CE-GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Adottata il 22 dicembre 1999

IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI,

istituito dalla direttiva del Parlamento Europeo e del Consiglio 95/46/CE, del 24 ottobre 1995¹,

visto l'articolo 29 e l'articolo 30 (6) della suddetta direttiva,

visto il regolamento di procedura e, in particolare, gli articoli 12, 13 e 15,

ha adottato la presente terza relazione annuale.

1. INTRODUZIONE

Questa è la terza relazione annuale del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali² relativa all'anno 1998. La relazione è destinata alla Commissione, al Parlamento europeo, al Consiglio, nonché al pubblico in generale. Il gruppo è l'organismo consultivo e indipendente dell'UE per la tutela dei dati personali e della vita privata³ . La sua relazione si propone di fornire un quadro sullo stato della tutela delle persone fisiche con riguardo al trattamento dei dati personali nella Comunità e nei paesi terzi⁴.

L'anno 1998 ha avuto una rilevanza particolare per quanto riguarda la protezione dei dati personali nell'Unione europea poiché il 24 ottobre 1998 sono scaduti i termini per il recepimento delle due direttive sulla protezione dei dati personali.

La cosiddetta direttiva generale sulla protezione dei dati personali 95/46/CE del Parlamento europeo e del Consiglio sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (in appresso denominata "la direttiva") è stata adottata il 24 ottobre 1995 e stabiliva il recepimento entro e non oltre 3 anni da tale data⁵. La direttiva specifica 97/66/CE concernente il trattamento dei dati personali e la tutela della vita privata nel settore delle telecomunicazioni, adottata dal Parlamento europeo e dal Consiglio il 15 dicembre 1997, ha allineato la data del proprio recepimento a quella della direttiva generale.

Purtroppo, la direttiva è stata recepita entro i termini previsti solo da alcuni Stati membri (v. capitolo 2.1.1).

La prima relazione spiegava la composizione e i compiti del gruppo e illustrava i fatti principali osservati nel 1996 nel campo della protezione dei dati personali⁶. La seconda relazione, che riguardava il 1997, seguiva essenzialmente la struttura della prima al fine di agevolare l'analisi degli sviluppi. La terza relazione annuale continua questa tradizione: essa fornisce dapprima un quadro degli sviluppi principali nell'Unione europea, sia negli Stati membri sia a livello comunitario, e quindi fa riferimento alle attività del Consiglio d'Europa. La relazione fornisce inoltre informazioni sugli sviluppi principali nei paesi terzi e di altri sviluppi a livello internazionale.

Nei vari capitoli sono illustrati i pareri, le raccomandazioni e le altre attività del gruppo. Nel 1998, le attività del gruppo si sono incentrate, in particolare, sui seguenti argomenti:

- trasferimenti di dati personali verso paesi terzi⁷

- codici di condotta elaborati a livello comunitario⁸

- tecnologie per il miglioramento della vita privata⁹.

Sin dagli inizi, il gruppo è presieduto dal signor Peter J. HUSTINX, presidente dell'autorità olandese per la protezione dei dati personali (Registratiekamer). Il signor HUSTINX è stato rieletto in occasione della IXa riunione del 10 e 11 marzo 1998. Durante la stessa riunione, il professor Stefano RODOTÀ, presidente dell'autorità italiana per la protezione dei dati personali (Garante per la protezione dei dati personali), è stato nominato vicepresidente del gruppo in seguito al ritiro della signorina Louise CADOUX (Commission Nationale de l'Informatique et des Libertés, CNIL).

2. SVILUPPI NELL'UNIONE EUROPEA

La direttiva mira ad eliminare gli ostacoli alla libera circolazione dei dati personali armonizzando, ad alto livello, le norme nazionali sulla tutela delle persone fisiche con riguardo al trattamento dei loro dati.

Il processo di attuazione della direttiva è iniziato nel 1996 in tutti gli Stati membri e a livello europeo, ed è proseguito nel 1997 e nel 1998. Il capitolo 2.1.1 descrive le procedure relative al recepimento della direttiva a livello nazionale mentre il capitolo 2.1.2 illustra le misure adottate dalle istituzioni europee per conformarsi alle norme della direttiva.

Questo capitolo riassume i progressi compiuti ai fini del recepimento della direttiva nella legislazione nazionale nel corso del 1998.

In Belgio, il progetto di legge relativo al recepimento della direttiva, modificato in base al parere del Consiglio di Stato, è stata inviato al Parlamento nel mese di aprile 1998 e quindi adottato l'11 dicembre 1998¹¹ . Tuttavia, la legge non è ancora entrata in vigore poiché deve essere preparata ed emanata la legislazione secondaria.

In Danimarca, il 30 aprile 1998, il ministro della Giustizia ha presentato il progetto di legge n. L 82 relativo al trattamento dei dati personali, il cui scopo era attuare la direttiva 95/46/CE. L'8 ottobre 1998, lo stesso progetto di legge è stato ripresentato, in seguito ad alcune modifiche, con il n. L 44 ma alla fine del 1998 non risultava ancora adottato. Un recepimento parziale è stato effettuato mediante una legge che modifica la legge sulla registrazione della popolazione entrata in vigore il 1° ottobre 1998. Pertanto in Danimarca, al momento attuale, la direttiva non è stata ancora attuata.

In Spagna, il progetto di legge preliminare che modifica l'attuale legislazione sulla protezione dei dati (legge organica 5/1992), è stato sottoposto al parere del Consiglio di Stato e dovrebbe essere discusso dal Parlamento nell'estate del 1998; tuttavia la maggior parte delle disposizioni è già stata recepita dalla "Ley Organica" 5/1992 del 29 ottobre 1992 sul trattamento automatico dei dati personali.

In Germania, il legislatore federale è l'organismo principalmente responsabile del recepimento della direttiva. Questa responsabilità, che rientra nei poteri previsti dall'articolo 74 della Costituzione, non riguarda solo l'ambito pubblico a livello federale ma anche quello privato, dove dovrebbe avvenire la maggior parte dei cambiamenti. Tuttavia, soprattutto nel settore pubblico, devono essere allineate alla direttiva anche le leggi dei Länder sulla protezione dei dati. Sinora le leggi sulla protezione dei dati sono state modificate in Brandeburgo e Hessen,. Tuttavia, oltre alle leggi generali sulla protezione dei dati, occorre esaminare varie disposizioni federali e dei Länder concernenti aspetti specifici della protezione dei dati. Il commissario federale per la protezione dei dati, i commissari per la protezione dei dati dei Länder e le autorità di controllo responsabili del settore privato hanno trattato l'imminente modifica della legislazione tedesca sulla protezione dei dati in Germania come parte delle loro rispettive responsabilità.

Il 1° dicembre 1997, il ministero degli Interni, che è responsabile del processo legislativo, ha sottoposto un progetto di legge sul quale il 30 gennaio 1998 il commissario federale per la protezione dei dati ha espresso il proprio parere. Un nuovo progetto di legge, datato 8 aprile 1998, è stato archiviato a causa delle elezioni del Bundestag tenutesi il 27 settembre 1998. La Costituzione stabilisce che i progetti di legge non sono validi per più di una legislatura; pertanto, nel corso della nuova legislatura, dovrà essere sottoposto al Parlamento un nuovo progetto di legge.

Per recepire la direttiva sulla protezione dei dati, il nuovo governo federale ha adottato un processo in due fasi. Nella prima fase, saranno effettuati tutti gli aggiustamenti essenziali, se possibile entro il 2000. A tale scopo, il nuovo progetto di legge presentato dal ministero degli Interni il 6 luglio 1999 si basa, fondamentalmente, sulle idee del 1997 ma tiene anche conto degli aspetti della riforma quali l'evitabilità e l'economia dei dati (in particolare attraverso la depersonalizzazione o l'uso di pseudonimi) nonché le norme sulla videosorveglianza, le carte intelligenti e i controlli in materia di protezione dei dati. Il 30 agosto 1997, il commissario federale ha assunto una posizione su tali questioni, sottolineando la necessità ancora maggiore di riforme e, in conformità alle note esplicative relative al progetto di legge, ha considerato le revisioni attuali semplicemente come la prima fase di una revisione complessiva. Egli si è inoltre compiaciuto dell'intenzione, descritta nelle note esplicative, di aggiornare la legge nella seconda fase delle riforme, semplificarla e renderla più leggibile, nonché considerare la misura in cui utilizzare i margini consentiti dalla direttiva a scopo di ricerca. Le note esplicative hanno inoltre dato eco al suo parere sul fatto che, nel corso dell'attuale legislatura, dovrà essere esaminata tutta la legislazione sulla protezione dei dati in settori specifici per verificare la necessità di ulteriori aggiustamenti intesi ad allinearla con la direttiva, sebbene tale obbligo non sia previsto dalla legislazione comunitaria, in considerazione del fatto che questo è l'unico modo per garantire che, nel lungo termine, non vi siano due tipi di legislazione in questo campo che prevedano livelli di protezione diversi.

La legge greca sulla protezione dei dati (legge 2472/97 sulla tutela delle persone con riguardo al trattamento dei dati di natura personale) è stata ratificata dal Parlamento greco il 26.03.1997 e pubblicata il 10.04.1997. Conformemente alle disposizioni di legge, il Presidente dell'autorità (che deve essere un giudice della Corte Suprema) è stato nominato dal Governo mentre i sei membri sono stati eletti dal Parlamento. Tali nomine sono state effettuate nel 1997 e l'autorità è ora operativa.

In Francia è stata inviata una relazione al Primo ministro nel marzo 1998, che sarà seguita da una nuova relazione sulle reti telematiche. Nel 1998, non è stato depositato alcun progetto di legge. L'autorità francese per la protezione dei dati (Commission Nationale de l'Informatique et des Libertés - CNIL) dovrà essere consultata in merito ad un progetto di legge.

In Irlanda, il ministro della Giustizia è responsabile della legislazione sulla protezione dei dati. La legislazione necessaria per attuare la direttiva non è stata ancora adottata. Un progetto di legge inteso ad emendare la legge sulla protezione dei dati del 1998 al fine di ampliarne ulteriormente il campo di applicazione (oltre la sola applicazione ai dati personali computerizzati) era in fase di stesura, ma non è stato ancora pubblicato né discusso dal Parlamento irlandese.

In Italia, la legge sulla protezione dei dati personali è stata adottata il 31 dicembre 1996¹² ed è entrata in vigore l'8 maggio 1997.¹³ Il Parlamento ha autorizzato il governo¹⁴ a legiferare in modo regolatore al fine di rettificare ed integrare la legge per il recepimento della direttiva.

In Lussemburgo, il processo di recepimento della direttiva nella legislazione nazionale rientra nei compiti del ministero della Giustizia. Un progetto di legge è stato redatto nel 1997 ma è stato successivamente revocato.

Nei Paesi Bassi, il ministro della Giustizia è responsabile della legislazione sulla protezione dei dati. Per attuare la direttiva, il 14 febbraio è stata presentata al Parlamento olandese una proposta relativa ad una nuova legge sulla protezione dei dati (Wet bescherming persoonsgegevens). Questa legge si propone di sostituire l'attuale legge sulla protezione dei dati, in vigore dal 1° luglio 1989 (Wet persoonsregistraties). Il 3 giugno, le commissioni parlamentari di Giustizia e Interni hanno riferito in merito alla proposta. Il 2 dicembre, il ministro della Giustizia ha risposto alla relazione e ha suggerito alcune modifiche alla proposta. Nella sua risposta, il ministro ha richiamato l'attenzione sui suoi contatti con i rappresentati del commercio, dell'industria e dell'organizzazione dei consumatori. Il dibattito in occasione della sessione plenaria del Parlamento era previsto nel primo semestre del 1999.

La cancelleria federale austriaca (Österreichisches Bundeskanzleramt) ha preparato un progetto di recepimento della direttiva nella legislazione nazionale, che è stato esaminato dalla commissione per la protezione dei dati. Una versione aggiornata dovrebbe essere sottoposta al Parlamento nell'autunno del 1998.

In Portogallo, al fine di poter recepire la direttiva, la Costituzione è stata modificata dalla legge costituzionale n. 1/97 del 20 settembre 1997. La Costituzione portoghese comprende invero disposizioni sulla protezione dei dati che in alcuni casi sono più restrittive di quelle della direttiva¹⁵. L'autorità portoghese per la protezione dei dati ha svolto un ruolo importante all'interno del gruppo creato dal ministro della Giustizia al fine di redigere il progetto di legge preliminare che recepisce la direttiva. Questo progetto di legge preliminare è stato distribuito per consultazione ed è stato pubblicato sul sito Internet del ministero della Giustizia. Il progetto di legge è stato sottoposto al Parlamento il 2 aprile 1998 e quindi adottato il 26 ottobre 1998.

In Finlandia, il 24 luglio 1998, il governo ha sottoposto al Parlamento un progetto di legge sui dati personali e una serie di leggi associate (decreto governativo 96/98). Oltre alla direttiva comunitaria sulla protezione dei dati, il progetto di legge si basava sulla revisione del 1995 della legislazione sui diritti fondamentali (in conformità alla sezione 8 della Costituzione, la protezione dei dati personali deve essere stabilita per legge), sull'esperienza con la precedente legge sugli archivi di dati personali e sugli sviluppi nelle tecnologie dell'informazione. Il Parlamento ha discusso il progetto di legge nell'autunno del 1998, ma l'adozione e l'entrata in vigore sono state prorogate al 1999¹⁶.

In Svezia, la nuova legislazione sulla protezione dei dati è stata approvata dal Parlamento il 16 aprile 1998. Essa sostituisce la precedente legge sulla protezione dei dati, che rimane rilevante solo ai fini delle operazioni di trattamento in corso al 24 ottobre 1998. Il 3 settembre è stata inoltre emanata l'ordinanza sui dati personali¹⁷ (1998:1191) che designa il Datainspektionen come autorità di controllo ai sensi dell'articolo 28 della direttiva 95/46/CE. L'ordinanza conferisce inoltre il potere di decidere esoneri dalle disposizioni della legge sui dati personali come i trasferimenti di dati verso paesi terzi, la notifica, il controllo preventivo. L'8 dicembre, il Datainspektionen ha emanato due regolamenti sulla base dell'ordinanza: uno sugli esoneri dal divieto a persone diverse dalle autorità di trattare i dati personali con riguardo alle violazioni di leggi¹⁸ e l'altro concernente la notifica del trattamento dei dati personali all'autorità di controllo.¹⁹

Nel Regno Unito, il ministero degli Interni è responsabile della legislazione sulla protezione dei dati. Il governo del Regno Unito ha deciso di sostituire la legge sulla protezione dei dati del 1984 con una legge completamente nuova. A tale scopo, il 14 gennaio 1998 un progetto di legge è stato sottoposto al Parlamento ed è stato approvato nel mese di luglio 1998 (l'Approvazione reale è stata data il 16 luglio 1998). Il progetto di legge stabilisce gli elementi centrali del nuovo regime sulla protezione dei dati nel Regno Unito. Il contenuto dell'ulteriore legislazione subordinata necessaria è stato sottoposto a consultazione e gli strumenti necessari sono stati elaborati e inviati al Parlamento. Si prevede che la legge entri in vigore entro il secondo trimestre del 1999.

Le istituzioni e gli organismi comunitari, in particolare la Commissione, trattano spesso dati personali nelle loro attività. Un esempio è il trattamento dei dati personali dei funzionari. Un altro esempio è il trattamento dei dati personali delle persone fisiche che presentano un ricorso alla Commissione. Un altro esempio ancora è lo scambio di dati personali tra la Commissione e gli Stati membri nell'ambito della politica agricola comune o per la gestione delle procedure doganali.

Per rispondere alla necessità di norme che disciplinano il trattamento dei dati personali, la Commissione e il Consiglio, al momento dell'adozione della direttiva, si sono impegnati, con una dichiarazione pubblica, a conformarsi alle condizioni della direttiva e hanno chiesto alle altre istituzioni e organismi comunitari di seguire il loro esempio.²⁰

Nel corso della conferenza intergovernativa per la revisione dei trattati, il tema delle norme sulla protezione dei dati applicabili alle istituzioni e agli organismi comunitari è stato sollevato dal governo olandese e da quello greco. Al termine della conferenza intergovernativa, si è convenuto di inserire nel trattato CE una disposizione specifica sulla protezione dei dati personali trattati dalle istituzioni e dagli organismi comunitari (articolo 213 B, 286 nella numerazione finale ):

(1) A decorrere dal 1° gennaio 1999 gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati si applicano alle istituzioni e agli organismi istituiti dal presente trattato o sulla base del medesimo.

(2) Anteriormente alla data di cui al paragrafo 1, il Consiglio, deliberando secondo la procedura di cui all'articolo 189 B, istituisce un organo di controllo indipendente incaricato di sorvegliare l'applicazione di detti atti alle istituzioni e agli organismi comunitari e adotta, se del caso, tutte le altre pertinenti disposizioni.

