Parere del Garante europeo della protezione dei dati (GEPD) sulla raccomandazione della BCE relativa a un regolamento del Consiglio che modifica il regolamento (CE) n. 2533/98 del 23 novembre 1998 sulla raccolta di informazioni statistiche da parte della Banca centrale europea

Parere del garante europeo della protezione dei dati (GEPD) sulla raccomandazione della BCE

relativa a un regolamento del Consiglio che modifica il regolamento (CE) n. 2533/98 del 23 novembre 1998 sulla raccolta di informazioni statistiche da parte della Banca centrale europea

(Pubblicato sulla GUUE n. C 192 del 15.8.2009)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

Raccomandazione che modifica il regolamento sulla raccolta di informazioni statistiche da parte della Banca centrale europea

1. Il 23 novembre 1998, il Consiglio dell’Unione europea ha adottato il regolamento (CE) n. 2533/98 del Consiglio sulla raccolta di informazioni statistiche da parte della Banca

centrale europea (in appresso «regolamento (CE) n. 2533/98») ⁽¹⁾. Al fine di salvaguardare tale regolamento quale strumento efficace per svolgere i compiti di raccolta di informazioni statistiche del Sistema europeo di banche centrali (in appresso «SEBC»), si stanno esaminando vari emendamenti. Il 15 settembre 2008 il Consiglio direttivo della Banca centrale europea (in appresso «BCE») ha adottato all'unanimità una raccomandazione ⁽²⁾ (in appresso «raccomandazione») relativa a un regolamento del Consiglio che modifica il regolamento (CE) n. 2533/98 ⁽³⁾.

2. Il 4 febbraio 2009 il Consiglio ha deciso di consultare il Garante europeo della protezione dei dati (in appresso «GEPD») e lo ha invitato a formulare il suo parere ⁽⁴⁾. Va sottolineato che questa consultazione in fase di Coreper, per quanto insolita, è contemplata dagli articoli 41 e 46, lettera d) del regolamento (CE) n. 45/2001.

3. I principali articoli del regolamento (CE) n. 2533/98 soggetti a modifica sono gli articoli 1, 2, 3 (in parte) e 8.

Benché l'articolo 8 sia specificamente dedicato al regime di riservatezza, il GEPD ritiene che anche gli altri articoli possano avere un impatto sulla protezione dei dati personali e rientrino pertanto nell'attuale analisi.

4. Infine il contesto generale in cui viene analizzata la raccomandazione deve anche tener conto della proposta di regolamento del Parlamento europeo e del Consiglio relativo alle statistiche europee ⁽⁵⁾ , proposta riguardo alla quale il GEPD ha parimenti espresso un parere ⁽⁶⁾. I due testi sono interconnessi. Questa connessione tra i due regolamenti richiede, come è stato sottolineato nell'altro parere, che si instaurino una stretta cooperazione e un adeguato coordinamento tra il sistema statistico europeo e il SEBC, salvaguardando le rispettive strutture di governance. Il GEPD ha inoltre illustrato la sua interpretazione dei concetti di riservatezza e di anonimato nel contesto delle statistiche. Quest'analisi resta valida.

II. ANALISI DELLA PROPOSTA

Informazioni statistiche

5. Il GEPD si compiace che gli emendamenti proposti contengano un riferimento specifico al quadro giuridico della protezione dei dati. In effetti, mentre il regolamento (CE) n. 2533/98 attualmente fa riferimento solo alla direttiva 95/46/CE, si propone ora di inserire all'articolo 8, paragrafo 8 un riferimento al regolamento (CE) n. 45/2001, che copre in modo più specifico le attività della BCE in quanto istituzione europea.

6. Inoltre questa disposizione conferma il considerando 34 del regolamento (CE) n. 45/2001, così formulato: «L'articolo 8, paragrafo 8 del regolamento (CE) n. 2533/98 del Consiglio, del 23 novembre 1998, sulla raccolta di informazioni statistiche da parte della banca centrale europea dispone che il regolamento si applica senza pregiudicare la direttiva 95/46/CE.» In questo contesto esso lascia impregiudicato anche il regolamento (CE) n. 45/2001.

7. Come è spiegato nel preambolo della raccomandazione, essa si prefigge innanzi tutto di rivedere il campo di applicazione del regolamento (CE) n. 2533/98 al fine di salvaguardarlo come strumento efficace per la BCE per svolgere i compiti del SEBC di raccolta di informazioni statistiche. Dovrebbe inoltre garantire alla BCE la continua disponibilità di informazioni statistiche della qualità necessaria e coprenti l'intera gamma di compiti del SEBC.

