Sintesi del parere del Garante europeo della protezione dei datisulla raccomandazione della Commissione sui preparativi per l'introduzione deisistemi di misurazione intelligenti

(Il testo completodel presente parere è reperibile in EN, FR e DE sul sito web del GEPDhttp://www.edps.europa.eu)

(Pubblicato sulla GUUE n. C 335 del 1/11/2012)

1. Introduzione

1.1. Consultazione del GEPD

1. Il 9 marzo 2012 la Commissione ha adottatouna raccomandazione sui preparativi per l'introduzione dei sistemi dimisurazione intelligenti (in prosieguo ´la raccomandazioneª) ⁽¹⁾. Il documento è stato trasmesso al GEPD per consultazione il 19marzo 2012.

2. Prima dell'adozione dellaraccomandazione, il GEPD ha avuto l'opportunità di esprimere osservazioniinformali, alcune delle quali sono state prese in considerazione nellaraccomandazione. Di conseguenza, le salvaguardie per la protezione dei daticontenute nella raccomandazione sono state rafforzate.

3. Il GEPD si compiace di essere statoconsultato formalmente dalla Commissione e del fatto che, nel preambolo dellaraccomandazione, sia stato inserito un riferimento al presente parere.

1.2. Obiettivi e contesto dellaraccomandazione

4.      L'obiettivodella raccomandazione consiste nell'offrire agli Stati membri alcuni orientamentisulla preparazione all'introduzione dei sistemi di misurazione intelligenti ⁽²⁾ in Europa. L'introduzione è prevista per il 2020 sia per ilmercato dell'elettricità, sia per quello del gas ed è soggetta a unavalutazione economica dei costi e dei benefici, che deve essere effettuata daciascuno Stato membro entro il 3 settembre 2012 ⁽³⁾.

5. Una parte importante della raccomandazione(sezione I) èd edicata alla protezione dei dati. L'aspetto rilevante è che laraccomandazione richiede la messa a punto di un modello per una valutazioned'impatto sulla protezione dei dati ⁽⁴⁾ (in prosieguo ´il modelloª) e la sua presentazione al Gruppo dilavoro articolo 29 per la protezione dei dati (Article 29 Data ProtectionWorking Party; in prosieguo ´WP29ª) per la formulazione di un parere entrododici mesi dalla pubblicazione della raccomandazione ⁽⁵⁾.

6. La prima bozza del modello èattualmente in fase di elaborazione a cura del Gruppo di esperti n. 2 dellatask force della Commissione per le reti intelligenti. La task force è stataistituita dalla Commissione prima dell'adozione della raccomandazione, conl'intento di fornire consulenza sulle questioni inerenti alla retiintelligenti. Uno dei sottogruppi della task force, il gruppo di esperti n. 2,si concentra sugli aspetti legati alla sicurezza e alla protezione dei dati. Ilgruppo è composto principalmente da rappresentanti dell'industria (con alcunirappresentanti della società civile e delle associazioni di consumatori) ⁽⁶⁾.

7.      LaCommissione segue un approccio giuridico non vincolante che associa i) unaraccomandazione della Commissione riguardante, tra l'altro, la protezione deidati a ii) ulteriori orientamenti per gli Stati membri sotto forma di unmodello per la valutazione d'impatto sulla protezione dei dati, che deve essereapplicato facoltativamente dai partecipanti del settore industriale.L'approccio si basa sull'esperienza acquisita nell'ambito dell'elaborazione edella revisione, seguendo le osservazioni del WP29, della ´Propostadell'industria relativa a un quadro per la realizzazione di valutazioni diimpatto sulla protezione della vita privata e dei dati per le applicazioniRFIDª ⁽⁷⁾. La Commissione, tuttavia, nonha escluso l'esigenza di un'azione legislativa a livello nazionale e/o europeo ⁽⁸⁾.

1.3. Obiettivi, messaggi principali estruttura del parere del GEPD

8. Pur essendo stato adottato in rispostaalla raccomandazione della Commissione, il presente parere del GEPD non silimita strettamente al contenuto di detto documento, dal momento chel'introduzione della misurazione intelligente presenta degli aspetti importantiper la protezione dei dati che non sono stati pienamente affrontati dallaraccomandazione. In questo contesto, il GEPD richiama altresì le proprie osservazioniformali espresse in merito alla proposta sull'efficienza energetica ⁽⁹⁾.

