GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29 Parere 6/2006 - WP123 IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE visto l’articolo 29 e l’articolo 30, paragrafo 1, lettera a) e paragrafo 3, della suddetta direttiva e l’articolo 15, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, visto il proprio regolamento interno, in particolare gli articoli 12 e 14, ha adottato il seguente parere: I. Antefatti Il gruppo di lavoro ha preso conoscenza della proposta presentata dalla Commissione di regolamento del Consiglio relativo alla competenza, alla legge applicabile, al riconoscimento e all’esecuzione delle decisioni e alla cooperazione in materia di obbligazioni alimentari. La proposta ambisce ad eliminare tutti gli ostacoli che tuttora si frappongono al recupero dei crediti alimentari all’interno dell’Unione europea. In particolar modo, il Capo VIII della proposta ("Cooperazione") contempla un dispositivo per la raccolta delle informazioni relative alla situazione del creditore e del debitore e per lo scambio delle medesime tramite una rete di autorità centrali nazionali. Detto dispositivo pone una serie di questioni relative alla tutela dei dati, che il gruppo di lavoro si propone di esaminare nell’ambito del presente parere. II. Quadro giuridico in materia di trattamento dei dati personali Il dispositivo previsto dalla proposta in esame contempla tre tappe principali relative alla raccolta e al trattamento dei dati personali: • al fine di agevolare il recupero dei crediti alimentari, le autorità centrali hanno accesso ad una serie di dati personali elaborati da vari responsabili del trattamento per svariate finalità (datori di lavoro, autorità previdenziali o fiscali, registri pubblici, ecc.); • le autorità centrali raccolgono i dati personali e li comunicano all’autorità giurisdizionale competente; • l’autorità giurisdizionale competente tratta i dati al fine di garantire l’esecuzione delle decisioni in materia di obbligazioni alimentari. Queste operazioni sono soggette ad una serie di principi e di norme in materia di tutela dei dati contemplati dalla direttiva 95/46/CE sulla tutela dei dati personali (in seguito "la direttiva"). Per quanto riguarda la prima tappa, la raccolta da parte delle autorità centrali di dati elaborati per fini diversi e non compatibili costituisce un’eccezione al principio di limitazione delle finalità di cui all’articolo 6 della direttiva. L’eventuale ricorso ad una tale eccezione deve ottemperare ai requisiti di cui all’articolo 13 della direttiva stessa che così recita: "Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 6, paragrafo 1 […] qualora tale restrizione costituisca una misura necessaria alla salvaguardia […] della protezione della persona interessata o dei diritti e delle libertà altrui.". Peraltro, la Corte europea di giustizia ha precisato che la comunicazione ad un terzo di dati raccolti in origine per fini ‘economici’ "presenta il carattere di un’ingerenza ai sensi dell’art. 8 della CEDU". Inoltre, qualunque deroga al principio di limitazione delle finalità sancito dalla direttiva deve risultare conforme all’articolo 13 della medesima e, in tal senso, occorre che detta deroga "sia giustificata alla luce dell’art. 8 della CEDU" (Rechnungshof, C-465/00, punto 68 e segg.). Secondo la citata Convenzione, qualsiasi ingerenza nell’esercizio del diritto alla vita privata è giustificata solo se "prevista dalla legge" e qualora costituisca "una misura necessaria, in una società democratica," per la tutela di un interesse pubblico. La Corte di Strasburgo ha ribadito in diverse occasioni che la legge che contempli una tale ingerenza "deve indicare con sufficiente chiarezza la portata della discrezionalità riconosciuta alle autorità competenti e le modalità del suo esercizio, tenuto conto dell’obiettivo legittimo della misura in questione, per fornire all’individuo una protezione adeguata contro un’interferenza arbitraria"1. Per quanto riguarda la seconda e la terza tappa, la raccolta e il trattamento dei dati personali da parte delle autorità centrali nazionali e dell’autorità giurisdizionale (o altra autorità nazionale competente in materia di obbligazioni alimentari) rientrano