Sebbene, in virtù dell'articolo 286, gli atti comunitari sulla protezione dei dati personali (come la direttiva 95/46/CE) si applichino anche alle istituzioni e agli organismi comunitari a decorrere dal 1° gennaio 1999, è evidente che, a quella data, il trattato di Amsterdam non era ancora entrato in vigore.

La Commissione ha stilato un primo progetto relativo ad una proposta di regolamento sulla base dell'articolo 286 del trattato CE. Tale progetto contiene, da una parte, norme sostanziali sulla protezione dei dati (prese dalle direttive 95/46/CE e 97/66/CE) e, dall'altra, istituisce l'organo di controllo indipendente di cui all'articolo 286, paragrafo 2, del trattato CE. Nel primo semestre dell'anno, questo primo progetto è stato oggetto di un ampio dibattito tra i servizi della Commissione, ma non è ancora sfociato in alcuna proposta da parte della Commissione.

Il gruppo per la tutela delle persone fisiche con riguardo al trattamento dei dati personali ha istituito un sottogruppo sull'argomento. Il sottogruppo ha esaminato uno dei progetti dei servizi della Commissione e ha sottoposto la relazione al gruppo. La relazione è stata adottata il 3 dicembre in occasione della XIIa riunione del gruppo e, in particolare, il sottogruppo è stato autorizzato a proseguire la sorveglianza dello sviluppo del progetto di regolamento e a riferire a tempo debito sull'argomento.

La direttiva riguarda il trattamento dei dati personali e la tutela della vita privata nel settore delle telecomunicazioni²¹. Essa specifica e integra i principi generali, come la limitazione del campo di applicazione, sanciti nella direttiva 95/46/CE per il settore delle telecomunicazioni e introduce, in particolare, l'obbligo per gli Stati membri di garantire la riservatezza delle comunicazioni. La direttiva è stata recepita nella legislazione nazionale²² dai seguenti Stati membri:

la Germania ha recepito la direttiva adottando le seguenti misure nazionali:

- Telekommunikationsgesetz (TKG) del 25 luglio 1996, Bundesgesetzblatt I, S. 1120 (Telecommunications Act)²³

- Telekommunikationsdiensteunternehmen-Datenschutzverordnung (TDSV) vom 12.8.1996, Bundesgesetzblatt I, S 982 (Telecommunications Carriers Data Protection Ordinance)²⁴

- Telekommunikations-Kundenschutzverordnung (TKV) vom 11 Dezember 1997, Bundesgesetzblatt I, S. 2910

- Bekanntmachung des Katalogs von Sicherheitsanforderungen gemäss § 87 des TKG vom 5.9.1997 im Bundesanzeiger v. 7.11. 1997, Ausgabe Nr. 208a, Anlage 4 (Bekanntmachung)

L'Austria l'ha adottata mediante la legge sulle telecomunicazioni del 19 agosto 1997.

La Spagna ha emanato la relativa legislazione nel 1998: la legge del 24 aprile 1998 e il regio decreto del 31 settembre 1998 (Ley General de Telecomunicaciones de 24 de abril de 1998 and Real Decreto 1736/1998). I testi possono essere consultati nel sito web della Segreteria generale spagnola delle comunicazioni: http://www.sgc.mfom.es

In Italia, la direttiva è stata recepita sostanzialmente con il decreto n. 171 "Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attività giornalistica" del 13 maggio 1998, pubblicato nella Gazzetta Ufficiale - Serie Generale - n.127 del 3 giugno 1998.

Il Portogallo ha adottato le misure necessarie con la legge del 28 ottobre 1998

(Lei nº69/98, de 28 de Outubro que regula o tratamento dos dados pessoais e a protecção da privacidade no sector das telecomunicaçoes). Il testo può essere consultato al seguente URL: http://www.icp.pt .(v. anche capitolo 2-4 seguente).

I Paesi Bassi hanno attuato la direttiva mediante la legge sulle telecomunicazioni e la lesiglazione secondaria sui numeri di identificazione e i centri di emergenza entrata in vigore il 15 dicembre 1998 (Wet van 19 oktober 1998, houdende regels inzake de telecommunicatie (Telecommunicatiewet), Staatsblad 610, 1998; Regeling nummeridentificatie van 25 november 1998, Staatscourant 1998, nr. 230; Besluit 112 alarmcentrales van 10 november 1998, Staatscourant, nr. 235).

Il Belgio ha recepito parzialmente la direttiva nell'ordinamento nazionale. La relativa legislazione è la seguente:

- Wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven / Loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques (legge sulla riforma di talune imprese pubbliche)

- Wetboek van strafrecht / Code pénal (codice penale)

- Koninklijk Besluit van 22 juni 1998 tot vaststelling van het bestek van toepassing op de spraaktelefoniedienst en de procedure inzake de toekenning van individuele vergunningen / Arrêté Royal du 22 juin 1998 fixant le cahier des charges pour le service de téléphonie vocale et la procédure relative à l'attribution des autorisations individuelles (regio decreto che stabilisce le condizioni per i servizi di telefonia vocale e la procedura relativa all'attribuzione delle singole autorizzazioni).

La direttiva 95/46/CE invita gli Stati membri e la Commissione a incoraggiare l'elaborazione di codici di condotta destinati a contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle leggi nazionali sulla protezione dei dati²⁵ .

Per quanto riguarda l'incoraggiamento e l'elaborazione di codici comunitari, il gruppo ha la facoltà di esprimere il proprio parere su tali codici²⁶ , determinandone, in particolare, la conformità alle disposizioni nazionali di recepimento della direttiva. Il gruppo può raccogliere le osservazioni delle persone interessate o dei loro rappresentanti. I codici comunitari approvati dal gruppo possono essere oggetto di un'appropriata divulgazione da parte della Commissione.

Al fine di preparare il terreno all'attuazione pratica di questo mandato, il gruppo ha adottato un documento di lavoro per le future attività riguardanti i codici di condotta²⁷. Il documento stabilisce gli aspetti procedurali, ma enfatizza, in particolare, la necessità che i codici comunitari aggiungano valore al settore specifico. Le relative disposizioni recitano:

Il gruppo determina se il codice di condotta sottopostogli:

• è conforme alle direttive sulla tutela dei dati e, se del caso, alle disposizioni nazionali emanate per la loro attuazione,
• possiede un livello qualitativo ed una coerenza interna sufficienti e fornisce un apporto sufficiente alla disciplina stabilita dalle direttive e dagli altri provvedimenti legislativi sulla tutela dei dati, verificando in particolare se esso sia sufficientemente incentrato sulle questioni e sui problemi specifici dell'organizzazione o del settore cui è destinato e se offra soluzioni sufficientemente chiare per tali questioni o problemi.

Due organizzazioni hanno sottoposto al gruppo per l'approvazione un progetto di codici comunitari: FEDMA, Federation of European Direct Marketing Associations, e IATA, International Air Transport Associations. Il gruppo ha istituito un sottogruppo per ogni codice. Le prime relazioni dei sottogruppi sono state illustrate al gruppo il 3 dicembre 1998, in occasione della XIIa riunione. Il gruppo ha autorizzato i sottogruppi a proseguire l'analisi dei codici insieme alle rispettive organizzazioni. Poiché, all'interno di ogni organizzazione, il processo di progetto dei codici era ancora in corso, il gruppo ha deciso di non pubblicare le osservazioni intermedie ma di rimandarle alle organizzazioni per l'esame e l'ulteriore revisione dei progetti di codici.

Questa parte evidenzia gli sviluppi principali nel campo della protezione dei dati e riguarda, in particolar modo, il lavoro svolto dalle autorità nazionali responsabili di controllare l'attuazione delle disposizioni sulla protezione dei dati²⁸. Essa illustra gli sviluppi normativi pertinenti, la giurisprudenza, le attività delle autorità di controllo nazionali per la protezione dei dati di interesse generale, nonché i trasferimenti di dati personali verso paesi terzi da esse gestiti. Ulteriori informazioni possono essere ottenute presso tali autorità che pubblicano relazioni annuali dettagliate. I particolari di contatto nonché i riferimenti ai siti web sono riportati nell'allegato I.

Austria

Giurisprudenza

La Corte Suprema austriaca ha giudicato illegale la carta clienti di una grande catena di supermercati perché la clausola sul consenso non era formulata in modo corretto (decisione 7 Ob 170/98w).

Attività della Datenschutzkommission

Le seguenti decisioni della commissione austriaca per la protezione dei dati possono essere di interesse generale:

In un articolo di giornale, un cittadino ha accusato un'autorità pubblica di averlo raggirato. Il funzionario responsabile ha fornito una risposta che è stata pubblicata dal giornale in questione. La risposta conteneva informazioni che il cittadino considerava private e quindi egli ha presentato un ricorso presso la commissione per la protezione dei dati. La commissione ha respinto il ricorso perché i dati in questione erano già stati pubblicati legalmente in precedenza. La commissione ha inoltre dichiarato che chiunque rivolga pubblicamente un'accusa su un giornale deve prevedere una risposta sul giornale in questione, in cui figurino i propri dati nella misura necessaria (decisione N. 120.547/18-DSK/98).

Un ospedale pubblico ha trasferito i dati personali ad una società di informatica straniera per l'assistenza tecnica e il ‘debugging' (elaborazione di servizio) senza i permessi necessari della commissione per la protezione dei dati. La commissione ha ricevuto un ricorso da parte di un soggetto interessato e ha sentenziato che il trasferimento era illecito a causa della mancanza di un'apposita autorizzazione. Questa decisione è interessante perché indica come la prassi comune, e fondamentalmente lecita, di far uso di esperti di elaborazione di dati stranieri per mantenere e riparare il software e l'hardware di un computer può compromettere gli interessi in materia di protezione dei dati (decisione n. 120.536/26-DSK/98).

I dati riservati relativi a misure disciplinari adottate nei confronti di un impiegato statale sono stati pubblicati in un giornale subito dopo la decisione. La commissione per la protezione dei dati non è riuscita a identificare la persona che aveva commesso l'indiscrezione, ma è stata in grado di ricollegarla ad una specifica autorità pubblica. La legge austriaca sulla protezione dei dati consente di pronunciarsi anche contro un'organizzazione e ciò significa che la commissione potrebbe sostenere il ricorso dell'impiegato statale (decisione N. 120.552/36-DSK/99).

Trasferimenti di dati personali verso paesi terzi

La commissione austriaca per la protezione dei dati ha notato un aumento dei trasferimenti di dati verso aziende straniere, in particolare negli Stati Uniti. Sembra che molte società internazionali preferiscano raccogliere grandi quantità di dati personali presso un'unica sede. Allo stesso modo, è aumentato il numero di casi in cui sono stati istituiti centri di chiamata in un'unica sede per tutta l'Europa.

Belgio

Attività della ‘Commission de la protection de la vie privée'

Nel 1998, su richiesta delle autorità ufficiali o di propria iniziativa, la commissione belga ha espresso 34 pareri su questioni attinenti all'applicazione dei principi fondamentali di tutela della vita privata.

Ha inoltre formulato una raccomandazione. Raccomandazioni sono inoltre dirette alle autorità di controllo di un tipo specifico di dati o ad un'autorità di controllo specifica del settore privato o di quello pubblico. Nel caso di specie, la raccomandazione era diretta ai responsabili dei sistemi telematici di prenotazione.

La commissione ha la facoltà di esaminare i ricorsi ad essa presentati. In questo contesto, essa svolge un ruolo di mediatore e incoraggia le parti a raggiungere un accordo. Qualora un accordo non sia possibile, la commissione esprime un parere sulla validità del ricorso e, in alcuni casi, invia anche una raccomandazione all'autorità di controllo dei dati.

Un particolare tipo di ricorso relativo al credito clienti ha riguardato la registrazione di debitori insolventi presso la Banque Nationale de Belgique o altri istituti privati. Nel 1998, sono stati presentati 397 ricorsi relativi al credito clienti. Questa cifra è leggermente inferiore a quella del 1997.

La commissione è anche responsabile di fornire al pubblico informazioni riguardanti i contenuti in materia di diritti o obblighi in risposta a numerose lettere. Nel 1998, ha risposto a 515 richieste di informazioni.

Nello stesso anno, sono state sottoposte alla commissione 2034 registrazioni relative a procedimenti automatici. Come nell'anno precedente, la maggior parte di essi riguardava il settore sanitario. Più precisamente, la commissione ha preso posizione su una serie di questioni relative alla tutela della vita privata in vari settori. In particolare, ha esaminato le questioni dell'accesso al registro nazionale e all'uso del numero di identificazione nazionale.

Nel settore della giustizia e polizia, ha esaminato la questione dell'installazione di telecamere di sorveglianza come misura di sicurezza negli incontri di calcio e ha espresso pareri sulla creazione di un centro per i bambini scomparsi e sfruttati sessualmente, nonché sull'analisi del DNA nelle questioni penali e l'identificazione mediante l'analisi genetica nella giustizia penale.

Si è inoltre occupata della cooperazione con la polizia nella lotta alla criminalità organizzata e nell'ambito di Europol, la riorganizzazione del servizio di polizia, le misure contro i criminali sessuali e il trattamento dei dati relativi ai giochi e le case da gioco (riciclaggio di denaro, frode fiscale, ecc.).

Nel settore commerciale, la commissione belga ha adottato una raccomandazione sui sistemi telematici di prenotazione. Ha inoltre espresso un parere sulla creazione di una base di dati comune di "debitori insolventi" nel settore delle telecomunicazioni e sulla gestione di informazioni sulla valutazione di solvibilità.

Nel campo delle telecomunicazioni, il varo di un servizio di identificazione del chiamante ha spinto la commissione a reiterare una serie di principi di tutela (informazioni sui consumatori, opzioni per disattivare gratuitamente l'invio del numero). Ha inoltre esaminato la questione del controllo della qualità nei centri di chiamata.

Trasferimento di dati personali verso paesi terzi

In risposta a una richiesta delle autorità statunitensi al comitato istituito dall'articolo 31 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, il ministro della Giustizia ha chiesto il parere della commissione circa l'adeguatezza del livello di protezione garantito dalle leggi degli Stati Uniti in conformità agli articoli 25 e 26 della direttiva 95/46/CE. La commissione ha espresso i seguenti pareri:

• parere N. 32/98 sulla valutazione dell'adeguatezza del livello di protezione garantito dalla legge americana sulla correttezza in tema di certificazione di solvibilità (Fair Credit Reporting Act), in linea con l'articolo 25 della direttiva 95/46/CE; (risultato: conclusione: non adeguata);
• parere N. 33/98 sui flussi di dati transfrontalieri e il livello di protezione garantito dalle leggi degli Stati Uniti.

Alla Commissione è stato chiesto se un documento intitolato "Elementi di autoregolamentazione efficace per la tutela della vita privata"(²⁹ ), che avrebbe dovuto fungere da guida per l'istituzione di codici di condotta nel settore privato, avrebbe potuto fornire un livello adeguato di protezione alla luce delle disposizioni della direttiva sul flusso di dati personali verso paesi extracomunitari.

• Parere N. 34/98 sulla valutazione dell'adeguatezza del livello di protezione garantito dalla legge americana sulla vita privata (Privacy Act) del 1974, in linea con l'articolo 25 della direttiva 95/46/CE³⁰ .

Danimarca

Attività del ‘Registertilsynet'

Nel 1998, l'autorità di controllo per la protezione dei dati ha dedicato tempo e impegno alla preparazione delle attività da intraprendere in relazione alla futura legge sul trattamento dei dati personali.

La base per le attività svolte dall'autorità per la protezione dei dati nel 1998 sono rimaste le due leggi sui registri: la legge sui registri dell'autorità pubblica e la legge sui registri privati.

Due delle decisioni principali adottate dall'autorità per la protezione dei dati nel 1998 sono state le seguenti:

• Diffusione di elenchi di indirizzi da parte delle autorità pubbliche via Internet

Nel 1998, un'autorità pubblica ha chiesto all'autorità per la protezione dei dati di valutare i propri piani intesi alla pubblicazione dei propri elenchi di indirizzi (elenchi con i dati sulla corrispondenza ricevuta dall'autorità pubblica) in una homepage di Internet.

Tra i dati che figuravano in questi elenchi vi sarebbero state informazioni sulle parti interessate e una breve descrizione del contenuto della corrispondenza.

L'autorità per la protezione dei dati ha dichiarato che un'autorità pubblica può pubblicare elenchi di indirizzi su Internet in conformità alla legge sui registri dell'autorità pubblica, come previsto dalla legge danese relativa all'accesso pubblico alle informazioni, a condizione che la pubblicazione non contenga dati coperti dal requisito di segretezza.

