(Il testo completodel presente parere reperibile in EN, FR e DE sul sito web del GEPDhttp://www.edps.europa.eu)
1. Introduzione 1.1. Contesto 1. Il 18 novembre 2011 la Commissioneha adottato il regolamento (UE) n. 1193/2011 della Commissione che istituisceun registro dellĠUnione per il periodo di scambio avente inizio il 1 2. Giprima dellĠadozione del regolamento, il GEPD ha avuto lĠopportunit diformulare osservazioni informali. Alcune di esse sono state prese inconsiderazione nel regolamento e il GEPD rileva che, di conseguenza, lesalvaguardie per la protezione dei dati sono state rafforzate. 3.IlGEPDsicompiacediesserestatoconsultatoformalmentedallaCommissioneedelfattoche,nelpreambolo dello strumento adottato, sia stato inserito un riferimento alpresente parere. 1.2. Obiettivi e portata delregolamento 4. Ilsistema per lo scambio di quote di emissioni dellĠUnione (ÇETSÈ) una dellepolitiche introdotte nellĠUnione europea (ÇUEÈ) per contribuire alconseguimento degli obiettivi concernenti la riduzione delle emissioni di gas aeffetto serra dellĠUE nellĠambito del protocollo di Kyoto. LĠETS attua unregime di conformit per gli operatori e mira a garantire unĠeffettiva riduzionedelle emissioni allĠinterno dellĠUE ( 5. Il regolamento modifica e sostituir,a partire dal 1Ħ gennaio 2013,i precedenti regolamenti della Commissione in materia, in particolare iregolamenti della Commissione (CE) n. 2216/2004 e (UE) n. 920/2010 ( 6. Una delle novit pi importanti introdottedal regolamento lĠistituzione, a partire dal 2012, di un registro centraledellĠUnione in sostituzione del precedente sistema di combinazione di registrinazionali. 7. Il registro dellĠUnione e ilcosiddetto catalogo delle operazioni dellĠUnione europea (o ÇEUTLÈ), gioperativo a livello dellĠUE, sono due sottosistemi ospitati e gestiti dallaCommissione europea. Pur avendo due funzioni diverse, essi sono complementari. 8. Il registro dellĠUnione contiene iconti delle parti che interagiscono nellĠETS (ad esempio conti di deposito delgestore, conti di deposito dellĠoperatore aereo, conti di scambio, contidĠasta) e registra le operazioni realizzate fra i conti. Il registrodellĠUnione, quindi, un registro elettronico centrale a livello di UE volto asupportare lo scambio di emissioni effettuato dai titolati di conti tra idiversi Stati membri e al loro interno. 9. LĠEUTL, a sua volta, registra gli attidi rilascio, trasferimento e cancellazione delle quote di emissioni di CO
2. Obiettivi e struttura del pareredel GEPD 10. Pur non essendo il suo obiettivoprecipuo, il regolamento impone il trattamento dei dati personali, checomprendono informazioni sul casellario giudiziario e su attivit criminosesospette. Tali dati sono trattati al fine di garantire che i conti non venganousati illegalmente per attivit criminose. 11. I dati personali possono riguardarele persone che agiscono a nome dei titolari di conti, come i ÇdirettoriÈ e irappresentanti autorizzati. Inoltre, gli stessi titolari dei conti possonoessere persone fisiche. In tal caso, anche i loro dati personali possono esseretrattati. In aggiunta, sono raccolti alcuni dati anche sui beneficiari deititolari di conti, che possono essere anche persone fisiche ( 12. Alla luce deidati personali — spesso sensibili — da trattare ai sensi delregolamento, il GEPD raccomanda che nel regolamento vengano stabilitesalvaguardie adeguate per la protezione dei dati. 13. Considerandoche il regolamento gi stato adottato, lĠobiettivo primario del presenteparere consiste nel contribuire a garantire che le raccomandazioni del GEPD venganoprese in considerazione quando il regolamento sar sottoposto a modifica, ilche previsto per la fine del 2012. 