GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29 Dichiarazione del Gruppo di lavoro ex Articolo 29 sul rafforzamento dell’ottemperanza dei responsabili del trattamento IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI visti l’articolo 29 e l’articolo 30, paragrafo 1, lettera a), e paragrafo 3 di tale direttiva, nonché l'articolo 15, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, visto il suo regolamento interno, e in particolare gli articoli 12 e 14, ha adottato il presente parere: Introduzione Il Gruppo di lavoro ex Articolo 29 ha esaminato il ruolo dell’esecuzione nel rafforzamento dell’ottemperanza dei responsabili del trattamento alla normativa sulla tutela dei dati. L’esecuzione è una delle varie attività svolte dalle autorità nazionali responsabili della tutela dei dati per garantire l'ottemperanza. Nel "Documento strategico" del 29 settembre 2004 (WP 98)2, il Gruppo di lavoro ha affermato che promuovere l'ottemperanza armonizzata è un suo obiettivo strategico e permanente. Si è anche dichiarato convinto della necessità di procedere verso la promozione di una più rigorosa ottemperanza alle norme sulla tutela dei dati nell’Unione europea, a favore della quale si impegnerà in uno sforzo comune inteso a migliorare la situazione. Per poter svolgere il proprio compito di sorveglianza dell'applicazione della normativa nazionale sulla tutela dei dati, le autorità responsabili sono investite di determinati poteri ai sensi dell'articolo 28 della direttiva sulla tutela dei dati (95/46/CE). Più specificamente, l’articolo 28, paragrafo 3, stabilisce che le autorità di controllo dispongano: — di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio delle loro funzioni di controllo; — di poteri effettivi d’intervento, come quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni politiche nazionali; — del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie. Il Gruppo di lavoro rileva anche che la direttiva sulla tutela dei dati (95/46/CE) invita gli Stati membri a collaborare. Più specificamente, l’articolo 28, paragrafo 6, della direttiva dispone che le autorità di controllo collaborino tra loro scambiandosi ogni informazione utile e, ove necessario, esercitando i propri poteri su domanda dell'autorità di un altro Stato membro. Tale collaborazione può rivelarsi particolarmente utile se intrapresa bilateralmente da due autorità di controllo interessate, ad esempio l’autorità responsabile della tutela dei dati del paese in cui vive la persona a cui dati si riferiscono e l'omologa autorità del paese in cui è stabilito il responsabile del trattamento. Il Gruppo di lavoro ex Articolo 29 intende sviluppare ulteriormente l’esecuzione delle normative nazionali sulla tutela dei dati nell’Unione europea, allo scopo di rafforzare l'ottemperanza armonizzata conformemente al "Documento strategico". In particolare, il Gruppo di lavoro ex Articolo 29 si impegna ad elaborare strategie propulsive di esecuzione, ad incrementare le azioni esecutive e ad intensificare la collaborazione mediante il rafforzamento delle forme di assistenza reciproca. L’intenzione del Gruppo di lavoro di sviluppare ulteriormente l’esecuzione delle normative nazionali sulla tutela dei dati nell’Unione europea consegue ad un’indagine interna eseguita dal gruppo medesimo sulle attuali pratiche di esecuzione degli Stati membri dopo vari anni dall'entrata in vigore della direttiva, ai risultati delle indagini Eurobarometro sulla tutela dei dati nell'Unione europea3, e alla Prima relazione sull’applicazione della direttiva sulla tutela dei dati (95/46/CE) del 15 maggio 2003 [COM (2003) 265 def.]4. In tale relazione la Commissione europea ha preso in esame il livello globale di ottemperanza alle norme sulla tutela dei dati nell’Unione europea e il connesso problema dell’esecuzione. Nonostante la diversità delle situazioni nazionali, la Commissione europea ha rilevato la presenza di tre fenomeni tra loro collegati: — uno sforzo di esecuzione senza le necessarie risorse e l’assegnazione alle autorità di controllo di una vasta serie di compiti tra i quali le azioni di promozione dell’esecuzione assumono una rilevanza alquanto scarsa; — un’ottemperanza molto irregolare da parte dei responsabili