nel campo di applicazione della direttiva ai sensi dell’articolo 3. Di fatto, come indica la relazione stessa della proposta, i dati personali sono trattati nell’ambito della cooperazione giudiziaria in materia civile che presenti implicazioni transfrontaliere, per quanto necessario al corretto funzionamento del mercato interno. È questo un settore di competenza comunitaria, pertanto non si applicano le esclusioni del campo di applicazione della direttiva di cui al suo articolo 3, paragrafo 2. In virtù di quanto esposto, il trattamento dei dati deve ottemperare ai principi e alle norme di cui alla direttiva, in particolare alle seguenti disposizioni: • l’articolo 6, in virtù del quale i dati personali devono essere rilevati per finalità determinate, esplicite e legittime e successivamente trattati in modo non incompatibile con tali finalità; adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati; esatti e, se necessario, aggiornati; conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati; • l’articolo 7, per cui il trattamento dei dati non è legittimo se non è adeguatamente motivato. Nello specifico, è legittimo il trattamento dei dati necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, ovvero per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, come precisato alle lettere c) e e); • l’articolo 8, che disciplina il trattamento dei dati sensibili, quali per esempio lo scambio di dati relativi a prestazioni assistenziali erogate per motivi di salute. In tali casi, il trattamento dei dati in questione è legittimo se necessario per costituire, esercitare o difendere un diritto per via giudiziaria (articolo 8, paragrafo 2, lettera e)) o se soggetto a opportune garanzie definite dalla legislazione nazionale per motivi di interesse pubblico rilevante (articolo 8, paragrafo 4); • gli articoli 10 e 11, che fanno obbligo di informare la persona interessata circa il trattamento dei dati che la riguardano; • l’articolo 12, in virtù del quale la persona interessata ha il diritto di accedere ai dati che la riguardano, nonché di ottenere la rettifica, la cancellazione o il blocco dei dati il cui trattamento non è conforme alle disposizioni della direttiva; • l’articolo 15, per cui la persona interessata ha il diritto di non essere sottoposta a decisioni individuali automatizzate; • gli articoli 16 e 17, secondo i quali i soggetti che partecipano al trattamento dei dati sono tenuti a garantire la riservatezza e ad attuare appropriate misure di sicurezza; • gli articoli 22, 23 e 24, che prevedono norme relative ai ricorsi giurisdizionali, al risarcimento del pregiudizio subito e alle sanzioni in caso di trattamento illecito; • gli articoli 25 e 26, che contemplano norme in materia di trasferimento dei dati personali verso un paese al di fuori dello Spazio economico europeo. III. Garanzie a tutela dei dati già previste Il gruppo di lavoro constata con soddisfazione che la proposta in esame contempla già una serie di elementi intesi a garantire la conformità del trattamento dei dati ai principi e alle norme di cui sopra in materia di protezione dei dati. Si fa riferimento, in particolare, alle seguenti disposizioni: • nelle diverse fasi della procedura di recupero dei crediti alimentari deve essere consentito l’accesso a diversi tipi di informazioni personali: conformemente all’articolo 6 della direttiva, alcuni dati personali che permettono di localizzare il debitore (quali l’indirizzo) possono essere richiesti e comunicati all’inizio del procedimento, su richiesta di chiunque rivendichi un credito alimentare. D’altro canto, altre informazioni necessarie a stabilire la capacità del debitore di corrispondere gli alimenti e di onorare realmente un debito (conti bancari, stipendio, ecc.) possono essere richieste e comunicate solo previo accertamento, debitamente stabilito con procedimento in contraddittorio, dell’esistenza dell’obbligazione alimentare; • esistenza di un filtro giuridico allo scambio di informazioni: la proposta contempla la possibilità per il creditore di inoltrare una domanda di informazioni presso le autorità centrali tramite un’autorità giurisdizionale. Detto tramite costituisce un adeguato dispositivo