CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

1. Aspetti generali

E' importante operare una distinzione chiara tra accesso ai dati personali ai sensi della direttiva sulla protezione dei dati e accesso ai documenti del settore pubblico a norma delle leggi riguardanti la libertà d'informazione e la comunicazione di informazioni del settore pubblico contenenti dati personali destinati al riutilizzo.

Se da un lato la direttiva sulla protezione dei dati garantisce il diritto di accesso da parte della persona interessata ai propri dati personali in qualità di diritto fondamentale alla tutela dei dati, dall'altro le leggi sulla libertà d'informazione mirano a garantire la trasparenza, l'apertura e la responsabilità nei confronti dei cittadini, che di conseguenza non sono tenuti a giustificare le proprie richieste di informazione. Generalmente i dati richiesti sono utilizzati a fini personali e non commerciali. La direttiva sulla protezione dei dati riconosce che questo principio di accesso del pubblico ai documenti può essere preso in considerazione nell'attuazione dei principi di tutela dei dati⁶. In questo caso il legislatore ha stabilito un obbligo generale di comunicazione delle informazioni, soggetto a particolari condizioni ed eccezioni come, ad esempio, quelle riguardanti la riservatezza.

Quindi non è necessario tenere conto del fine del riutilizzo dei dati. Va ricordato che la direttiva relativa al riutilizzo delle informazioni del settore pubblico si basa sui regimi d'accesso esistenti negli Stati membri e non cambia pertanto le norme nazionali di accesso ai documenti. Essa non si applica nei casi in cui i cittadini o le imprese, in forza del regime di accesso pertinente, possono ottenere un documento solo se possono provare un particolare interesse⁷.

A differenza dei due casi soprammenzionati, il riutilizzo dei dati personali a norma della direttiva sul riutilizzo è considerato un input per le attività commerciali e rappresenta quindi un vantaggio economico per le imprese. Quest'ultimo non comprende né l'aspetto dei diritti umani né quello della trasparenza.

Tale distinzione, sebbene sia talvolta difficile da applicare alla prassi, potrebbe avere conseguenze per l'applicazione dei principi stabiliti dalla direttiva sulla protezione dei dati.

Nel presente documento si presentano alcune linee guida riguardanti solo quest'ultimo caso, vale a dire l'accesso ai dati personali per i fini del riutilizzo.

2. Il quadro della protezione dei dati

In questa parte si prende in considerazione il quadro di protezione dei dati applicabile e che gli enti pubblici devono rispettare nel caso di richiesta di dati personali destinati al riutilizzo.

La direttiva sulla protezione dei dati si applica in questo contesto solo se le informazioni in possesso di enti pubblici contengono dati personali. Vista l'ampia definizione stabilita dalla direttiva⁸, molti documenti del settore pubblico possono comprendere dati personali. I dati destinati al riutilizzo citati come esempi dalla direttiva proposta sono di natura geografica o economica, informazioni sul traffico oppure dati statistici aggregati.

Le informazioni del settore pubblico contenenti dati personali possono trovarsi, ad esempio, nei registri anagrafici, delle imprese, dei veicoli, di credito, nonché nei dati medici, occupazionali o previdenziali. Al fine di evitare la comunicazione di dati personali, i dati comunicati per il riutilizzo vanno resi anonimi in modo da non consentire più l'identificazione delle persone interessate.

Il gruppo di lavoro ricorda che la direttiva sulla protezione dei dati si applica ai dati personali disponibili al pubblico⁹.

Dal punto di vista della direttiva sulla protezione dei dati, la comunicazione a terzi di dati personali raccolti e in possesso degli enti pubblici è considerata come trattamento di dati personali, poiché la definizione di trattamento include la comunicazione mediante trasmissione; quindi vanno rispettate le condizioni materiali che disciplinano il trattamento dei dati personali.

Si noti che il riutilizzo può essere la conseguenza di una richiesta specifica ad un'autorità pubblica di comunicare particolari informazioni, il risultato di un contratto oppure dell'utilizzo di informazioni disponibili al pubblico o accessibili su internet, ad esempio nel caso dei registri pubblici. In quest'ultimo caso il gruppo di lavoro ribadisce la necessità di prevedere misure tecniche di salvaguardia che garantiscono un accesso limitato o strutturato in modo da evitare il trattamento illegale dei dati, ad esempio trasferimenti massicci di dati per via informatica (download). La direttiva sulla protezione dei dati dispone che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete (articolo 17 della direttiva).