del trattamento, indubbiamente riluttanti a introdurre modifiche alle loro prassi correnti per conformarsi a quelle che possono apparire come norme complesse e onerose quando il rischio di essere scoperti appare limitato; — una conoscenza apparentemente scarsa dei propri diritti da parte delle persone cui i dati si riferiscono, che può essere alla base del fenomeno precedente. Il concetto di esecuzione Nell’ambito dell’Unione europea esecuzione può avere diversi significati. Nel senso più ampio può essere intesa come qualsiasi azione intesa a migliorare l’ottemperanza, comprese le attività di sensibilizzazione e l’elaborazione di orientamenti. In senso stretto esecuzione significa l’avvio di indagini o anche solo l’imposizione di sanzioni. I motivi per intraprendere un’azione esecutiva in senso stretto possono variare. Da un lato, l’azione esecutiva può basarsi su indicazioni concrete di violazione delle norme sulla tutela dei dati, che possono provenire da un reclamo, dalla stampa, ecc. D’altro lato, le autorità responsabili della tutela dei dati possono predisporre propri programmi di indagine o di verifica. Detti programmi dovrebbero fornire un quadro più accurato dell’applicazione di specifiche disposizioni o normative sulla tutela dei dati nell’ambito di determinati settori, a fini di elaborazione di politiche per le autorità responsabili della tutela dei dati, di proposta di orientamenti, ecc. Tali programmi potrebbero anche controllare l’ottemperanza alle norme dei responsabili del trattamento e ricordare ai medesimi ciò che ci si attende da loro. Per i programmi di indagine o di verifica potrebbe rivelarsi necessario il ricorso a poteri formali e l’imposizione di sanzioni a livello nazionale. Ai fini del presente documento l’azione esecutiva viene intesa nel senso stretto di indagini o ispezioni ex officio a fini di verifica dell’ottemperanza. Essa può comportare il ricorso a poteri formali ed eventualmente l’imposizione di sanzioni, in funzione delle vigenti leggi nazionali. Perché l’esecuzione? Il Gruppo di lavoro ritiene che le attività di sensibilizzazione, la fornitura di orientamenti e consulenze sia alle persone cui i dati si riferiscono che ai responsabili del trattamento, la promozione di codici di condotta, siano certamente mezzi importanti per realizzare l'ottemperanza. Le autorità responsabili della tutela dei dati riconoscono che potrebbe esserci una relazione tra ottemperanza e scarsa consapevolezza dei propri diritti delle persone cui i dati si riferiscono. Una migliore conoscenza dei propri diritti può accrescere la consapevolezza in merito alla tutela dei dati nella società. Ciononostante, le azioni esecutive in senso stretto, compresa l’imposizione di sanzioni, sono comunque un mezzo necessario, e spesso estremo, per garantire l’osservanza. Mediante l’esecuzione e le sanzioni le autorità responsabili della tutela dei dati frenano l’inosservanza della legge e stimolano chi effettivamente ottempera a perseverare. Il Gruppo di lavoro ex Articolo 29 ritiene che l’esecuzione sia un importante strumento della "cassetta degli attrezzi" afferente all’ottemperanza, e desidera di conseguenza promuovere un atteggiamento più propulsivo nei confronti dell’esecuzione della normativa sulla tutela dei dati nell’Unione europea. - Rafforzamento dell’esecuzione secondo il Gruppo di lavoro ex Articolo 29 Per quanto attiene ai programmi e alle priorità di esecuzione, le autorità responsabili della tutela dei dati hanno storie differenti. Variano anche i loro poteri e risorse esecutivi. Ciononostante, tutte le autorità responsabili della tutela dei dati dell’Unione europea sono impegnate a garantire un’esecuzione adeguata delle norme sulla tutela dei dati a livello nazionale, fatte salve le specificità dei singoli paesi. I contesti diversi e le differenze nazionali non dovrebbero essere di ostacolo ad un impegno comune delle autorità ad assumere un atteggiamento più propulsivo verso l'esecuzione a livello nazionale. Poteri adeguati e risorse sufficienti sono ovviamente un prerequisito per compiere azioni esecutive efficaci. Il Gruppo di lavoro ex Articolo 29 invita pertanto gli Stati membri a garantire alle autorità di controllo a livello nazionale poteri e