di controllo che permette di verificare prima facie il fondamento della domanda e il carattere necessario delle informazioni richieste; • divieto di istituire schedari consolidati: la proposta in esame pone l’obbligo per gli Stati membri di organizzare l’accesso alle informazioni sul debitore e sul creditore provenienti da una serie di registri distinti. La creazione di schedari consolidati contenenti le diverse categorie di informazioni conservate in origine in registri distinti, nell’intento di agevolare la consultazione delle informazioni, comporterebbe notevoli rischi per le persone interessate. La proposta contempla pertanto l’esplicito divieto di istituire schedari che accorpino tutte le informazioni; • garanzie relative ai dati comunicati: in base alla proposta, le informazioni comunicate possono essere utilizzate solo al fine di agevolare il recupero dei crediti alimentari, in conformità al principio della limitazione delle finalità sancito dalla direttiva. Data la mole di informazioni comunicate e i rischi legati al loro trattamento, la proposta specifica ulteriori garanzie, in particolare: - le autorità richieste comunicano le informazioni solo alle autorità richiedenti. Queste ultime possono a loro volta comunicare le informazioni solo all’autorità giurisdizionale o a altra autorità competente in materia di obbligazioni alimentari. Il creditore o i terzi non hanno accesso alle informazioni; - l’autorità richiesta o l’autorità richiedente è tenuta a distruggere le informazioni dopo averle comunicate. Solo l’autorità giurisdizionale competente può conservare le informazioni unicamente per il tempo che le occorre per agevolare il recupero di un credito alimentare, che non può essere in nessun caso superiore ad un anno. Al riguardo, si veda l’osservazione specifica del gruppo di lavoro nella sezione che segue; - l’autorità centrale richiesta è tenuta ad informare il debitore circa il trattamento dei dati che lo riguardano, conformemente agli articoli 10 e 11 della direttiva. IV. Osservazioni specifiche Il gruppo di lavoro ha individuato altri elementi del sistema di scambio dei dati personali che necessitano l’adozione di ulteriori garanzie a tutela dei dati, ai fini di una piena conformità con i principi e le norme della direttiva. A tale riguardo, il gruppo di lavoro desidera formulare le seguenti osservazioni in merito a diverse disposizioni della proposta: • conformemente all’articolo 17 della direttiva, è opportuno che la proposta contempli adeguate misure tecniche ed organizzative a tutela della sicurezza dei dati, nonché il necessario obbligo di riservatezza, punto di particolare rilevanza per le operazioni di trasferimento dei dati personali, come quelle previste all’articolo 46; • l’articolo 41 fornisce una descrizione generale dei compiti delle autorità centrali che cooperano nell’ambito di determinate controversie. Per quanto riguarda lo scambio di dati personali, specie quelli riguardanti il debitore, è opportuno evitare fraintendimenti esplicitando che la raccolta e lo scambio in questione vanno effettuati unicamente nel rispetto delle garanzie a tutela dei dati precisate in seguito nel testo. A tal fine, al paragrafo 1, lettera a), punto i), del medesimo articolo, la dicitura "facendo riferimento in particolare agli articoli da 44 a 47" andrebbe sostituita con la più esplicita dicitura "alle condizioni di cui agli articoli da 44 a 47". Quanto allo scambio di informazioni riguardanti il creditore, è opportuno precisare le finalità che giustificano detto scambio e le condizioni che vi si applicano, come accade attualmente per le informazioni sul debitore. • l’articolo 44, paragrafo 1, fa riferimento in termini generici alle informazioni fornite dalle autorità centrali nell’intento generale di facilitare il recupero dei crediti alimentari e, nelle lettere da a) a d), enumera una serie di scopi specifici. Nella sua forma attuale, il disposto risulta troppo generico. Conformemente ai principi di proporzionalità e di limitazione delle finalità, si rende necessaria una serie di modifiche. In particolare occorre: - fornire un elenco tassativo delle informazioni; - limitare realmente le finalità a: 1) localizzare