CE - IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI Parere 6/2007 - WP139 su temi riguardanti la protezione dei dati connessi con il Sistema di cooperazione per la tutela dei consumatori (CPCS) Adottato il 21 settembre2007
INDICE 1. INTRODUZIONE PARTEA: DESCRIZIONE DEL SISTEMA 2. OBBLIGHIDI ASSISTENZA RECIPROCA STABILITI DAL REGOLAMENTO CPC 2.1. FINALITDEL REGOLAMENTO CPC: COOPERAZIONE TRA LE AUTORIT COMPETENTI PER LA TUTELA DEICONSUMATORI 2.2. SFERADI APPLICAZIONE DEL REGOLAMENTO CPC: INFRAZIONI INTRACOMUNITARIE DI SPECIFICHEDIRETTIVE E REGOLAMENTI 2.3. ASSISTENZARECIPROCA NELL'AMBITO DEL REGOLAMENTO CPC: INDAGINI, ESECUZIONE DELLA NORMATIVAE ALLARMI 3. FINALIT,BASE GIURIDICA E CREAZIONE DEL CPCS 3.1. LAFINALIT DEL CPCS: UNA BASE DI DATI PER LO SCAMBIO DI INFORMAZIONI RELATIVE ALL'ASSISTENZARECIPROCA 3.2. SCHEMADELLE OPERAZIONI DI TRATTAMENTO DEI DATI NELL'AMBITO DEL CPCS 3.3. BASEGIURIDICA DEL CPCS 3.4. DECISIONEDI ATTUAZIONE CPC 3.5. CREAZIONEDEL CPCS 4. FLUSSIDI DATI NELL'AMBITO DEL CPCS 4.1. DISPOSIZIONIGENERALI E CONFIDENZIALIT 4.2. ALLARMIE INFORMAZIONI DI RITORNO 4.3. COOPERAZIONENELL'ESECUZIONE DELLA NORMATIVA 4.4. COORDINAMENTODELLE ATTIVIT DI SORVEGLIANZA DEL MERCATO 4.5. SCAMBIODI INFORMAZIONI SU RICHIESTA 4.6. PARTICOLARIRELATIVI AL VENDITORE O FORNITORE RESPONSABILE DI INFRAZIONI INTRACOMUNITARIE OSOSPETTATO DI INFRAZIONI INTRACOMUNITARIE 4.7. FORUMDI DISCUSSIONE 4.8. TRATTAMENTODEI DATI RELATIVI AL PERSONALE 5. ACCESSOAI DATI NEL CPCS1 5.1 ACCESSODELLA COMMISSIONE AI DATI 5.2. ACCESSOAI DATI DA PARTE DELLE AUTORIT COMPETENTI 5.3. ACCESSOAI DATI DA PARTE DEGLI UFFICI UNICI DI COLLEGAMENTO 5.4. INFORMAZIONISEGNALATE COME CONFIDENZIALI 6. TERMINIDI CONSERVAZIONE A NORMA DEL REGOLAMENTO CPC E DELLA DECISIONE DI ATTUAZIONECPC 6.1. RITIRODEGLI ALLARMI 6.2. CASICHIUSI IN SEGUITO AD ESECUZIONE DELLA NORMATIVA 6.3. CASICHIUSI IN SEGUITO A RICHIESTE DI INFORMAZIONI 7. L'ARCHITETTURADI SICUREZZA DEL CPCS 7.1. ILCENTRO DATI DELLA COMMISSIONE 7.2 LARETE TESTA-II 7.3. ACCESSOAI DATI PARTEB: ANALISI 8. RESPONSABILIDEL TRATTAMENTO DEI DATI, NORMATIVA APPLICABILE E AUTORIT DI VIGILANZA 8.1. LEAUTORIT COMPETENTI E LA COMMISSIONE SONO DESIGNATE QUALI RESPONSABILI DELTRATTAMENTO DEI DATI DAL REGOLAMENTO CPC 8.2. LEAUTORIT COMPETENTI IN QUALIT DI RESPONSABILI DEL TRATTAMENTO DEI DATI 8.3. GLIUFFICI UNICI DI COLLEGAMENTO IN QUALIT DI RESPONSABILI DEL TRATTAMENTO DEIDATI 8.4. ILRUOLO SUI GENERIS DELLA COMMISSIONE 9. BASEGIURIDICA 9.1. APPLICABILITDELLA DIRETTIVA 95/46/CE E DEL REGOLAMENTO (CE) N. 45/2001 9.2. BASEGIURIDICA E LICEIT DEL TRATTAMENTO 10. QUALITDEI DATI 10.1. LIMITAZIONEA UNA FINALIT SPECIFICA, NESSUNA UTILIZZAZIONE PER FINALIT INCOMPATIBILI 10.2. NECESSITE PROPORZIONALIT 10.3. ACCURATEZZA 11. TERMINIDI CONSERVAZIONE 11.1. PERIODODI CONSERVAZIONE DI CINQUE ANNI DOPO L'ESECUZIONE DELLA NORMATIVA 11.2. CASICHE SONO "DIMENTICATI" O PER ALTRI MOTIVI NON NOTIFICATI PER LACANCELLAZIONE 11.3 CONSERVAZIONEDEI DATI AL DI FUORI DEL CPCS 12. TRATTAMENTODEI DATI SENSIBILI 12.1. ORIGINERAZZIALE O ETNICA, OPINIONI POLITICHE, CONVINZIONI POLITICHE O FILOSOFICHE,APPARTENENZA A SINDACATI, SALUTE O TENDENZE SESSUALI 12.2. DATIRELATIVI A REATI, SOSPETTI DI REATI E MISURE DI SICUREZZA 12.3. NUMERONAZIONALE DI IDENTIFICAZIONE. L'ARTICOLO8, PARAGRAFO 7 DELLA DIRETTIVA 95/46/CE STABILISCE CHE GLI STATI MEMBRI "DETERMINANOA QUALI CONDIZIONI UN NUMERO NAZIONALE DI IDENTIFICAZIONE O QUALSIASI ALTROMEZZO IDENTIFICATIVO DI PORTATA GENERALE PU ESSERE OGGETTO DI TRATTAMENTO". ASUA VOLTA, L'ARTICOLO 10, PARAGRAFO 6 DEL REGOLAMENTO STABILISCE CHE "ILGARANTE EUROPEO DELLA PROTEZIONE DEI DATI STABILISCE LE CONDIZIONI GENERALIALLE QUALI UN NUMERO PERSONALE O QUALSIASI ALTRO MEZZO DI IDENTIFICAZIONE DI USOGENERALE PU ESSERE TRATTATO DA UN'ISTITUZIONE O DA UN ORGANISMO DELLA COMUNIT 13. DEROGHEE RESTRIZIONI 13.1. DEROGHEE RESTRIZIONI POSTE DAGLI STATI MEMBRI 13.2. DEROGHEE RESTRIZIONI POSTE DALLA COMMISSIONE 14. INFORMAZIONIDA FORNIRE ALLA PERSONA INTERESSATA 14.1. AVVERTENZAESAURIENTE RELATIVA ALLA TUTELA DELLA SFERA PRIVATA SULLA PAGINA INTERNET DELLACOMMISSIONE DEDICATA AL CPCS 14.2. AVVERTENZARELATIVA ALLA TUTELA DELLA SFERA PRIVATA SULLA PAGINA INTERNET DELLE AUTORITCOMPETENTI 14.3 AVVERTENZAFORNITA DIRETTAMENTE ALLE PERSONE INTERESSATE 15. ILDIRITTO DI ACCESSO AI DATI DELLE PERSONE INTERESSATE 15.1. COORDINAMENTOTRA LE AUTORIT COMPETENTI 15.2. COORDINAMENTOTRA LA COMMISSIONE E LE AUTORIT COMPETENTI 16. MISUREDI RICORSO 17. SICUREZZA 18. NOTIFICAE CONTROLLO PREVENTIVO 18.1. AUTORITNAZIONALI COMPETENTI PER LA PROTEZIONE DEI DATI 18.2 CONTROLLOPREVENTIVO DA PARTE DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI 18.3. COORDINAMENTODELLE PROCEDURE DI NOTIFICA E DI CONTROLLO PREVENTIVO 19. TRASFERIMENTODI DATI PERSONALI A PAESI TERZI 20. CONCLUSIONI
IL GRUPPO DI LAVORO PERLA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI creato a norma delladirettiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995,
visto l'articolo 29,articolo 30, paragrafo 1, lettera (c) e l'articolo 30, paragrafo 3 di tale direttiva,
viste le sue regole diprocedura, e in particolare gli articoli 12 e 14,
HA ADOTTATO IL PRESENTEPARERE:
1. INTRODUZIONE Il presente parere delGruppo di lavoro "articolo 29" sulla protezione dei dati ("Gruppodi lavoro Il parere fa seguito aduna lettera datata 30 marzo 2007 inviata dal capo dell'Unit B-5, Controllodell'attuazione della legislazione e meccanismi di ricorso per i consumatori,della Direzione generale Salute e tutela dei consumatori ("DG SANCO Il Gruppo di lavoro sicompiace per il fatto di essere stato consultato. Allo stesso tempo, esprimerammarico per il fatto che la richiesta di consultazione pervenuta solo dopol'adozione del regolamento CPC e l'adozione della decisione della Commissione2007/76/CE del 22 dicembre 2006 ("Decisione di attuazione CPC Ci detto, in lineagenerale il Gruppo di lavoro esprime la propria soddisfazione per la creazionedi un sistema elettronico per lo scambio di informazioni. Questo sistemarazionalizzato pu non soltanto incrementare l'efficienza della cooperazionema, dal punto di vista della protezione dei dati, pu anche contribuire agarantire la conformit con le norme vigenti sulla protezione dei dati. Essofornisce infatti un quadro di riferimento da cui risulta chiaramente qualiinformazioni possono essere scambiate, con chi e a quali condizioni. Lacreazione di una base di dati centralizzata comporta tuttavia anche alcunirischi. Tra i pi importanti, segnaliamo che pi dati potrebbero esserecondivisi in modo pi ampio di quanto sia strettamente necessario ai fini diun'efficiente cooperazione, ed inoltre che i dati, compresi quellipotenzialmente obsoleti e meno accurati, potrebbero rimanere nella base di datipi a lungo di quanto non risulti necessario. Anche la sicurezza di una base didati accessibile in 27 Stati membri costituisce un tema particolarmentesensibile, dal momento che il sistema sicuro solo quanto lo consente il nodopi debole della rete. Il presente documentointende identificare le pi gravi preoccupazioni in materia di protezione deidati che pu comportare la creazione e il funzionamento del CPCS e raccomandaresoluzioni per alleviare tali preoccupazioni. Il documento si rivolgealla Commissione e alle autorit competenti degli Stati membri nel loro ruolodi responsabili del trattamento dei dati del CPCS, come sar chiarito inseguito. Le raccomandazioni del presente documento sono inoltre destinate adinformare altri decisori del "Comitato di regolamentazione
PARTE A: DESCRIZIONEDEL SISTEMA
2. OBBLIGHI DIASSISTENZA RECIPROCA STABILITI DAL REGOLAMENTO CPC 2.1. Finalit delregolamento CPC: cooperazione tra le autorit competenti per la tutela deiconsumatori. Il regolamento CPC statoadottato per agevolare l'esecuzione delle norme sulla tutela dei consumatorinel mercato interno. Il regolamento CPC crea una rete comunitaria di autoritnazionali competenti per l'esecuzione delle norme sulla tutela dei consumatori.Esso delinea il quadro di riferimento e le condizioni generali nell'ambitodelle quali gli Stati membri devono cooperare. Nel contesto di questo nuovosistema, ciascuna autorit pu richiedere alle altre autorit della reteassistenza per indagare su possibili violazioni della normativa sulla tuteladei consumatori e per intraprendere azioni volte a interrompere pratichecommerciali ingannevoli che danneggiano i consumatori in altri paesidell'Unione europea. 2.2. Sfera diapplicazione del regolamento CPC: infrazioni intracomunitarie di specifichedirettive e regolamenti. La sfera di applicazionedel regolamento CPC limitata alle "violazioni intracomunitarie"delle direttive e dei regolamenti elencati nell'allegato al regolamento CPC.Tale elenco, che potr se necessario essere aggiornato, comprende attualmente15 direttive e regolamenti, comprese le direttive sulla pubblicit ingannevole,sui contratti negoziati fuori dai locali commerciali, sul credito al consumo,sull'esercizio delle attivit televisive, sui viaggi "tutto compreso",sulle clausole abusive nei contratti, sulla multipropriet, sul commercioelettronico, ed altre. Per rientrare nella sfera di applicazione delregolamento CPC, le "infrazioni intracomunitarie" (i) devono averenatura "transfrontaliera", e (ii) devono danneggiare "gliinteressi collettivi dei consumatori". 2.3. Assistenzareciproca nell'ambito del regolamento CPC: indagini, esecuzione della normativae allarmi. I capitoli II e III delregolamento CPC richiedono alle autorit competenti degli Stati membri diassistersi reciprocamente per quanto riguarda le indagini e l'esecuzione dellenormative. Tali capitoli richiedono inoltre di segnalare agli altri Statimembri e alla Commissione le infrazioni intracomunitarie sospettate oconfermate. Le autorit competenti dei vari Stati membri hanno infine l'obbligospecifico di coordinare le loro attivit nei casi in cui i consumatori di uno opi Stati membri abbiano subito le conseguenze negative di un'infrazione.