Le disposizioni concrete imposte dalla direttiva sulla protezione dei dati sono stabilite dall'articolo 7 e, nel caso dei dati di natura delicata, dall'articolo 8, nonché dai principi relativi alla qualità dei dati di cui all'articolo 6. E' importante ricordare che gli articoli 7, 8 e 6 sono complementari e che tutte le disposizioni vanno rispettate.

(a) Legittimazione della comunicazione al pubblico (articolo 7 della direttiva sulla protezione dei dati)

Il trattamento di dati personali che consiste nella comunicazione di tali dati su richiesta deve essere conforme alle disposizioni di cui all'elenco stabilito dall'articolo 7 della direttiva sulla protezione dei dati. Le seguenti condizioni sono pertinenti.

E' importante ribadire che la direttiva sul riutilizzo dei dati non può essere citata come obbligo normativo, in quanto la direttiva non istituisce l'obbligo di comunicare informazioni personali: essa indica esplicitamente che non pregiudica la direttiva sulla protezione dei dati e nel considerando n. 9 stabilisce che "la presente direttiva non prescrive l'obbligo di consentire il riutilizzo di documenti". La decisione di autorizzare o no il riutilizzo spetta agli Stati membri o all'ente pubblico interessato. Sono pertanto gli Stati membri a determinare i casi in cui gli enti pubblici siano obbligati a comunicare dati personali.

Un'altra condizione che è difficile distinguere dall'obbligo legale e che si sovrappone ad esso riguarda il trattamento di dati necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati¹⁰. Tale distinzione è tuttavia pertinente, poiché nel caso dell'obbligo legale è responsabilità del legislatore valutare la compatibilità prima di stabilire l'obbligo. Quando il trattamento dei dati è considerato necessario per l'esecuzione di un compito di interesse pubblico, spetta invece all'ente pubblico valutare la richiesta. Rimane di conseguenza un certo margine discrezionale. (dd) La clausola generale che consente il trattamento dei dati se è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento, cioè l'ente pubblico o il terzo a cui vengono divulgati I dati, richiede una valutazione caso per caso del diritto delle persone interessate alla riservatezza e degli interessi legittimi del responsabile del trattamento o dei terzi che desiderano riutilizzare i dati personali.

(b) La tutela particolare dei dati di natura delicata (articolo 8)

La direttiva sulla protezione dei dati prevede disposizioni speciali per i dati personali di natura delicata¹¹ che proibiscono il trattamento di tali dati e forniscono un elenco specifico di eccezioni giustificate. Prima di comunicare dati personali di natura delicata l'ente pubblico, oltre a valutare la compatibilità della richiesta, deve verificare attentamente se sia applicabile una delle deroghe di cui all'elenco.

Le deroghe possono riguardare i casi in cui la persona interessata abbia acconsentito esplicitamente al trattamento di tali dati oppure casi in cui il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata.

(c) Trasferimenti di dati verso paesi terzi (articoli 25 e 26)

Se il destinatario di dati personali è stabilito in un paese terzo, si applicano le disposizioni della direttiva sulla protezione dei dati riguardanti i trasferimenti internazionali¹². Di conseguenza i dati personali possono essere comunicati e trasferiti soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato oppure se è applicabile una delle deroghe di cui all'articolo 26 della direttiva.

In questo contesto merita particolare attenzione la disposizione di cui all'articolo 26, paragrafo 1, lettera f che consente il trasferimento, a certe condizioni, se avviene a partire da un registro pubblico. Tale disposizione è motivata dal fatto che le persone in paesi terzi non devono trovarsi in una posizione sfavorevole per quanto riguarda l'accesso ad alcune informazioni pubblicamente disponibili. Il solo fatto che il trasferimento avvenga a partire da un registro pubblico non significa tuttavia che sia è di per sé legittimo. In ogni caso di trattamento di dati personali, come ad esempio un trasferimento da un registro, devono essere soddisfatte le condizioni previste, in particolare la compatibilità (cfr. paragrafo d).