8. Benché l'espressione «informazioni statistiche» sia ampiamente utilizzata sia nel regolamento (CE) n. 2533/98 che nella raccomandazione adottata dalla BCE, il GEPD osserva che essa non è definita in nessuno di questi testi, se si eccettua un riferimento alla definizione di obblighi di segnalazione (articolo 1, paragrafo 1 del regolamento (CE) n. 2533/98). Secondo il GEPD la portata di tale espressione dovrebbe essere precisata nel contesto del regolamento (CE) n. 2533/98 specialmente dato che le informazioni statistiche possono coprire dati provenienti da persone non solo giuridiche ma anche fisiche (descritte anche come operatori soggetti agli obblighi di segnalazione). Pertanto si possono raccogliere dati personali ai sensi del regolamento (CE) n. 45/2001 che, pur non essendo trattati in forma statistica, potrebbero tuttavia essere dati su persone identificabili (indirettamente, tramite codice o in quanto si menziona una quota molto ridotta di persone con caratteristiche specifiche). Inoltre è parimenti importante definire questa espressione poiché la raccomandazione prevede la possibilità di concedere agli enti di ricerca scientifica l’accesso a informazioni statistiche riservate che «non consentano l'identificazione diretta» (articolo 8, paragrafo 4) o, espresso in senso positivo, che comunque consentono un'identificazione indiretta.

9. Secondo il GEPD, l'espressione potrebbe essere intesa in modo simile a quello della proposta di regolamento sulle statistiche europee (in cui le informazioni statistiche sono definite come «tutte le diverse forme di statistiche, inclusi dati di base, indicatori, conti e metadati»). Tuttavia, nel caso della BCE, il concetto di informazioni statistiche dovrebbe limitarsi ai dati statistici su persone fisiche e giuridiche trattati nell'ambito di competenza della BCE. Il GEPD suggerisce di dare ulteriori precisazioni su questa espressione nei considerando.

Finalità

10. Secondo la relazione illustrativa della raccomandazione, l'attuale struttura della raccolta di informazioni statistiche è basata su un collegamento uno-ad-uno tra gli operatori soggetti agli obblighi di segnalazione (le persone fisiche e giuridiche soggette agli obblighi di segnalazione) e gli specifici tipi di statistiche (di cui all'articolo 2, paragrafo 2 del regolamento (CE) n. 2533/98). Secondo la BCE, questa struttura non è più efficace poiché i dati vengono sempre più frequentemente raccolti solo una volta e a molteplici fini statistici, al fine di ridurre al minimo l'onere di segnalazione. La BCE propone pertanto di ampliare la gamma delle finalità fornendo un elenco indicativo di tutte le finalità statistiche per le quali possono essere raccolte informazioni statistiche da parte degli operatori soggetti agli obblighi di segnalazione.

11. Il GEPD prende atto delle ragioni per cui è richiesto questo ampliamento del campo di applicazione, ma sottolinea che uno dei principi contenuti nel regolamento (CE) n. 45/2001 è la limitazione delle finalità. Questo principio afferma che i dati personali devono essere trattati a scopi

specifici, espliciti e legittimi e non devono subire ulteriori trattamenti incompatibili con tali scopi. Il principio di cui all'articolo 4, paragrafo 1, lettera b) è precisato ulteriormente come segue: «Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché il responsabile del trattamento fornisca garanzie appropriate, in particolare per assicurare che i dati non siano trattati per altri fini e non siano utilizzati a sostegno di misure o decisioni riguardanti persone specifiche».

12. Il GEPD riconosce, considerati i fatti descritti nella relazione illustrativa della raccomandazione, che la prassi corrente non è risultata conforme al regolamento (CE) n. 45/2001 in quanto i dati hanno subito un trattamento ulteriore per finalità non stabilite dal regolamento (CE) n. 2533/98. Anche creando un elenco «indicativo» di finalità che esulano dal quadro del regolamento (CE) n. 2533/98, il principio della limitazione delle finalità di cui al regolamento (CE) n. 45/2001 non sarebbe pienamente rispettato.

13. Tuttavia è stato sottolineato nelle osservazioni pervenute alla BCE su questo punto che il regolamento (CE) n. 2533/98 resta una specie di regolamento quadro generale che stabilisce gli operatori soggetti agli obblighi di segnalazione (la gamma di enti presso i quali la BCE può raccogliere dati per l'esecuzione dei suoi compiti). Per poter imporre effettivi obblighi di segnalazione ai soggetti dichiaranti, la BCE deve emanare un proprio atto giuridico specifico che definisca sia gli operatori segnalanti effettivi sia gli specifici obblighi di segnalazione.