3. FINALIT, BASEGIURIDICA E CREAZIONE DEL CPCS 3.1. La finalit delCPCS: una base di dati per lo scambio di informazioni relative all'assistenzareciproca. Il CPCS una base di datielettronica gestita dalla Commissione europea e destinata a costituire unsistema strutturato per lo scambio di informazioni tra le autorit competentinegli Stati membri, per consentire loro di rispettare gli obblighi diassistenza reciproca stabiliti dal regolamento CPC. 3.2. Schema delleoperazioni di trattamento dei dati nell'ambito del CPCS. Gli utilizzatori del sistemasono la Commissione e le autorit competenti degli Stati membri. In ciascunoStato membro, inoltre, viene designato a fini di coordinamento un cosiddetto"ufficio unico di collegamento" (vedi il successivo punto 5.3). I dati sono inseriti nelsistema dalle autorit competenti. Ad esempio, un'autorit competente puinviare una richiesta di informazioni o relativa all'esecuzione della normativaad un'altra autorit competente. O pu inviare un allarme ad altri Stati membrie alla Commissione. Le informazioni saranno quindi archiviate in una base didati e potranno essere richiamate da altri utilizzatori ai quali lacomunicazione stata inviata, ad esempio dall'autorit cui stato richiestodi effettuare un'azione di esecuzione della normativa, o dalla Commissione. Lecancellazioni sono effettuate dalla Commissione, su richiesta delle autoritdegli Stati membri che sono obbligate a informare la Commissione della chiusuradei casi o della infondatezza degli allarmi. Nei casi in cui le infrazioni sianoconfermate e si dia luogo ad un'azione di esecuzione della normativa, i datisono conservati per cinque anni a decorrere dalla notifica dell'azione diesecuzione. Le regole relative alla conservazione e alla cancellazione sonodescritte e sottoposte a un'ulteriore analisi particolareggiata nei successivipunti 6 e 11. 3.3. Base giuridica delCPCS. La base giuridica del CPCS l'articolo 10 del regolamento CPC il quale stabilisce che "laCommissione mantiene una banca dati elettronica in cui memorizza ed elabora leinformazioni pervenute ai sensi degli articoli 7, 8 e 9 del regolamentoCPC". Inoltre, l'articolo 12, paragrafo 3, stabilisce che "lerichieste di assistenza e tutte le trasmissioni delle informazioni sonoeffettuate per iscritto, mediante un modello standard, e sono comunicate pervia elettronica tramite la banca dati di cui all'articolo 10". Il combinato disposto diquesti articoli prevede pertanto che tutte le richieste di assistenzareciproca, gli allarmi e le relative comunicazioni a norma dei capitoli II eIII del regolamento CPC devono essere effettuate attraverso il CPCS. 1 Inoltre, la decisione diattuazione stabilisce che gli Stati membri devono informare la Commissione egli altri Stati membri attraverso un "Forum di discussione 3.4. Decisione diattuazione CPC. Le disposizioni delregolamento CPC applicabili al CPCS sono entrate in vigore il 29 dicembre 2006.Poco prima di questa data, la Commissione, assistita da un Comitato diregolamentazione comprendente rappresentanti degli Stati membri, ha emesso unadecisione di attuazione. La decisione di attuazioneCPC stabilisce quali campi di dati devono essere inseriti nella base di dati equale deve essere il contenuto minimo delle richieste, delle risposte e degliallarmi. Prevede inoltre termini per alcune fasi delle procedure di assistenza reciprocae altre misure di applicazione. 3.5. Creazione delCPCS. La configurazione delsistema conforme alle disposizioni del regolamento CPC e della decisione diattuazione CPC. Queste due fonti specificano le principali caratteristiche edelineano taluni aspetti della base di dati. Esse non forniscono tuttavia uninsieme completo di orientamenti per la configurazione, la manutenzione, ilfunzionamento e l'utilizzazione della base di dati. Il CPCS, nella sua formaattuale, stato configurato dalla Commissione, in consultazione con gli Statimembri e con un gruppo di utilizzatori principali composto da rappresentantidelle autorit competenti dei vari Stati membri. In termini tecnici, laCommissione ha costruito il sistema e funge da operatore. I dati sono ospitatisul server della Commissione; i suoi tecnici provvedono al mantenimento delsistema e garantiscono la sua sicurezza. La Commissione pu inoltre procederead eventuali modifiche nella configurazione del sistema, ove ci risultinecessario. Il CPCS gi realizzatoed utilizzato, ma alcuni elementi previsti dalla decisione di attuazione CPCsono bloccati: in particolare, non possono attualmente essere utilizzati icampi di dati riguardanti i direttori delle societ, nell'attesa che siano risoltealcune questioni riguardanti la conformit alla normativa sulla protezione deidati.
4. FLUSSI DI DATINELL'AMBITO DEL CPCS Il combinato disposto delregolamento CPC e della decisione di attuazione CPC stabilisce nei particolarile categorie di informazioni che possono o devono essere scambiate attraversoil CPCS. 4.1. Disposizionigenerali e confidenzialit. Come finalit generale, ladecisione di attuazione CPC stabilisce che, formulando una richiesta diassistenza reciproca o un allarme, le autorit competenti devono fornire tuttele informazioni di cui dispongono e che possono essere utili alle altreautorit competenti al fine di soddisfare la richiesta in modo efficiente o digarantire un'adeguata reazione all'allarme. D'altro canto, nelle rispostealle richieste di informazioni, l'autorit interpellata deve fornire tutte leinformazioni indicate dall'autorit richiedente e necessarie a stabilire sesussista un'infrazione intracomunitaria o se lo si possa ragionevolmentesospettare. Analogamente, nelle risposte alle richieste di misure diesecuzione, l'autorit interpellata deve informare l'autorit richiedente delleazioni avviate o previste e dei poteri esercitati per soddisfare la richiesta. In entrambi i casi, seun'autorit competente rifiuta di dare seguito a una richiesta, nella rispostadeve informare l'autorit richiedente dei motivi del rifiuto (vedi anche ilsuccessivo punto 5.4). 4.2. Allarmi einformazioni di ritorno. L'articolo 7, paragrafo 1,del regolamento CPC stabilisce che "allorquando un'autorit competenteviene a conoscenza di un'infrazione intracomunitaria o ragionevolmente sospettache detta infrazione potrebbe verificarsi, essa ne informa le autoritcompetenti degli Stati membri e la Commissione fornendo quanto prima tutte leinformazioni necessarie". L'articolo 7, paragrafo 2, stabilisce inoltreche "allorquando un'autorit competente adotta ulteriori misure diesecuzione o riceve una richiesta di assistenza in relazione alle infrazioniintracomunitarie, essa ne informa le autorit competenti di altri Stati membrie la Commissione". In pratica, l'articolo 7prevede lo scambio di due tipi di informazioni: Allarmi Informazioni diritorno: quando le autoritcompetenti adottano ulteriori misure di esecuzione o ricevono richieste diassistenza reciproca, esse informano la Commissione ed altre controparti nellarete in merito alla richiesta ricevuta o alle azioni di esecuzione intraprese. A norma della decisione diattuazione CPC, il CPCS deve contenere i seguenti campi di dati relativi agliallarmi: (i) tipodi infrazione intracomunitaria, (ii) statodell'infrazione intracomunitaria (accertata, ragionevole sospetto), (iii) basegiuridica, (iv) brevesintesi, (v) numerostimato di consumatori lesi e stima del danno finanziario, (vi) eventualirichieste di trattamento riservato, e (vii) documentiallegati (riguardanti in particolare dichiarazioni ed altre prove). Gli allarmi comprendono,inoltre, particolari sul venditore o sul fornitore responsabile diun'infrazione intracomunitaria o di una sospetta infrazione intracomunitaria,come indicato al successivo punto 4.6. 4.3. Cooperazionenell'esecuzione della normativa. L'articolo 8, paragrafo 1,del regolamento CPC stabilisce che "su richiesta dell'autoritrichiedente, un'autorit interpellata adotta tutte le misure necessarie per farcessare o vietare l'infrazione intracomunitaria quanto prima possibile." In pratica lo scambio diinformazioni comprende a norma dell'articolo 8: Le richieste di misuredi esecuzione: un'autorit chiede adun'altra autorit di adottare azioni adeguate per far cessare una infrazioneconfermata. Considerando i requisitiposti dall'articolo 12, paragrafo 3 del regolamento CPC, anche le risposte sonodate utilizzando il CPCS e attraverso il sistema vengono inviate per viaelettronica anche tutte le relative comunicazioni. La decisione di attuazioneCPC stabilisce che l'autorit richiedente deve fornire all'autoritinterpellata almeno: (a) un'identificazione del venditore o fornitore neiconfronti del quale sono richieste le misure; (b) informazioni dettagliate delcomportamento o della prassi in questione; (c) caratteristiche giuridichedell'infrazione intracomunitaria a norma della legislazione applicabile erelativa alla base giuridica; e (d) prova del pregiudizio arrecato agliinteressi collettivi dei consumatori, inclusa, se possibile, una stima delnumero di consumatori lesi. La decisione di attuazioneCPC prevede inoltre che il CPCS contenga i seguenti campi di dati per lerichieste di misure di esecuzione: (i) luogoin cui si trovano i consumatori potenzialmente lesi, (ii) nomedel prodotto o del servizio, (iii) codiceCOICOP, (iv) basegiuridica, (v) strumentopubblicitario o di vendita in questione, (vi) tipo diinfrazione intracomunitaria, (vii) statodell'infrazione intracomunitaria (accertata, ragionevole sospetto), (viii) numerostimato di consumatori lesi e stima del danno finanziario, (ix) scadenzaproposta per fornire la risposta, (x) documentiallegati (riguardanti in particolare dichiarazioni ed altre prove) ed eventualirichieste di trattamento riservato, (xi) indicazionedell'assistenza richiesta, (xii) riferimentoall'allarme (se applicabile), (xiii) elenco delleautorit interpellate e degli Stati membri interessati, e (xiv) richiesta dipartecipazione di un funzionario competente alle indagini (Articolo 6,paragrafo 3, del regolamento CPC). 4.4. Coordinamentodelle attivit di sorveglianza del mercato2. L'articolo 9, paragrafo 1,del regolamento CPC stabilisce che "le autorit competenti coordinano leattivit di sorveglianza del mercato e di esecuzione e a tal fine si scambianotutte le informazioni necessarie." L'articolo 9, paragrafo 2, aggiunge che"nel caso in cui le autorit competenti vengano a conoscenza di unainfrazione intracomunitaria che arrechi pregiudizio agli interessi deiconsumatori di pi di due Stati membri, le autorit competenti interessatecoordinano il loro intervento e chiedono l'assistenza reciproca attraversol'ufficio unico di collegamento. In particolare, esse si adoperano per svolgerele indagini e applicare le misure esecutive contemporaneamente."L'articolo 9, paragrafo 3, aggiunge che "le autorit competenti informanoanticipatamente la Commissione di tale coordinamento e, se del caso, invitano ifunzionari e altre persone accompagnatrici autorizzate dalla Commissione apartecipare." In pratica, lo scambio diinformazioni a norma dell'articolo 9, paragrafo 2, comprende situazioni nellequali sono coinvolte le autorit competenti di almeno tre paesi. In questocaso, le informazioni possono essere scambiate per determinare se si verificata un'infrazione. Anche la Commissione vieneinformata e pu, se richiesta dalle autorit competenti, partecipare alleindagini. 4.5. Scambio diinformazioni su richiesta. L'articolo 6, paragrafo 1,del regolamento CPC stabilisce che "un'autorit interpellata forniscequanto prima, su richiesta di un'autorit richiedente ................ qualsiasiinformazione pertinente necessaria per stabilire se si sia verificata o se vi ragionevole sospetto che possa verificarsi un'infrazione comunitaria." L'articolo 6, paragrafo 2,stabilisce inoltre che "l'autorit interpellata, se necessario con l'assistenzadi altre autorit pubbliche, intraprende le indagini del caso o adotta altreeventuali misure necessarie o appropriate ................ al fine diraccogliere le informazioni richieste." L'articolo 10, in base alquale alcuni scambi di informazioni devono avvenire esclusivamente attraversoil CPCS, non fa specifico riferimento all'articolo 6. Tuttavia, in virtdell'articolo 12, paragrafo 3, il quale prevede che "le richieste diassistenza e tutte le trasmissioni delle informazioni sono effettuate periscritto, mediante un modello standard, e sono comunicate per via elettronicatramite la banca dati di cui all'articolo 10", anche tutti gli scambi diinformazioni effettuati a norma dell'articolo 6 devono essere effettuatiutilizzando il CPCS. In pratica, lo scambio diinformazioni ai sensi dell'articolo 6 comprende: Le richieste diinformazioni: richieste cheun'autorit rivolge a un'altra di fornire informazioni pertinenti necessarieper stabilire se un'infrazione delle norme sulla tutela dei consumatori si verificata o vi il ragionevole sospetto che possa verificarsi. Considerando i requisitiposti dall'articolo 12, paragrafo 3, anche le risposte sono date utilizzando ilCPCS e attraverso il sistema vengono inviate per via elettronica anche tutte lerelative comunicazioni. La decisione di attuazioneCPC stabilisce che l'autorit richeidente deve almeno (a) informare l'autoritinterpellata della natura della sospetta infrazione intracomunitaria e dellarelativa base giuridica; (b) fornire elementi sufficienti ad identificare ilcomportamento o la prassi oggetto di indagine; e (c) specificare quali siano leinformazioni richieste. La decisione di attuazioneCPC elenca inoltre i campi di informazione che il CPCS deve contenere perquanto riguarda le richieste di informazione. Tali campi sono identici a quellielencati in rapporto alle richieste di esecuzione al precedente punto 4.3. 4.6. Particolarirelativi al venditore o fornitore responsabile di infrazioni intracomunitarie osospettato di infrazioni intracomunitarie. La decisione CPCstabilisce che il CPCS deve comprendere le seguenti categorie di dati relativeal venditore o al fornitore responsabile o sospettato dell'infrazione: (i) nome, (ii) altredenominazioni commerciali, (iii) nomedell'eventuale societ madre, (iv) tipo diattivit dell'azienda, (v) indirizzo/i, (vi) indirizzodi posta elettronica, (vii) numero ditelefono, (viii) numero difax, (ix) sitoweb, (x) indirizzoIP, e (xi) nome/idell'eventuale direttore dell'azienda. 4.7. Forum didiscussione. Come 4.8. Trattamento deidati relativi al personale. La Commissione trattaanche un numero limitato di dati personali (nomi, informazioni di contatto,lingue parlate) del personale che lavora per le autorit competenti e delpersonale degli uffici unici di collegamento degli Stati membri. Le operazionidi trattamento relative ai dati sul personale, tuttavia, costituiscono unaspetto marginale del CPCS. Queste operazioni di trattamento sono inolteinerenti alla gestione di qualunque base di dati con utilizzatori multipli. Leoperazioni di trattamento di questi dati non saranno pertanto ulteriormenteanalizzate nel presente documento.