(d) Principi relativi alla qualità dei dati, in particolare il principio della finalità (articolo 6)

I diversi principi relativi alla qualità dei dati stabiliti da questa disposizione sono prescrizioni fondamentali che gli enti pubblici devono rispettare per la comunicazione di dati personali.

Oltre al principio del "trattamento leale e lecito", in questo contesto è importante il principio in base al quale i dati personali devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità, in particolare se la comunicazione serve uno scopo specifico. Quindi al fine di evitare la comunicazione di dati personali, i dati comunicati per il riutilizzo vanno resi anonimi in modo da non consentire l'identificazione delle persone interessate.

Principio di limitazione delle finalità

Oltre a quanto indicato sopra merita particolare attenzione il principio di limitazione delle finalità. Conformemente al principio stabilito dall'articolo 6 della direttiva sulla protezione dei dati, i dati personali devono essere rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. La direttiva non proibisce quindi il riutilizzo per scopi diversi, ma solo per quelli incompatibili.

L'eccezione riguarda il trattamento successivo dei dati per scopi storici, statistici o scientifici, che non è ritenuto incompatibile, purché gli Stati membri forniscano garanzie appropriate. L'eccezione è motivata dal fatto che il trattamento dei dati personali per queste finalità, in condizioni normali, non comporta il loro uso in relazione ad una persona particolare. Di conseguenza il considerando 29 della direttiva sulla protezione dei dati dispone che tali garanzie devono soprattutto impedire l'uso dei dati per l'adozione di misure o decisioni nei confronti di singole persone¹³.

(aa) Aspetti generali

Per quanto riguarda il riutilizzo delle informazioni del settore pubblico il principio della finalità è fondamentale. Alcuni esempi della possibile interpretazione di questo principio negli Stati membri includono l'impiego del criterio di ragionevolezza nella valutazione della compatibilità o nell'approvazione della compatibilità nel caso di un obbligo legale, oppure nell'attenta considerazione di tutte le circostanze del trattamento dei dati al fine di valutarne la compatibilità; si tratta quindi di effettuare una specie di verifica dell'equilibrio degli interessi che include la natura dei dati, il modo di rilevazione e le garanzie per le persone interessate. Per motivi costituzionali alcuni Stati membri hanno adottato una posizione restrittiva.

Come indicato sopra gli enti pubblici possono operare soltanto entro le competenze a loro attribuite a norma di legge. Le leggi degli Stati membri devono pertanto specificare chiaramente le competenze nell'ambito della comunicazione di dati personali destinati al riutilizzo, tenendo conto dei criteri illustrati qui di seguito. Potrebbe non essere tuttavia fattibile specificare ogni situazione ed in tal qual caso sarà l'ente pubblico a valutare la compatibilità. Va ricordato che le autorità di protezione dei dati negli Stati membri, che sono responsabili del controllo dell'applicazione delle rispettive leggi sulla tutela dei dati, hanno già elaborato molte linee guida sulla questione e sono, in caso di dubbio, nella posizione di poter fornire assistenza nei casi concreti.

Si deve distinguere tra una richiesta specifica di comunicazione di informazione e l'impiego di informazioni che sono già accessibili al pubblico, come nel caso dei registri pubblici. Evidentemente la valutazione da parte dell'ente pubblico dello scopo del riutilizzo dei dati sarà necessario soltanto nei casi in cui venga presentata una richiesta specifica.

Va ricordato che le autorità del settore pubblico non sono le sole responsabili della valutazione nel caso di una richiesta di comunicazione di dati personali. Anche il terzo che ha richiesto i dati e che intende riutilizzarli è responsabile del trattamento a norma della direttiva e come tale deve rispettarne le disposizioni. Questo vale in particolare nei casi in cui le informazioni siano già accessibili al pubblico.

(bb) Finalità specifiche

Un elemento importante nella valutazione della compatibilità riguarda il modo in cui viene determinato lo scopo del riutilizzo. Un fine che è stato definito in modo vago è più facilmente compatibile con un altro fine secondario. Tuttavia, una definizione molto vaga difficilmente può soddisfare la prescrizione della determinazione delle finalità prevista dalla direttiva, né può soddisfare i criteri di qualità e di prevedibilità richiesti dalla Corte europea dei diritti dell'uomo nei casi in cui le autorità pubblica intendono limitare i diritti e le libertà fondamentali.