14. Il GEPD ritiene che un'eventuale modifica apportata al regolamento su questo punto debba precisare in che misura i dati saranno trattati in futuro o almeno specificare più precisamente le finalità previste nell'ambito delle competenze della BCE. Pertanto il GEPD non si oppone all'ampliamento delle finalità per le quali si raccolgono informazioni statistiche, ma suggerisce di sopprimere ogni riferimento all'elaborazione di un elenco indicativo delle finalità.

Inoltre il testo potrebbe confermare che un atto giuridico della BCE che definisca gli operatori segnalanti effettivi e gli specifici obblighi di segnalazione non può andare al di là della limitazione delle finalità nell'ambito delle competenze specifiche della BCE.

15. A fini di chiarezza, inoltre, il GEPD non può accettare la spiegazione data dalla BCE nella relazione illustrativa della raccomandazione, secondo cui «l'informazione diventa informazione statistica se viene utilizzata nella compilazione delle statistiche, indipendentemente dalle finalità per cui era stata originariamente raccolta». Il principio della limitazione delle finalità non consente questa interpretazione. In effetti, i dati personali sono raccolti innanzi tutto per uno o più finalità specifiche e possono essere utilizzati ulteriormente per (altri) scopi statistici con garanzie appropriate [cfr. articolo 4, paragrafo 1, lettera b) del regolamento (CE) n. 45/2001 di cui al punto 11].

16. Infine, il GEPD rileva che la limitazione delle finalità è già sottolineata nella proposta di articolo 8, paragrafo 4, lettera a) secondo cui «(…) il SEBC utilizza informazioni statistiche riservate ad esso trasmesse esclusivamente per l’esercizio dei compiti del SEBC, ad eccezione delle seguenti circostanze:

a) se il soggetto dichiarante o l’altra persona giuridica, persona fisica, ente o filiale che può essere identificata, ha dato il proprio consenso esplicito all’uso di tali informazioni statistiche ad altri fini». Chiedendo il consenso esplicito all'ampliamento della finalità iniziale, la BCE riconosce che in linea di principio le finalità dovrebbero essere limitate.

Statistiche sui pagamenti

17. Inoltre, nell'elenco indicativo proposto delle finalità per le quali si possono raccogliere statistiche presso gli operatori soggetti agli obblighi di segnalazione, il GEPD ha rilevato che la raccomandazione (articolo 2, paragrafo 1) aggiunge il concetto di «statistiche sui pagamenti» alla finalità già esistente di «statistiche sui sistemi di pagamento». Questo significa che le statistiche da raccogliere copriranno dati su pagamenti individuali come parte delle statistiche sui sistemi di pagamento (cioè infrastrutture di pagamento).

Questa aggiunta delle statistiche sui pagamenti rende più che mai necessario assicurare il rispetto delle norme in materia di protezione dei dati.

18. Benché a quanto si può capire l'articolo 105, paragrafo 2 del trattato CE assegni al SEBC il mandato di promuovere il regolare funzionamento dei sistemi di pagamento e in questo contesto possa essere necessaria per l'elaborazione delle politiche della BCE un'ampia serie di informazioni sia sulle infrastrutture di pagamento che sui pagamenti effettuati tramite tali infrastrutture, questo mandato dovrebbe limitarsi a quanto strettamente necessario per elaborare le politiche della BCE e non dovrebbe consentire la raccolta di informazioni finanziarie relative a persone fisiche identificabili (direttamente o indirettamente). Anche se il GEPD può capire l'importanza di raccogliere informazioni sui pagamenti stessi, ad esempio i dati sui pagamenti via carta di credito per analisi congiunturali o a fini relativi alla bilancia dei pagamenti, bisogna sottolineare che i dati sulle carte di credito, siano essi raccolti direttamente dalla persona fisica o dalle società di gestione di carte di credito e/o dai gestori di sistemi di pagamento su base aggregata, possono ancora contenere informazioni personali su persone fisiche.

19. Tuttavia, se in casi specifici vi fossero motivi per trattare tali statistiche sui pagamenti, la BCE si è dichiarata pronta ad attenersi al quadro giuridico applicabile in materia di protezione dei dati. Tale quadro prevede l'obbligo di accertare la necessità del trattamento e di assicurare che siano adottate misure di sicurezza.