5. ACCESSO AI DATI NELCPCS 5.1 Accesso dellaCommissione ai dati Accesso dellaCommissione ai dati a norma del regolamento CPC. Come descritto nelprecedente punto 4, secondo quanto stabilito dal regolamento CPC, laCommissione deve avere accesso: agli allarmi (Articolo 7,paragrafo 1), alle informazioni di ritorno (Articolo 7, paragrafo 2, articolo8, paragrafo 6, e articolo 10, paragrafo 2), e eventualmente anche ad altreinformazioni collegate ai casi in questione (Articolo 8, paragrafo 5, articolo9, paragrafo 3, e articolo 15, paragrafo 5).3 Tuttavia, secondo ilregolamento CPC, la Commissione non deve ricevere: le domande di informazionidi cui all'articolo 6, le domande di esecuzione di cui all'articolo 8. Queste richieste diassistenza reciproca sono rivolte solo alle autorit competenti degli Statimembri. L'accesso dellaCommissione ai dati in virt del documento d'analisi della Commissione. Conformemente alladescrizione contenuta nel documento d'analisi, ai funzionari della Commissioneresponsabili per il controllo dell'applicazione di uno o pi atti legislativiprevisti dal regolamento CPC, e solo per i casi che ricadono nell'ambito diapplicazione di tali atti, dato un accesso di sola lettura per seguire leinformazioni riguardanti le azioni di esecuzione in virt dell'articolo 8,paragrafo 6 del regolamento CPC. Il documento d'analisi della Commissione nonfa riferimento alle informazioni di ritorno per quanto riguarda sia le domandedi informazioni sia gli allarmi (Articolo 7, paragrafo 2, e articolo 10,paragrafo 2), anche se probabilmente anche questi flussi di informazionifigurano all'interno della base di dati. Il documento d'analisidella Commissione indica inoltre che i funzionari della Commissione chelavorano nell'unit responsabile per l'attuazione del regolamento CPC hannoaccesso a tutte le altre informazioni della base di dati. Essi utilizzanoattualmente questi dati solo per seguire l'attuazione del regolamento CPC, inparticolare per ricavare dati a fini statistici. A prima vista, ci fa supporreche, contrariamente alle disposizioni del regolamento CPC, questi specificifunzionari della Commissione abbiano un accesso illimitato al CPCS, comprese lerichieste di informazoni e le richieste di esecuzione scambiate tra le autoritcompetenti degli Stati membri e tutti i dati segnalati come confidenziali (vediil successivo punto 5.4). Le informazioni supplementari fornite dalla DG SANCOdurante la preparazione del presente parere hanno tuttavia confermato che cinon esatto. La DG SANCO ha esplicitamente confermato che nessun funzionariodella Commissione pu accedere alle richieste di informazioni o alle richiestedi esecuzione scambiate tra le autorit competenti degli Stati membri e chel'accesso della Commissione ai dati segnalati come confidenziali limitato,come indicato al successivo punto 5.4.
Infine, secondo ildocumento d'analisi, i funzionari della Commissione possono partecipare inoltrealle inchieste coordinate o alle azioni di esecuzione in virt dell'articolo 9,paragrafo 3 del regolamento CPC. Questi funzionari hanno pieno accesso alleinformazioni collegate ai casi in questione. 5.2. Accesso ai dati daparte delle autorit competenti. Quando le autoritcompetenti introducono informazioni nel sistema sotto forma di allarmi, dirichieste di informazioni o di richieste di esecuzione, spetta a loro deciderequali sono le altre autorit competenti che possono avere accesso a taliinformazioni. Ad esempio, le autorit competenti belghe possono inviare soloalla Francia e al Lussemburgo un allarme che sembri loro rilevante solo per ilBelgio, la Francia e il Lussemburgo e non per gli altri paesi. Lo stesso valeper le informazioni di ritorno e le altre comunicazioni effettuate attraversola base di dati. 5.3. Accesso ai dati daparte degli uffici unici di collegamento. Conformemente alregolamento CPC, le richieste di assistenza reciproca (comprendenti sia lerichieste di informazioni che le richieste di esecuzione) sono inviateattraverso gli uffici unici di collegamento dell'autorit richiedente edell'autorit interpellata. Le informazioni comunicate in seguito a unarichiesta devono essere comunicate direttamente all'autorit richiedente econtemporaneamente agli uffici unici di collegamento delle autorit richiedenteinterpellata. Se la cooperazione coinvolge pi di due Stati membri, questiuffici svolgono un ruolo supplementare di coordinamento. In tutti questi casi,gli uffici unici di collegamento possono avere accesso a dati personali, nellamisura in cui siano inclusi nelle richieste di assistenza reciproca e nellerispettive risposte. Tuttavia, gli uffici unici di collegamento non hanno accessoalle informazioni segnalate come confidenziali (vedi il punto 5.4). Occorrenotare inoltre che molti uffici unici di collegamento possono svolgere duefunzioni: da un lato, esercitano funzioni di coordinamento in quanto ufficiunici di collegamento e, d'altro lato, operano anche in qualit di autoritcompetenti per quanto riguarda talune infrazioni alla normativa sulla tuteladei consumatori. In quest'ultima veste, hanno accesso ai dati in modo analogo aqualunque altra autorit competente. 5.4. Informazionisegnalate come confidenziali. L'articolo 13, paragrafo3, del regolamento CPC stabilisce che le informazioni memorizzate nel CPCS, lacui rivelazione metterebbe a repentaglio: (i) la protezione della vita privatae l'integrit dell'individuo, (ii) gli interessi commerciali di una persona,(iii) i ricorsi al tribunale e la consulenza giuridica, ovvero (iv) l'obiettivodi ispezioni o indagini, devono essere confidenziali, salvo il caso in cui ladivulgazione sia necessaria per ottenere la cessazione o il divieto diun'infrazione intracomunitaria e l'autorit che comunica le informazioni neautorizzi la divulgazione. La decisione di attuazioneCPC, come indicato al punto 4, stabilisce che le autorit che introducono nelsistema richieste di informazioni o di esecuzione o allarmi devono indicare sele informazioni devono essere trattate in modo confidenziale. Analogamente,anche l'autorit interpellata, al momento in cui fornisce le informazioni, deveindicare se tali informazioni devono essere trattate in modo confidenziale. Ladecisione di attuazione CPC stabilisce inoltre che il CPCS comprende specificicampi di dati destinati ad indicare che i dati scambiati devono essere trattatiin modo confidenziale. Secondo il documento di analisi della Commissione,un'autorit competente pu voler segnalare alcune informazioni comeconfidenziali, ad esempio, quando allega al suo messaggio un documento e taleallegato contiene informazioni confidenziali. Cos come tra laCommissione, le autorit competenti e gli uffici unici di collegamento, ladecisione di attuazione del regolamento CPC stabilisce che il fatto disegnalare dati come confidenziali comporta anche che gli uffici unici dicollegamento non hanno accesso a tali dati. Nel corso della preparazione delparere, la DG SANCO ha chiaramente precisato che il suo scopo di limitarel'accesso della Commissione alle informazioni segnalate come confidenziali.4 Inoltre, secondo ildocumento di analisi della Commissione, in alcuni casi alcuni documenti nonpossono neppure essere divulgati ad "organismi che hanno un interesselegittimo a veder cessare o vietare infrazioni comunitarie" designatisulla base delle disposizioni del regolamento CPC al fine di assistere leautorit competenti in questioni di esecuzione. Conformemente alladecisione di attuazione del regolamento CPC, la divulgazione di informazioni aquesti organismi dovrebbe essere sottoposta alla previa approvazionedell'autorit richiedente, precisando la natura e i particolari delleinformazioni che possono essere divulgate a questo organismo. Il trattamentoconfidenziale non impedisce tuttavia la condivisione di dati confidenziali trale autorit competenti o il loro trasferimento a tribunali o ad altre autoritpubbliche. Per il momento, neppure il testo del regolamento CPC e della suadecisione di attuazione limitano l'accesso della Commissione a questi dati.
6. TERMINI DICONSERVAZIONE A NORMA DEL REGOLAMENTO CPC E DELLA DECISIONE DI ATTUAZIONE CPC 6.1. Ritiro degliallarmi. L'articolo 10, paragrafo2, del regolamento CPC stabilisce che "allorch un'autorit competenteaccerta che una notifica di un'infrazione intracomunitaria da essa effettuata anorma dell'articolo 7 si successivamente rivelata infondata, ritira lanotifica e la Commissione sopprime immediatamente le relative informazionidalla banca dati". In pratica, ci significache l'autorit competente che ha introdotto un allarme in virt dell'articolo 7deve ritirare tale allarme e che l'informazione deve essere soppressaimmediatamente dalla base di dati dal momento in cui l'autorit competentestabilisce che l'allarme era infondato. 6.2. Casi chiusi inseguito ad esecuzione della normativa. In virt dell'articolo 8,paragrafo 6, "l'autorit interpellata notifica quanto prima all'autoritrichiedente, alle autorit competenti degli Stati membri e alla Commissione lemisure adottate e i loro effetti sull'infrazione intracomunitaria, anchequalora questa fosse cessata." L'articolo 10, paragrafo 2, stabilisceinoltre che "i dati memorizzati relativi a detta infrazione sono soppressicinque anni dopo la notifica." In pratica, ci significache l'autorit interpellata deve notificare alla Commissione le misure diesecuzione adottate e che le informazioni devono essere soppresse dalla base didati cinque anni dopo tale notifica . 6.3. Casi chiusi inseguito a richieste di informazioni. La decisione recanteattuazione del regolamento CPC stabilisce che l'autorit richiedente informa laCommissione e cancella le informazioni dalla banca di dati se, in seguito aduna richiesta di cui all'articolo 6, (a) le informazioni scambiate non dannoorigine a un allarme o a una richiesta ai sensi dell'articolo 8, oppure (b)viene accertato che non ha avuto luogo alcuna infrazione intracomunitaria. In pratica,ci significa che l'autorit richiedente deve informare la Commissione se ladomanda di informazioni non genera un'azione ulteriore di cooperazione, comel'invio di una richiesta di esecuzione o di un allarme, o se viene accertatoche non ha avuto luogo alcuna infrazione al regolamento CPC. L'informazionedeve allora essere soppressa dalla base di dati.
7. L'ARCHITETTURA DISICUREZZA DEL CPCS 7.1. Il Centro datidella Commissione. La Commissione forniscel'infrastruttura tecnica del CPCS, compresa l'assistenza e lo help-desktecnici. I dati raccolti sono archiviati sul server del Centro dati dellaDirezione generale Informatica, a Lussemburgo. Questo server funziona secondole decisioni e disposizioni della Commissione in materia di sicurezza adottatedalla Direzione della sicurezza. Si applica il sistema generale di protezionedelle telecomunicazioni e dell'informatica della Commissione europea. L'ambiente del CPCS protetto da sistemi di rilevamento delle intrusioni e contro i virus, la posta elettronicaindesiderata ed altri tipi di minacce. protetto da un servizio di protezionedell'accesso (firewall) e da un reverse proxy ubicati presso il Centro ditelecomunicazioni DIGIT della Commissione e da questo gestiti. Tutte letransazioni sono criptate attraverso il canale https. Il sistema segue leregole di backup/recupero del Centro dati della Commissione europea. 7.2. La rete TESTA-II. Le informazioni non sonoscambiate via Internet, ma attraverso la rete di telecomunicazioni protettaTESTA II, che collega le istituzioni comunitarie e gli organi delle autoritnazionali. TESTA II una rete privata e chiusa. La Commissione ne garantiscela sicurezza sino ai punti di contatto nazionali. L'accesso a questa colonnavertebrale della rete si effettua attraverso punti di collegamentoidentificati. Tutto il traffico su questa rete criptato. La migrazione versos-TESTA, attualmente in corso, aumenter ulteriormente la sicurezza. Dai punti di contattonazionali sino agli utilizzatori, i rispettivi Stati membri sono responsabilidella costruzione fisica del collegamento e della vigilanza sulla suasicurezza. Ciascuno Stato membro deve garantire che solo il personaleautorizzato possa accedere a TESTA. La rete non possiede alcuna"finestra" su Internet. accessibile solo per utilizzatoripredefiniti e unicamente attraverso ordinatori fisicamente collegati alla retee situati negli uffici delle autorit nazionali e della Commissione. 7.3. Accesso ai dati. Esistono diversi profilidi accesso al CPCS. Tali profili sono determinati dai diritti di accesso aidati registrati nella base di dati. Le autorit competenti comunicano il nomedei loro utilizzatori alla Commissione. Ogni autorit ha almeno un utilizzatorema pu avere pi utilizzatori registrati. L'accesso al CPCS concesso solo aun gruppo di utilizzatori ben definiti e identificabili. Ogni accesso nominativo e collegato ad una sola persona. Non autorizzato alcunutilizzatore funzionale. Per accedereall'applicazione, necessario disporre di un login e di un password. Larichiesta di un nuovo login presentata dall'ufficio unico di collegamento diciascun paese. La Commissione crea il login e il password iniziale che vieneinviato all'utilizzatore attraverso l'ufficio unico di collegamento. L'utilizzatoredeve modificare questo password nel corso del primo collegamento. Il nuovopassword deve essere "forte", vale a dire deve essere composto daalmeno 8 caratteri e deve contenere un insieme di caratteri alfabetici enumerici. Si prevede di migliorare ulteriormente la sicurezza del sistema: apartire dalla fine di quest'anno, sar necessario inserire almeno tre tipi dicaratteri delle quattro famiglie esistenti (lettere minuscole, letteremaiuscole, cifre, segni speciali). Il documento d'analisidella Commissione sottolinea il fatto che la combinazione delle misuresuindicate con una rete privata pone l'accesso al CPCS ad un livello disicurezza adeguato rispetto alla natura dei dati memorizzati e trasferitiattraverso il sistema. gi possibile ampliareulteriormente la sicurezza a livello nazionale. Se un paese decide diutilizzare, ad esempio, un'attrezzatura di autenticazione criptata sulla basedi un chip, tale attrezzatura pu essere integrata facilmente a livellonazionale poich le procedure d'accesso al sistema sono decise a livello delloStato membro e sono responsabili per il funzionamento e la sicurezza delsistema a partire dai punti di contatto nazionali TESTA-II.