Generalmente nel settore pubblico il fine originario sarà determinato dalle norme che disciplinano il funzionamento del settore. Quindi gli enti pubblici autorizzati possono trattare i dati personali solo per le finalità che rientrano nelle loro competenze o che sono ragionevolmente necessarie per l'esecuzione delle loro funzioni fondamentali.

Visto che a norma della direttiva proposta non esiste l'obbligo di dichiarare i fini a cui sono destinate le informazioni richieste, spesso gli enti pubblici che ricevono una richiesta di comunicazione di informazione non conoscono il fine del riutilizzo dei dati. Per le richieste di comunicazione di dati personali tuttavia la direttiva sulla protezione dei dati richiede tuttavia una tale dichiarazione in modo da consentire all'autorità di valutare la compatibilità e la liceità del riutilizzo dei dati.

(cc) Valutazione della compatibilità

Diversi elementi devono essere presi in considerazione nella valutazione della compatibilità dell'ulteriore trattamento dei dati con il loro scopo originario.

- Legittimazione del trattamento originario

La legittimazione della raccolta originaria dei dati personali da parte dell'ente pubblico di cui all'articolo 7 della direttiva può influenzare la valutazione della compatibilità: come indicato sopra tale legittimazione riguarda generalmente il consenso della persona interessata, l'adempimento di un obbligo legale o l'esecuzione di un compito di interesse pubblico. Il trattamento può inoltre essere legittimato dall'esecuzione di un contratto che richiede il trattamento di dati personali.

Esistono casi in cui le amministrazioni pubbliche sono obbligate per legge non solo a raccogliere ma anche a comunicare dati personali a terzi. Un esempio si trova nelle leggi che disciplinano taluni registri pubblici che contengono dati personali: i registri pubblici della proprietà oppure i registri istituiti in forza del diritto di famiglia. La direttiva lo consente poiché è nell'interesse comune che tali dati siano pubblici.

Nel caso di un obbligo legale il legislatore deve valutare a priori la compatibilità, tenendo conto dei relativi criteri. Di conseguenza la compatibilità, valutata a priori, non è più messa in discussione al momento della comunicazione dei dati.

In altri casi, ad esempio quando la comunicazione dei dati è necessaria per l'espletamento di compiti nel pubblico interesse, spetta all'ente pubblico valutarne la compatibilità.

Se non è dimostrabile l'interesse pubblico ma solo l'interesse privato di un terzo, la direttiva consente la comunicazione di dati personali da tali registri a certe condizioni, ad esempio se il terzo può dimostrare un interesse legittimo.

Ciò suggerisce che in qualche caso la comunicazione può essere compatibile con il fine del trattamento originario dei dati, poiché la legge ha determinato a priori che la comunicazione è nell'interesse pubblico.

Per quanto riguarda le altre finalità del trattamento originario, è importante il consenso della persona interessata qualora i dati personali siano raccolti per un'indagine, per l'esecuzione di un contratto (ad esempio nella compravendita di beni da parte di un ente pubblico) oppure con il fine di vendere dati personali a scopo di lucro, ad esempio: dati personali raccolti da parte di enti pubblici al fine di vendere terreno al pubblico che vengono poi riutilizzati per offrire finanziamenti oppure dati personali di studenti universitari raccolti al momento dell'iscrizione che possono essere utilizzati per il direct marketing connesso all'istruzione.

In base al criterio delle attese ragionevoli della persona interessata si deve tenere conto del fatto che una persona che ha comunicato i propri dati personali per un fine specifico normalmente non prevede che tali dati siano utilizzati per un altro scopo che non sia direttamente connesso a quello originario, in particolare se il fine secondario consiste nella commercializzazione di questi dati (si veda anche "riutilizzo per la commercializzazione").

- Dati personali obbligatori

In molti casi i cittadini sono obbligati a comunicare i propri dati personali, ad esempio nella dichiarazione dei redditi oppure per ottenere un servizio pubblico (ad es. un servizio sociale).

Se tali dati obbligatori vengono richiesti per il riutilizzo, è necessario valutare attentamente la compatibilità, in particolare negli Stati membri che applicano il criterio delle attese ragionevoli: la persona interessata che è obbligata a fornire i propri dati personali non prevede il riutilizzo per altri fini quindi la comunicazione dei dati sarebbe considerata sleale a norma della direttiva relativa alla protezione di dati, tanto più se il fine del riutilizzo consiste nella commercializzazione dei dati (si veda il seguente paragrafo).

