dar seguito alle richieste di cancellazione entro 10 giorni lavorativi in ogni caso indipendentemente dal fatto che le altre autorità competenti implicate nello scambio di informazioni vogliano o meno mantenere le informazioni nell'IMI. Dovrebbe tuttavia esistere un meccanismo automatico di notifica a tali altre autorità competenti, in modo da assicurare che non perdano i dati e possano, se lo desiderano, scaricare o stampare le informazioni e memorizzarle per i propri scopi al di fuori dell'IMI, secondo le proprie norme in materia di protezione dei dati. Un termine di preavviso di dieci giorni appare ragionevole sia come scadenza minima che come scadenza massima. La Commissione dovrebbe solo poter cancellare le informazioni prima di questo termine di dieci giorni se ambedue le autorità confermano il desiderio che siano cancellate.

Misure di sicurezza

44. Il GEPD raccomanda inoltre di specificare che l'adozione delle misure di sicurezza, da parte della Commissione o delle autorità competenti, sia conforme alle migliori pratiche seguite negli Stati membri.

Sorveglianza congiunta

45. Poiché gli scambi di informazioni nel quadro dell'IMI sono soggetti a molteplici leggi nazionali in materia di protezione dei dati nonché alla sorveglianza di molteplici autorità nazionali competenti in tale materia (oltre all'applicabilità del regolamento (CE) n. 45/2001 e all'autorità di controllo del GEPD riguardo a taluni aspetti delle operazioni di trattamento), il GEPD raccomanda che uno strumento giuridico per l'IMI preveda anche chiare disposizioni volte ad agevolare la sorveglianza congiunta dell'IMI da parte delle varie autorità in materia di protezione dei dati coinvolte. La sorveglianza congiunta potrebbe seguire il modello di quanto si è fatto negli strumenti giuridici sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) (8).

4. CONCLUSIONI

46. Il GEPD è favorevole allo scopo perseguito dalla Commissione nell'istituire un sistema elettronico di scambio delle informazioni e nel disciplinarne gli aspetti inerenti alla protezione dei dati.

47. La decisione IMI ha bisogno di una base giuridica solida, per le ragioni summenzionate. Il GEPD raccomanda che la Commissione riconsideri la sua scelta relativa alla base giuridica e cerchi soluzioni per porre rimedio alle imperfezioni della base giuridica scelta, eventualmente sostituendo la decisione IMI con uno strumento giuridico che soddisfi il requisito della certezza giuridica.

48. Come soluzione in definitiva più corretta il GEPD suggerisce di analizzare l'eventualità dell'adozione a livello di Consiglio e di Parlamento europeo di uno strumento giuridico separato per il sistema IMI, analogo al sistema d'informazione Schengen, al sistema d'informazione visti e ad altre banche dati informatizzate su larga scala.

49. In alternativa, si potrebbe analizzare la possibilità che l'articolo 34 della direttiva sui servizi e disposizioni analoghe ancora da adottare per altre normative sul mercato interno forniscano la base giuridica necessaria.

50. Il parere comprende inoltre una serie di suggerimenti sulle disposizioni che disciplinano gli aspetti dell'IMI inerenti alla protezione dei dati, da includere in un nuovo strumento giuridico che sostituisca la decisione IMI come proposto sopra oppure, in assenza di un siffatto nuovo strumento, da includere nella stessa decisione IMI dopo averla modificata.

51. Molti dei suggerimenti possono già ora essere applicati, in pratica, dai partecipanti IMI, senza modificare la decisione.

Il GEPD si aspetta che la Commissione adotti le raccomandazioni fornite nel presente parere per quanto possibile, almeno a livello operativo, nella misura in cui riguardano attività della Commissione quale partecipante IMI.

52. Queste raccomandazioni riguardano la trasparenza e la proporzionalità, il controllo congiunto e la ripartizione delle competenze, la notificazione alle persone interessate, i diritti di accesso, di opposizione e di rettifica, la conservazione dei dati, le misure di sicurezza e la sorveglianza congiunta.

Fatto a Bruxelles, il 22 febbraio 2008.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE
(1) Vedasi il punto 12 del presente parere.

(2) Direttiva 2005/36/CE del Parlamento europeo e del Consiglio, del 7 settembre 2005, relativa al riconoscimento delle qualifiche professionali (GU L 255 del 30.9.2005, pag. 22).

(3) Direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno (GU L 376 del 27.12.2006, pag. 36).

(4) Parere n. 7/2007 sugli aspetti relativi alla protezione dei dati con riferimento al Sistema di informazione del mercato interno (IMI), WP 140.

(5) GU L 144 del 30.4.2004, rettificata da GU L 181 del 18.5.2004, pag. 25.

(6) Cfr. Libro bianco della Commissione su crescita, competitività, occupazione [COM(93) 700].

(7) GU L 184 del 29.12.2006, pag. 23.

(8) Cfr. articoli 44-46 del regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) (GU L 381 del 28.12.2006, pag. 4) e articoli 60-62 della decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) (GU L 205 del 7.8.2007, pag. 63).