PARTE B: ANALISI
8. RESPONSABILI DELTRATTAMENTO DEI DATI, NORMATIVE APPLICABILI E AUTORIT DI VIGILANZA 8.1. Le autoritcompetenti e la Commissione sono designate quali responsabili del trattamentodei dati dal regolamento CPC. L'articolo 2, lettera (d),della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre1995, relativa alla tutela delle persone fisiche con riguardo al trattamentodei dati personali, nonch alla libera circolazione dei dati ("Direttiva95/46/CE") e l'articolo 2,lettera (d), del regolamento (CE) n. 45/2001 del Parlamento europeo e delConsiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche inrelazione al trattamento dei dati personali da parte delle istituzioni e degliorganismi comunitari, nonch la libera circolazione dei dati ("Regolamento(CE) n. 45/2001") stabilisconoentrambi che nel caso in cui le finalit e i mezzi del trattamento dei datipersonali sono determinati dal diritto comunitario, il responsabile deltrattamento pu essere designato dallo stesso diritto comunitario. questo il caso del CPCS,sistema in cui le finalit e i mezzi del trattamento sono definiti dalregolamento CPC, il cui articolo 10 stabilisce specificamente che laCommissione e le autorit competenti agiscono in qualit di responsabili deltrattamento in rapporto alle loro specifiche responsabilit, conformemente alregolamento CPC. In particolare, l'articolo10 stabilisce quanto segue: "In relazione alle loro responsabilit inmateria di notifica delle informazioni per la memorizzazione nella banca dati el'elaborazione dei dati personali ad essa connessi, le autorit competenti sonoconsiderate responsabili del trattamento ai sensi dell'articolo 2, lettera (d),della direttiva 95/46/CE. In relazione alle sue responsabilit in virt delpresente articolo e all'elaborazione dei pertinenti dati personali, laCommissione considerata "responsabile del trattamento ai sensidell'articolo 2, lettera (d), del regolamento (CE) n. 45/2001." 8.2. Le autoritcompetenti in qualit di responsabili del trattamento dei dati. Ciascuna autoritcompetente responsabile del trattamento dei dati rispetto alle proprieattivit di trattamento dei dati in qualit di utilizzatore del sistema per leproprie finalit, come stabilito dal regolamento CPC. Essa deve conformarsialla propria normativa nazionale in materia di protezione dei dati ed soggetta alla supervisione delle proprie autorit nazionali responsabili ditale protezione. 8.3. Gli uffici unicidi collegamento in qualit di responsabili del trattamento dei dati. Come abbiamo visto aipunti 5.3 e 5.4, anche gli uffici unici di collegamento ricevono informazioni,eccettuate quelle segnalate come confidenziali, al fine di svolgere i lororuoli di coordinamento per quanto riguarda la trasmissione delle informazioni ele richieste di esecuzione. Nel fare ci, essi devono conformarsi alla proprianormativa nazionale in materia di protezione dei dati e sono soggetti allasupervisione delle proprie autorit nazionali responsabili di tale protezione. 8.4. Il ruolo suigeneris della Commissione. Il regolamento CPC designala Commissione come responsabile del trattamento dei dati in rapporto ai propricompiti e alle proprie responsabilit. Tenuto conto di tali compiti eresponsabilit, che comprendono al tempo stesso (i) il funzionamento del CPCS avantaggio delle autorit competenti degli Stati membri e (ii) l'utilizzazionepropria del CPCS, la Commissione possiede un ruolo sui generis Le attivit dellaCommissione sono disciplinate dal regolamento (CE) n. 45/2001 e sono soggettealla supervisione del Garante europeo della protezione dei dati ("GEPD
9. BASE GIURIDICA 9.1. Applicabilitdella direttiva 95/46/CE e del regolamento (CE) n. 45/2001. Il CPCS utilizzato peril trattamento dei dati dei venditori e dei fornitori che sono sospettati dialcune infrazioni alla legislazione relativa alla tutela dei consumatori. Talivenditori e fornitori possono essere persone giuridiche ma, cosa pi importantedal punto di vista della protezione dei dati, possono anche essere personefisiche. Inoltre, la decisione di attuazione del regolamento CPC prevede campidi dati specifici per lo scambio di informazioni riguardanti i direttori deivenditori o dei fornitori sospettati. Infine, anche i dati personaliriguardanti altri individui, ad esempio i proprietari o i dipendenti deivenditori o dei fornitori, i ricorrenti, i funzionari o i testimoni, possonoessere contenuti nei documenti allegati e nelle brevi sintesi di cui si faesplicita menzione nella decisione di attuazione CPC. Non vi dubbio, quindi,che l'utilizzazione del CPCS implica un trattamento di dati personali ai sensidell'articolo 2, lettera (a), della direttiva 95/46/CE e della corrispondentedisposizione del regolamento (CE) n. 45/2001. 9.2. Base giuridica eliceit del trattamento. L'articolo 7, lettera (c),della direttiva 95/46/CE stabilisce che i dati personali possono esseretrattati se "il trattamento necessario per adempiere un obbligo legaleal quale soggetto il responsabile del trattamento". L'articolo 7,lettera (e), consente inoltre il trattamento se "tale trattamento necessario per l'esecuzione di un compito di interesse pubblico o connessoall'esercizio di pubblici poteri di cui investito il responsabile deltrattamento o il terzo a cui vengono comunicati i dati". L'articolo (5),lettere (a) e (b), del regolamento (CE) n. 45/2001 contiene disposizionianaloghe. Articolo 7, lettera(c): obbligo legale dei responsabili del trattamento. Come discusso al punto3.3, la creazione del CPCS stabilita dal regolamento CPC. Tale regolamentoprevede inoltre l'obbligo per tutte le autorit competenti di scambiare i daticoncernenti l'assistenza reciproca esclusivamente attraverso le basi di dati.Il regolamento direttamente applicabile alle autorit competenti in tutti gliStati membri. Articolo 7, lettera(e): esecuzione di un compito di interesse pubblico. Il CPCS partecipa allalotta contro le infrazioni transfrontaliere alla legislazione europea inmateria di tutela dei consumatori, in particolare facilitando il coordinamentodelle attivit delle varie autorit competenti in vari Stati membri. Si trattadi una missione di interesse pubblico. La questione della "necessit" analizzata al successivo punto 10.1. Sulla base di quantoprecede, il Gruppo di lavoro ritiene che l'articolo 7, lettere (c) e (e), possaessere considerato come una base giuridica adeguata per il trattamento deidati.
10. QUALIT DEI DATI 10.1. Limitazione a unafinalit specifica, nessuna utilizzazione per finalit incompatibili. A norma dell'articolo 6,lettera (b), della direttiva 95/46/CE, i dati personali devono essere"rilevati per finalit determinate, esplicite e legittime, esuccessivamente trattati in modo non incompatibile con tali finalit". Ilregolamento (CE) n. 45/2001 prevede un requisito analogo. Limitazione a unafinalit specifica posta dal regolamento CPC. L'articolo 13, paragrafo1, del regolamento CPS stabilisce che "le informazioni communicate possonoessere utilizzate esclusivamente allo scopo di garantire il rispetto dellanormativa sulla protezione degli interessi dei consumatori." L'articolo13, paragrafo 2, aggiunge che "le autorit competenti possono utilizzarecome prova qualsiasi informazione, documentazione, constatazione, dichiarazione,copia certificata conforme o risultato istruttorio comunicati, allo stessotitolo dei documenti analoghi ottenuti nel proprio paese." Il Gruppo di lavoroesprime la propria soddisfazione per la limitazione della finalit stabilitaper l'utilizzazione dei dati. Sottolinea tuttavia che le finalit consentite equalunque limitazione di utilizzazione devono essere definite in modo pipreciso a livello operativo. Per questo motivo, il Gruppo di lavoro esprime leseguenti raccomandazioni: L'utilizzazione da partedelle autorit competenti dovrebbe limitarsi a una cooperazione specifica casoper caso. Un rischio inerente allegrandi basi di dati elettroniche di questo tipo che esse siano utilizzateper ricercare sistematicamente individui e profilarli "in funzione dei risultati della ricerca". Tenuto conto del fatto che tale utilizzazionenon prevista dal regolamento CPC e che non esiste alcuna protezione alriguardo, il Gruppo di lavoro raccomanda che le informazioni della base didati siano utilizzate unicamente in rapporto a ciascuna misura di inchiesta odi esecuzione relativa al caso specifico per il quale una richiesta diassistenza reciproca o un allarme sono stati inizialmente comunicati, a menoche ulteriori utilizzazioni siano specificamente previste in una nuovadecisione di attuazione CPC e siano adottate adeguate misure di salvaguardiadi protezione dei dati. Le finalit per lequali la Commissione pu utilizzare i dati dovrebbero essere In alcuni casi, la Commissioneutilizza i dati a fini precisati nel regolamento CPC, in particolare perassistere le autorit competenti in talune controversie o per partecipare essastessa ad inchieste coordinate che coinvolgono pi di due paesi (vedi successivo punto 10.2). Si tratta di utilizzazioni consentite, definite nelregolamento CPC. Tuttavia, nell'insieme, ilregolamento CPC non specifica esplicitamente quale dovrebbe essere la finalitdell'utilizzazione e dell'accesso della Commissione ai dati. il caso perquanto riguarda gli allarmi e le informazioni di ritorno. Si presuppone che laCommissione possa avere accesso a questi dati in modo da poter (i) seguirel'applicazione del regolamento CPC, (ii) seguire l'applicazione di unalegislazione specifica relativa alla tutela dei consumatori coperta dalregolamento CPC (le direttive e i regolamenti indicati nel suo allegato), e(iii) riunire informazioni statistiche in rapporto con l'adempimento di talidoveri. Tali utilizzazioni sono consentite. La Commissione dovrebbe tuttaviaassicurarsi che i dati personali che figurano nell'allarme e nelleinformazioni di ritorno che essa riceve non siano utilizzati per ulteriorifinalit non precisate. Esse dovrebbero essere chiaramente specificate in unanuova decisione di attuazione del regolamento CPC e anche l'architettura delCPCS dovrebbe essere ristrutturata di conseguenza. 10.2. Necessit eproporzionalit Conformemente all'articolo6, lettera (c), della direttiva 95/46/CE, i dati personali devono essere"adeguati, pertinenti e non eccedenti rispetto alle finalit per le qualivengono rilevati e/o per le quali vengono successivamente trattati". Inserimento di datipredefiniti e opzionali; accesso limitato alla base di dati. In primo luogo, il Gruppodi lavoro esprime soddisfazione per il fatto che la decisione recante attuazione del regolamento CPC comprende un elenco definito dei campi di datiche possono essere inseriti nella base di dati. In secondo luogo, si felicitaper il fatto che la decisione non richiede che tutti i campi di dati sianocompletati ogni volta, ma, al di l dei requisiti minimi essenziali, lasciaall'autorit competente per l'inserimento dei dati il compito di decidere quale campo di dati completer e sino a quale livello di dettaglio. In terzo luogo,il Gruppo esprime soddisfazione per il fatto che solo le autorit competentidesignate da ciascuno Stato membro hanno accesso al CPCS e, tra questeautorit, solo funzionari specificamente identificati. Analisi diproporzionalit caso per caso. Il Gruppo di lavoroesprime inoltre soddisfazione per il fatto che l'elenco dei campi di datisembra nell'insieme ragionevole e non eccessivo per le finalit perseguite dalCPCS (le eccezioni e le preoccupazioni sono indicate pi avanti). Ci detto, il Gruppo dilavoro non pu determinare in anticipo se l'utilizzazione di tutti i campi didati sia adeguata a tutti i casi particolari. Alcuni campi di dati sono inoltredefiniti in modo cos ampio che spetta quasi totalmente al funzionario incaricatodell'applicazione che introduce i dati in ogni caso particolare deciderequanti dati personali saranno memorizzati nella base di dati. Ad esempio, unallegato pu contenere copie di fatture che riprendono nomi di clienti enumeri di conti bancari, ovvero un elenco di indirizzi elettronici di clientiai quali uno spammer ha inviato messaggi. Il carattere adeguatodell'inserimento di questi dati nella base dipender dal caso particolare. Per questo motivo ilGruppo di lavoro constata che la "necessit" e la"proporzionalit" del trattamento dei dati devono essere analizzate inconcreto, per ciascun