- Riutilizzo per la commercializzazione

Ai fini del presente documento s'intende per commercializzazione l'intenzione di chi richiede il riutilizzo dei dati di generare direttamente redditi oppure di utilizzare i dati personali per i propri scopi di marketing. In quest'ambito la proposta di direttiva sul riutilizzo parla di "sfruttamento a fini commerciali". Per quanto riguarda il settore pubblico, il rischio di commercializzazione delle informazioni consiste nella possibilità che gli enti pubblici utilizzino i dati raccolti per fini specifici per scopi diversi con il solo obiettivo di generare reddito.

Per ogni richiesta di riutilizzo di dati è necessario trovare un equilibrio tra il diritto fondamentale alla tutela dei dati e gli interessi commerciali degli operatori privati. Se i dati personali vengono riutilizzati a fini commerciali, questo fine secondario può essere considerato incompatibile e quindi può essere respinta la richiesta di comunicazione dei dati. In alcuni Stati membri la legislazione vieta esplicitamente la commercializzazione dei dati. Ad esempio, la legge francese proibisce l'impiego commerciale dei registri elettorali, quella belga sull'apertura dell'amministrazione vieta severamente il riutilizzo di dati personali a fini commerciali e quella di Berlino sulla libertà di informazione vieta generalmente l'uso commerciale delle informazioni raccolte a norma di questa legge.

Le autorità pubbliche possono comunicare lecitamente dati personali per fini commerciali se vengono loro attribuiti poteri specifici. Tali leggi dovrebbero contenere garanzie specifiche per la persona interessata, ad esempio una disposizione che consente alla persona interessata di opporsi alla comunicazione dei propri dati. Questo è il caso, ad esempio, in Svezia e in Finlandia per quanto riguarda i registri anagrafici oppure i registri riguardanti la circolazione stradale. La legge svedese indica esplicitamente che i dati personali provenienti da un registro della popolazione, il registro svedese delle persone e degli indirizzi (SPAR), possono essere utilizzati per il direct marketing; in questo caso il riutilizzo è compatibile con il fine originario. Inoltre, è prevista l'opzione per la persona interessata di opporsi alla comunicazione dei propri dati.

La legge olandese consente l'impiego commerciale per alcuni fini specifici, quali il credit rating o la responsabilità. Nel Regno Unito esistono pochi casi in cui la legislazione consente lo sfruttamento dei dati a fini commerciali.

- Destinatario dei dati

Nella valutazione della compatibilità potrebbe essere pertinente il fine del riutilizzo. In alcuni casi il destinatario dei dati si avvale dei propri diritti fondamentali, quali la libertà di opinione o di stampa. In tal caso vanno presi in considerazione i diritti fondamentali del destinatario e va trovato un equilibrio tra i due diritti fondamentali contrapposti. In questi casi potrebbe essere più facile soddisfare il criterio della compatibilità.

- Natura dei dati

Anche la natura dei dati è fondamentale nella valutazione della compatibilità. Ad esempio, se vengono richiesti dati di natura delicata, sarà più difficile soddisfare il criterio della compatibilità rispetto ad una richiesta di dati personali "normali". La richiesta di riutilizzo di dati di natura delicata potrebbe essere considerata incompatibile per principio, anche se dovrebbero fornire una tutela sufficiente le disposizioni speciali per i dati di natura delicata illustrati sopra.

Se vengono richiesti dati parzialmente anonimi, nella valutazione si deve tenere conto del fatto che la persona interessata può essere identificata solo mediante uno sforzo particolare¹⁴.

- Comunicazione a partire da un registro pubblico

Per quanto riguarda i registri pubblici, la comunicazione è consentita per fini specifici, visto che tutti i registri pubblici sono stati istituiti per uno scopo particolare. Se la comunicazione serve un tale fine specifico di riutilizzo, il quadro normativo deve essere tale da evitare, nella misura del possibile, altri impieghi delle informazioni. E' opportuno ribadire che anche il terzo che ha richiesto la comunicazione e che intende riutilizzare i dati è responsabile del trattamento a norma della direttiva e come tale deve rispettarne le disposizioni.