il debitore, 2) individuarne e stimarne il patrimonio. In effetti, la necessità di identificare il datore di lavoro e i conti bancari del debitore si pone solo nella misura in cui lo stipendio e i conti bancari siano elementi davvero significativi del patrimonio dell’interessato. Se li si cita specificamente, tali due elementi devono figurare alla voce "stimare il patrimonio del debitore"; - stabilire chiaramente che la raccolta e la trasmissione dei diversi tipi di dati comunicati per le finalità prescritte sono ammesse sono nella misura in cui dette informazioni risultino necessarie e pertinenti per il recupero dei crediti alimentari, il che potrebbe non valere per tutti gli Stati membri e in tutte le circostanze; - far riferimento al principio secondo il quale occorre evitare il trattamento di dati sensibili; • l’articolo 44, paragrafo 2, prevede che le informazioni raccolte comprendono quanto meno quelle contenute in un serie di record di dati. Sempre in conformità ai principi di proporzionalità e di limitazione delle finalità: - occorre sopprimere il limite minimo di fonti di informazione; - occorre definire in modo chiaro il nesso tra informazioni richieste e finalità; nello specifico, il disposto dovrebbe garantire che vengano raccolte unicamente le informazioni necessarie e pertinenti ai fini dichiarati; - risultano irrilevanti alla luce delle finalità elencate all’articolo 44, paragrafo 1, i dati relativi ai contributi previdenziali dei datori di lavoro di cui alla lettera b). In realtà, se il disposto fa riferimento al debitore in quanto datore di lavoro, va ricordato che gli oneri legali del medesimo nei confronti dei suoi dipendenti non devono risentire dei crediti alimentari di cui è debitore. Se invece il disposto fa riferimento ai contributi che il datore di lavoro del debitore versa a beneficio di quest’ultimo in quanto suo dipendente, è altamente probabile che detti contributi scaturiscano da un onere legale analogo e quindi non devono risentire del credito alimentare dovuto. Si propone pertanto di sopprimere la dicitura "compresa la riscossione dei contributi previdenziali dei datori di lavoro per lavoratori dipendenti"; • l’articolo 44, paragrafo 3, vieta la creazione di nuovi record di dati in uno Stato membro. Nello stesso intento, e per motivi di completezza, è opportuno che il disposto faccia invece riferimento in termini più generici a "nuove tipologie di trattamento dei dati personali, compresa la creazione di nuovi record di dati". Occorre inoltre vietare esplicitamente specifiche tipologie di trattamento dei dati che comportano particolari rischi, quali il trattamento di dati biometrici; • l’articolo 45, paragrafo 1, che istituisce un filtro giuridico alle domande di informazioni, fa genericamente riferimento all’"autorità giurisdizionale". Risulta fondamentale, ai fini del rispetto delle condizioni di cui all’articolo 8 della CEDU, individuare il preciso organo giurisdizionale competente a decidere se vi sia ingerenza nell’esercizio del diritto alla vita privata. Pertanto, il testo in oggetto dovrebbe essere sostituito con il seguente: "l’organo o l’ufficio di quell’autorità giurisdizionale, competente a norma dell’ordinamento nazionale, trasmette la domanda …"; • l’articolo 45, paragrafo 4, sembra contenere un errore di stampa in quanto il riferimento è al modulo di cui al paragrafo 2 dell’articolo medesimo e non al paragrafo 1; • l’articolo 45, paragrafo 5, secondo comma, contempla l’obbligo per la Commissione di mettere "tali informazioni" a disposizione del pubblico. Sebbene si riferisca alla traduzione dei documenti complementari, che può essere richiesta o meno dallo Stato membro, come precisato al primo comma, l’espressione "tali informazioni" può creare confusione e essere fraintesa con le informazioni personali relative al debitore e al creditore. È pertanto opportuno modificare l’attuale formulazione del testo con la seguente frase: "La Commissione rende pubblici i requisiti in materia di traduzione stabiliti dagli Stati membri", o con frase analoga; • ai sensi dell’articolo 46, l’autorità centrale richiedente cancella l’informazione dopo averla comunicata all’autorità giurisdizionale. È