Operatori segnalanti

20. Analogamente alla Commissione nel suo parere sulla raccomandazione ⁽⁷⁾, il GEPD riconosce la necessità affermata dalla BCE nella raccomandazione di modificare la categoria degli operatori soggetti agli obblighi di segnalazione. La ragione addotta dalla BCE è che i mercati finanziari sono

sempre più complessi e presentano interrelazioni in crescita continua tra le operazioni finanziarie e le posizioni di bilancio di diversi tipi di intermediari finanziari, quali le istituzioni finanziarie monetarie, le imprese di assicurazione e le società veicolo finanziarie.

21. Ciò a sua volta può comportare che la BCE necessiti di statistiche comparabili, frequenti e tempestive per tali sottosettori, in modo che possa continuare a svolgere i propri compiti. Tuttavia, la conseguenza sarà che tale modifica della categoria degli operatori soggetti agli obblighi di segnalazione aumenterà la raccolta di informazioni da parte dei vari operatori implicati nel SEBC. Il GEPD prende atto che per evitare la raccolta di dati non necessari la BCE intende assicurare che raccoglierà le informazioni statistiche necessarie solo se il vantaggio che ne risulta è superiore ai costi e se tali informazioni non sono ancora state raccolte da altri soggetti.

Scambio di informazioni riservate

23. La raccomandazione modifica l'articolo 3 del regolamento (CE) n. 2533/98 menzionando vari principi statistici, tra i quali quello del segreto statistico. Inoltre modifica l'articolo 8 per quanto riguarda il regime di riservatezza stabilito. L'idea è di riflettere il contenuto della proposta di regolamento sulle statistiche europee. Come già sottolineato in questo testo, è necessario introdurre maggiore flessibilità nelle norme esistenti in materia di segreto statistico tra il sistema statistico europeo (SSE) e il SEBC. Il nuovo regime proposto introdotto dalla raccomandazione riafferma questa necessità stabilendo che per assicurare uno scambio efficace delle necessarie informazioni statistiche il quadro giuridico dovrebbe prevedere che una siffatta trasmissione possa avvenire purché sia necessaria ai fini dell'efficace sviluppo, produzione o diffusione della statistiche europee.

24. Il GEPD ha già avuto l'occasione di precisare la sua posizione riguardo alla trasmissione di tali dati riservati tra l'SSE e il SEBC ⁽⁸⁾. Il GEPD ha ritenuto che i trasferimenti di tali dati tra Eurostat e la BCE siano conformi alle condizioni di necessità previste all'articolo 7 del regolamento (CE) n. 45/2001. Alla luce degli emendamenti proposti, il GEPD conferma che un simile trasferimento sarebbe possibile ma solo per finalità statistiche e garantendo protezione dalla divulgazione illecita. Questo aspetto potrebbe essere ulteriormente sottolineato nella modifica del regolamento (CE) n. 2533/98. Il paragrafo 3 dell'articolo 8 contiene già alcune misure, ma il GEPD suggerisce di aggiungere ad esempio che i soggetti dichiaranti siano informati che l'ulteriore trasmissione avverrà solo per finalità statistiche e che alle persone che ricevono tali informazioni statistiche sia ricordato l'aspetto riservato di tali informazioni.

Accesso ad informazioni statistiche riservate non direttamente identificabili a fini di ricerca

25. Il GEPD prende atto che l'approccio adottato dalla BCE riguardo all'accesso alle informazioni statistiche riservate non direttamente identificabili a fini di ricerca consiste nel concedere l'accesso mantenendo garanzie rigorose di riservatezza. Il paragrafo 4 dell'articolo 8 prevede il previo esplicito consenso dell’autorità che ha fornito l’informazione.

26. Nel contesto del trattamento di informazioni statistiche riservate non direttamente identificabili, il GEPD intende sottolineare che la definizione di dati personali di cui all'articolo 2, lettera a) della direttiva 95/46/CE è la seguente: «dati personali: qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale».

27. Inoltre, come è stato analizzato dal GEPD nel suo parere sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo alle statistiche comunitarie sulla sanità pubblica e sulla salute e sicurezza sul luogo di lavoro ⁽⁹⁾, l'identificabilità indiretta è connessa al concetto di anonimato da un punto di vista statistico. Benché dal punto di vista della protezione dei dati il concetto di anonimato riguardi dati non più identificabili (v. considerando 26 della direttiva 95/46/CE), da un punto di vista statistico i dati anonimi sono quelli che non possono essere identificati direttamente.