casoparticolare, quando le informazioni sono inserite o recuperate e utilizzate. In particolare, leautorit competenti devono assicurarsi, per ciascun inserimento di informazioni, (i) di inserire solo le informazioni personali che sonostrettamente necessarie ai fini di un'efficace cooperazione e (ii) dicondividere le informazioni unicamente con le autorit competenti degli altriStati membri che hanno bisogno di accedere alle informazioni. Esse devonoinoltre garantire di conservare i dati personali nella base di dati solo iltempo necessario ai fini della cooperazione. Formazione deifunzionari incaricati dell'applicazione, orientamenti per l'utilizzazione Si tratta di unavalutazione che i funzionari incaricati dell'applicazione devono effettuareogni volta che trasferiscono o trattano in qualunque altro modo informazioni.Questi funzionari dovrebbero essere consapevoli dell'importanza di una seriaanalisi di proporzionalit caso per caso. Al fine di garantire che laCommissione e le autorit competenti trattino i dati conformemente alprincipio di qualit dei dati, il Gruppo di lavoro raccomanda che la Commissione, in quanto gestore del sistema, elabori una serie di orientamenti("Orientamenti CPCS Anche se spetta allaCommissione elaborare gli orientamenti del CPCS, sono in definitiva le autorit competenti che, per quanto riguarda la maggior parte delle operazionidi trattamento (ad esempio, l'inserimento di informazioni nel CPCS, ladesignazione dei destinatari degli allarmi), e in virt della lorolegislazione nazionale, rimangono responsabili della conformit agli obblighirelativi alla protezione dei dati, compresa la realizzazione dell'analisi di proporzionalit caso per caso. Per questo motivo, al fine di ottenere unlivello elevato di conformit, il contenuto degli orientamenti ed elementi diprotezione dei dati dovrebbero anche essere pienamente integrati nellaformazione impartita ai funzionari incaricati dell'applicazione dellenormative per quanto riguarda l'utilizzazione del CPCS. Infine, nella misura incui ci risulti realizzabile dal punto di vista tecnico e operativo, le caratteristiche tecniche del CPCS dovrebbero essere modificate per incentivarei funzionari incaricati dell'applicazione a valutare gli aspetti relativi allaprotezione dei dati ogni volta che accedono alla base dei dati. Ancora unavolta, queste caratteristiche non dovrebbero essere limitate all'aspetto dellaproporzionalit. Informazioniconcernenti i direttori. Il regolamento CPC nonpropone n richiede specificamente che le informazioni concernenti i direttoridei venditori o dei fornitori sospettati o imputati di infrazione figurinonella base di dati. La decisione di attuazione del regolamento CPC richiedetuttavia la creazione di campi di dati per i nomi dei direttori in rapporto aqualunque scambio di informazioni, cos come prevede l'inserimento di datirelativi all'indirizzo e al numero di telefono del venditore o del fornitore. Il Gruppo di lavororiconosce che lo scambio di informazioni relative ai direttori dei venditori odei fornitori pu risultare in alcuni casi necessario. Ad esempio, le stessepersone possono utilizzare una serie di strutture societarie come mezzi persvolgere attivit fraudolente. Per questo motivo i funzionari incaricatidell'applicazione possono avere legittimamente bisogno di scambiarsi informazionisu tali persone. Il Gruppo di lavorosottolinea, tuttavia, che questo scambio di informazioni solleva al tempo stesso gravi preoccupazioni in materia di protezione della sfera privata. In effetti, il fatto diinserire informazioni riguardanti direttori nel CPCS pu, in alcune situazioni, comportare gravi violazioni della tutela della vita privata e puportare ad accusare questi individui di essere "colpevoli perassociazione", il che potrebbe danneggiare la loro reputazione e le loro prospettiveprofessionali. La Commissione consapevole di questo problema e ha decisosino ad oggi di bloccare questa funzione della base di dati. Per questo motivo, il Gruppo di lavoro raccomanda che gli orientamenti del CPCS prevedano specificamente che i funzionari incaricati dell'applicazione debbano valutarein ciascun caso se l'inserimento del nome del direttore sia o no opportuno. Informazioniconcernenti i consumatori, i ricorrenti ed altri terzi nelle "brevisintesi" e negli"allegati". Tra i campi di dati chepossono essere utilizzati in caso di allarme, di richieste di informazioni edi richieste di esecuzione, la decisione di attuazione del regolamento CPCcomprende un campo per i "documenti allegati". Prevede inoltre"brevi sintesi " nei casi di allarme. possibile che idocumenti allegati o le brevi sintesi contengano dati personali sui ricorrenti,i clienti, i testimoni, i dipendenti, i proprietari, i funzionari o altriterzi. Ad esempio, un allegato pu contenere copie di fatture che riprendononomi di clienti e numeri di conti bancari o un elenco di indirizzi elettronicicui stata inviata posta indesiderata. La comunicazione di alcunidi questi documenti, compresi i dati personali, pu essere giustificata inalcune circostanze. Il Gruppo di lavoro raccomanda tuttavia che, ogni volta che ci risulti possibile, i dati personali siano omessi dalle brevi sintesi eobliterati o rimossi in altro modo dai documenti allegati (ad esempio,annerendo i nomi, gli indirizzi o i numeri delle carte di credito). In caso didubbio riguardante la necessit di trasferire informazioni o documenticontenenti dati personali, il Gruppo di lavoro raccomanda che tali datipersonali siano soppressi. Nel caso in cui risultasse in seguito che ildestinatario ha bisogno di una copia integrale di un documento, ad esempio afini probatori, egli avr sempre la possibilit di richiedere le informazionimancanti alla parte che ha inizialmente fornito il documento. Queste raccomandazionidovrebbero essere chiaramente precisate negli orientamenti del CPCS. Dati personali nel"Forum di discussione". Come indicato alprecedente punto 3.3, la decisione di attuazione del regolamento CPC prevedeche gli Stati membri debbano informare la Commissione e gli altri Stati membri,attraverso un "Forum di discussione" previsto nella infrastrutturadel CPCS, in merito ad eventuali poteri aggiuntivi concessi alle autorit competenti diversi da quelli specificamente previsti in virt del regolamentoCPC. Durante la preparazione del presente parere, la DG SANCO ha spiegato chesi prevede di utilizzare il forum di discussione unicamente per lo scambio diinformazioni relative a questioni come nuovi poteri di esecuzione o miglioriprassi. pertanto improbabile che gli scambi di informazioni sul forumcontengano dati personali. in ogni caso importante sottolineare che questoforum non deve servire a scambiare dati collegati ai casi analizzati e nondovrebbe, come regola generale, contenere dati personali. Anche questo elementodovrebbe essere precisato negli orientamenti del CPCS. Sospetto"ragionevole". Il Gruppo di lavorosottolinea inoltre che i dati concernenti i sospetti di infrazione dovrebberoessere inseriti solo se tali sospetti sono "ragionevoli". L'interpretazionedell'espressione "sospetto ragionevole" lasciata agli Stati membri,ma il Gruppo di lavoro sottolinea che nessun dato pu essere inserito nel CPCSse non esistono almeno informazioni significative, o alcuni elementi di provasecondo i quali un'infrazione si effettivamente verificata. Si tratta di unaltro aspetto da discutere negli orientamenti del CPCS. I diritti di accessodella Commissione dovrebbero essere pi limitati. Anche se il linguaggioutilizzato nel documento di analisi della Commissione ha inizialmente suscitato dubbi al riguardo, sembra che l'attuale accesso della Commissione ai dati nonvada al di l di quanto sia richiesto dal regolamento CPC. Il Gruppo di lavoroesprime soddisfazione per tale aspetto e sottolinea l'importanza che l'accessodella Commissione sia strettamente limitato a quanto previsto dal regolamentoCPC. In particolare, laCommissione non dovrebbe avere alcun accesso alle comunicazioni tra gli Statimembri concernenti le richieste di informazioni in virt dell'articolo 6 o lerichieste di esecuzione in virt dell'articolo 8. Sono anche considerati confavore i piani della DG SANCO volti a limitare (con alcune eccezioni)l'accesso della Commissione alle informazioni qualificate come confidenziali. Come abbiamo visto alpunto 5.1, le informazioni di ritorno per quanto concerne le richieste diinformazioni e le richieste di esecuzione devono essere inviate allaCommissione a norma dell'articolo 7, paragrafo 2, e dell'articolo 8, paragrafo6, del regolamento CPC. Queste informazioni di ritorno contengonoverosimilmente sufficienti informazioni di alto livello che consentono allaCommissione di seguire l'applicazione del regolamento CPC e di recuperare e compilare informazioni statistiche aggregate. Un accesso sistematico a tutti idati collegati ai vari casi nelle richieste di informazioni e di esecuzionenon dovrebbe pertanto essere necessario, anche per ricavare informazionistatistiche. La nuova decisione diattuazione del regolamento CPC dovrebbe limitare specificamente l'accessodella Commissione a quanto stabilito dal regolamento CPC e a quanto strettamente necessario per il compimento della sua missione. L'architetturadel CPCS dovrebbe pertanto essere configurata coerentemente con questoaspetto. L'accesso da partedelle autorit competenti dovrebbe essere limitato alle loro esigenze Il CPCS consenteattualmente a ciascuna autorit competente di designare liberamente idestinatari dei messaggi di allarme. Non si pu quindi escludere attualmenteche un'autorit competente diffonda allarmi pi ampiamente di quanto siastrettamente necessario per le finalit di allertamento, "unicamente atitolo di informazione". Le autorit competenti devono essere consapevolidel fatto che esse devono valutare l'utilit di tali trasferimenti a tutti idestinatari caso per caso e non diffondere informazioni pi ampiamente diquanto richieda una cooperazione efficace. Si tratta di un elemento che deveessere trattato negli orientamenti CPCS e preso in considerazionenell'architettura del sistema. Nel corso dellapreparazione del presente parere, la DG SANCO ha indicato che essa intende configurare il sistema in modo tale che le informazioni di ritorno di cuiall'articolo 8, paragrafo 6, e all'articolo 7, paragrafo 2, siano inviate atutte le autorit responsabili per l'applicazione delle legislazioni collegatealla direttiva sulla tutela dei consumatori o al regolamento in questione (adesempio, la direttiva sul commercio elettronico o sulla multipropriet). IlGruppo di lavoro raccomanda che le questioni riguardanti i destinatari e il contenuto delle informazioni di ritorno siano disciplinati a livello dellanuova decisione di attuazione CPC dopo aver valutato attentamente la proporzionalitdell'approccio proposto. 10.3. Accuratezza. L'articolo 6, paragrafo 1,lettera (d), della direttiva 95/46/CE richiede che i dati siano esatti e, senecessario, aggiornati", e che devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispettoalle finalit per le quali sono rilevati o sono successivamente trattati,cancellati o rettificati. Il regolamento (CE) n. 45/2001 prevede requisitianaloghi. Come vedremo al punto 11riguardante il periodo di conservazione, il CPCS cos come concepitoattualmente non garantisce sufficientemente che i dati potenzialmente obsoletinon restino nella base di dati per lunghi periodi, ad esempio quando i casi sitrascinano senza che sia adottata una misura o se l'autorit competente"dimentica" di informare la Commissione della chiusura di un casospecifico. A tale riguardo, il Gruppodi lavoro ritiene che una revisione periodica delle informazioni da partedell'autorit competente che le ha fornite contribuirebbe a garantirel'esattezza dei dati memorizzati nel CPCS. Al fine di incoraggiare gliutilizzatori ad effettuare tale revisione, la base di dati potrebbe contenereun avviso pro-memoria che li avvertirebbe periodicamente,ad esempio ogni seimesi o una volta l'anno, e chiederebbe loro di verificare l'esattezza delle informazioni che hanno inserito. Le informazioni sarebbero quindi marcateelettronicamente da un segnale dal quale risulterebbe che la verifica stataeffettuata. Dovrebbe inoltre essere possibile aggiungere commenti riguardantilo status del caso.