opportuno precisare che la cancellazione deve avvenire "immediatamente" dopo la trasmissione; • ai sensi dell’articolo 46, paragrafo 3, il termine di conservazione dei dati non può essere superiore a un anno. L’intento della norma è introdurre una garanzia a tutela dei dati. Per quanto apprezzi il proposito della Commissione, il gruppo di lavoro è comunque conscio che il termine in questione potrebbe rivelarsi troppo breve o troppo lungo in funzione delle finalità del trattamento dei dati. Per tener conto delle esigenze pratiche, sarebbe opportuno precisare che le autorità giurisdizionali sono autorizzate al trattamento dei dati solo per il tempo necessario ad agevolare il recupero del credito alimentare; • l’articolo 47 contempla l’obbligo da parte dell’autorità centrale di notificare al debitore la comunicazione di informazioni che lo riguardano. È opportuno precisare che la notifica deve essere immediatamente successiva alla comunicazione, specificando inoltre le finalità del trattamento. Di conseguenza, il testo della lettera c) dovrebbe essere così modificato: "le finalità della trasmissione e le condizioni … [il resto rimane invariato]". D’altro canto, gli estremi dell’autorità di controllo di cui alla lettera e) non risultano necessari; • conformemente al considerando 21, è opportuno che nel corpo del regolamento figuri un riferimento specifico all’applicabilità della direttiva 95/46/CE. L’articolo 48 sui rapporti con altri strumenti comunitari sembra essere la sede appropriata per un tale riferimento. Si propone pertanto di aggiungere il seguente testo, o testo analogo, come nuovo paragrafo 4 del medesimo articolo: "4. La raccolta e il trattamento dei dati personali effettuati in forza del presente regolamento, specie nell’ambito dello scambio di informazioni di cui agli articoli da 44 a 47, devono ottemperare pienamente alla normativa nazionale adottata in conformità alla direttiva 95/46/CE."; • gli articoli 22, 24 e 35 prevedono l’intervento di un’autorità diversa dall’autorità centrale nazionale. In questi casi, è opportuno introdurre l’obbligo di informare la persona interessata in termini analoghi a quelli previsti dall’articolo 47; • all’allegato III è riportato un modello di nota informativa da indirizzare al debitore oggetto di un ordine di prelievo automatico mensile. È opportuno verificare che i dati di cui alla nota informativa siano conformi a quanto disposto dall’articolo 11 della direttiva in merito alle informazioni da fornire alla persona interessata; occorrerebbe inoltre menzionare specificatamente che la persona interessata ha diritto di accedere ai dati che la riguardano e di rettificarli; • all’allegato V è riportato un modello di domanda di comunicazione di informazioni. Il punto 4.1.3 fa riferimento ad "altre informazioni che possono essere utili" ed enumera una serie di elementi. È bene che la proposta precisi che si tratta di informazioni fornite dalla parte richiedente per agevolare la ricerca dei dati richiesti e non già di informazioni richieste in senso stretto. È inoltre opportuno che il regolamento precisi le condizioni d’uso di questi dati complementari, le finalità, la quantità e il termine di conservazione dei medesimi, conformemente ai principi di tutela dei dati di cui al presente documento. Conformemente alle osservazioni già formulate in merito all’articolo 47, occorre riformulare le due caselle relative all’informazione al debitore alla fine del modulo. L’informazione del debitore è la regola, non è discrezionale, quindi non occorre contrassegnare nessuna casella per questo. La restrizione di questa informazione è invece l’eccezione alla regola e quindi è necessaria una casella da contrassegnare e occorre fornire adeguate giustificazioni nella domanda. Il gruppo è certo che le considerazioni esposte nel presente parere saranno tenute in debito conto. Bruxelles, 9 agosto 2006 Per il Gruppo NOTE 1 Rotaru/Romania, punto 55 e segg.; Amann/Svizzera, punti 76 e 80; Khan/Regno Unito, punto 26; Valenzuela Contreras/Spagna, punti 60 e 61; Kopp/Svizzera, punti 72 e 75; Funke/Francia, punto 57; Niemietz/Germania, punto 37; Kruslin/Francia, punti 34 e 35; Malone/Regno Unito, punti 79 e 80. |