• Accesso a dati medici via Internet

Nel 1998, l'autorità per la protezione dei dati ha espresso alcune riserve circa i piani di un ospedale intesi a istituire una base di dati medici cui il personale medico potesse accedere via Internet.

L'autorità per la protezione dei dati ha ritenuto che non dovesse essere concesso l'accesso via Internet al registro pianificato poiché ciò avrebbe significato l'accesso a dati sensibili e l'accesso via Internet al registro avrebbe potuto comportare il rischio che le informazioni finissero nelle mani sbagliate.

Il parere espresso dall'autorità per la protezione dei dati era che l'accesso a registri di questo tipo dovrebbe essere concesso mediante reti chiuse, ad esempio ricorrendo a linee dedicate.

Nel 1999, l'autorità per la protezione dei dati ha quindi dichiarato che, secondo il suo parere, l'accesso ai registri in questione potrebbe essere concesso via Internet solo adottando la soluzione di una rete privata virtuale. Si può ritenere che questo tipo di soluzione fornisca un livello di sicurezza elevato per garantire che i dati presenti nei registri non finiscano nella mani sbagliate.

Finlandia

Sviluppi normativi

Nel 1998, oltre alle attività riguardanti la legge sui dati personali (v. capitolo 2.1), sono stati sottoposti al Parlamento altri progetti importanti ai fini della protezione dei dati. La serie dei diritti fondamentali all'informazione comprende il diritto dei cittadini a ottenere informazioni e tenere traccia delle azioni delle autorità. Questo diritto è sostenuto dalla legge sulla divulgazione delle attività pubbliche (621/99), che disciplinerà la divulgazione dei dati personali provenienti dagli archivi amministrativi e che entrerà in vigore il 1° dicembre 1999.

Nonostante la sua importanza, il progetto relativo ad una legge sulla tutela della vita privata nel settore delle telecomunicazioni e la sicurezza dei dati nelle telecomunicazioni (progetto di legge 85/98) ha sorprendentemente richiamato poca attenzione da parte del pubblico. Lo scopo di questa legge è accrescere la fiducia degli utenti nei servizi di telecomunicazione, migliorando la tutela della vita privata. La legge (565/99) è entrata in vigore il 1° luglio 1999.

Nel 1998, in Finlandia è balzato all'attenzione dell'opinione pubblica un progetto di legge sulla protezione dei dati nell'occupazione, che è stato in seguito ritirato, in parte a causa della complessità delle questioni relative ai test genetici e al fatto che esso conteneva altri particolari che richiedevano una preparazione più accurata. Proseguono le attività relative alla preparazione della legislazione sulla protezione dei dati nell'occupazione e il gruppo di lavoro del ministero del Lavoro avrebbe dovuto portare a termine il nuovo progetto entro il 30 novembre 1999.

Nel 1998, il difensore civico per la protezione dei dati ha inoltre espresso pareri su 53 proposte di legge in totale, che in qualche modo riguardavano il trattamento e la protezione dei dati personali.

Giurisprudenza

Il 3 luglio 1998, la Corte suprema ha emanato una decisione su una violazione in materia di dati personali (rif.: KKO [Corte Suprema] 1998:85, Diaarinumero [Numero di protocollo] R 96/129) in cui essa esprimeva l'opinione che la tutela della vita privata comprende il diritto a influenzare l'uso dei dati relativi a se stessi. Secondo la Corte Suprema, ciò si evince dall'enunciato della sezione 43 della legge sugli archivi di dati personali il quale sancisce che la violazione della vita privata di un soggetto interessato costituisce danno o offesa ai sensi della legge (KKO 1998:85 Violazione della legge sugli archivi di dati personali).

La società X ha trasferito i dati da un registro di abbonati a un giornale di cui era proprietaria ma di cui aveva cessato la pubblicazione alle società Y e Z a scopo di marketing diretto. Per le motivazioni addotte nella propria sentenza, la Corte Suprema ha considerato questo trasferimento una violazione della riservatezza dei dati personali e ha dichiarato i rappresentanti della società X colpevoli di avere violato la legge sugli archivi di dati personali. Vi è inoltre la questione di se, nel trasferire i dati a scopo di marketing diretto, anche i rappresentanti delle società Y e Z fossero colpevoli di una violazione simile (decisione della maggioranza).

Attività della commissione per la protezione dei dati

L'Ufficio del difensore civico per la protezione dei dati ha cercato di ampliare le proprie attività. Ha chiarito la sua missione e ha sviluppato modalità di pianificazione interna. Ha inoltre varato un progetto amministrativo interno inteso ad aumentare la rapidità e l'efficienza dei suoi servizi, migliorare la comunicazione interna ed esterna e contribuire ad impedire violazioni della protezione dei dati. La formazione interna ha riguardato principalmente il miglioramento delle modalità di servizio e cooperazione, nonché la legislazione modificata.

Sono stati portati all'attenzione dell'Ufficio della commissione per la protezione dei dati 952 casi in totale, per iscritto, 170 dei quali riguardavano la sanità, 63 il lavoro, 45 le attività di polizia e 33 il commercio. L'ufficio si è occupato inoltre di 54 casi relativi al diritto di ispezione e altri 54 riguardanti la rettifica degli errori. In conformità alla sezione 47 della legge sugli archivi di dati personali, il difensore civico per la protezione dei dati ha inviato ai pubblici ministeri e ai tribunali opinioni su 16 casi.

I pareri del difensore civico hanno riguardato, inter alia, le dichiarazioni sul benessere dell'infanzia e il diritto del ministero degli Affari sociali di richiedere dati contabili quando viene concesso un sostegno al reddito. In un parere destinato alla polizia penale centrale, il difensore civico ha espresso l'opinione che un archivio di dati personali istituito per essere usato in attività illecite è di per se stesso illecito. In molti casi, deve essere richiamata l'attenzione dei responsabili degli archivi sull'uso di dati personali superflui negli invii di corrispondenza.

Nel 1998, uno dei principali settori di attività è stato lo sviluppo di iniziative di ispezione; tra i settori di ispezione prescelti figuravano il mantenimento di dati dei pazienti nel settore sanitario, le attività di raccolta, gli agenti immobiliari e le agenzie di collocamento.

Il principale canale di comunicazione è stato il notiziario sulla protezione dei dati Tietosuoja, che viene pubblicato quattro volte all'anno. La sua circolazione è consolidata. Il sito web del difensore civico è il seguente: ww.tietosuoja.fi. Le statistiche sugli utenti indicano che, nel 1998, il sito è stato consultato circa 80.000 volte, con 3000 — 13000 visite al mese. Il numero di visitatori è in crescita.

Nel corso dell'anno, i rappresentanti dell'Ufficio del difensore civico per la protezione dei dati hanno agito da responsabili di formazione in più di 100 occasioni. Hanno cooperato con vari gruppi di interesse su questioni quali l'elaborazione di norme pratiche necessarie per i vari settori in virtù della nuova legge sui dati personali e lo sviluppo di altre attività comuni eventualmente utili.

Il servizio di informazioni telefoniche continua ad essere molto importante: nel corso dell'anno, l'ufficio ha fornito consulenza e assistenza telefonica in circa 7500 occasioni.

Rispetto all'anno precedente, è stata più intensa la cooperazione con l'Unione europea e il corpo di polizia. Prosegue comunque la tradizionale cooperazione tra i paesi scandinavi e, nel 1998, a Mariehamn si è tenuto un incontro per discutere temi quali la tutela della vita privata in quanto concetto, la cooperazione tra la Finlandia e i paesi vicini e la protezione dei dati nei territori autonomi della Groenlandia, le isole Faeroes e Åland.

Il difensore civico per la protezione dei dati si è occupato di vari dati di pratiche disoneste e particolari di clienti detenuti dai titolari degli archivi, e ha preso posizione, inter alia, sui dati in materia di frode e false dichiarazioni detenuti dalle compagnie di assicurazione, le liste nere detenute dalle società di noleggio di apparecchiature da costruzione e video, e gli elenchi di clienti difficili detenuti dalle banche.

Le questioni riguardanti i permessi speciali, trattate dal difensore civico per la protezione dei dati, sono state complesse e hanno riguardato argomenti quali i dati di pubblicazione dei registri parrocchiali su Internet, il registro dei clienti di casinò, i registri dei proprietari forestali detenuti dalle società forestali e la divulgazione dei dati personali di studenti ai centri di collocamento e di sviluppo economico.

Trasferimenti di dati verso paesi terzi

Nel 1998, il difensore civico per la protezione dei dati ha ricevuto 37 notifiche, in virtù della precedente legge sugli archivi di dati personali (471/87), di trasferimento di dati personali verso paesi terzi. Nel corso dell'anno, il numero di notifiche è rimasto relativamente costante. La maggior parte di esse ha riguardato il trasferimento di dati personali verso altri paesi, tra cui Svezia, Regno Unito, Francia e Germania, a scopo di stampa del materiale da usare nelle iniziative di marketing diretto per corrispondenza. La maggior parte delle notifiche è pervenuta dall'Ufficio del registro della popolazione. Il difensore civico per la protezione dei dati ha emanato le linee guida necessarie, tra cui la necessità che i responsabili dei registri devono continuare a proteggere i dati anche quando vengono trasferiti e che anche i destinatari devono impegnarsi a fornire la protezione.

Francia

In Francia, il dibattito sulla protezione dei dati si è incentrato, recentemente, su due temi, uno relativo all'interconnessione di archivi basati su un identificativo comune e l'altro relativo ad un archivio di polizia. Inoltre, e fatto ancora più importante, la crescente informatizzazione in tutti i settori operativi ha condotto ad un aumento molto significativo delle attività di interesse della Commission Nationale de l'Informatique et des Libertés [Commissione nazionale per l'informatica e le libertà, CNIL], in particolare nel settore privato e nel campo delle nuove tecnologie (Internet).

Ricorsi e richieste di consulenza

Nel 1998, i ricorsi e le richieste di consulenza sono aumentati del 12,8% raggiungendo quota 5022. Le richieste di consulenza (fino al 35%) hanno riguardato principalmente i settori della sanità, occupazione, quello fiscale e delle autorità locali, mentre la maggior parte dei ricorsi (fino al 14%) ha interessato il settore del marketing diretto, bancario, dell'occupazione e delle telecomunicazioni. I conflitti in questione sono stati risolti grazie alla mediazione dell'autorità di controllo. Tuttavia, in molti casi, i controlli saltuari sono sfociati nell'emanazione di avvisi pubblici alle imprese in due campi principali: quello bancario, per il trattamento di informazioni soggettive relative ai clienti, e sanitario, per il diniego all'accesso ai dati detenuti dai rappresentanti farmaceutici.

In seguito ad un avviso formulato ad una società di marketing diretto che stava creando una base di dati comportamentali usando un questionario compilato volontariamente dalle persone in cambio di omaggi o buoni, e in seguito all'approvazione della posizione della CNIL da parte del Consiglio di Stato, la professione ha elaborato un codice di condotta, che sancisce che alle persone deve essere consentito di impedire la divulgazione dei dati forniti barrando le caselle di un questionario.

Nel campo della pubblica sicurezza, la difesa e la sicurezza nazionale, i casi di persone che si sono rivolte alla CNIL per poter accedere ai dati che le riguardavano sono sfociati in 535 iniziative di indagine. Nel 25% dei casi, su richiesta della CNIL, il dossier è stato inviato alle parti interessate.

Controlli e raccomandazioni di carattere generale

I controlli eseguiti nel settore bancario, in particolare, hanno indotto la CNIL a formulare una nuova raccomandazione di carattere generale riguardante le tecniche di valutazione della solvibilità. Tali tecniche non dovranno avere alcun rapporto con la nazionalità dei clienti poiché ciò rappresenterebbe una discriminazione.

Allo stesso modo, controlli saltuari eseguiti nel settore sociale hanno indotto la CNIL a richiedere un esame del progetto dei sistemi locali usati dai servizi sociali per monitorare le misure e l'assistenza sociale nel tentativo di ridurre i costi. Questi sistemi sempre più popolari vengono usati per risolvere i problemi delle persone in difficoltà, in particolare nel campo degli alloggi e della riabilitazione. L'oggetto di questo esame, in un settore in cui spesso l'informazione è particolarmente sensibile, è garantire che la raccolta dei dati non sia obbligatoria e i risultati non siano soggettivi.

Dichiarazioni sui trattamenti

Nel 1998, sono stati dichiarati alle autorità 67.672 casi di trattamenti di dati personali in totale, che negli ultimi cinque anni rappresentano un aumento del 100%. La CNIL, dopo avere esaminato queste dichiarazioni, si è rifiutata di consentire il trattamento dei dati da parte di tre associazioni appartenenti alla chiesa di scientologia e riguardanti gli ex membri, tra cui quelli che si erano ritirati e quelli radiati poiché gli ex corrispondenti o acquirenti delle loro pubblicazioni non si facevano vivi ormai da tre anni. Le associazioni in questione hanno fatto appello al Consiglio di Stato contro la decisione, sostenendo che la CNIL aveva abusato dei propri poteri, ma alla fine hanno abbandonato la causa.

I temi del dibattito

- Interconnessione degli archivi

L'adozione di una modifica alla legge finanziaria del 1999 che autorizzava le autorità finanziarie a raccogliere, memorizzare e trasmettere i numeri di iscrizione nel registro nazionale delle persone fisiche ha riacceso il dibattito sull'interconnessione degli archivi e l'uso di un numero specifico e significativo di identificazione delle persone. Sebbene le autorità tributarie abbiano elaborato il proprio sistema per identificare i contribuenti in base ad un identificativo fiscale speciale, le autorità finanziarie sono state finalmente autorizzate dalla legge finanziaria del 1999 ad usare il registro delle persone fisiche. Tuttavia, la legge non prevede una serie di controlli di sicurezza, tra cui il più importante è quello che la CNIL sia in grado di imporre alle autorità l'adozione di misure di sicurezza che possono riguardare la distruzione delle informazioni basate sul registro delle persone fisiche in caso di una violazione grave e immediata dei diritti e delle libertà. Sono state inoltre introdotte sanzioni più rigorose per la violazione del segreto professionale. Nel suo parere, il Consiglio costituzionale ha approvato questa procedura solo dopo essersi sincerato che il suo obiettivo principale era "evitare errori di identificazione e controllare gli indirizzi delle persone".

- L'archivio "STIC"

L'archivio di polizia denominato "STIC" (sistema per il trattamento delle violazioni registrate dalle autorità di polizia) è stato oggetto di un acceso dibattito e la relativa normativa deve ancora essere emanata. La ricerca di un equilibrio tra sicurezza e libertà solleva varie questioni come l'autorità a cui fa capo questo archivio di polizia, il periodo di tempo per il quale possono essere mantenute le informazioni (in particolare le informazioni sui minori), l'accesso all'archivio quando, in circostanze eccezionali, la sicurezza delle persone risulti in pericolo, l'aggiornamento dell'archivio in caso di revisione delle prove da parte delle autorità giudiziarie e nel caso di esonero, non luogo a procedere, nolle prosequi, assoluzione o rinvio. Infine, vi è la questione della possibilità per le persone interessate di accedere ai propri dati direttamente invece che tramite la CNIL.

Internet

In occasione del 20° anniversario della legge sul trattamento dei dati e la libertà del 6 gennaio 1978, la CNIL ha inaugurato un sito web che riporta una dimostrazione di come possono essere localizzati i navigatori della rete (pagina in francese, inglese e spagnolo). L'obiettivo del sito è diffondere le informazioni su computer e libertà ai nuovi numerosi operatori che si occupano di questa nuova tecnologia. La CNIL ha pubblicato una guida per i gestori del sito e ha trasformato in realtà la dichiarazione on-line sicura dei dati trattati per i siti Internet. Le dichiarazioni vengono effettuate usando un modulo semplice e istruttivo, che fornisce esempi di come soddisfare alle necessità di informare le persone di cui sono stati raccolti dati personali on-line. La CNIL ha partecipato attivamente alla manifestazione nazionale di Interne t tenutasi in primavera e ha preso parte a numerose conferenze.

Pubblicazioni

La CNIL, oltre a pubblicare le informazioni nel proprio sito Internet e nella propria relazione annuale, ha presentato una serie di saggi commentati dal titolo "Les libertés et l'informatique. Vingt délibérations commentées" (pubblicati da La Documentation française) per celebrare il 20° anniversario della legge sul trattamento dei dati e la libertà.