11. PERIODO DICONSERVAZIONE L'articolo 6, paragrafo 1,lettera (e), della direttiva 95/46/CE prevede che i dati personali debbanoessere "conservati in modo da consentire l'identificazione delle personeinteressate per un arco di tempo non superiore a quello necessario alconseguimento delle finalit per le quali sono rilevati o sono successivamentetrattati". I periodi di conservazionedescritti al precedente punto 6 sollevano importanti preoccupazioni per quantoriguarda la protezione dei dati. In effetti, senza le protezioni e i limitinecessari, il CPCS rischia di diventare una gigantesca base di dati contenenteinformazioni obsolete e inesatte, conservate per lunghi periodi di tempo eutilizzate da autorit competenti che ricercano informazioni a fini nonprecisati dal regolamento CPC. 11.1. Periodo diconservazione di cinque anni dopo l'esecuzione della normativa. Il regolamento CPCprevede l'obbligo di conservare i dati relativi ad infrazioni per cinque anni se stata adottata una misura di esecuzione, senza precisare tuttavia lafinalit di tale conservazione per un periodo cos lungo. Quest'obbligorischia di trasformare il CPCS in una base di dati europea di imprese iscrittesu una lista nera. Le persone fisiche, venditori o fornitori, ed inoltre idirettori, i dipendenti o le altre persone coinvolte che figurano nella base di dati potrebbero essere considerati come non degni di fiducia sulla base di ciche potrebbe essere a volte solo una semplice associazione con una impresa cheha commesso un'infrazione. Non possibile sapere se tale fosse l'intenzionedei legislatori. chiaro tuttavia che essi non hanno reso esplicita taleintenzione o fornito le garanzie necessarie di protezione dei dati al fine digarantire che essi possano essere utilizzati in modo sicuro per queste finalit supplementari. Il Gruppo di lavororibadisce a questo punto il suo rammarico per non essere stato consultato intempo utile prima dell'adozione del regolamento CPC. Se ci fosse avvenuto,avrebbe espresso serie preoccupazioni quanto alla proporzionalit del terminedi cinque anni e avrebbe inoltre insistito affinch le finalit dellaconservazione dei dati fossero chiaramente precisate. Il Gruppo di lavoromantiene queste preoccupazioni ed auspica una modifica del regolamento CPC.Tuttavia, considerando che deve esprimere il suo parere in merito a posteriori,il Gruppo raccomanda, come misura pratica, che sino a quando i legislatori nonavranno modificato il regolamento CPC sia per precisare la finalit di taleperiodo di conservazione sia per eliminarlo, la Commissione e le autoritcompetenti interpretino l'obbligo di conservazione per cinque anni nel modo pirestrittivo possibile e, allo stesso tempo, introducano una serie di garanzieminime. Ci comporta, tra l'altro, un chiarimento favorevole alla protezionedei dati e una risposta alle seguenti domande: Qual' la finalitprincipale del periodo quinquennale di conservazione dei dati? A quali dati si applicaquesto periodo? Quando le informazionidevono essere oggetto di una notifica in vista della loro cancellazione? Tali questioni dovebberotrovare una risposta al fine di garantire che sia conservata solo la quantitminima di dati personali necessaria per una cooperazione efficace. Le risposte dovrebbero essere formalizzate in una nuova decisione di attuazione delregolamento CPC e le modifiche dovrebbero essere applicate anchenell'architettura del sistema del CPCS. 11.2. Casi che sono"dimenticati" o per altri motivi non notificati per la cancellazione. Il regolamento CPC e lasua decisione di attuazione prevedono l'obbligo per le autorit competenti diinformare la Commissione quando i casi sono chiusi o quando le autorit competenti qualificano come infondato un allarme. Vi sono tuttavia alcunelacune che devono essere colmate. Tra di esse indichiamo le seguenti: Un'autorit competente pusemplicemente decidere di non chiudere un caso aperto anche se non stataadottata alcuna misura investigativa e nessuna nuova informazione apparsaper un lungo periodo di tempo. In altre parole, i casi a volte semplicemente si trascinano. Un'autorit competente puanche chiudere un caso, ma "dimenticare" di informare la Commissioneche i dati relativi a tale caso devono essere cancellati dalla base di dati. L'autorit interpellatapu finire per non prendere misure di esecuzione poich l'infrazione cessa perun'altra ragione (ad esempio, un'azione legale intentata da terzi). In questocaso, la Commissione non ne informata. Per rispondere a questepreoccupazioni, il Gruppo di lavoro raccomanda di invertire la "logica" della conservazione e della cancellazione dei dati: i casidovrebbero essere considerati chiusi dopo un ragionevole lasso di tempo adecorrere dall'invio della richiesta di informazioni o di esecuzione e i datidovrebbero essere cancellati dal CPCS in quel momento, dopo aver avvertito leautorit competenti interessate che dovrebbero avere la possibilit di confermare che il caso rimane aperto. La proroga del termine di conservazionedovrebbe essere concessa unicamente per un periodo determinato, in modo taleche la necessit del mantenimento della registrazione sia rivistaperiodicamente. Se l'autorit competente non richiede una proroga, tutte leinformazioni collegate al caso dovrebbero essere soppresse. Per garantire che leinformazioni non siano cancellate "per errore", il sistema potrebbe prevedere allarmi ripetuti e "periodi di grazia" ragionevoli pertrattare la situazione quando un'autorit competente non reagisce rapidamente.Durante la preparazione del presente parere, la DG SANCO ha spiegato di esseregi in procinto di creare un sistema volto a garantire che le autoritcompetenti ricevano avvisi pro memoria periodici, ogni sei o dodici mesi,quando alcuni loro casi appaiano come "in sonno". Il Gruppo dilavoro esprime soddisfazione per questa iniziativa e incoraggia l'ulterioresviluppo di questi piani al fine di rispondere in modo pi completo allaraccomandazione contenuta nel presente parere. 11.3 Conservazione deidati al di fuori del CPCS. Il Gruppo di lavorosegnala infine che, in questo documento, non affronta la questione delladurata durante la quale un'autorit competente pu conservare al di fuori delsistema i dati che vi sono scambiati, ad esempio in una copia su supportocartaceo allegata al dossier relativo ad un caso specifico. Richiama tuttavial'attenzione delle autorit competenti della Commissione sul fatto che lalegislazione e i principi della protezione dei dati si applicano allo stessomodo alla memorizzazione delle informazioni al di fuori del CPCS.
12. TRATTAMENTO DEIDATI SENSIBILI 12.1. Origine razzialeo etnica, opinioni politiche, convinzioni religiose o filosofiche, L'articolo 8 delladirettiva 95/46/CE vieta il trattamento di dati personali che rivelanol'origine razziale o etnica, le opinioni politiche, le convinzioni religiose ofilosofiche, l'appartenenza sindacale, nonch il trattamento di dati relativialla salute e alla vita sessuale. L'articolo 10 del regolamento (CE) n.45/2001 contiene un divieto analogo. Nessun dato di questanatura sistematicamente trattato dal CPCS, anche se il regolamento CPC o ladecisione che lo applica non vietano specificamente tale trattamento ed possibile che questi dati possano occasionalmente figurare nelle informazioniscambiate. Ad esempio, informazioni sensibili su un cliente possono figurarein un documento allegato come prova di acquisto di alcuni prodotti o servizi. Il Gruppo di lavororaccomanda che la decisione di attuazione del regolamento CPC sia modificataper vietare esplicitamente il trattamento di questa categoria speciale di dati consentendo al tempo stesso, se necessario, alcune eccezioni strettamentedefinite. 12.2. Dati relativi areati, sospetti di reati e misure di sicurezza. L'articolo 8, paragrafo 5, della direttiva 95/46/CE stabilisce che "i trattamenti riguardanti i datirelativi alle infrazioni, alle condanne penali o alle misure di sicurezzapossono essere effettuati solo sotto controllo dell'autorit pubblica, o sevengono fornite opportune garanzie specifiche, sulla base del dirittonazionale, fatte salve le deroghe che possono essere fissate dallo Stato membroin base ad una disposizione nazionale che preveda garanzie appropriate especifiche. Tuttavia, un registro completo delle condanne penali pu esseretenuto solo sotto il controllo dell'autorit pubblica." Il CPCS comprendesistematicamente dati relativi alle infrazioni o ai sospetti di infrazioni, in particolare le attivit che violano la legislazione sulla tutela deiconsumatori. Pu trattarsi di illeciti amministrativi o penali. Anche lesanzioni amministrative, le condanne penali, le sentenze nelle cause civili ele misure di sicurezza possono figurare nella base di dati. Il regolamento CPC, che direttamente applicabile negli Stati membri, autorizza il trattamento diquesti dati. Il Gruppo di lavoro sottolinea tuttavia che non bisogna ritenereche il regolamento CPC autorizzi globalmente e incondizionatamente questotrattamento di dati sensibili. L'utilizzazione dei dati deve essere limitata aspecifiche finalit di assistenza reciproca, come stabilito nel regolamentoCPC. 12.3. Numero nazionaledi identificazione. L'articolo 8, paragrafo 7,della direttiva 95/46/CE stabilisce che gli Stati membri "determinano aquali condizioni un numero nazionale di identificazione o qualsiasi altromezzo identificativo di portata generale pu essere oggetto ditrattamento". A sua volta, l'articolo 10, paragrafo 6, del regolamento(CE) n. 45/2001 prevede che "il Garante europeo della protezione dei datistabilisce le condizioni generali alle quali un numero personale o qualsiasialtro mezzo di identificazione di uso generale pu essere trattato daun'istituzione o un organismo della Comunit". N il regolamento CPC, nla decisione di attuazione di questo regolamento, n il documento d'analisidella Commissione suggeriscono che numeri nazionali di identificazione saranno utilizzati sistematicamente nel CPCS. La decisione, quando specifica i varicampi di dati che devono servire a identificare un venditore o un fornitore,menziona altre informazioni, come l'indirizzo e i numeri di telefono, ma nonprevede una registrazione specifica per i numeri nazionali di identificazione.Ci detto, non si pu escludere che un funzionario di un'autorit competenteincaricato dell'applicazione non possa inserire i numeri nazionali di identificazione di alcune persone, ad esempio le persone fisiche venditori ofornitori, i direttori o i dipendenti, i ricorrenti, i testimoni o altreparti. Tenuto conto della naturasensibile dei numeri nazionali di identificazione, almeno in alcuni Statimembri, il Gruppo di lavoro raccomanda di evitare di utilizzare questi numerinazionali nel CPCS, a meno che l'identificazione non sia strettamentenecessaria e non possa essere effettuata ricorrendo ad altri mezzi (adesempio, utilizzando l'indirizzo, il titolo della funzione o un altro elementodi identificazione). In ogni caso, se i numeri nazionali di identificazione devono essere utilizzati in queste circostanze eccezionali, sar opportunoprendere pienamente in considerazione le eventuali restrizioni imposte dallelegislazioni nazionali sulla protezione dei dati al momento di inserire o ditrattare questi dati.
13. ESENZIONI ELIMITAZIONI L'articolo 13, paragrafo4, del regolamento CPC prevede che, ai fini dell'applicazione di questoregolamento, "gli Stati membri adottano le misure legislative necessarieper limitare i diritti e gli obblighi di cui agli articoli 10, 11 e 12 delladirettiva 95/46/CE nella misura in cui ci sia necessario per salvaguardaregli interessi di cui all'articolo 13, paragrafo 1, lettere (d) e (f) di taledirettiva. La Commissione pu limitare i diritti e gli obblighi di cui agliarticoli 4, paragrafo 1, 11, 12, paragrafo 1, da 13 a 17 e 37, paragrafo 1, delregolamento (CE) n. 45/2001, laddove tale limitazione costituisca una misuranecessaria per salvaguardare gli interessi di cui all'articolo 20, paragrafo1, lettere (a) ed (e) di tale regolamento." Questa disposizione nonsostituisce il sistema eterogeneo preesistente, nel quale le limitazioni aidiritti delle persone ineressate, in particolare i loro diritti in materia diinformazione e di accesso, variavano conformemente alle diverse esenzionilegislative adottate dai vari Stati membri. Ci pu essere comprensibiletenuto conto delle differenze esistenti tra gli Stati membri in materie cheimplicano procedure penali, amministrative o giudiziarie e l'accesso ai documenti relativi a tali procedure. Tuttavia, la mancanza di armonizzazione atale riguardo rende anche particolarmente difficile la conformit allaprotezione dei dati e la cooperazione tra gli Stati membri per quanto riguardale autorizzazioni di accesso, come mostreremo nel seguente punto 15. Al finedi creare un terreno comune di intesa e di incoraggiare i legislatori nazionali ad elaborare una serie di principi comuni, il Gruppo di lavoroesprime le seguenti raccomandazioni. 13.1. Deroghe erestrizioni posti dagli Stati membri. L'articolo 13, paragrafo1, lettera (d), prevede che le restrizioni sono possibili quando costituisconouna misura necessaria alla salvaguardia "della prevenzione, dellaricerca, dell'accertamento e del perseguimento di infrazioni penali o diviolazioni della deontologia delle professioni". L'articolo 13, paragrafo 1, lettera (f), precisa inoltre che la stessa eccezione si applica a "uncompito di controllo, ispezione o disciplina connesso, anche occasionalmente,con l'esercizio dei pubblici poteri" in virt dell'articolo 13, paragrafo1, lettera (d). Il Gruppo di lavororaccomanda che gli Stati membri, quando adottano misure volte a limitare idiritti e gli obblighi di cui agli articoli 10, 11 e 12 della direttiva95/46/CE, prendano in considerazione il fatto che tali restrizioni devonoessere limitate a quanto strettamente necessario per salvaguardarel'interesse indicato all'articolo 13, paragrafo 1, lettere (d) ed (f), delladirettiva 95/46/CE. In primo luogo, qualunquerestrizione dovrebbe applicarsi unicamente fatti salvi i diritti all'informazionedelle persone interessate in virt degli articoli 10 e 11 della direttiva 95/46/CE o i loro diritti di accesso, di rettifica, di cancellazione o dicongelamento conformemente all'articolo 12. La restrizione di qualunque altrodiritto di cui all'articolo 13 della direttiva 95/46/CE, in particolare iprincipi relativi alla qualit dei dati o all'esigenza di notifica alleautorit incaricate della protezione dei dati, non consentita. In secondo luogo, n ladirettiva 95/46/CE n il regolamento (CE) n. 45/2001 prevedono una regolaglobale e sistematica che privi dei loro diritti di informazione e di accessotutte le persone interessate i cui dati possono essere trattati in relazione ailleciti penali e infrazioni alla deontologia di professioni regolamentate.L'adozione di misure restrittive non dovrebbe essere arbitraria nsproporzionata, e neppure limitare sistematicamente il diritto di informazionedelle persone interessate o il loro diritto di accesso ai loro dati personali. Le eventuali restrizionipossono essere consentite solo se la fornitura di informazioni alle personeinteressate o la concessione di un diritto d'accesso non reca pregiudizio allefinalit "della prevenzione, della ricerca, dell'accertamento e delperseguimento". In altri termini, per riprendere la terminologiadell'articolo 13, paragrafo (3), del regolamento CPC, qualunque restrizione consentita solo se la concessione dei diritti alle persone interessate"metterebbe a repentaglio l'obiettivo di ispezioni o indagini". Anche se auspicabile unorientamento legislativo generale quanto ai casi per i quali ci sarebbepossibile, necessaria un'analisi dei fatti caso per caso per determinare seuna restrizione dei diritti d'accesso alle informazioni consentita. Gliorientamenti del CPCS sopramenzionati dovrebbero precisare le variefattispecie. In terzo luogo, leeccezioni ai diritti di protezione dei dati si applicano solo temporaneamente, per il periodo necessario a salvaguardare le finalit "della prevenzione,della ricerca, dell'accertamento e del perseguimento". In quarto luogo, lepersone interessate devono essere informate sui principali motivi sui quali sibasa la restrizione e sul loro diritto di ricorrere alle autorit nazionaliincaricate della protezione dei dati. La fornitura di informazioni pu esseredifferita per tutto il tempo in cui tali informazioni priverebbero larestrizione dei suoi effetti. Infine, e in ogni caso, ilGruppo di lavoro raccomanda che qualunque limitazione sia chiaramente indicatanelle dichiarazioni sulla protezione dei dati personali delle varie autorit competenti. 13.2. Deroghe erestrizioni poste dalla Commissione. Il regolamento CPC prevede possibilit analoghe per la Commissione di restringere i diritti delle personeinteressate. Tuttavia, i diritti della Commissione sono pi estesi di quellidegli Stati membri. In particolare, la Commissione pu anche limitare ledisposizioni del regolamento (CE) n. 45/2001 per quanto riguarda la qualitdei dati e pu conservare i dati sul traffico delle comunicazioni relativiagli utenti alla fine della chiamata o di altro collegamento. Il Gruppo di lavorosottolinea che tutte le osservazioni sopra enunciate a proposito delle limitazioni che possono essere applicate dalle autorit competenti negli Statimembri si applicano anche alla Commissione. Il Gruppo di lavoroesprime inoltre preoccupazione per la possibilit che il regolamento CPC attribuisce alla Commissione di limitare le disposizioni del regolamento (CE)n. 45/2001 per quanto riguarda (i) la qualit dei dati e (ii) la conservazionedei dati sul traffico delle comunicazioni. La possibilit direstrizioni dei principi fondamentali, come quelli che si riferiscono alla qualit dei dati, deve limitarsi strettamente ai casi nei quali una restrizionerisulta indispensabile. Il Gruppo di lavoro ha infatti difficolt adimmaginare una situazione che giustificherebbe restrizioni nel contesto di unacooperazione tra le autorit incaricate della tutela dei consumatori, adesempio per quanto riguarda la pubblicit ingannevole, i viaggi "tuttocompreso" o la multipropriet, anche in presenza di attivit fraudolente. Quanto alla possibileconservazione dei dati sul traffico delle comunicazioni da parte della Commissione,il Gruppo di lavoro non riesce a capire per quale finalit tale disposizione possa essere invocata, considerando che tutti i dati sul traffico dellecomunicazioni nel CPCS si riferiscono a scambi di informazioni tra autoritcompetenti e che non vi sono motivi per cui la Commissione conservi ilcontenuto di tali comunicazioni al di l di quanto consentito in altri casi(ad esempio, per sei mesi al fine di consentire la verifica dell'utilizzazione autorizzata). Sino a che il contenuto dei dati all'interno della base didati, legittimo registrare alcuni dati sul traffico delle comunicazioni,come ad esempio la "data di inserimento" nel sistema. Una volta chetale contenuto cancellato, ad esempio quando un allarme ritirato, non vi sonomotivi per conservare alcun dato sul traffico delle comunicazioni.