9. Il parere del GEPD contiene tre obiettivie messaggi principali:

— in primo luogo, il parerevaluta la raccomandazione, la accoglie favorevolmente come passo iniziale, nesottolinea i risultati, criticandone tuttavia anche le carenze, tra cuil'insufficiente specificità,

— in secondo luogo, il GEPD,pur deplorando che la raccomandazione non abbia fornito un orientamento piùspecifico e pratico sulla protezione dei dati, ritiene che sia ancora possibileoffrire delle linee guida nel modello della valutazione d'impatto sullaprotezione dei dati, attualmente in fase di elaborazione. Pertanto, il parereformula una serie di raccomandazioni mirate sul modello,

— in terzo luogo, il parereinvita la Commissione a valutare se, al di là dell'adozione dellaraccomandazione e del modello, occorre un'ulteriore azione legislativa alivello di Unione e fornisce una serie di raccomandazioni mirate per unapossibile azione.

10. Alla luce dei suddetti obiettivi,il parere è strutturato come segue:

— la sezione 2 contiene unabreve introduzione ai concetti di misuratori intelligenti e reti intelligenti eillustra le preoccupazioni che essi suscitano sotto il profilo della protezionedei dati,

— la sezione 3 offreosservazioni generali sull'approccio seguito dalla Commissione nellaraccomandazione, discute della necessità di un'ulteriore azione legislativa eformula raccomandazioni per una possibile azione legislativa,

— la sezione 4 delinea alcunequestioni chiave che — ad avviso del GEPD — avrebbero dovuto essereaffrontate più specificamente nella raccomandazione. Alcune di questeraccomandazioni possono anche fungere da guida per i legislatori nazionali edeuropei nella valutazione di un'ulteriore azione regolamentare o legislativa.Altre questioni possono essere affrontate nel modello della valutazioned'impatto sulla protezione dei dati, attualmente in fase di elaborazione,

— la sezione 5 fornisce alcuneraccomandazioni mirate circa la metodologia della valutazione d'impatto sullaprotezione dei dati e il contenuto del modello da elaborare. Taliraccomandazioni dovrebbero essere lette congiuntamente alla sezione 4.

6. Conclusioni

68.    L'introduzionedi sistemi di misurazione intelligenti a livello europeo può determinareconsiderevoli vantaggi, ma può anche comportare notevoli rischi per laprotezione dei dati personali. Essa consente una raccolta massiccia dei datipersonali delle famiglie europee e può implicare il controllo sulla vitaprivata dei membri di una famiglia. Alla luce di questi rischi, il GEPD si compiacedegli sforzi compiuti dalla Commissione nella raccomandazione, volti ad offrireorientamenti agli Stati membri sulle misure da adottare per garantire che isistemi di misurazione intelligenti e le reti intelligenti siano progettati eattuati nel rispetto di adeguate salvaguardie per la protezione dei dati.

69.    Il GEPDapprezza gli sforzi della Commissione concernenti l'utilizzo di nuove nozioni proposte,quali la protezione dei dati fin dalla progettazione e strumenti pratici comele valutazioni d'impatto sulla protezione dei dati e le notifiche delleviolazioni della sicurezza. In particolare, esso appoggia il piano dellaCommissione relativo alla realizzazione di un modello per la valutazioned'impatto sulla protezione dei dati e alla sua presentazione al WP29 per laformulazione di un parere.

70. Il GEPD deplora il fatto che la raccomandazionenon abbia fornito orientamenti più pratici e specifici sulla protezione deidati. Tuttavia, ritiene che sia ancora possibile fornire alcuni orientamentinel modello attualmente in fase di elaborazione. Pertanto, il parere offreraccomandazioni sul modello e sottolinea la necessità che quest'ultimo forniscaorientamenti pratici e specifici: una raccolta delle migliori prassi e delle´migliori tecniche disponibiliª. » fondamentale, inoltre, che il modello seguauna solida metodologia e che, tra l'altro, associ chiaramente a ciascun rischioun controllo adeguato.

71.    Il parereinvita altresì la Commissione a valutare la necessità di un'ulteriore azionelegislativa a livello di UE e formula raccomandazioni per una possibile azionelegislativa di questo tipo. Alcune di tali raccomandazioni possono già essereapplicate attraverso un emendamento alla direttiva sull'efficienza energetica,attualmente pendente dinanzi al Consiglio e al Parlamento. Esse dovrebberoincludere almeno l'obbligo per i responsabili del trattamento di effettuare unavalutazione d'impatto sulla protezione dei dati, nonché l'obbligo di notificarele violazioni dei dati personali (sezione 4.7).