Germania

Sviluppi legislativi

La legge sulla firma [Signaturgesetz] è entrata in vigore il 1° agosto 1997. Con questa legge, unitamente al regolamento sulla firma [Signaturverordnung] entrato in vigore il 1° novembre 1997, le autorità legislative hanno eliminato l'ultimo ostacolo in modo che oggi le transizioni giuridiche possono essere effettua te, in modo efficace e sicuro, mediante reti aperte come Internet. Purtroppo, gli organismi di certificazione preposti [Zertifizierungsstellen - "Trust Centres"] sono riusciti a dare il via all'operazione solo all'inizio del 1999, in parte perché il "catalogo delle misure di sicurezza idonee" previsto dal regolamento sulla firma non è stato pubblicato fino al 30 ottobre 1998 e, in parte, perché il cosiddetto "organismo per la certificazione degli itinerari" dell'autorità di regolamentazione delle Poste e Telecomunicazioni è entrato in funzione solo il 23 settembre 1998.

La Costituzione è stata modificata in modo da permettere la sorveglianza acustica degli spazi vitali ai fini della perseguibilità penale. In passato, ciò era permesso solo al fine di evitare situazioni pericolose. Questa violazione del diritto fondamentale dell'inviolabilità dello spazio vitale è comunque possibile solo in relazione a crimini molto gravi e può essere presa in considerazione solo se le indagini non possono essere condotte in modo diverso. Tutte le persone che hanno il diritto di rifiutarsi di fornire prove sono protette dal divieto di assunzione delle prove [Beweiserhebungsverbot], che tuttavia non si applica qualora il gruppo stesso sia sospettato di attività criminale. Fortunatamente, sono stati previsti gli obblighi di notifica estensiva tra cui l'obbligo di riferire al Parlamento in modo da potere valutare accuratamente l'uso e l'efficienza del monitoraggio acustico dello spazio vitale.

E' in continua crescita il ruolo dell'analisi dei genomi nella procedura penale. La base giuridica per l'uso dell'analisi del DNA o le "impronte digitali genetiche" nei procedimenti penali in corso è stata stabilita sin dal 1997. Il Codice di procedura penale [Strafprozeßordnung] è stato ormai ampliato per permette l'uso dell'analisi del DNA in alcune circostanze a scopo di identificazione.

L'Ufficio federale per le indagini penali [Bundeskriminalamt] ha istituito un secondo archivio di analisi del DNA, che può oggi comprendere, a seguito di una modifica della legge, i risultati delle analisi del DNA ai fini della prevenzione dei crimini. Resta da chiarire se nell'archivio possono essere inseriti anche i dati delle analisi del DNA effettuate con il consenso dell'interessato.

La legge sulla protezione dei testimoni [Zeugenschutzgesetz] ha stabilito la base giuridica per le registrazioni sonore e visive degli interrogatori effettuati dai funzionari di polizia, dal pubblico ministero o dal giudice qualora il testimone in questione abbia un'età inferiore ai sedici anni o qualora vi sia motivo di ritenere che non sia possibile interrogare il testimone durante il processo e una registrazione di questo tipo sia necessaria per stabilire la verità. Nel caso in cui i testimoni subissero un grave disagio se dovessero comparire in aula, il presidente rimarrà in aula e sarà stabilito un collegamento video diretto con il testimone che si troverà in un'altra stanza. In futuro, un'altra questione centrale sarà la misura in cui potranno essere usate le moderne tecnologie di documentazione per stabilire la verità e proteggere i testimoni.

Poco prima della fine della 13a legislatura del Bundestag, è stata inoltre modificata la legga federale sulla polizia di frontiera per ampliarne i poteri [Bundesgrenzschutz -BGS] relativi ai controlli personali. Attualmente, la polizia di frontiera può controllare qualsiasi persona presente sui convogli o presso le stazioni ferroviarie anche in assenza di sospetti o cattiva condotta al fine di combattere con maggiore efficacia i crimini transfrontalieri e, in particolare, l'ingresso di immigrati clandestini.

Contesto legislativo

I principi sanciti dalla legge n. 675/1996 (che ha recepito la direttiva 95/46/CE) sono stati specificati e attuati ulteriormente. In particolare, disposizioni specifiche sono state adottate circa il trattamento di dati sensibili da parte dei soggetti pubblici (decreto legislativo 11.05.1999 n. 135); attenzione è stata rivolta inoltre alla preparazione di una legislazione specifica concernente il trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica, nonché al fine di garantire la riservatezza dei dati personali in ambito sanitario e individuare misure minime di sicurezza per il trattamento dei dati personali. La commissione italiana per la protezione dei dati (Garante per la protezione dei dati personali) ha partecipato intensamente a tali attività e non ha mancato di contribuire alla preparazione e stesura dei relativi principi.

In Italia, la direttiva 97/66/CE sul trattamento dei dati personali e la tutela della vita privata nel settore delle telecomunicazioni è stata recepita con il decreto legislativo 13.05.1998 n. 171.

In molti casi, il garante ha fornito spiegazioni su temi quali l'applicazione corretta delle misure normative; in particolare, ha espresso un parere sul periodo per il quale possono essere detenuti i dati sul traffico e per quanto riguarda il limite di tempo per l'acquisizione di dati ai fini giuridici.

Il garante ha inoltre partecipato alla stesura di atti legislativi intesi ad allineare l'attività amministrativa con i progressi tecnologici, in particolare per quanto riguarda le carte di identità elettroniche e dispositivi specifici per la determinazione dei redditi ai fini tributari e sanitari (suggerendo le modifiche necessarie al fine di conciliare le disposizioni normative suddette con i principi sanciti sia dalla legge italiana sia dalla direttiva 95/46/CE).

Attività del Garante per la protezione dei dati personali

Il Codice di condotta per il trattamento dei dati personali nell'esercizio delle attività giornalistiche è stato predisposto dal Consiglio nazionale dell'associazione della stampa in collaborazione con il Garante per la protezione dei dati personali. Per rendere i relativi obblighi ancora più rigorosi e vincolanti, il codice è stato pubblicato nella Gazzetta ufficiale nel mese di agosto 1998.

Il codice ha consentito l'elaborazione di disposizioni particolareggiate, con riguardo alle modalità semplificate, come pure all'informazione dei soggetti interessati al momento della raccolta dei dati, che sono state stabilite per il trattamento dei dati personali nell'esercizio delle attività giornalistiche.

Il garante ha verificato, in particolare, la conformità all'obbligo di informare i soggetti interessati anche in relazione al modo in cui vengono fornite le informazioni alla luce delle varie relazioni sottoposte dai cittadini. Questa attività di controllo ha riguardato, prevalentemente, il settore creditizio e finanziario ed è stata effettuata mediante un'indagine intesa ad acquisire, da tutti i soggetti interessati in questione, copie dei moduli usati per fornire le relative informazioni. Inoltre, sono stati istituiti con le principali istituzioni bancarie comitati consultivi che hanno permesso la stesura di moduli semplificati per soddisfare alle esigenze di informazione.

Per quanto riguarda il trattamento dei dati sensibili, l'attività della commissione, ai sensi della legge, si è incentrata sulla concessione di autorizzazioni generali a categorie di autorità di controllo od operazioni di trattamento, oltre a quelle riguardanti le categorie che erano già state soggette ad autorizzazioni precedenti nel 1997, cioè:

- il trattamento di dati sensibili nelle relazioni di lavoro;

- il trattamento di dati che rivelano lo stato di salute e la vita sessuale;

- il trattamento di dati sensibili da parte di associazioni e fondazioni;

- il trattamento di dati sensibili da parte di professionisti;

- il trattamento di dati sensibili da parte di varie categorie di autorità di controllo (in settori quali quello bancario, assicurativo, turistico, dei trasporti, demoscopico, del trattamento dei dati, della selezione del personale e delle agenzie matrimoniali);

- il trattamento di taluni dati sensibili da parte di investigatori privati;

nel mese di maggio 1999 è stata adottata un'autorizzazione che si riferisce specificamente al trattamento di dati a carattere giudiziario da parte di privati e di enti pubblici economici (v. allegato II della presente relazione).

Il garante ha inoltre iniziato ad esaminare l'osservanza, da parte dei fornitori del servizio telefonico, dei principi sanciti nel decreto che recepisce la direttiva 97/66/CE per quanto riguarda la loro conformità alle richieste formulate dai clienti che desiderano conoscere, in modo particolareggiato, tutte le cifre dei numeri telefonici chiamati. Il garante ha quindi affrontato la questione riguardante la cancellazione, da parte dei fornitori del servizio telefonico in seguito ad una richiesta di fatturazione dettagliata, delle tre cifre finali dei numeri telefonici chiamati: in una decisione del mese di ottobre 1998, i fornitori del servizio sono stati invitati a modificare i relativi regolamenti. Con la decisione suddetta, il garante ha inoltre sottolineato la necessità di rendere disponibile ed agevolare l'uso di mezzi di pagamento alternativi, anche in forma anonima, come le carte di credito o quelle telefoniche.

Il garante sta svolgendo attività e campagne di informazione per i cittadini basate su vari media e mezzi di comunicazione finalizzati. A questo riguardo, occorre citare la pubblicazione recentemente iniziata di un notiziario settimanale che viene inviato ai giornali e ad altri media. Il notiziario fornisce informazioni aggiornate, a brevi intervalli, sui temi principali affrontati dalla commissione e su tutte le decisioni adottate; esso costituisce pertanto uno strumento supplementare per la valutazione e la considerazione di questioni correlate alla vita privata.

Viene inoltre pubblicato un bollettino che riporta le decisioni del garante, i relativi atti legislativi, comunicati stampa e ulteriori documenti riguardanti la sua attività. Il bollettino viene inviato, gratuitamente, a tutte le persone che lo richiedono e si è dimostrato uno strumento di lavoro utile sia per i cittadini che per i funzionari pubblici, i professionisti e le imprese. Si tratta di una pubblicazione quindicinale, stampata in circa 10.000 copie; è stato inoltre creato un CD-ROM contenente il bollettino e altri materiali inerenti alla vita privata.

Giurisprudenza

Ai sensi della legge n. 675/1996, i cittadini possono far valere i propri diritti sanciti dalla legge dinanzi all'autorità giudiziaria o con ricorso al Garante per la protezione dei dati personali (v. articolo 29 della legge). Le norme procedurali per la presentazione di un ricorso presso il garante e per il trattamento di un ricorso sono state stabilite in regolamenti ad hoc adottati nel mese di marzo 1998 ed entrati in vigore nel mese di febbraio 1999. Nel 1999, sono stati sottoposti al garante circa 100 ricorsi. Per quanto riguarda la giurisprudenza, un numero significativo di decisioni ha riguardato il rapporto tra le disposizioni sulla protezione dei dati e l'apertura dell'attività amministrativa, in particolare per quanto riguarda l'accesso ai documenti detenuti dagli organismi della pubblica amministrazione.

Flussi di dati transfrontalieri

E' stata sottoposta al garante una serie di questioni da parte di autorità di controllo che chiedevano chiarimenti sull'attuazione delle disposizioni riguardanti i flussi di dati transfrontalieri; esse riguardavano in particolare gli obblighi di notifica, comprese le relative deroghe, nonché l'ambito di applicazione del principio di adeguatezza.

Dati statistici

Nel 1998, sono pervenute al garante circa 13.000 chiamate telefoniche, in cui i cittadini chiedevano informazioni o ponevano domande; sono pervenute inoltre oltre 7000 richieste scritte, tra cui relazioni, ricorsi e quesiti. Sono state sottoposte oltre 270.000 notifiche e, in oltre 15.000 casi, è stata fornita assistenza telefonica nella compilazione dei relativi moduli (cartacei e/o su dischetto).

Sviluppi normativi

Nel mese di febbraio 1998, è stato sottoposto al Parlamento un progetto di legge sulla protezione dei dati in attuazione della direttiva comunitaria 95/46/CE. Il progetto di legge reca il titolo Wet bescherming persoonsgegevens (legge sulla protezione dei dati personali). Nel 1997, la Registratiekamer aveva fornito estensivamente la propria consulenza in merito al contenuto di tale progetto.

Il 19 ottobre 1998 è stata approvata una nuova legge sulle telecomunicazioni (Gazzetta ufficiale 1998, 610) che, in larga misura, recepisce nella legislazione olandese la direttiva sulla tutela della vita privata nel settore delle telecomunicazioni del 1997.

Giurisprudenza

Nessun importante sviluppo.

Attività dell'Autorità olandese per la protezione dei dati

A livello nazionale, tre temi hanno richiamato gran parte dell'attenzione della Registratiekamer:

- vita privata e fornitura di servizi nel settore finanziario: la crescita, la privatizzazione e l'emergere di nuovi servizi e media elettronici minano il rapporto dei clienti con la loro banca. Sempre più spesso, i dati vengono scambiati tra le istituzioni e l'uso di permessi elettronici esige la massima sicurezza. Questi sviluppi pongono nuove domande in ordine alla fornitura di servizi finanziari;

- forze di mercato e sicurezza sociale: la pressione politica sulle infrastrutture di sicurezza sociale da fornire alle forze di mercato è stata osservata per la prima volta alcuni anni fa. Nel 1998, questa pressione è aumentata considerevolmente. I datori di lavoro vengono ritenuti responsabili, in misura crescente, dei dipendenti in malattia. Gli organismi di attuazione pubblici hanno perso la loro posizione di monopolio. Le compagnie di assicurazione private sono coinvolte in misura crescente nella sicurezza sociale e i dati personali vengono considerati, in misura crescente, come un "capitale aziendale". La questione riguarda il modo in cui, in questo nuovo contesto, possa configurarsi la protezione dei dati personali;

- comunicazione riservata: dopo una partenza tentennante, la liberalizzazione del mercato delle telecomunicazioni sembra avere raggiunto il pieno regime. Tuttavia, la crescita massiccia dei mezzi di telecomunicazione non è al passo con le possibilità di comunicazioni riservate sicure con altri settori. Per proteggere le comunicazioni, sono necessarie soluzioni tecniche urgenti.

Questi tre temi sono stati affrontati, in modo particolareggiato, nella relazione annuale del 1998 della Registratiekamer.

La cooperazione con altre autorità è avvenuta in vari modi. A parte le attività comuni a livello dell'Unione europea e del Consiglio d'Europa, la Registratiekamer si è occupata di vari ricorsi di carattere internazionale provenienti dai soggetti interessati di Regno Unito e Irlanda.

Insieme ai colleghi spagnoli dell'Agencia de Protección de Datos, è stato organizzato un workshop sulla strategia di controllo che si è tenuto a Madrid nel mese di novembre 1998. Al termine di questo workshop, si è deciso di proseguire le attività comuni con una relazione da presentare alla conferenza di primavera dei commissari a Helsinki nel mese di aprile 1999.

In collaborazione con il Commissario per la protezione dei dati di Ontario, è stata predisposta e pubblicata nel 1999 una relazione sulla pubblicazione di agenti software intelligenti. La relazione comune precedente di entrambe le autorità sulle tecnologie per il miglioramento della vita privata è stata rivista e ristampata nel corso di quest'anno.

Nel 1998, la Registratiekamer ha prodotto relazioni destinate alla pubblicazione sui temi della cura gestita, la memorizzazione e l'estrazione dei dati, i dati personali nel settore tributario e i sistemi di sorveglianza personale.

In occasione della XXa Conferenza internazionale sulla protezione dei dati, tenutasi a Santiago de Compostela (Spagna) nel mese di settembre 1998, è stata presentata una relazione sull'uso di nuove tecnologie per la sorveglianza stradale, in particolare la determinazione dei pedaggi stradali.

La Registratiekamer ha inoltre partecipato a numerose conferenze, seminari e workshop relativi ad argomenti molto diversi e ha tenuto varie presentazioni per promuovere le tecnologie intese al miglioramento della vita privata.

In Portogallo, il 1998 è stato un anno significativo per quanto riguardo il varo della legislazione sulla protezione dei dati. Nel mese di ottobre, il Parlamento, su proposta del governo, ha approvato due nuove leggi sulla protezione dei dati che recepiscono le direttive 95/46/CE e 97/66/CE. Le leggi in questione sono la legge n. 67/98 del 26 ottobre sulla protezione dei dati personali e la legge n. 69/98 del 28 ottobre che disciplina il trattamento dei dati personali e la tutela della vita privata nel settore delle telecomunicazioni. La legge n. 67/98 del 26 ottobre introduce cambiamenti sostanziali, estendendo il proprio ambito di applicazione alla videosorveglianza, conferisce pieni poteri alla Commissione nazionale per la protezione dei dati (Comissão Nacional de Protecção de Dados - CNPD), la cui esistenza è prevista dalla Costituzione della Repubblica, e specifica i processi soggetti alla preventiva autorizzazione dell'organismo di controllo. La CNPD ha partecipato ai lavori di stesura delle due nuove leggi.

La CNPD ha svolto un ruolo molto attivo formulando pareri sulla legislazione, in particolare per quanto riguarda il codice fiscale del contribuente, l'identificazione civile, le statistiche, gli obiettori di coscienza, le informazioni autostradali e la pubblicità per corrispondenza.