14. INFORMAZIONI DAFORNIRE ALLA PERSONA INTERESSATA Conformemente agliarticoli 10 e 11 della direttiva 95/46/CE, i responsabili del trattamento devono informare le persone interessate in merito al trattamento dei loro datipersonali. Il regolamento (CE) n. 45/2001 stabilisce requisiti analoghi. Lepersone fisiche devono inoltre essere informate, tra l'altro, sulle finalitdel trattamento, sui destinatari dei dati e sui loro diritti specifici, inqualit di persone interessate. Il diritto di informazione in s essenziale. Esso consente inoltre alle persone fisiche di esercitare altri diritti: se esseignorano che sono trattate informazioni che le riguardano, possono non esserein grado di esercitare altri diritti, come il diritto di accesso e direttifica. N il regolamento CPC, nla decisione di attuazione del regolamento CPC, n il documento d'analisidella Commissione prevedono disposizioni concernenti i diritti di informazionedelle persone interessate (tranne quanto figura al punto 13 a proposito dellerestrizioni). Il Gruppo di lavoro raccomanda l'adozione di un approccio perfasi. 14.1. Avvertenzaesauriente relativa alla tutela della sfera privata sulla pagina Internet Sul suo portale dedicatoal CPCS, la Commissione dovrebbe pubblicare un'avvertenza generale concernentela tutela della sfera privata e che riprenda tutti i punti richiesti in virtdegli articoli 11 e 12 del regolamento (CE) n. 45/2001. Tale avvertenza dovrebbecontenere inoltre una descrizione del CPCS, dei ruoli della Commissione edelle autorit competenti, a un livello di dettaglio almeno comparabile alle spiegazioni fornite nel presente documento. Il Gruppo di lavoro raccomandaanche che questa avvertenza precisi esplicitamente come le persone interessatepossono esercitare i loro diritti di accesso e quali sono le restrizioniimposte a tali diritti, senza tuttavia spiegare in dettaglio le varie restrizioniesistenti nei differenti Stati membri. La dichiarazione concernente la tutela della sfera privata deve essere redatta in un linguaggio chiaro e semplice,accessibile per le persone interessate che non possiedono conoscenzespecifiche nel settore della protezione dei dati. 14.2. Avvertenzarelativa alla tutela della sfera privata sulla pagina Internet delle Anche le autoritcompetenti dovrebbero pubblicare un'avvertenza sulla tutela della sferaprivata nel loro portale. A tale riguardo, il Gruppo di lavoro constata inoltre che oltre agli obblighi posti dalla direttiva 95/46/CE, l'articolo 4,paragrafo 8, del regolamento CPC prevede specificamente che "ogniautorit competente rende pubblici i diritti e le responsabilit ad essaconferiti in virt del presente regolamento". L'avvertenza concernente latutela della sfera privata dovrebbe comprendere un rinvio e un collegamentoverso l'avvertenza della Commissione in materia, oltre ad altri dettaglispecifici all'autorit o allo Stato membro in questione. Queste avvertenzedevono comprendere ad esempio qualunque restrizione nazionale ai dirittid'accesso o di informazione. La diffusione dell'avvertenza pu esserecoordinata dall'ufficio unico di collegamento tra le autorit competentinell'ambito di un paese determinato. 14.3. Avvertenzafornita direttamente alle persone interessate. Al pi tardi al momento dell'inserimento dei dati personali e a meno che non possa essere applicata unarestrizione (si veda il punto 13), un'avvertenza deve essere inviata anchealle persone interessate utilizzando mezzi diversi dall'avvertenza sullatutela della sfera privata inserita nel sito Internet. Ci potrebbe consisterenell'inserire un breve riferimento al CPCS in un collegamento verso le avvertenze corrispondenti in materia di sfera privata su Internet in tutta lacorrispondenza scambiata con la persona interessata (venditore, direttore,ricorrente, testimone, ecc). Se la comunicazione diqueste avvertenze individuali risulta impossibile o richiede sforzi sproporzionati (ad esempio, se l'autorit competente non dispone dellecoordinate della persona interessata), l'avvertenza individuale pu essereomessa. Come indicato al punto 13, la messa a disposizione di informazioni puessere differita anche se i diritti di informazione sono temporaneamentelimitati.
15. IL DIRITTO DIACCESSO AI DATI DELLE PERSONE INTERESSATE L'articolo 12, lettera(a), della direttiva 95/46/CE, nella parte corrispondente, stabilisce che le personeinteressate possono ricevere dal responsabile del trattamento (i) la conferma dell'esistenza o meno di trattamenti di dati che le riguardano e l'informazionealmeno sulle finalit dei trattamenti, sulle categorie di dati trattati, suidestinatari o sulle categorie di destinatari cui sono comunicati i dati, (ii)la comunicazione in forma intelligibile dei dati che sono oggetto deitrattamenti, nonch di tutte le informazioni disponibili sull'origine dei dati. Inoltre, l'articolo 12,alla lettera (b), richiede che le persone interessate possano ottenere dal responsabile del trattamento, a seconda dei casi, la rettifica, lacancellazione o il congelamento dei dati il cui trattamento non conformealle disposizioni della direttiva 95/46/CE, in particolare a causa delcarattere incompleto o inesatto dei dati. Il regolamento (CE) n. 45/2001contiene disposizioni analoghe. N il regolamento CPC, nla decisione di attuazione del regolamento CPC, n il documento d'analisidella Commissione contengono disposizioni concernenti i diritti di accessodelle persone interessate. Si tratta in effetti di una questione complessa,tenuto conto dei vari soggetti implicati nelle attivit di trattamento deidati. Diverse autoritcompetenti, oltre alla Commissione, hanno ciascuna accesso ad alcuni dati personali inseriti nel sistema. Spesso diversi soggetti hanno accesso allestesse informazioni. In generale, ad esempio, due autorit o pi hanno accessoalle richieste di informazioni e di esecuzione. Alcune autorit, oltre allaCommissione, possono avere accesso a informazioni relative agli allarmi. Lepersone interessate possono rivolgersi a varie autorit per richiedere il diritto di accesso. La situazione tanto pidifficile per il fatto che le norme che riguardano le restrizioni d'accessovariano da uno Stato membro all'altro, come abbiamo visto al punto 13. Tenuto conto del fatto che vi possono essere diverse restrizioni ai diritti di accessonegli Stati membri, possibile che un paese possa accedere ad alcuni datimentre un altro non ne abbia la possibilit. Per questo motivo indispensabile che le autorit competenti collaborino rispetto a ciascunarichiesta di accesso che esse ricevono. Le raccomandazioni che ilGruppo di lavoro formula qui di seguito descrivono due situazioni cherichiedono misure di coordinamento particolari al fine di garantire laconformit: (i) le informazioni sono richieste da un'autorit competente ma ilfatto di consentire l'accesso a tali dati pu influenzare le attivit diinchiesta o di esecuzione di un'altra autorit, (ii) le persone interessaterivolgono le loro richieste d'accesso alla Commissione. 15.1. Coordinamento trale autorit competenti. Il Gruppo di lavororaccomanda che, se la concessione dell'accesso a dati personali puinfluenzare la procedura di inchiesta o di esecuzione avviata da altreautorit competenti, quella cui la domanda d'accesso stata presentatarichiede il parere di queste altre autorit prima di concedere l'accesso. L'accesso dovrebbe quindiessere consentito solo se le altre autorit competenti interessate hanno avutol'occasione di comunicare le rispettive posizioni e sono state esaminate le eventuali obiezioni alla concessione dell'accesso fondate su una esenzione specificaprevista dalle rispettive normative nazionali sulla protezione dei dati. Se leautorit non rispondono entro un termine ragionevole o se non sollevanoobiezioni, l'autorit alla quale la domanda di accesso stata presentata pudecidere in funzione della propria legislazione nazionale se si applicaun'esenzione o se l'accesso pu essere consentito. Se le autorit non sonod'accordo sulla concessione dell'accesso, l'autorit che ha fornito leinformazioni dovrebbe essere quella che decide in ultima analisi sui criteridi accesso. Un meccanismo analogo dicooperazione dovrebbe applicarsi alla rettifica, alla cancellazione o alcongelamento dei dati. Il Gruppo di lavorosottolinea tuttavia che questa procedura di coordinamento non dovrebbe servireper rifiutare arbitrariamente l'accesso alle persone interessate o a prorogare artificialmente il termine necessario per la concessione del diritto d'accesso.Inoltre, il rifiuto di questo diritto deve essere chiaramente motivato e lapersona interessata deve essere avvertita che pu eventualmente rivolgersi aun'altra autorit competente per ottenere l'esercizio di tale diritto. 15.2. Coordinamento trala Commissione e le autorit competenti. possibile che le persone interessate rivolgano le loro domande d'accesso alla Commissione. A tale proposito, opportuno in primo luogo sottolineare che la Commissione pu fornire solamenteun accesso a dati ai quali essa stessa ha legittimamente accesso. LaCommissione non ha quindi un obbligo di concedere l'accesso a richieste diinformazioni, richieste di esecuzione e relative comunicazioni. In questicasi, deve orientare le persone interessate verso le autorit che hannoaccesso alle informazioni. La situazione diversaper le informazioni alle quali la Commissione ha legittimamente accesso, adesempio le informazioni relative agli allarmi o le informazioni di ritorno. Atale proposito, il Gruppo di lavoro raccomanda che quando la Commissionericeve una domanda d'accesso, sollecita il parere dell'autorit competente cheha fornito per prima le informazioni. L'accesso dovrebbe inquesto caso essere consentito solo se la parte che ha fornito le informazioniha avuto occasione di comunicare la propria posizione ed stata esaminata qualunque obiezione alla concessione dell'accesso basata su un'eccezionespecifica a titolo della sua legislazione nazionale in materia di protezionedei dati. Se la parte fornitrice non risponde entro un termine ragionevole ose non presenta obiezioni, la Commissione pu decidere sulla base delregolamento (CE) n. 45/2001 se si applica un'eccezione o se l'accesso puessere consentito. Oltre a prendere contattocon l'autorit competente che ha fornito le informazioni, la Commissione deveinoltre dare l'opportunit di esprimere le loro preoccupazioni a tutte le altre autorit competenti le cui attivit di inchiesta o di esecuzione possonoessere compromesse. Tuttavia, se le autorit non sono d'accordo sullaconcessione dell'accesso, l'autorit che ha fornito le informazioni dovrebbeessere quella che decide in ultima analisi sui criteri d'accesso. Un meccanismo analogo dicooperazione dovrebbe applicarsi alla rettifica, alla cancellazione o alcongelamento dei dati.
16. MISURE DI RICORSO Fatti salvi ricorsi amministrativiche possono essere promossi dinanzi alle autorit nazionali competenti per laprotezione dei dati o dinanzi al Garante europeo della protezione dei dati, l'articolo 22 della direttiva 95/46/CE richiede agli Stati membri di stabilireche chiunque possa disporre di un ricorso giurisdizionale in caso diviolazione dei diritti garantitigli dalle disposizioni nazionali applicabilial trattamento in questione. L'articolo 23 li obbliga, in particolare, astabilire che chiunque abbia subito un danno cagionato da un trattamentoillecito o da qualsiasi altro atto incompatibile con le disposizioni nazionalidi attuazione della direttiva abbia il diritto di ottenere il risarcimento delpregiudizio subito dal responsabile del trattamento. Il responsabile deltrattamento pu essere liberato da questa responsabilit, in tutto o in parte,se prova che l'evento dannoso non gli imputabile. Secondo l'analisi delGruppo di lavoro concernente i soggetti del CPCS come indicato al punto 8, laCommissione, gli uffici unici di collegamento e le autorit competenti sono e saranno considerati ciascuno come responsabile del trattamento in rapporto ailoro specifici compiti e responsabilit.