28. Questa definizione implica pertanto che l'identificazione indiretta di informazioni statistiche rimarrebbe possibile e che il trattamento dovrebbe comunque rispettare il regolamento (CE) n. 45/2001. Al riguardo, l'articolo 4, paragrafo 1, lettera e) del regolamento recita: «i dati personali devono essere conservati in modo da consentire l’identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti o successivamente trattati. L'istituzione o l'organismo comunitario prevede, per i dati personali che devono essere conservati oltre il suddetto arco di tempo per scopi storici, statistici o scientifici, che siano conservati esclusivamente in una forma che li renda anonimi oppure, laddove non sia possibile, che siano conservati soltanto a condizione che l'identità dell'interessato sia criptata. I dati

non devono in alcun caso essere utilizzati per scopi diversi da quelli storici, statistici o scientifici.»

29. Di conseguenza, nel caso di un siffatto accesso a fini di ricerca, il GEPD ritiene che le informazioni statistiche debbano essere fornite in modo tale da non consentire l'identificazione né diretta né indiretta del soggetto dichiarante, tenendo conto di tutti i mezzi pertinenti che potrebbero

ragionevolmente essere utilizzati da terzi.

III. CONCLUSIONE

30. Il GEPD prende atto della volontà di migliorare lo scambio di informazioni statistiche tra l'SSE e il SEBC e l'accesso a fini di ricerca. Per quanto sia auspicabile che tale scambio ed accesso possano avvenire assicurando rigorosamente la riservatezza dei dati, sono necessarie alcune precisazioni riguardo alla terminologia usata e ai concetti connessi con lo scambio e l'accesso.

31. Il GEPD formula le seguenti osservazioni sulla raccomandazione presentata e sulla futura modifica del regolamento (CE) n. 2533/98:

— si dovrebbe precisare ulteriormente nei considerando del regolamento l'espressione «informazioni statistiche», poiché il concetto di informazioni statistiche nel contesto del regolamento (CE) n. 2533/98 dovrebbe limitarsi alle statistiche su persone fisiche e giuridiche trattate nell'ambito di competenza della BCE,

— il GEPD non si oppone all'ampliamento delle finalità ma è contrario a un elenco delle finalità di carattere indicativo e non sufficientemente specificato,

— bisognerebbe garantire che il quadro della protezione dei dati sia pienamente applicato in caso di raccolta di statistiche sui pagamenti. La raccolta di informazioni finanziarie su persone fisiche identificabili (direttamente o indirettamente) non dovrebbe di norma essere consentita, a meno che non sia chiaramente dimostrata la necessità del trattamento e non siano applicate misure di sicurezza,

— si dovrebbe sviluppare una collaborazione più approfondita tra l'SSE e la BCE al fine di assicurare il rispetto del principio della qualità dei dati nonché del principio di ridurli al minimo,

— si dovrebbe garantire che l'accesso ad informazioni statistiche a fini di ricerca sia dato in modo tale da non consentire l'identificazione né diretta né indiretta del soggetto dichiarante, tenendo conto di tutti i mezzi pertinenti che potrebbero ragionevolmente essere utilizzati da terzi.

Fatto a Bruxelles, addì 8 aprile 2009.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

(1) GU L 318 del 27.11.1998, pag. 8.

(2) GU C 251 del 3.10.2008, pag. 1.

(3) La procedura per l'adozione di tali emendamenti è basata sull'articolo 107, paragrafo 6 del trattato che istituisce la Comunità europea e successivamente sull'articolo 5, paragrafo 4 e sull'articolo 41 dello statuto del Sistema europeo di banche centrali e della Banca centrale europea.

(4) Il Consiglio ha inoltre consultato il 13 ottobre 2008 la Commissione europea, che ha presentato il suo parere il 13 gennaio 2009, doc. COM(2008) 898 definitivo.

(5) COM(2007) 625 def. del 16.10.2007.

(6) GU C 308 del 3.12.2008, pag. 1.

(7) Parere della Commisione del 13 gennaio 2009, COM(2008) 898 def.22. Tuttavia, onde assicurare il rispetto del principio della qualità dei dati nonché quello di ridurli al minimo, il GEPD

ritiene che sia opportuno istituire una procedura specifica per garantire che le informazioni non siano già state raccolte da altri soggetti. La BCE ha confermato che sono in corso discussioni tra l'SSE (Eurostat) e la BCE per sviluppare procedure intese a promuovere ulteriormente la cooperazione e la minimizzazione dell'onere di segnalazione. Il GEPD ritiene che tale cooperazione debba essere sviluppata ulteriormente.

(8) Cfr. punto 27 del parere del garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo alle statistiche europee [COM(2007) 625 definitivo].

(9) GU C 295 del 7.12.2007, pag. 1; cfr. punti 14-18.