Il raddoppio del numero di ricorsi presentati alla CNPD riguardanti l'attività finanziaria e di marketing, l'informazione e il commercio, nonché il numero crescente di ricorsi e richieste di informazione pervenuti per posta elettronica sono la riprova del fatto che i cittadini hanno esercitato i propri diritti in modo più attivo attraverso la commissione. Occorre tener conto delle delibere e autorizzazioni emanate nel settore sanitario, in quello bancario e dei rischi di credito, nonché del numero di controlli effettuati, che è quasi triplicato. Dopo l'entrata in vigore della nuova legge, la CNPD ha lanciato anche una campagna di informazione tra i media, incentrata in particolare sui diritti dei cittadini.

La tabella sopra riportata fornisce una ripartizione del numero di archivi pubblici. Nel 1998, sono stati inoltre gestiti dal GDPR i seguenti archivi che stabiliscono codici standard:

- Revisione del Codice di condotta per l'archivio dei tassi di incidenti tra i conducenti: è stato richiesto dall'Unione spagnola degli assicuratori e riassicuratori (Unión Española de Entidades Aseguradoras y Reaseguradoras, UNESPA), nell'intento di conformarsi meglio alla LORTAD, in particolare per quanto riguarda la tutela dei diritti delle persone i cui dati compaiono nell'archivio dei tassi di incidenti tra i conducenti, un archivio comune creato dalle compagnie di assicurazione a fini statistici e per impedire le frodi nella selezione dei rischi e la risoluzione delle denunce di incidente. Il codice è stato creato dalla Commissione tecnica sulla sicurezza dei veicoli dell'UNESPA, che è proprietaria di questo archivio, ed è applicabile a tutti gli assicuratori che si abbonano all'archivio.

- Codice etico per la protezione dei dati personali su Internet, richiesto dalla Federazione spagnola per il commercio elettronico e il marketing diretto (Federación Española de Comercio Electrónico y Marketing Directo, FECEMD), che riconosce la necessità di stabilire norme che disciplinino l'impegno volontario da parte delle società presenti su Internet a tutelare la vita privata delle persone durante il trattamento automatizzato dei dati personali, consentendo a tutte le società che commercializzano prodotti o servizi on-line e trattano dati personali di sottoscrivere il presente codice. Un capitolo del codice è dedicato alla determinazione di principi aggiuntivi applicabili ad attività on-line dedicate specificamente ai minori, che potrebbero non essere in grado, come gli adulti, di comprendere la natura dell'informazione richiesta o l'uso cui essa è destinata.

1.2.2 Ispezione dei dati

Nel 1998, l'Agenzia ha dato corso a procedimenti in 493 casi, sia per determinare se vi fosse stata un'inadempienza alle disposizioni della legge organica 5/1992 sia per tutelare i cittadini che ritenevano di essere stati ostacolati nell'esercizio dei propri diritti di accesso, correzione o cancellazione ad essi accordati dalla legge. La maggioranza dei casi perveniva da ricorsi di persone all'Agenzia per la protezione dei dati. I grafici allegati forniscono una ripartizione di questi casi per settore.

Dei 312 procedimenti d'indagine, 191 si sono risolti nel 1998, e altri 171 sono stati aperti nel 1997 e sono ancora in corso nel 1998, per un totale di 362 casi chiusi. Si è inoltre concluso il trattamento dei 27 archivi relativi alle richieste di informazioni precedenti ai cittadini che hanno presentato il ricorso e che, alla fine, non hanno comportato l'apertura di un procedimento d'indagine specifico. Tali cifre mostrano che, in pratica, i due terzi dei casi iniziati nel 1998 si sono conclusi nel corso dell'anno.

Nel 1998, sono stati iniziati 154 casi riguardanti la tutela dei diritti di cui 117 sono stati chiusi: a questa cifra vanno aggiunti altri 37 casi simili iniziati nel 1997.

Dei procedimenti sanzionatori e di amministrazione pubblica gestiti, ne sono stati risolti rispettivamente 147 e 6. Sono state inoltre predisposte 292 risoluzioni motivate di bocciatura.

1.2.3 Informazioni ai cittadini

Nel 1998, al Dipartimento di informazione dei cittadini (Área de Atención al Ciudadano) sono pervenute 12.780 richieste telefoniche (contro le 10.000 del 1997), 1500 richieste dirette (1300 nel 1997) e 1453 richieste scritte (1009 nel 1997). Queste cifre indicano un incremento del 15,4% del numero di richieste dirette, un aumento del 30% delle richieste telefoniche e del 44% di quelle scritte. L'aumento delle richieste scritte è dovuto in parte all'esistenza di una casella di posta elettronica via Internet a disposizione del pubblico.

Le richieste inviate per posta elettronica ammontano a oltre il 25% di tutte le richieste scritte pervenute.

I grafici che seguono indicano il tipo di richieste nonché il tipo di archivi interessati:

1.2.4 Cooperazione con altre autorità e organismi internazionali

L'Agenzia per la protezione dei dati ha proseguito la propria partecipazione attiva all'Organismo di controllo comune istituito dall'accordo di Schengen: è stata presente ai sette incontri tenuti dall'organismo nonché ai vari incontri tecnici in preparazione dell'ispezione di monitoraggio da parte dell'Unità centrale di sostegno tecnico, stabilita a Strasburgo, per analizzare uno studio preliminare attualmente in corso che stabilisce i requisiti del nuovo sistema di informazione di Schengen (SIS II).

Si è conclusa l'ispezione dell'ufficio spagnolo SIRENE come pure la campagna pubblicitaria sui diritti dei cittadini in seno al SIS: ciò ha comportato la produzione e distribuzione di 400 poster e 50.000 opuscoli; il ministero degli Esteri e degli Interni hanno aiutato a distribuirli presso gli uffici consolari e ai crocevia di frontiera esterni (aerei, marittimi o terrestri) nell'area di Schengen.

Nel 1998, è stato inoltre istituito l'organismo di controllo comune (JSB-Eurpol), previsto dall'articolo 24 delle Convenzione Europol. L'organismo è costituito da un massimo di due rappresentanti di ogni autorità nazionale per la protezione dei dati. Il Consiglio dei ministri ha sottoscritto l'accordo il 25 settembre nominando in rappresentanza della Spagna l'Agenzia per la protezione dei dati: l'accordo ha stabilito inoltre che il ministero degli Esteri informerà di questa nomina il Segretario generale del Consiglio dell'Unione europea, depositario della Convenzione Europol.

Un altro argomento emerso nel corso della XXa Conferenza internazionale delle autorità per la protezione dei dati (Conferencia Internacional de Autoridades de Control en materia de protección de datos) tenutasi a Santiago de Compostela è che l'Agenzia per la protezione dei dati e la Registratiekamer (l'Autorità olandese per la protezione dei dati) erano interessate a condividere la loro esperienza in materia di controlli sulla vita privata, allo scopo di lavorare verso metodi e procedure di ispezione comuni. La crescente globalizzazione del trattamento dei dati e l'entrata in vigore della direttiva 95/46/CE indicano che aumenterà la domanda di attività coordinate tra gli ispettorati delle varie autorità.

Ferme restando tali premesse, entrambe le parti ritenevano che il primo passo di questa cooperazione fosse un incontro tra i rappresentanti dei due ispettorati. Nell'incontro tenutosi a Madrid in due giorni del mese di novembre 1998, i due ispettorati hanno esposto i propri metodi di lavoro.

Per continuare questa cooperazione, sono state concordate due linee d'azione. La prima è stata la presentazione, in occasione della Conferenza di primavera dei commissari per la protezione dei dati a Helsinki, di una relazione sui risvolti dell'incontro e, ove opportuno, sull'ampliamento della collaborazione a tutte le autorità che si sono mostrate interessate.

La seconda linea d'azione riguarderà il varo, da parte di entrambe le autorità, di un esercizio pilota di ispezione coordinata, che usa metodi e documenti concordati in anticipo per poter analizzare i risultati e fare un ulteriore passo verso la determinazione di norme comuni.

Su un altro argomento, come già citato in precedenza, l'Agenzia per la protezione dei dati ha organizzato la XXa Conferenza delle autorità per la protezione dei dati che si è tenuta a Santiago de Compostela dal 16 al 18 settembre 1998. E' stato inoltre aggiudicato il secondo premio per la protezione dei dati personali al libro "La protezione dei dati personali nel campo delle indagini penali" presentato da José Francisco Etxeberría Guridi, docente aggiunto di diritto procedurale presso l'università della città basca.

Quest'anno l'autorità spagnola ha pubblicato, su CD-ROM, una nuova edizione dell'elenco degli archivi registrati nel Registro generale per la protezione dei dati. Questa versione aggiornata ha migliorato le funzioni di reperimento delle informazioni.

Allo stesso modo, è stato accresciuto e migliorato l'accesso alle informazioni riportate nel Registro per la protezione dei dati attraverso Internet, grazie all'aggiornamento costante del registro stesso. Quest'anno, è particolarmente degno di nota l'accesso da parte del pubblico al sito Internet dell'agenzia (www.ag-protecciondatos. es) che contiene una guida informativa, modelli per l'esercizio dei diritti e raccomandazioni per gli utenti di Internet, particolari della legislazione, notificazione dell'inserimento di archivi di proprietà pubblica e privata, nonché l'elenco aggiornato degli archivi detenuti dall'agenzia. Nel 1998, il sito è stato consultato oltre 216.000 volte.

2.- SVILUPPI LEGISLATIVI NEL CAMPO DELLA PROTEZIONE DEI DATI

2.1 Recepimento della Direttiva 95/46/CE

Un progetto di modifica della legge esistente sulla protezione dei dati (legge organica 5/1992) è stato presentato dal governo e pubblicato nella Gazzetta della Camera dei deputati (Diario del Congreso de los Diputados) il 31 agosto 1998. In precedenza, l'Agencia de Protección de Datos aveva emesso due relazioni sul progetto, il 27 febbraio e il 31 maggio 1998.

Tuttavia, occorre chiarire che la legge esistente sulla protezione dei dati include molti dei principi della direttiva comunitaria poiché essa è stata adottata tenendo conto del progetto preliminare della direttiva.

2.2 Regolamenti sulla sicurezza

L'attuazione delle legge organica 5/1992 del 29 ottobre che disciplina il trattamento automatizzato dei dati di natura personale, non aveva stabilito disposizioni circa lo sviluppo delle misure di sicurezza previste dall'articolo 9 della legge in questione. Per tale motivo, si è resa indispensabile l'approvazione di un regolamento che disciplinasse tali misure, stabilendo i vari livelli di sicurezza da applicare agli archivi e le sanzioni applicabili in caso di inosservanza del regolamento.

Nel 1998, è stato predisposto un progetto di regolamento sulle misure di sicurezza, in collaborazione con l'Agenzia per la protezione dei dati, che probabilmente verrà adottato formalmente nel 1999. Il progetto stabilisce tre livelli di sicurezza, in base alla natura dell'informazione da gestire unitamente alla maggiore o minore necessità di garantirne la riservatezza e l'integrità. Inoltre, le disposizioni transitorie stabiliscono limiti ragionevoli di sei mesi, un anno e due anni per l'attuazione delle misure richieste per, rispettivamente, gli archivi di base di medio e alto livello.

2.3 Provvedimenti del direttore dell'Agencia de Protección de Datos

All'inizio del 1998, e secondo quanto previsto dall'articolo 36, paragrafo c, della legge organica 5/1992, il direttore ha emanato il provvedimento dell'Agenzia per la protezione dei dati 1/1998 del 19 gennaio sull'esercizio dei diritti di accesso, correzione e cancellazione. Lo scopo di questo provvedimento era chiarire le disposizioni esistenti sull'esercizio di tali diritti, poiché era ormai chiaro all'Agenzia che stessero sorgendo problemi di interpretazione e che fosse necessaria una chiarificazione nel caso di archivi specifici come quelli in cui sono contenute le informazioni sulla solvibilità delle imprese o gli archivi a fini pubblicitari.

2.4 Recepimento della direttiva 97/66/CE sulle telecomunicazioni

La legge generale sulle telecomunicazioni 11/1998 del 24 aprile 1998 e il regio decreto 1736/1998 del 31 luglio, che approva il regolamento che elabora il capitolo III della legge generale sulle telecomunicazioni, hanno recepito nella legislazione spagnola la direttiva 97/66/CE del Parlamento europeo e del Consiglio del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni.

Per quanto riguarda la legislazione sulla protezione dei dati personali in questo settore, è fatto espresso riferimento all'attuazione della legge organica 5/1992 che disciplina il trattamento automatizzato dei dati personali, con il risultato che la protezione dei dati personali connessa alle reti e ai servizi di telecomunicazione sarà disciplinata dalle disposizioni del testo in questione (in conformità all'articolo 50 della legge generale sulle telecomunicazioni).

Inoltre, gli articoli del regio decreto 1736/1998 comprendono disposizioni sugli elenchi telefonici, sul marketing diretto telefonico, informazioni personali sull'uso di reti e la fatturazione, la fatturazione dettagliata, e la presentazione e la restrizione della linea chiamante e l'identificazione della linea collegata, secondo quanto stabilito dalla direttiva 97/66/CE.

2.5 Riforma dei regolamenti sulle ipoteche

La riforma dei regolamenti sulle ipoteche, introdotta dal regio decreto 1867/1998 del 4 settembre sulla base delle relazioni emesse dall'Agenzia per la protezione dei dati, comprende tre disposizioni che disciplinano il trattamento dei dati, segnatamente: a) l'articolo 332.2, che vieta l'accesso diretto, attraverso qualsiasi mezzo, al nucleo centrale della base di dati dell'archivio dell'ufficio del registro che è responsabile della sua sicurezza, integrità e conservazione, nonché l'incorporazione della base di dati a scopo di marketing o rivendita; b) l'articolo 332.5, che stabilisce che la nota informativa semplice consisterà esclusivamente in un breve estratto del contenuto delle voci, tra cui l'identificazione della proprietà, il titolare o i titolari dei diritti conferiti, l'entità, i limiti e la natura di tali diritti e, ove necessario, i divieti o le restrizioni riguardanti i titolari o i diritti registrati; e c) l'articolo 332.6, che stabilisce che i funzionari dell'ufficio del registro non possono trattare richieste di massa o indiscriminate.

2.6 Altre relazioni su progetti di disposizioni generali

Oltre a quanto sopra esposto, l'Agenzia per la protezione dei dati ha riferito sulle seguenti disposizioni giuridiche significative ai fini della presente pubblicazione, in linea con le disposizioni dell'articolo 8, paragrafo h, della legge organica 5/1992 che disciplina il trattamento automatizzato dei dati di natura personale:

• Istruzione dell'Istituto statistico nazionale sulla divulgazione dei dati di natura personale detenuti nei registri comunali;
• Piani per lo sviluppo di una base di dati dell'ufficio nazionale del catasto terreni;
• Regio decreto che adotta i regolamenti sull'assicurazione obbligatoria di responsabilità civile derivante dalla circolazione di veicoli a motore;
• Il decreto che disciplina l'istituzione e il funzionamento del registro dei tumori di Canterbia;
• La legge sull'ordinamento fiscale, amministrativo e sociale del ministero dell'Economia e delle Finanze, in particolare i regolamenti sulle imposte sul reddito;
• Il regio decreto che adotta il regolamento sull'organizzazione e supervisione dei regimi di assicurazione privati;
• Il regio decreto che adotta il regolamento sul registro delle organizzazioni non governative;
• L'ordinamento per la creazione e disciplina del registro nazionale dei decessi;
• La risoluzione del ministero delle Finanze che adotta il modello per la comunicazione della situazione personale e familiare delle persone che percepiscono un reddito o i cambiamenti riguardanti il contribuente, e che stabilisce le modalità di tale comunicazione.

3.- SENTENZE EMESSE NEL 1998

Come dichiarato nella relazione dell'anno scorso, fermo restando che l'Agenzia per la protezione dei dati è entrata in funzione nel 1994, fino a quest'anno non erano state emesse sentenze sugli appelli presentati contro le sue decisioni. Nel 1998, riguardo a questo tipo di casi, sono state emesse 13 sentenze, 11 delle quali relative a procedimenti di violazione e 2 a casi concernenti la tutela dei diritti.

Tutte queste decisioni, tranne una, hanno sostenuto il punto di vista dell'Agenzia, ad indicare che le sue attività sono considerate conformi alla legge.