Il gruppo di lavoro ribadisce la necessità di prevedere garanzie tali da assicurare un accesso limitato o strutturato e da evitare il trattamento illegale dei dati, ad esempio trasferimenti massicci di dati per via informatica (download).

- Ulteriori elementi

Vanno presi in considerazione inoltre le conseguenze per la persona interessata di un'eventuale comunicazione o riutilizzo dei propri dati personali, nonché l'adeguatezza delle garanzie offerte, ad esempio l'informazione della persona interessata oppure la possibilità di opporsi alla comunicazione dei dati (si veda il punto 3).

(d) Conclusione

E' evidente da quanto illustrato sopra che la valutazione dovrà essere fatta caso per caso. Il risultato non sarà un "sì" o "no" netto, ma una differenziazione dei vari casi che vieta l'accesso a dati particolari o alcuni utilizzi, limita l'accesso ad un numero di persone ristretto, impone condizioni all'accesso (ad esempio la necessità di giustificare la richiesta) o consente solo un accesso non informatizzato ai dati (ad esempio solo una copia su carta).

In alcuni casi le informazioni del settore pubblico possono essere utilizzati in un modo che non richiede la comunicazione di dati personali. Questo è il caso dei dati statistici aggregati utilizzati nei censimenti o nella ricerca epidemiologica o scientifica. I dati personali possono inoltre essere omessi da un documento del settore pubblico prima che esso sia divulgato o da un registro pubblico liberamente accessibile oppure è possibile consentire la registrazione anonima degli individui, ad esempio per il pagamento delle tasse comunali.

3. I diritti della persona interessata

La direttiva sulla protezione dei dati attribuisce una serie di diritti alla persona interessata dalla comunicazione dei propri dati personali. Il miglior modo per garantire la trasparenza del trattamento è l'obbligo di informare la persona interessata del trattamento di dati. Questa è la condizione fondamentale per consentire alla persona interessata di far valere i propri diritti, come il diritto di correggere dati errati oppure il diritto di opporsi al trattamento.

Il gruppo di lavoro ricorda che¹⁵

- le persone interessate devono essere informate della comunicazione dei propri dati personali; se le autorità pubbliche prevedono questa possibilità, devono informare la persona interessata al momento della raccolta dei dati, conformemente all'articolo 10, lettera c della direttiva sulla protezione dei dati;

- indipendentemente dalla pubblicazione dei dati personali, le persone interessate hanno il diritto di accedere ai dati e, all'occorrenza, di richiedere la correzione o la cancellazione dei dati se non sono stati trattati conformemente alla direttiva, in particolare se sono incompleti o errati;

- le persone interessate hanno il diritto di opporsi al trattamento dei propri dati personali, in particolare se tali dati vengono riutilizzati per scopi commerciali o per il direct marketing. L'articolo 14, paragrafo 1, lettera b della direttiva sulla protezione dei dati prevede esplicitamente il diritto d'opposizione; l'esercizio di tale diritto non richiede alcuna giustificazione particolare.

Qualora la legge consenta il riutilizzo dei dati, va prevista la possibilità per la persona interessata di opporsi a tale riutilizzo al momento della raccolta originaria dei dati.

Il diritto di opposizione va inoltre menzionato nell'informazione fornita alla persona interessata in modo da garantire il trattamento leale dei dati.

III. Conclusioni

La questione se la direttiva sulla protezione dei dati consenta il riutilizzo di informazioni del settore pubblico che contengono dati personali richiede un'attenta valutazione caso per caso in modo da trovare un giusto equilibrio tra il diritto alla riservatezza e il diritto all'accesso pubblico. Gli enti pubblici devono verificare, in base ai criteri stabiliti dalla direttiva, se la comunicazione pubblica sia lecita nel caso concreto. Poiché è fondamentale in questo contesto il principio della finalità dei dati, il presente parere fornisce una serie di elementi che vanno presi in considerazione nella valutazione.

Qualora sia prevista la comunicazione dei dati, gli enti pubblici devono rispettare i diritti della persona interessata, quali il diritto all'informazione o il diritto di opposizione, in particolare se i dati sono destinati allo sfruttamento commerciale, ad esempio il direct marketing.

Fatto a Bruxelles, 12 dicembre 2003

Per il gruppo di lavoro
Il Presidente
Stefano RODOTA'