risorse sufficienti. Per stimolare l’ottemperanza alla normativa sulla tutela dei dati, il Gruppo di lavoro continuerà ad occuparsi di casi di esecuzione "morbida" di dimensione europea, come ha fatto in svariate circostanze, ad esempio nei casi Intel microchip-ID o Microsoft.Net Passport. Il Gruppo di lavoro ex Articolo 29 ha inoltre deciso che vengano scambiate le pratiche più efficaci, che siano discusse le strategie di esecuzione applicabili a livello nazionale e transnazionale e vengano esaminate le possibilità di predisporre su scala europea azioni esecutive nazionali sincronizzate. Per lo scambio e l’adozione delle pratiche migliori e la discussione delle strategie di rafforzamento dell’assistenza reciproca verranno utilizzati le reti disponibili. I casi di esecuzione, inoltre, verranno pubblicati sul sito dedicato alla tutela dei dati della Commissione europea. Lo svolgimento su scala europea di azioni esecutive nazionali sincronizzate presuppone indagini d’ufficio nazionali coordinate, condotte in un certo periodo di tempo, concernenti trattamenti nazionali analoghi e basate su questionari concordati a livello di Unione europea. Nell’ambito del terzo pilastro le ispezioni nazionali della JSA (Joint Supervisory Authority) Schengen relative ai dati di cui all’Articolo 96 costituiscono un buon esempio di azione sincronizzata. Lo scopo di tai azioni sincronizzate consisterà in primo luogo nell’analizzare se e come le norme vengono osservate nell’ambito del settore, e successivamente, se necessario, nell’emettere ulteriori raccomandazioni. Prima dell’inizio dell’indagine il Gruppo di lavoro ex Articolo 29 opererà affinché i responsabili del trattamento abbiano una consapevolezza adeguata dei pertinenti obblighi di tutela dei dati e le normative che disciplinano il settore siano sufficientemente chiare. Questi risultati possono essere tra l’altro conseguiti seguendo gli orientamenti contenuti nei documenti adottati dal Gruppo di lavoro ex Articolo 29. L’attuazione delle raccomandazioni emesse dopo tali indagini verrà controllata e, se del caso, verranno imposte le sanzioni previste dagli ordinamenti nazionali. Quanto all’individuazione di temi, casi o settori che potrebbero essere oggetto di indagine, si terrà conto in egual misura dei seguenti criteri: : 1. Chiarezza di descrizione e definizione dell’oggetto di indagine. 2. Chiarezza delle vigenti norme sostanziali in materia di tutela dei dati, ad esempio orientamenti o raccomandazioni. 3. Potenziale contributo alla sensibilizzazione delle persone cui i dati si riferiscono (concentrandosi, ad esempio, sulla fornitura di informazioni a tali persone). 4. Sufficiente prossimità delle norme oggetto dell’azione sincronizzata a livello nazionale. 5. Importanza del trattamento di dati personali all’interno dell’impresa o del settore, e/o ripercussioni sulla riservatezza. A questo riguardo anche la rilevanza del danno eventuale è un criterio importante. 6. Concomitanza con altre attività del Gruppo di lavoro ex Articolo 29 che rischiano di interferire con il campo di indagine durante la fase di avvio, come l’elaborazione di normative o codici di condotta sulla tutela dei dati a livello di Unione europea. Nei primi mesi del 2005 il Gruppo di lavoro predisporrà un elenco di potenziali temi, casi o settori e ne determinerà l’ammissibilità come oggetto di indagini sincronizzate nazionali su scala europea da svolgere nel 2005 e 2006, tenendo in debito conto le diversità tra autorità nazionali responsabili della protezione dei dati per quanto attiene a poteri, politiche e risorse. Il Gruppo di lavoro continuerà anche ad operare per definire criteri ragionevoli e praticabili di individuazione di temi, casi o settori che meritano di essere indagati, indipendentemente dagli specifici casi urgenti che possono presentarsi nel corso dell'anno e richiedono evidentemente un'indagine comune immediata. Le indagini sincronizzate nazionali su scala europea verranno annunciate pubblicamente, con indicazione dei settori e/o aspetti dell'ottemperanza sottoposti ad indagine. Fatto a Bruxelles il 25 novembre 2004 Per il Gruppo di lavoro Il Presidente Peter Schaar NOTE 1 Gazzetta ufficiale n. L 281 del 23/11/1995, pag. 31, disponibile su: |