Le sentenze emesse e un attento esame dell'oggetto dei casi trattati rivelano l'importanza delle opinioni sostenute su tali questioni di amministrazione delle controversie.

a) Informazioni prese dal registro elettorale: il parere dell'Agenzia che le informazioni prese dal registro elettorale e dai registri comunali non dovrebbero essere inserite nelle fonti accessibili al pubblico è stata sostenuta da tre sentenze della Corte superiore di giustizia di Madrid (Tribunal Superior de Justicia de Madrid) emesse in relazione a casi riguardanti gli archivi di proprietà di società che si occupavano di attività di marketing diretto.

b) Le attività di ispezione non rientrano nei procedimenti legali: in questo caso particolare, in cui le controparti hanno negato agli ispettori dell'Agenzia il libero accesso per svolgere le proprie attività e, conseguentemente, sono state sanzionate per avere ostacolato l'ispezione, il tribunale superiore di Madrid ha chiarito che questa attività non rientra nei procedimenti legali e quindi non richiede l'accordo preventivo per dar corso ai procedimenti.

4.- TRASFERIMENTI INTERNAZIONALI DI DATI DI NATURA PERSONALE

983 degli archivi inseriti nel registro generale per la protezione dei dati contengono trasferimenti internazionali di dati nelle loro dichiarazioni, 50 dei quali sono di proprietà pubblica e 933 di proprietà privata.

In conformità alle deroghe previste dall'articolo 33 della LORTAD (legge che disciplina il trattamento automatizzato dei dati di natura personale), vengono effettuati diversi tipi di trasferimenti di dati a livello internazionale:

4.1 Casi riguardanti l'autorizzazione di trasferimenti internazionali

Fino al mese di dicembre 1998, sono stati risolti 101 casi di richiesta di autorizzazione a trasferimenti internazionali, mentre altri 13 casi avviati nel 1998 sono ancora in corso. La ripartizione di queste cifre per anno può essere rilevata nella tabella che segue:

Nel 1998, sono state presentate 32 richieste di autorizzazione, di cui 19 completate nello stesso anno. E' stata inoltre completata una richiesta presentata nel 1997. Tre sono state archiviate e, in un caso, il richiedente ha ritirato l'istanza. In totale, sono state autorizzate e iscritte nel registro generale 20 richieste di trasferimento internazionale, mentre nove casi attendono le procedure finali prima del completamento. Gli Stati Uniti hanno ricevuto la maggiore parte delle autorizzazioni, a causa del fatto che una percentuale elevata di società multinazionali ha la propria casa madre in questo paese.

Vale la pena di dare un'occhiata più da vicino alle garanzie richieste dall'Agenzia per la protezione dei dati nella stesura dei contratti. Questi ultimi devono comprendere clausole relative a:

a) l'obbligo per il titolare di garantire la piena conformità a tutti i principi di protezione dei dati personali;

b) una dichiarazione espressa della finalità del trattamento;

c) la qualità e proporzionalità dei dati;

d) una dichiarazione che illustri l'interesse legittimo dell'autorità di controllo, garantisca che tale interesse non sia lesivo dei diritti del soggetto interessato e che quest'ultimo non è stato informato del trasferimento internazionale perché non vi è alcun rischio di violazione della sua vita privata, e che sarebbero necessari sforzi sproporzionati per informare del trasferimento il soggetto interessato;

e) la sicurezza;

f) informazioni dettagliate, ove necessario, su entrambe le parti contraenti, in particolare il titolare dell'archivio e l'incaricato del trattamento;

g) il diritto di accesso, rettifica, cancellazione e opposizione;

h) meccanismi di ricorso adeguati;

i) restrizioni a trasferimenti successivi o divulgazione a persone estranee al contratto;

j) l'accordo tra il destinatario e l'autorità di controllo spagnola.

Svezia

Sviluppi normativi

Nell'aprile 1998, è stato adottato dal Parlamento svedese il progetto di legge sulla protezione dei dati personali, basato sulla direttiva comunitaria 95/46. La legge sui dati personali (1998:289) e l'ordinanza sui dati personali (1998:1191) sono entrate in vigore il 24 ottobre 1998. Contemporaneamente, è decaduta la legge sui dati del 1973, che si applicherà comunque, sino al 1° ottobre 2001, al trattamento di dati personali iniziato prima dell'entrata in vigore della nuova legge.

La legge sui dati personali si applica a tutti i settori della società, pubblico e privato. Esistono tuttavia varie leggi in cui il trattamento dei dati personali nell'ambito di vari settori della società è stato disciplinato separatamente mediante disposizioni supplementari. Nel 1998, il trattamento dei dati nell'amministrazione sanitaria è stato disciplinato con due leggi distinte. Anche il registro anagrafico svedese è stato disciplinato con una nuova legge distinta il 24 ottobre 1998. Queste leggi corrispondono alle disposizioni della direttiva 95/46/CE.

Dopo l'entrata in vigore della legge sui dati personali, è iniziato in Svezia un acceso dibattito sulle possibilità offerta dalla nuova legislazione di citare nomi e dati di persone fisiche nei siti web senza il preventivo consenso. Il governo svedese ha incarico la commissione per l'ispezione dei dati di investigare sulle disposizioni supplementari della nuova legislazione. Nel 1999, le legge verrà probabilmente modificata con riguardo al trasferimento dei dati personali verso i paesi terzi.

Giurisprudenza

Nel 1998, l'Associazione svedese di marketing diretto (SWEDMA) e la Società svedese per le indagini demoscopiche e di mercato (SMIF) hanno avviato le discussioni con la Commissione per l'ispezione dei dati riguardo all'emanazione di codici di condotta nei rispettivi settori. Nel mese di giugno 1999, la Commissione per l'ispezione dei dati ha espresso solo un parere su una proposta di codici di condotta riguardante la SWEDMA.

Una società di telecomunicazioni ha chiesto l'autorizzazione a pubblicare il proprio elenco telefonico cartaceo su Internet senza il consenso degli abbonati. La Commissione per l'ispezione dei dati ha consentito alla società di pubblicare su Internet l'elenco telefonico ma solo con riguardo alle persone che avevano acconsentito alla pubblicazione in Internet dei propri nomi, indirizzi e numeri telefonici. La decisione è stata appellata dinanzi all'autorità giudiziaria, che ha modificato la decisione e ha deciso che la società potesse pubblicare l'elenco telefonico senza il consenso degli abbonati. Tuttavia, gli abbonati dovevano esserne informati ed avere la possibilità di non comparire. La decisione era basata sulla precedente legge sui dati.

Attività delle autorità di controllo per la protezione dei dati

Nel 1998, la Commissione per l'ispezione dei dati ha effettuato 113 controlli, la maggiore parte dei quali si è svolta in conformità alla precedente legge sui dati. Molti controlli erano concentrati in alcuni settori pubblici e commerciali, come i dati personali trattati negli ospedali, le banche, le società di telecomunicazione e i sistemi di prenotazione delle agenzie di viaggi, nonché l'uso commerciale delle informazioni personali contenute nei pubblici registri. La Commissione per l'ispezione dei dati ha notificato al governo i risultati di questi controlli.

Nel mese di ottobre 1998, la signora Anitha Bondestam ha terminato il proprio mandato di Direttore generale della Commissione per l'ispezione dei dati e al suo posto è stato nominato il signor Ulf Widebäck.

Nel mese di ottobre 1998, la Commissione per l'ispezione dei dati ha compiuto 25 anni. Tale avvenimento è stato festeggiato con una conferenza internazionale e un rinfresco cui hanno partecipato molte autorità europee per la protezione dei dati.

Regno Unito

Sviluppi normativi

Direttiva 95/46/CE sulla protezione dei dati personali

Il governo non ha attuato la legislazione nazionale di recepimento delle disposizioni di cui alla direttiva in questione entro il termine stabilito del 24 ottobre 1998. L'attuazione della legge sulla protezione dei dati del 1998 è stata prorogata dopo la fine dell'anno. La proroga è dipesa principalmente dalla stesura della legislazione secondaria di accompagnamento che ha richiesto più tempo del previsto³¹ .

Direttiva 97/66/CE sulla protezione dei dati nel settore delle telecomunicazioni

Il 17 dicembre 1998, il governo ha sottoposto al Parlamento i regolamenti di recepimento delle disposizioni di cui alla direttiva in questione con riguardo al marketing diretto. Tali regolamenti sono entrati in vigore il 1° maggio 1999³² .

Dall'attuazione, è stato vietato di effettuare chiamate indesiderate di marketing diretto ad un abbonato che abbia manifestato il proprio dissenso al riguardo. Il regolatore delle comunicazioni, OFTEL, detiene un registro delle persone che hanno manifestato il proprio dissenso, nonché un registro degli abbonati che hanno manifestato il proprio dissenso a fax di marketing indesiderati. E' vietato l'invio di questi fax ai singoli abbonati senza il preventivo consenso e agli abbonati aziendali che abbiano manifestato il proprio dissenso. Tuttavia, i regolamenti permettono ai singoli abbonati di registrarsi. Sebbene tale disposizione sembri un po' anomala, essa ha lo scopo di far fronte alla difficoltà pratica riscontrata da quanti si occupano di marketing impresa-impresa, derivante dal fatto che non è facile identificare le imprese di tipo individuale.

Quando, alla fine del 1998, sono stati sottoposti al Parlamento i regolamenti relativi al marketing diretto, il governo ha dichiarato l'intenzione di portare avanti, nel 1999, un'ulteriore legislazione secondaria intesa ad annullare e sostituire i regolamenti e dare pieno effetto alla direttiva³³ .

Nel 1998, abbiamo collaborato intensamente con DTI e OFTEL nella preparazione del recepimento della direttiva sulle telecomunicazioni.

Direttiva 97/7/CE sulle vendita a distanza

Nel mese di giugno 1998, il ministero del Commercio e dell'Industria (Department of Trade and Industry - DTI) ha emanato un documento di consultazione (Consultation Paper) sul recepimento della direttiva sulle vendita a distanza. Sebbene simile alle restrizioni previste nella direttiva sulle telecomunicazioni relative alle chiamate e i fax indesiderati di marketing diretto, la direttiva sulle vendite a distanza introduce restrizioni all'uso di qualsiasi mezzo di comunicazione a distanza, quantunque limitatamente al contesto delle vendite a distanza. Pertanto, ciò comporterà restrizioni legali agli invii di corrispondenza indesiderati e alla televisione interattiva, nonché alle chiamate telefoniche e ai fax. Per quanto riguarda la posta elettronica, siamo del parere che, in risposta alla consultazione del governo, la norma dovrà essere rappresentata dalla possibilità di aderire. In altre parole, l'uso di posta elettronica indesiderata a scopo di marketing dovrà prevedere il preventivo consenso del consumatore. Ci attendiamo di partecipare all'attuazione di qualsiasi provvedimento definitivamente adottato per recepire le relative disposizioni della direttiva nel Regno Unito.

Legge 1998 sui crimini e i disordini

Questa legislazione mira a ridurre i crimini e i disordini nonché il timore di crimini e disordini da parte delle comunità locali. Lo scopo della legge è che le comunità locali collaborino per risolvere le difficoltà a livello locale. A tal fine, sono state sostenute e vengono appoggiate partnership tra i vari ambiti del settore pubblico, ad esempio forze di polizia e autorità locali. Tuttavia, pur prevedendo la condivisione delle informazioni tra i vari organismi, la legge sui crimini e i disordini non annulla le disposizioni della legge sulla protezione dei dati e quindi la sfida è garantire che si tenga conto dei diritti delle persone e gli obblighi a carico degli utenti dei dati in qualsiasi tipo di partnership che intenda condividere dati personali.

Legge 1998 sui diritti umani

Questa legislazione impone obblighi specifici alle autorità giudiziarie e agli enti pubblici per tenere conto e applicare i diritti sanciti nella Convenzione europea sui diritti umani e le libertà fondamentali, denominati diritti della convenzione. Uno di questi diritti è il rispetto della vita privata e familiare sancito dall'articolo 8. La convenzione impone agli Stati di rispettare la vita privata e familiare dei propri cittadini. Lo Stato può interferire con questi diritti solo se esiste una base giuridica per farlo e se può addurre motivazioni specifiche.

Laddove la protezione dei dati riguarda la vita privata delle persone e i loro diritti ad essere liberi da interferenze sulle informazioni, ci attendiamo che l'articolo 8 possa avere un impatto significativo sul modo di interpretare e applicare la nuova legge sulla protezione dei dati. Quando è entrata in vigore la legge sui diritti umani³⁴ , è risultato evidente che ogni organismo pubblico dovesse interpretare e dare effetto alla legislazione in modo compatibile con i diritti della convenzione. La legge sulla protezione dei dati non sarà l'unica legge di cui tener conto in questo contesto. Ad esempio, ci viene chiesto occasionalmente di confermare che un particolare statuto conferisce a un organismo governativo il potere di svolgere attività di dati, come l'adeguamento. In alcuni casi, è chiaro che, dal punto di vista tecnico, la statuto possa consentirlo, sebbene le disposizioni statutarie possono avere precorso l'avvento dei computer e chiaramente non avere mai avuto lo scopo di permettere tali esercizi. A livello politico, abbiamo chiarito il parere del ‘Registrar' che i ministri non dovrebbero basarsi su tali disposizioni ma dovrebbero richiedere l'autorità attuale al Parlamento, in caso contrario non noi potremo imporle. Se tali disposizioni forniscono un fondamento statutario, esse non possono essere contrastate. Tuttavia, non appena la legge sui diritti umani entrerà in vigore, sarà possibile affermare che tali interpretazioni sono incompatibili con il diritto al rispetto della vita privata e familiare e richiedere giustificazioni in merito a tale interferenza ai termini dell'articolo 8.

In quanto autorità pubblica, vincolata ad agire in modo compatibile con i diritti della convenzione, l'approccio all'attuazione, anche nel rispetto delle imprese del settore privato, potrà risentirne. E' possibile che il Tribunale per la protezione dei dati, occupandosi dei casi ad esso sottoposti, dovrà decidere su questioni connesse al diritto al rispetto della vita privata e familiare. In questo caso, dovrà tener conto di eventuali sentenze o decisioni del Tribunale dei diritti umani. Ne consegue che, nel prendere la decisione che potrebbe infine essere portata dinanzi al tribunale, dovranno essere intrapresi gli stessi passi per garantire che siano state prese in considerazione tutte le pertinenti questioni giuridiche.

In tutti questi casi, la legge sui diritti umani interferirà e influenzerà il nostro modo di lavorare ed è importante essere pronti a far fronte a tali problemi. Abbiamo intrapreso un corso di formazione che è iniziato con la formazione del nostro gruppo legale interno e che è proseguito con la formazione del resto del personale. Si tratterà di un processo continuo per prepararci all'attuazione.

Giurisprudenza

Negli ultimi anni, il ‘Registrar' e i suoi predecessori si sono occupati dell'uso delle

basi di dati di fornitura da parte di società di servizi pubblici per scopi diversi dalla fornitura, in particolare in relazione agli invii di corrispondenza per promuovere beni e servizi di altre società. Le preoccupazioni del ‘Registrar' si sono incentrate sull'equità e liceità del trattamento dei dati personali che interessa tali attività, alla luce del primo e secondo principio sulla protezione dei dati della legge sulla protezione dei dati del 1984.

Nel mese di marzo 1997, la British Gas Trading Limited (BGTL) ha inviato a tutti i suoi clienti un opuscolo inteso a dedurre dall'assenza di dissenso il consenso dei clienti all'uso e alla divulgazione dei loro dati per finalità non correlate alla fornitura di gas. Nel mese di luglio 1997, il ‘Registrar' ha emesso un avviso di esecuzione contro la BGTL che imponeva di limitare gli usi da parte della BGTL dei dati personali derivanti dal rapporto di fornitura. La BGTL ha appellato l'avviso; il Tribunale sulla protezione dei dati si è riunito nel mese di febbraio 1998 per esaminare l'appello e il 5 maggio 1998 il Tribunale ha finalizzato un avviso di sostituzione.

Per quanto riguarda la legittimità, il Tribunale non ha appoggiato l'opinione del ‘Registrar' che le varie società di servizi pubblici sono limitate in virtù dei regimi statutari che disciplinano le loro attività di fornitura negli usi e divulgazioni delle informazioni personali detenute ai fini della fornitura.

Per quanto attiene all'equità, il Tribunale ha sostenuto ampiamente l'opinione che le persone devono essere informate di qualsiasi finalità non ovvia per la quale i loro dati possono essere usati o divulgati al momento in cui essi entrano in rapporto con un utente di dati.

Inoltre, il Tribunale ha espresso l'opinione che non è corretto effettuare, senza il consenso del cliente, usi più ampi della commercializzazione dell'energia elettrica o la fornitura di beni e servizi correlati. Il Tribunale ha inoltre espresso l'opinione che non è corretto dedurre il consenso all'uso o la divulgazione dei dati del clienti per la commercializzazione di prodotto o servizi non correlati all'energia dalla mancata risposta ad un opuscolo contenente una possibilità di dissenso.

Attività dell'autorità di controllo per la protezione dei dati

La seguente descrizione non ha lo scopo di fornire un quadro completo delle attività dell'Ufficio del ‘Registrar' per la protezione dei dati nel 1998, ma è indicativa di alcuni dei principali settori di attività.