72. Inoltre, il GEPD raccomanda:

— ulteriori orientamenti sulfondamento giuridico del trattamento e sulla scelta a disposizione degliinteressati: in particolare, una chiara distinzione tra gli obiettivi per iquali i dati sull'uso dell'energia possono essere trattati senza il consensodel cliente e quelli per i quali si richiede tale consenso (sezione 4.2),

— applicazione obbligatoria di´PETª e altre ´migliori tecniche disponibiliª per ridurre al minimo i dati(sezione 4.3),

— chiarimento dei ruoli e delleresponsabilità dei vari attori dal punto di vista della protezione dei dati(sezione 4.4),

— maggiori orientamenti suiperiodi di conservazione; in linea di principio, la conservazione dei dati agrana fine sui consumi delle singole famiglie dovrebbe essere ammessa fino allaconclusione del periodo entro il quale la fattura può essere legittimamentecontestata o il pagamento richiesto e solo al livello di granularità necessarioa fini di fatturazione (fatto salvo il diritto del consumatore a unaconservazione più lunga basata sul consenso, ad esempio per ottenere consiglimirati sull'energia) (sezione 4.5),

— accesso diretto deiconsumatori ai loro dati relativi all'uso di energia e metodi efficaci perinformare gli interessati del trattamento dei propri dati; tali informazionidovrebbero comprendere, in caso di estrapolazione dei dati, la diffusione diprofili individuali e la logica degli algoritmi utilizzati per le estrapolazioni;inoltre, dovrebbero essere fornite informazioni complete sull'esistenza diqualsiasi funzionalità remota on/off (sezione 4.6).

Fatto a Bruxelles, l'8 giugno 2012

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

NOTE                                      

(1) CE(2012)1342 final.

(2) Per unabreve introduzione ai misuratori intelligenti e alle reti intelligenti cfr. lasezione 2.1 sottostante.

(3)L'introduzione e l'analisi costi-benefici sono richieste dalla i) direttiva2009/72/CE relativa a norme comuni per il mercato interno dell'energia elettricae che abroga la direttiva 2003/54/CE (GU L 211 del 14.8.2009, pag. 55), e dallaii) direttiva 2009/73/CE relativa a norme comuni per il mercato interno del gasnaturale (GU L 211 del 14.8.2009, pag. 94). La proposta della Commissione didirettiva sull'efficienza energetica [COM(2011) 370 def.] (´propostasull'efficienza energeticaª), attualmente pendente dinanzi ai legislatori,comprende ulteriori disposizioni sulla misurazione intelligente.

(4) Per quantoriguarda le valutazioni d'impatto sulla protezione dei dati, va osservato chela proposta della Commissione per un quadro generale rivisto sulla protezionedei dati prevede l'obbligatorietà delle valutazioni d'impatto sulla protezionedei dati in alcune situazioni e la fornitura di ulteriori orientamenti sullamodalità di esecuzione di una simile valutazione. Cfr. l'articolo 33 dellaproposta della Commissione di regolamento concernente la tutela delle personefisiche con riguardo al trattamento dei dati personali e la libera circolazionedi tali dati [COM(2012) 11 final]. Cfr., altresì, i paragrafi 200-205 delparere del GEPD del 7 marzo 2012 sul pacchetto di riforma della protezione deidati, disponibile all'indirizzohttp://www.edps.europa.eu/EDPSWEB/edps/Consultation/Reform_package;jsessionid=46ACCFDB9005EB950DF9C7D58BDE5377

(5) Cfr. ilparagrafo 5 della raccomandazione.

(6) Ulterioriinformazioni sull'attività della task force e del Gruppo di esperti n. 2 sonodisponibili sul sito web della task force all'indirizzohttp://ec.europa.eu/energy/gas_electricity/smartgrids/taskforce_en.htm

(7) Cfr.http://ec.europa.eu/information_society/policy/rfid/documents/infso-2011-00068.pdfe http://cordis.europa.eu/fp7/ict/enet/documents/rfid-pia-framework-a29wp-opinion-11-02-2011_en.pdf

(8) Si osservache attualmente non è stata effettuata una valutazione dell'efficacia di questoapproccio giuridico non vincolante per il settore RFID, né sono disponibiliinformazioni generali sull'efficacia di detto approccio.

(9) Lettera delGEPD del 27 ottobre 2011 a G¸nther H. Oettinger, Commissario per l'energia,sulla proposta di direttiva del Parlamento europeo e del Consigliosull'efficienza energetica e che abroga le direttive 2004/8/CE e 2006/32/CE,reperibile all'indirizzo http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/2011/11-10-27_Letter_Oettinger_EN.pdf