14. Inoltre, leraccomandazioni fornite nel presente parere possono anche fungere da guida perla Commissione e gli amministratori nazionali nellĠattuare, a livello pratico,le salvaguardie necessarie per la protezione dei dati. Per ulteriori dettaglisullĠattuazione pratica cfr. i paragrafi 41-43 in cui si richiedelĠelaborazione di una politica generale sulla protezione dei dati, il paragrafo36 per quanto riguarda altre misure pratiche come lĠinserimento di men diaiuto e messaggi di avviso nel registro dellĠUnione, nonch la fornitura dimateriale di formazione, e il paragrafo 40 sulla documentazione di sistema e lapubblicazione di informazioni sul sito web del registro dellĠUnione. 15. La sezione 3 del presente parere indicabrevemente quali dati personali devono essere trattati ai sensi delregolamento, incentrandosi sui dati sensibili. Tale descrizione necessaria alfine di contestualizzare le raccomandazioni fornite nelle sezioni 4-12 delpresente parere. La sezione 4 invita a fornire ulteriori chiarimenti sui datipersonali da trattare ai sensi del regolamento, i soggetti responsabili di taleoperazione e il luogo di conservazione dei dati, incentrandosi ancora una voltasui dati sensibili. Le sezioni 5-12 contengono le raccomandazioni residue delGEPD, mentre la sezione 13 delinea le sue conclusioni.
13. Conclusioni 77. Il GEPD raccomanda che il regolamento,quando sar oggetto di modifica, prevista per la fine del 2012: — chiarisca ulteriormente qualidati personali debbano essere trattati ai sensi del regolamento e quali, traquesti dati, sono conservati e trattati nel registro dellĠUnione e nellĠEUTL.Il GEPD gradirebbe, in particolare, lĠinserimento di una disposizione generalenel regolamento secondo la quale nessuna categoria particolare di datipersonali sar registrata nellĠEUTL e nel registro dellĠUnione (sezione 4), — stabilisca chiaramente selĠamministratore centrale far parte della Commissione europea, sar unĠaltraistituzione/agenzia/un altro organo dellĠUE o un ente organizzato secondo lenorme di uno degli Stati membri (sezione 5), — richieda lĠadozione di unapolitica sulla protezione dei dati per assegnare compiti e responsabilit(sezione 6), — definisca pi specificamentegli scopi per i quali consentito lĠaccesso ai dati da parte di terzi, tra cuiEuropol, e fornisca salvaguardie adeguate per lĠanonimizzazione in caso diestrapolazione di dati (sezione 7), — vieti la pubblicazione didati sensibili (sezione 8), — sia modificato relativamenteai periodi di conservazione per garantire che i requisiti per la conservazionedei dati sono conformi alla normativa dellĠUE sulla protezione dei dati(sezione 9), — garantisca agli interessatilĠofferta di una comunicazione adeguata sul loro inserimento in una lista nera,nonch sullĠesistenza di un meccanismo idoneo a garantire diritti dĠaccessodegli interessati, e assicuri che le informazioni contenute nella lista nerasiano accurate e aggiornate, oltre a garantire adeguati periodi di conservazione,limiti allĠaccesso e limiti agli scopi di utilizzo della lista nera (sezione10), — vieti i trasferimenti di datipersonali sensibili al di fuori dellĠUnione europea, in particolare al catalogointernazionale delle operazioni (sezione 11), e — fornisca ulteriorichiarimenti sulla sicurezza e la responsabilit (audit) (sezione 12). 78. Inaggiunta, il GEPD raccomanda chela Commissione e gli Stati membri tengano conto delle sue osservazioni in sededi attuazione, a livello pratico, delle necessarie salvaguardie per laprotezione dei dati. Questo pu includere lĠadozione di una politica sullaprotezione dei dati, la fornitura di informazioni sul sito web del registrodellĠUnione, altre misure pratiche come lĠinserimento di men di aiuto emessaggi di avviso nel registro dellĠUnione e la fornitura di materiale diformazione. Fatto a Bruxelles, lĠ11 maggio 2012 Giovanni BUTTARELLI Garante europeo aggiunto dellaprotezione dei dati
( ( ( (
|