Ricorsi

Il numero di ricorsi scritti che abbiamo ricevuto nell'anno sino al 31 marzo 1999 ha indicato una riduzione del 13% rispetto al 1997-98, con un totale annuo di 3.653 ricorsi. Per la prima volta, abbiamo iniziato a classificare le chiamate che riceviamo sulla nostra linea di richiesta per identificare quelle che si riferiscono ad un ricorso. Nel periodo in questione, abbiamo totalizzato quasi 5.000 chiamate. Sebbene a circa il 40% dei chiamanti venga inviato un modulo di ricorso e i moduli restituiti vengano conteggiati anche tra i ricorsi scritti, è evidente che la maggioranza dei ricorsi su cui noi non indaghiamo vengono trattati al telefono. Ciò è perfettamente in linea con la nostra politica intesa a incoraggiare e assistere le persone che ne hanno bisogno.

La riduzione del numero di ricorsi scritti è l'ulteriore conferma della sensibilità del numero di casi da noi trattati alla pubblicità sui media. Nel corso dell'anno, la pubblicità da noi incentivata è stata molto limitata e non abbiamo visto quantità significative di ricorsi derivanti da articoli di giornale particolari o altri eventi come è avvenuto in passato. Il nostro compito secondo quanto previsto dalla legge 1998 diverrà quello di valutare il trattamento dei dati personali ai fini della conformità e non più quello di esaminare i ricorsi. Sarà comunque interessante osservare l'impatto sul numero di casi da noi trattati della pubblicità che prevediamo di effettuare dopo l'entrata in vigore della nuova legge.

Iscrizione a ruolo

I dodici mesi sino al mese di aprile 1999 sono stati particolarmente intensi. L'introduzione della legge 1984 ha concesso agli utenti un periodo di 6 mesi per registrarsi. Ciò si è tradotto in un numero altissimo di richieste di rinnovo pervenute ogni 3 anni. L'anno sino al mese di aprile 1999 è stato un anno di punta per i rinnovi e oltre alle 67.205 richieste di rinnovo ricevute sono pervenute all'ufficio più di 23.000 richieste nuove.

Preparazione della nuova legge

La legge 1998 sulla protezione dei dati ha ottenuto l'assenso reale il 16 luglio 1998. Nei mesi successivi all'approvazione della legge, hanno richiesto un'enorme quantità di tempo le discussioni sulla legislazione secondaria e la preparazione dell'attuazione della legge, sebbene inevitabilmente la mancanza di una data d'inizio precisa ha causato alcune difficoltà.

Lo sviluppo maggiormente degno di nota in questo settore è stata la pubblicazione, da parte del nostro gruppo giuridico, di una introduzione alla legge 1998 sulla protezione dei dati (v. in seguito per maggiori dettagli), tra cui una guida particolareggiata per le autorità di controllo sull'esenzione transitoria concessa con riguardo ai trattamenti in corso.

Abbiamo iniziato a collaborare intensamente con i rappresentanti di varie organizzazioni, tra cui CBI, e con i legali interessati ad informare i propri clienti sulle disposizioni relative ai trasferimenti fuori dallo Spazio economico europeo (SEE).

Ove possibile, abbiamo assistito quanti stanno elaborando istruzioni utili sulla nuova legge. Abbiamo collaborato con il British Standards Institute al loro progetto sui dischi (Disc Project). Lo scopo del progetto è fornire alle società un'utile guida pratica. Insieme a Harrison Smith Associates (HSA), il nostro personale ha effettuato una serie di seminari preliminari intesi a fornire un'ampia introduzione alle disposizioni della nuova legge. Abbiamo collaborato intensamente con i funzionari del ministero degli Interni commentando, in modo particolareggiato, i progetti relativi alla legislazione secondaria.

Abbiamo continuato a prepararci per assumere una nuova serie di responsabilità, tra cui quella riguardante l'accesso agli archivi di accertamento della solvibilità, l'esistente diritto di accesso a taluni archivi sanitari, scolastici e altri, nonché l'attuazione delle disposizioni di recepimento della direttiva sulle telecomunicazioni.

Pubblici registri

La tecnologia significa che le informazioni personali contenute nei pubblici registri, ad esempio il registro elettorale, possono essere utilizzate, in misura crescente, per finalità che esulano da quelle per cui il registro è stato originariamente creato. E' un settore in cui la nostra conoscenza della prassi corrente è incompleta. Abbiamo pertanto incaricato l'Università di Loughborough di intraprendere uno studio relativo alla portata e all'uso fatto delle informazioni personali contenute nei pubblici registri. Lo studio è tuttora in corso, ma siamo incoraggiati dal grande interesse nel lavoro dei ricercatori. In seguito alle loro conclusioni, dovremo decidere se raccomandare cambiamenti alle norme applicabili a particolari registri.

Uso di dati personali nell'occupazione

L'uso di dati personali nell'occupazione è un tema cui abbiamo dedicato poca attenzione in passato, in gran parte perché il numero di ricorsi è stato esiguo. E' chiaramente un settore in cui le persone sono vulnerabili. Le implicazioni dovute al fatto che le decisioni si basino su informazioni imprecise o vengano usate in modo iniquo sono ovvie. Vi sono importanti questioni su dove stia il giusto equilibrio tra il bisogno da parte dei datori di lavoro di avere informazioni sui dipendenti, e i potenziali dipendenti e i loro diritti alla vita privata. L'uso crescente delle tecnologie nei processi decisionali e nella sorveglianza, come pure l'estensione della nuova legge a registri manuali strutturati e le sue disposizioni sui processi decisionali automatizzati suggeriscono che l'uso dei dati personali nei rapporti tra datori di lavoro e dipendenti merita oggi un'attenzione maggiore. A tale scopo, abbiamo commissionato uno studio che mira a fornirci:

• una comprensione degli usi dei dati personali nel rapporto tra datore di lavoro e dipendenti, in particolare per quanto riguarda i sistemi di selezione e valutazione automatizzati e la sorveglianza dei dipendenti, per consentirci di individuare i problemi relativi alla protezione dei dati;
• un progetto di codice di prassi per i datori di lavoro sulla protezione dei dati e il trattamento dei dati dei dipendenti.

Stiamo attualmente esaminando i risultati dello studio. Sebbene il lavoro da fare sia ancora molto, ci proponiamo di elaborare il codice nella misura in cui riusciremo a consultare sia i rappresentanti dei datori di lavoro sia quelli dei dipendenti in merito a tali disposizioni. L'intenzione è che il codice assuma la forma di un elenco di punti chiave che i professionisti dell'occupazione seguiranno per garantire la conformità alla protezione dei dati.

Sensibilizzazione

I progetti di quest'anno sono stati inevitabilmente incoraggiati dalla nostra aspettativa che la nuova legge entrasse in vigore. Abbiamo lavorato ad un nuovo video e un opuscolo introduttivi. Entrambi questi prodotti saranno disponibili a richiesta quando la nuova legge entrerà in vigore.

Un'altra pubblicazione elaborata in seguito alla nuova legge è stato il documento di 46 pagine "La legge 1998 sulla protezione dei dati — Introduzione" (citato in precedenza). Ne sono state stampate 50.000 copie e, come tutte le recenti pubblicazioni sulla protezione dei dati, il documento è stato inserito nella nostra homepage (http://www. dataprotection.gov.uk).

Continuiamo ad essere orgogliosi del nostro approccio aperto ai media. Siamo sempre stati felici di parlare con tutti i giornalisti. Grazie all'approccio della nuova legge, si è manifestato un interesse permanente nella protezione dei dati. Nei 12 mesi sino al mese di giugno 1999, i membri del personale hanno rilasciato circa 300 interviste ai media pubblici, con 10 passaggi televisivi e 31 radiofonici.

Come negli anni precedenti, abbiamo continuato a costruire i nostri rapporti con i soggetti interessati e gli utenti di dati. In questo contesto, abbiamo utilizzato una serie di mezzi di comunicazione, tra cui una linea di informazione dedicata, istruzioni, consigli, pacchetti di formazione, video, seminari, discorsi, notiziari, Internet, partecipazione ad esposizioni, attività con l'Ufficio di consulenza del cittadino (Citizen's Advice Bureaux) e altre agenzie, nonché pubblicità diretta.

La homepage del ‘Registrar' per la protezione dei dati si è rivelata un mezzo sempre più efficace. Nel 1998, il sito è stato consultato 10.000 volte al mese.

La partecipazione a conferenze e seminari organizzati da altri organismi ha sempre avuto un ruolo chiave nella sensibilizzazione e occupa una quantità significativa del tempo del personale dirigente. Abbiamo inviato relatori ad una serie di seminari organizzati per noi da HSA, intitolati "La legge 1998 sulla protezione dei dati — Rimanere nell'ambito della legge." I seminari si sono tenuti in 21 località del Regno Unito nei mesi agosto e settembre 1998. In molte occasioni, si è verificato un eccesso di iscrizioni e, pertanto, nel mese di marzo 1999 sono stati organizzati altri seminari per soddisfare alle richieste. In totale, a questa serie di seminari hanno partecipato oltre 3000 persone.

Influenzare la politica pubblica

Nell'estate del 1998, il ‘Registrar' ha fornito prove alla Camera dei Lord, Comitato delle Comunità europee, Sottocomitato Diritto e Istituzioni, sull'effetto della norma 28 del progetto di norme di procedura per l'organismo di controllo comune istituito per amministrare i temi di protezione dei dati derivanti in rapporto alla base di dati EUROPOL, che riguardavano il ricevimento di informazioni da parte di EUROPOL provenienti da paesi terzi e organismi terzi in cui queste informazioni venivano ottenute in violazione ai diritti umani. La norma è stata successivamente modificata tenendo conto dei problemi relativi ai diritti umani.

Articolo 29 Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali

Nel 1998, abbiamo continuato a contribuire in modo positivo alle attività del gruppo di cui all'articolo 29. Gli incontri si sono tenuti più spesso rispetto al 1997, per riflettere i problemi relativi ai trasferimenti di dati personali fuori dallo SEE.

Gruppo di lavoro Berlin Telecommunications

Siamo stati rappresentati alle riunioni del Gruppo di lavoro Berlin Telecommunications, che si riunisce due volta all'anno per esaminare le questioni correlate alle telecomunicazioni. Tra i partecipanti figurano il personale sia delle autorità per la protezione dei dati europee sia di quelle extraeuropee nonché altri esperti in materia.

Consiglio d'Europa

Il Consiglio d'Europa era responsabile di produrre la Convenzione originale sulla protezione dei dati³⁵ su cui era basata la legge 1984 sulla protezione dei dati e continua a formulare raccomandazioni intese a migliorare i diritti di protezione dei dati e vita privata delle persone. Ci stiamo occupando di monitorare queste iniziative, pur non partecipando più agli incontri del gruppo di progetto come abbiamo fatto sino al mese di novembre 1996. Nel 1998, ci siamo espressi in merito al progetto di raccomandazione del Comitato dei ministri agli Stati membri per la tutela della vita privata su Internet, che fornisce linee guida per la tutela delle persone con riguardo alla raccolta e il trattamento dei dati personali sulle autostrade dell'informazione. La proposta è stata apprezzata poiché risulta evidente la necessità di guida in questo settore, sebbene una piccola critica alla raccomandazione ha riguardato il fatto che era molto breve e presupponeva che i soggetti interessati avessero già una conoscenza di base di alcuni dei temi tecnici riguardanti la determinazione dei loro movimenti e la raccolta dei loro dati attraverso Internet.

Incontri dei commissari

Le conferenze con i commissari che rappresentano Guernsey, Jersey, l'isola di Man e la Repubblica d'Irlanda vengono sempre tenute due volte all'anno e sono prevalentemente un meccanismo per aggiornare le giurisdizioni di protezione dei dati più piccole, in particolare quelle fuori dallo SEE, sugli attuali problemi inerenti la protezione dei dati. Oggi ciò è particolarmente importante poiché molte di queste giurisdizioni sono attualmente impegnate a riprogettare la loro legislazione sulla protezione dei dati per riflettere le disposizioni della direttive comunitaria. Nella primavera del 1998 si sono tenuti incontri a Dublino e in autunno a Wilmslow.

Cooperazione internazionale nell'ambito del titolo VI del trattato

Nel 1998, l'ufficio si è occupato in misura crescente delle attività sulla protezione dei dati di cui al titolo VI, ad esempio i controlli di protezione dei dati del sistema EUROPOL a livello nazionale. Questa attività sta anche proseguendo a livello europeo e siamo stati responsabili della stesur a delle norme di procedura per l'autorità di controllo comune per il sistema di informazione doganale da istituire nell'ambito della Convenzione CIS, nonché la partecipazione a vari gruppi di discussione e parti di lavoro descritti in questa relazione.

Organizzazione per la cooperazione e lo sviluppo economico

L'OCSE sta perseguendo attivamente i mezzi per tutelare la vita privata nelle reti globali. Gran parte del lavoro è inteso a gettare ponti tra i paesi che hanno leggi formali sulla protezione dei dati e quelli che preferiscono basarsi su una miscela di altra legislazione e autoregolamentazione. Abbiamo partecipato intensamente a queste attività attraverso la partecipazione al gruppo sulla sicurezza dell'informazione e la vita privata che ha seguito le conclusioni del workshop del mese di febbraio 1998 di cui il ‘Deputy Registrar' è stato relatore. E'stata particolarmente apprezzata la dichiarazione dei ministri in occasione della conferenza di Ottawa nel mese di ottobre, che ha riaffermato la pertinenza delle linee guida 1980 dell'OCSE sulla vita privata per la tutela della vita privata nel commercio elettronico globale. I ministri hanno espresso un impegno politico per garantire l'attuazione di quei principi ed esaminarne l'andamento tra due anni.

Trasferimento di dati verso paesi terzi

Alla luce delle disposizioni della direttiva 95/46/CE e del principio 8 della legge 1998 sulla protezione dei dati, che si occupa dei trasferimenti di dati personali fuori dallo SEE, abbiamo discusso con i rappresentanti dell'industria le modalità per garantire la protezione dei dati personali che escono dallo SEE. A nostro avviso, i contratti svolgeranno un ruolo importante nel garantire una protezione adeguata, ed abbiamo attivamente sostenuto il lavoro della Camera di commercio internazionale e della Confindustria britannica nella stesura di modelli di contratto che sono stati sottoposti alla Commissione europea per l'approvazione. Nell'ambito di questa attività intesa ad individuare soluzioni contrattuali e non contrattuali al problema dell'adeguatezza, abbiamo tenuto tre workshop cui hanno partecipato legali e altre persone che si occupano attivamente di contratti e codici di prassi per garantire una protezione adeguata.

Il ministero del Commercio degli Stati Uniti ha seguito un approccio diverso. Ha proposto un ‘approdo sicuro' per le imprese che si impegnano a conformarsi ad una serie di principi in materia di protezione dei dati, che discendono direttamente dalle linee guida 1980 dell'OCSE. Pur sostenendo la proposta, abbiamo chiarito che alcuni principi, in particolare quelli inerenti all'accesso e l'attuazione, necessitano di essere rafforzati e che il regime è difficile da applicare a dati diversi da quelli dei clienti. Le discussioni proseguono. Gli sviluppi interni negli Stati Uniti, in particolare la parallela attuazione della tutela della vita privata nel commercio elettronico da parte della Commissione federale per il commercio, offrono la prospettiva di ravvicinare entrambi i lati dell'Atlantico, in pratica, e quindi avviarli ad una soluzione accettabile.

Sebbene la direttiva 95/46/CE costituisca l'elemento chiave della politica comunitaria in materia di protezione dei dati, essa è stata integrata da una serie di altre iniziative allo scopo di garantire ai cittadini uno schema di protezione coerente.

Questa parte illustra gli sviluppi nell'Unione europea con riguardo agli aspetti che rientrano nelle competenze delle Comunità europee (paragrafi 2.5.1 e 2.5.2) e quelli che riguardano il titolo VI del trattato dell'Unione europea (paragrafo 2.5.3).

Il 1998 è stato caratterizzato da misure di prosecuzione della comunicazione della Commissione "Iniziativa europea in materia di commercio elettronico" adottata il 16 aprile 1997 e della Comunicazione "Garantire la sicurezza e l'affidabilità nelle comunicazioni elettroniche — Verso la definizione di un quadro europeo in materia di firme digitali e di cifratura", adottata dalla Commissione nel mese di ottobre 1997³⁶.