17. SICUREZZA In virt dell'articolo 22del regolamento (CE) n. 45/2001, il responsabile del trattamento deve adottareopportune misure tecniche ed organizzative per garantire un livello disicurezza appropriato, in relazione ai rischi che il trattamento comporta ealla natura dei dati personali da proteggere. La direttiva 95/46/CE prevedemisure di sicurezza analoghe. La Commissione, chegestisce il CPCS ed uno dei responsabili dei dati in virt del regolamentoCPC, soggetta alle disposizioni del regolamento (CE) n. 45/2001. Considerando, da un lato,che le legislazioni nazionali concernenti la protezione dei dati sono in granparte armonizzate sulla base della direttiva 95/46/CE e, d'altro lato, che tale armonizzazione non completa e che esistono alcune differenze tra gli Statimembri quanto al livello di sicurezza accettabile, il Gruppo di lavororaccomanda che le disposizioni del regolamento (CE) n. 45/2001 in materia disicurezza siano interpretate conformemente alle migliori prassi vigenti negliStati membri. Questi dovrebbero inoltre essere incoraggiati ad accrescere lasicurezza dell'accesso da parte delle autorit competenti. Se dovesse verificarsi unaviolazione della sicurezza o della confidenzialit, le persone interessatepotrebbero ricorrere al Garante europeo della protezione dei dati, che possiede poteri di supervisione sulla Commissione, conformemente alle disposizione delregolamento (CE) n. 45/2001. Il Garante europeo della protezione dei dati puinoltre avviare di propria iniziativa un'ispezione sulla sicurezza o un auditdella base di dati. Tali operazioni possono avere luogo sia nell'ambito sia aldi fuori della procedura di controllo preliminare di cui al seguente punto 18.
18. NOTIFICA ECONTROLLO PRELIMINARE 18.1. Autoritnazionali competenti per la protezione dei dati. In applicazione degli articoli 18, 19 e 20 della direttiva 95/46/CE, le autorit competenti in piStati membri devono notificare le loro operazioni di trattamento in virt delCPCS alle autorit nazionali incaricate della protezione dei dati. In alcuniStati membri, possibile che le operazioni di trattamento debbanopreventivamente essere controllate da tali autorit. Nei paesi che prevedonoquesta procedura, le operazioni di trattamento sono soggette al controllopreventivo da parte delle autorit nazionali per il fatto che tali operazionisono suscettibili di presentare un rischio specifico per i diritti e lelibert delle persone interessate. Tale caso si verifica, adesempio, quando la legislazione nazionale richiede che il trattamento dei datirelativi a illeciti penali o a sospetti di illeciti sia oggetto di un controllopreventivo. La valutazione finalizzata a determinare se queste operazioni ditrattamento ricadono nell'ambito di applicazione delle disposizioni relativeal controllo preventivo dipende dalla legislazione e dalle prassi nazionalidell'autorit nazionale incaricata della protezione dei dati. 18.2. Controllopreventivo da parte del Garante europeo della protezione dei dati. Le informazioni scambiatecontengono dati personali riguardanti reati, sospetti di reati, condanne penali ed eventualmente misure di sicurezza. Tenuto conto della natura dei datie del ruolo della Commissione nel caso presente, la base di dati dovrebbeessere soggetta al controllo preventivo in virt dell'articolo 27, paragrafo2, lettera (a), del regolamento (CE) n. 45/2001. Il trattamento ricadeinoltre nell'ambito di applicazione dell'articolo 27, paragrafo 2, lettera (b), di tale regolamento, il quale prevede che i trattamenti "destinati avalutare aspetti della personalit degli interessati, inclusi aspetti quali(...) il loro comportamento" sono soggetti al controllo preventivo daparte del Garante europeo della protezione dei dati. In effetti, i dati contenuti nel CPCS potrebbero servire a valutare il comportamento delle personefisiche (operatori commerciali, direttori, forse anche membri del personale oaltri) che sono sospettati di essere coinvolti in reati al fine di determinarele misure adeguate da adottare (misure di inchiesta o di esecuzione). Il controllo preventivo tanto pi necessario poich (i) i particolari della base di dati non sono stati fissati da un regolamento del Parlamento e del Consiglio o da unadirettiva di alto livello, (ii) il Garante europeo della protezione dei datinon ha assistito i legislatori durante il processo legislativo e (iii) laCommissione designata come responsabile del trattamento conformemente alregolamento CPC. Dal momento che il sistema gi funzionante, il Garante europeo della protezione dei dati dovreffettuare il controllo preventivo "ex post". 18.3. Coordinamentodelle procedure di notifica e di controllo preventivo. Tenuto conto del fattoche le autorit competenti, oltre alla Commissione, sono tutte responsabili peril trattamento e che esistono pi autorit competenti in alcuni Stati membri,il Gruppo di lavoro raccomanda che le procedure di controllo preventivo sianocoordinate tra le autorit nazionali incaricate della protezione dei dati e ilGarante europeo della protezione dei dati, in modo da poter sviluppare unapproccio coerente.
19. TRASFERIMENTO DIDATI PERSONALI A PAESI TERZI L'articolo 14, paragrafo2, del regolamento CPC stabilisce che "le informazioni trasmesse ai sensidel presente regolamento possono anche essere comunicate a un'autorit di unpaese terzo da un'autorit competente, nell'ambito dell'accordo bilaterale diassistenza con detto paese, purch sia stato ottenuto il consensodell'autorit competente che ha fornito l'informazione in origine, e in lineacon la legislazione comunitaria sulla protezione delle persone fisiche perquanto riguarda il trattamento dei dati personali." Conformemente all'articolo25 della direttiva 95/46/CE, i trasferimenti verso un paese terzo possono averluogo soltanto se il paese terzo di cui si tratta garantisce un livello diprotezione adeguato. L'articolo 26, paragrafo 1, della direttiva 95/46/CEprevede alcune deroghe a tale principio. La sua lettera (d) stabilisce adesempio che "il trasferimento sia necessario o prescritto dalla legge perla salvaguardia di un interesse pubblico rilevante". L'articolo 26, paragrafo 2, prevede inoltre che gli Stati membri possono autorizzaretrasferimenti qualora il responsabile del trattamento presenti garanzie sufficienti,in particolare mediante clausole contrattuali appropriate. L'esecuzione el'interpretazione di queste disposizioni possono variare da uno Stato membro all'altro. Per tale motivo, il Gruppo di lavoro esprime soddisfazione per ilfatto che il regolamento CPC sottoponga esplicitamente qualunque trasferimentodi dati verso un paese terzo al consenso dell'autorit che ha fornito inorigine l'informazione. Il Gruppo di lavororaccomanda inoltre agli Stati membri di vigilare affinch gli accordi di assistenzabilaterale con paesi terzi siano rivisti al fine di prevedere garanzieappropriate in materia di protezione dei dati.
20. CONCLUSIONI In conclusione, il Gruppodi lavoro esprime la propria soddisfazione per il fatto che il CPCS dispone diuna base giuridica adeguata, stabilito per finalit legittime e pu servirecome strumento conforme alla protezione dei dati per contribuire allacooperazione tra le autorit competenti e la Commissione, a condizione che leraccomandazioni del Gruppo di lavoro siano interamente prese inconsiderazione. Ci detto, il Gruppo dilavoro ribadisce il suo rammarico per non essere stato consultato in una faseprecedente della procedura, prima dell'adozione del regolamento CPC, della decisione di attuazione di tale regolamento e dell'avvio operativo del CPCS. Nella presente fase, sullabase del testo attuale del regolamento CPC, il Gruppo di lavoro raccomanda unaserie di misure che dovrebbero essere adottate dalla Commissione e dalle autorit competenti per migliorare la conformit con la protezione dei dati. Intaluni casi, l'adozione di misure pu rendere necessario il ricorso allaprocedura regolamentare e l'emissione di una nuova decisione di attuazione delregolamento CPC con l'assistenza del comitato di regolamentazione. Altreraccomandazioni potrebbero essere attuate a un livello pi operativo, da partedella Commissione, attraverso gli orientamenti del CPCS e la formazioneimpartita ai funzionari incaricati dell'esecuzione, nonch mediante modifiche dell'architettura del CPCS. Il Gruppo di lavorosottolinea inoltre che, nel quadro del funzionamento e dell'utilizzazione delsistema, le autorit competenti e la Commissione devono essere consapevolidella natura speciale del loro rapporto di controllo congiunto, e inoltre delfatto che coesistono diverse legislazioni applicabili in materia di protezionedei dati e diverse autorit di controllo. Esse devono sforzarsi di cooperarepienamente per garantire il rispetto delle legislazioni sulla protezione deidati. Il Gruppo di lavororaccomanda in particolare quanto segue: I funzionari incaricatidell'esecuzione che lavorano per le autorit competenti dovrebbero valutarecaso per caso la conformit ai principi di protezione dei dati: Per assisterli nellaadozione delle decisioni, la Commissione dovrebbe elaborare e diffondere gliorientamenti per il CPCS. Ogni volta che ci possibile, le caratteristiche tecniche del CPCS dovrebbero essere rielaborateal fine di comprendere i messaggi di avvertimento pro memoria e altre misuretecniche volte a garantire la conformit con la normativa sulla protezione deidati. I principi dellaprotezione dei dati dovrebbero essere integrati nella formazione dei funzionari incaricati dell'esecuzione. Le finalit per le qualile autorit competenti e la Commissione possono avere accesso alla base didati dovrebbero essere limitate e chiaramente specificate. La Commissione nondovrebbe avere accesso alle richieste di informazioni e di esecuzione (eccettuate importanti informazioni di ritorno) e il suo accesso alle informazionisegnalate come confidenziali deve inoltre essere limitato ai casi per i qualitale accesso necessario e proporzionale. I funzionari incaricatidell'esecuzione dovrebbero limitare l'introduzione di dati personali a quanto strettamente necessario ai fini dell'efficacia della cooperazione. Ci si applica inparticolare alle informazioni concernenti i direttori, nonch a tutti gli altri dati personali nei documenti allegati e nelle brevi sintesi. I funzionari incaricatidell'esecuzione dovrebbero inoltre astenersi dal diffondere pi ampiamente diquanto sia necessario gli allarmi o le richieste di assistenza reciproca. Dovrebbero essereadottate misure al fine di verificare periodicamente l'esattezza dei datiinseriti nella base di dati. Gli agenti incaricatidell'esecuzione dovrebbero valutare periodicamente la necessit dellaconservazione delle informazioni. La logica della conservazione e della cancellazione dei dati dovrebbe essere invertita: in seguito a un avviso promemoria (o eventualmente di ripetuti avvisi e di ragionevoli periodi digrazia), i dati dovrebbero essere automaticamente soppressi, a meno che leautorit competenti confermino di non avere ancora chiuso il caso. Le persone interessatedovrebbero essere informate del fatto che i loro dati sono inseriti nel CPCSattraverso un approccio per fasi che comprenda notifiche sul sito Internet maanche informazioni inviate direttamente. Questo diritto non dovrebbe esserelimitato sistematicamente, poich restrizioni a un diritto fondamentale non possono applicarsi in modo sistematico. Lo stesso vale per il diritto diaccesso. Deve inoltre essere previsto un meccanismo di cooperazione efficace pergarantire un accesso alle persone interessate. Dovrebbero essereadottate misure di sicurezza conformemente alle migliori prassi vigenti negliStati membri. Il CPCS deve esseresottoposto al Garante europeo della protezione dei dati per il controllopreventivo, nonch alle autorit incaricate della protezione dei dati in alcuni Stati membri. Le altre autorit nazionali incaricate di tale protezione devonoessere informate. Le procedure di controllo preventivo devono esserecoordinate. Fatto a Bruxelles, il 21settembre 2007 Per il Gruppo di lavoro Il Presidente
1 Nontutte le attivit cooperative e gli scambi di informazioni previsti dalregolamento CPC devono essere effettuati utilizzando la base di dati CPCS. Adesempio, il capitolo IV prevede le attivit cooperative relative allaformazione dei funzionari addetti all'esecuzione della normativa sulla tuteladei consumatori. Dal momento che lo scambio di informazioni relativo a taliattivit non rientra nella sfera di applicazione del CPCS, esso non saroggetto di analisi nel presente documento. 2 L'articolo3, lettera (i), del regolamento CPC definisce le attivit di sorveglianza delmercato come "le azioni di un'autorit competente incaricata diindividuare se vi siano state infrazioni intracomunitarie nell'ambito dellapropria giurisdizione." 3 Se laCommissione partecipa a inchieste transfrontaliere che coinvolgono pi di duepaesi, in virt dell'articolo 9, paragrafo 3, su invito di autorit competenti,dovr ricevere informazioni collegate ai casi in questione. Inoltre, in virtdell'articolo 8, paragrafo 5, e dell'articolo 15, paragrafo 5, la Commissionedovr inoltre avere accesso a talune informazioni relative a domande diassistenza reciproca nei casi in cui deve contribuire a dirimere controversietra le autorit richiedenti e le autorit interpellate. 4 Vi sonoalcune eccezioni. Le informazioni confidenziali possono essere utilizzate, senecessario, nei casi in cui la Commissione chiamata a dirimere controversie enei casi in cui partecipa a un'inchiesta (si vedano gli articoli 8, paragrafo5, 9, paragrafo 3, e 15, paragrafo 5, del regolamento CPC).
|