In risposta a quest'ultima, che ha identificato, tra i principali ostacoli al rapido sviluppo del commercio elettronico, la mancanza di fiducia e sicurezza delle reti elettroniche, la Commissione ha proposto il 13 maggio 1998 una direttiva che stabilisce una quadro giuridico per l'uso delle firme elettroniche³⁷ . Il progetto di direttiva stabilisce norme minime concernenti la sicurezza e responsabilità, nonché disposizioni specifiche sulla protezione dei dati. Essa mira a garantire che le firme elettroniche siano legalmente riconosciute nell'UE in base ai principi del mercato unico della libera circolazione dei servizi e del controllo del paese d'origine. Le disposizioni specifiche sulla protezione dei dati limitano la raccolta dei dati personali a quelli necessari per l'emissione e conservazione di un certificato e proibiscono altri usi, a meno che la persona interessata non abbia manifestato il proprio consenso. La direttiva impedisce inoltre agli Stati membri di vietare certificati di pseudonimi (cioè, un certificato in cui è indicato uno pseudonimo invece del nome dell'utente). I fornitori del servizio possono quindi offrire tali certificati agli utenti (firmatari) che desiderano usare diversi certificati per situazioni diverse (talvolta l'identificazione è necessaria o auspicata, talvolta no).

Il 18 novembre 1998, la Commissione ha proposto un progetto di direttiva su taluni aspetti giuridici del commercio elettronico³⁸ . L'approccio adottato era identificare i rimanenti ostacoli alla fornitura di servizi on-line nel mercato interno, tra cui figurano principalmente: trasparenza, responsabilità, marketing diretto e contratti. Il progetto di direttiva non stabilisce norme sulla protezione dei dati poiché le direttive 95/46/CE e 97/66/CE forniscono già un quadro giuridico completo che si applica al trattamento dei dati nel commercio elettronico. In generale, dovrà essere rispettata l'autonomia di tutti i quadri giuridici e quindi la direttiva è citata nell'articolo 22 del progetto di direttiva relativo alle esenzioni dall'ambito di applicazione e deroghe.

Ciò non significa che la direttiva 95/46/CE non si applica al commercio elettronico, al contrario. L'applicazione della direttiva al commercio elettronico dovrà rispettare le direttive sulla protezione dei dati. Nella direttiva sul commercio elettronico, nulla può essere interpretato come contrario alla piena applicazione delle direttive sulla protezione dei dati in relazione al trattamento dei dati personali nell'ambito del commercio elettronico. Ad esempio: nella proposta della Commissione, l'obbligo specifico alla trasparenza per le comunicazioni commerciali indesiderate attraverso la posta elettronica ("spam") non presuppone che le comunicazioni commerciali indesiderate di posta elettronica siano di per sé lecite. Questa questione è trattata dalle direttive sulla protezione dei dati e dalla direttiva sulla vendita a distanza³⁹ .

La Commissione ha inoltre presentato una proposta modificata relativa a una direttiva sull'armonizzazione di taluni aspetti delle norme sul diritto d'autore e dei diritti connessi nella società dell'informazione⁴⁰. La proposta regola e integra il quadro giuridico esistente, con un'enfasi particolare su nuovi prodotti e servizi che contengono proprietà intellettuale (sia on-line che su supporti quali CD, CD-ROM e DVD), in modo da garantire un mercato unico in materia di diritto d'autore o diritti correlati, tutelando e incentivando al contempo la creatività e l'innovazione nell'Unione europea. Poiché le informazioni di gestione dei diritti possono, in base alla loro configurazione, trattare contemporaneamente dati personali su modelli di consumo di tipo protetto da parte delle persone fisiche, e consentire la determinazione del comportamento on-line, la proposta della Commissione prevede, al punto 34, la necessità che tali mezzi tecnici prevedano controlli di sicurezza sulla vita privata in conformità alla direttiva 95/46/CE.

Su proposta della Commissione, il Parlamento europeo e il Consiglio hanno adottato, nel mese di dicembre 1998, il Quinto programma quadro di ricerca e sviluppo tecnologico (1998 — 2000). Il programma specifico "Creare una società dell'informazione di facile uso" mira a realizzare i vantaggi della società dell'informazione in Europa sia accelerandone l'emergenza sia garantendo il soddisfacimento delle esigenze delle persone e delle imprese. Le azioni chiave rilevanti ai fini della protezione dei dati e della vita privata sono: Sistemi e servizi per i cittadini, Nuovi metodi di lavoro e commercio elettronico, Contenuti e strumenti multimediali, Tecnologie e infrastrutture essenziali, Tecnologie future ed emergenti. Gli aspetti relativi alla vita privata e alla protezione dei dati sono stati integrati. Un esempio è dato dalla linea d'azione II.4.2 sulle transazioni finanziarie elettroniche sicure: si prevede che il lavoro riguardi la fatturazione, il pagamento, la contabilità e la tenuta dei conti, nonché i piccoli pagamenti e i micropagamenti anonimi. Un altro esempio è rappresentato dalla linea d'azione II.4.1 Identificazione e autenticazione: si prevede che il lavoro consenta un'equa identificazione personale multiruolo con funzioni adeguate per il miglioramento della vita privata sotto il controllo di una persona.

Il gruppo ha contribuito alla discussione sulla protezione dei dati nella società dell'informazione con il parere 1/98 sulla piattaforma per le preferenze in materia di protezione della vita privata (P3P) e la norma aperta per i profili (OPS) adottato il 16 giugno 1998. La piattaforma per le preferenze in materia di protezione della vita privata (P3P) considera la tutela della vita privata e dei dati personali come un elemento che deve essere stabilito di comune accordo tra l'utente di Internet di cui si raccolgono i dati e il sito Web che li registra. Il principio di base prevede che l'utente acconsenta alla raccolta dei suoi dati personali da parte di un sito (la norma aperta per i profili è volta a fornire la trasmissione sicura di un profilo standard di dati personali) solo se le pratiche dichiarate del sito in termini di protezione della vita privata, come le finalità della raccolta dei dati, l'eventuale uso a fini secondari o la cessione a terzi, soddisfano le esigenze dell'utente. Il World Wide Web Consortium (W3C) ha cercato di elaborare un unico vocabolario che permettesse di esprimere le preferenze dell'utente e le pratiche del sito. In considerazione della prevista applicabilità universale della P3P, il gruppo ha espresso il parere che il vocabolario dovrebbe essere adattato anche alla direttiva comunitaria sulla protezione dei dati, ad esempio stabilendo il ‘consenso' come regola di base in alcune circostanze.

In considerazione degli aspetti specifici delle prenotazioni aeree, e delle recenti iniziative della Commissione in questo settore⁴¹ , il gruppo ha deciso di creare un sottogruppo per i sistemi telematici di prenotazione, che si è riunito due volte e ha deciso di sottoporre al gruppo i risultati delle sue discussioni in vista dell'adozione di una raccomandazione. Tale raccomandazione è stata adottata dal gruppo il 28 aprile 1998 ed è destinata alla Commissione europea, al Parlamento europeo, al Consiglio dell'Unione europea e al Comitato economico e sociale⁴².

Il settore del trasporto aereo è caratterizzato da un uso molto avanzato dei sistemi di informazione. Basi di dati contenenti dati personali sono presenti in molti contesti: in particolare presso le linee aree, le agenzie di viaggio e i sistemi telematici di prenotazione. Varie basi di dati (in particolare, ma non solo, i sistemi telematici di prenotazione) sono situate fuori dalla Comunità. In considerazione del carattere internazionale del trasporto aereo, le soluzioni più adeguate sono, in linea di principio, quelle generali.

Il gruppo ha individuato tra le priorità da affrontare nel progetto di testo del Consiglio i temi riguardanti i diritti dei passeggeri all'informazione e all'accesso nonché alla cancellazione dei dati on-line che non sono necessari al fine della fornitura dei servizi.

Il gruppo ha raccomandato l'integrazione della proposta di regolamento che modifica il regolamento 2299/89 relativo a un "Codice di condotta in materia di sistemi telematici di prenotazione" con vari obblighi specifici (come quello di fornire informazioni al cliente sul trattamento dei dati personali nel sistema telematico di prenotazione) nonché mediante l'adozione di modifiche appropriate al fine di estendere agli aspetti relativi alla protezione dei dati il campo di applicazione del controllo previsto dall'articolo 21a.

Il gruppo ha raccomandato inoltre di rivolgere un'attenzione prioritaria ai problemi specifici derivanti dalle prenotazioni on-line che non rientrano nel campo di applicazione dei sistemi telematici di prenotazione (ad esempio, le agenzie di viaggio o i vettori aerei che propongono la vendita diretta dei biglietti attraverso Internet) e che la Commissione proponga con urgenza soluzioni adeguate al riguardo.

Il campo di applicazione della direttiva 95/46/CE è limitato al trattamento dei dati personali effettuato nel corso delle attività che rientrano nell'ambito di applicazione delle legislazione comunitaria. In altri termini, gli Stati membri non sono obbligati ad applicare la direttiva al trattamento dei dati personali effettuato nel corso delle attività che rientrano nell'ambito di applicazione dei titoli V e VI del trattato dell'UE (secondo e terzo pilastro).

La maggior parte degli strumenti adottati o che verranno adottati conformemente al titolo VI (cooperazione nel campo della giustizia e degli affari interni) si riferisce al trattamento di dati personali, compreso lo scambio di tali dati tra gli Stati membri. Le norme sulla protezione dei dati personali contenute in tali strumenti variano notevolmente e sono basate sulla protezione dei dati stabilita dalla direttiva.

Il trattato di Amsterdam ha introdotto un nuovo titolo IV nel trattato CE, in base al quale la Comunità europea si occupa dei visti, dell'asilo, dell'immigrazione e di altre politiche connesse con la libera circolazione delle persone. Sinora, tali questioni erano previste solo dal titolo VI, mentre ora rientreranno anche nell'ambito di applicazione del titolo IV ("amsterdamizzazione"). Ne consegue che tali settori di attività rientrano nel campo di applicazione della direttiva, fatto di cui si dovrà tener conto in occasione della stesura di nuovi strumenti comunitari oggetto del titolo IV del trattato CE.

Il 6 maggio 1998, l'Italia ha sottoposto (al Coreper 43 e al Consiglio della giustizia e degli affari interni) un documento in cui si proponeva di esaminare le possibilità di un approccio più uniforme alla protezione dei dati nell'ambito degli strumenti di cui al titolo VI. In occasione della conferenza di primavera tenutasi a Dublino il 23 e 24 aprile, i commissari per la protezione dei dati dell'UE hanno adottato una risoluzione che si compiaceva di qualsiasi iniziativa intesa a contribuire ad accrescere il livello di armonizzazione in questo settore. Il servizio giuridico del Consiglio ha elaborato un documento riguardante la protezione dei dati personali nell'ambito degli strumenti di cui al titolo VI e ha deciso che la questione meritasse un esame più approfondito a livello del gruppo di lavoro del Consiglio (Horizontal Group Informatics).

Quest'anno è stata varata la convenzione sulla revoca del diritto alla guida (GU C 216 del 10 luglio 1998), che non prevede alcuna disposizione sulla protezione dei dati personali. Erano ancora in discussione le convenzioni Eurodac e sulla mutua assistenza legale. In entrambi i progetti sono state previste norme sulla protezione dei dati personali.

La maggioranza degli Stati membri dell'UE ha aderito all'accordo di Schengen che prevede la cooperazione tra la polizia e le dogane in materia di immigrazione, per compensare la soppressione dei controlli alle frontiere interne. Un aspetto essenziale di tali misure consiste nella realizzazione di un sistema informatico comune, il sistema di informazione Schengen (SIS). Da questo punto di vista, l'accordo contiene anche disposizioni sulla protezione dei dati e, in particolare, prevede la creazione di un'autorità di controllo comune composta dai rappresentanti degli organi di controllo nazionali dei paesi firmatari dell'accordo di Schengen. Questa autorità di controllo ha recentemente pubblicato la sua seconda relazione, che riguarda il periodo marzo 1997 — marzo 1998.

Il trattato di Amsterdam e i testi allegati stabiliscono che l'‘acquis' di Schengen andrebbe integrato nell'ambito dell'Unione europea⁴⁴. La conferenza intergovernativa sperava che il Consiglio avrebbe adottato tutte le misure necessarie a tale scopo al momento dell'entrata in vigore del nuovo trattato e che i lavori preparatori sarebbero stati intrapresi al momento opportuno. Questo valeva anche per le disposizioni concernenti la protezione dei dati contenute nella convenzione per l'attuazione dell'accordo di Schengen del 14 giugno 1985. Il competente gruppo di lavoro del Consiglio dell'Unione europea si occupa di tale questione.

3. IL CONSIGLIO D'EUROPA

Il Consiglio d'Europa ha proseguito le attività svolte regolarmente in materia di protezione dei dati.

Il comitato consultivo della Convenzione (T-PD) ha iniziato i lavori con l'obiettivo di valutare la necessità di rivedere la Convenzione alla luce degli sviluppi degli ultimi anni, particolarmente nel campo tecnologico. Inoltre, in seguito alla richiesta della Comunità europea di aprire i negoziati per permettere la sua adesione alla Convenzione⁴⁵, il comitato ha steso un progetto di modifica della Convenzione 108.

Il comitato per la protezione dei dati (CJ-PD) ha proseguito i lavori relativi al progetto di raccomandazione concernente la protezione dei dati personali raccolti e trattati a scopi assicurativi e ha iniziato le attività relative alle linee guida sulla protezione dei dati con riguardo alla raccolta e al trattamento dei dati personali su Internet.

La Comunità, rappresentata dalla Commissione, interviene all'interno del CJ-PD e del comitato consultivo quando i punti all'ordine della discussione rientrano nelle competenze esterne che discendono dalle direttive 95/46/CE e 97/66/CE. Era questo il caso dei testi cui si è fatto riferimento precedentemente e che sono in preparazione. Questa cooperazione con il Consiglio d'Europa ha lo scopo di assicurare la piena compatibilità con le direttive comunitarie.

4. PRINCIPALI SVILUPPI NEI PAESI TERZI

La direttiva non disciplina solo il trattamento dei dati personali nell'UE ma prevede disposizioni sul trasferimento dei dati verso paesi terzi (articoli 25 e 26). Il principio fondamentale è che gli Stati membri permettano questo tipo di trasferimento solo se i paesi terzi in questione garantiscono un livello di protezione adeguato. Ovviamente, può verificarsi l'impossibilità di garantire un livello di protezione adeguato e, ipotizzando che nessuna delle esenzioni previste sia applicabile, gli Stati membri impediranno tali trasferimenti.

Questo tipo di situazione potrebbe causare notevoli problemi ai flussi di dati personali a livello mondiale e quindi al commercio internazionale. Sebbene sia possibile impedire i trasferimenti di dati personali facendo riferimento all'articolo XIV del GATS (General Agreement on Trade in Services), sarebbe preferibile evitare il ricorso a questo tipo di azione. Una soluzione molto più soddisfacente sarebbe che i paesi terzi verso cui vengono trasferiti regolarmente i dati stabiliscano un livello di protezione che potrebbe essere considerato adeguato.

NORVEGIA

Sviluppi normativi

Il Parlamento norvegese non ha ricevuto, come previsto, dal ministero della Giustizia alcuna proposta relativa ad una nuova legge di recepimento della direttiva comunitaria 95/46/CE. (Il Parlamento ha ricevuto tale proposta nel mese di giugno 1999 e la votazione del progetto di legge è prevista nel corso della sessione primaverile del 2000. Si prevede che la data di recepimento effettiva sarà il 1° gennaio 2001).

Il ministero dei Trasporti e delle Infrastrutture è responsabile della direttiva 97/66/CE. Di conseguenza, l'ispettorato per la protezione dei dati, facente capo, dal punto di vista organizzativo, al ministero della Giustizia, non sarà l'autorità di controllo per i settori disciplinati dalla direttiva.

L'ispettorato per la protezione dei dati si è occupato del Sistema di informazione Schengen (SIS) e della relativa attuazione in Norvegia. In particolare, l'ispettorato si è dedicato alla nuova legge che disciplinerà il SIS, nonché all'istituzione di un gruppo di lavoro norvegese.

Nel 1998, il Parlamento non ha emanato nuove leggi che avranno un impatto diretto sulla protezione dei dati.

Attività dell'ispettorato per la protezione dei dati nel 1998

All'ispettorato sono pervenuti 10.107 documenti riguardanti i vari settori del proprio campo di attività.

Una delle competenze principali dell'ispettorato è concedere autorizzazioni per l'istituzione di nuovi schedari elettronici contenenti informazioni personali. Nel 1998, l'ispettorato ha concesso 1923 autorizzazioni nuove.

L'ispettorato ha respinto 40 richieste di autorizzazione e ricevuto 20 ricorsi sulle decisioni da esso adottate.

Nel 1998, l'ispettorato ha condotto 41 ispezioni che hanno riguardato le istituzioni pubbliche nonché le imprese private in varie parti della Norvegia.

L'ispettorato ha notato un incremento dei casi riguardanti l'uso di Internet e della posta elettronica. Tale fatto pone all'ispettorato alcuni problemi in quanto la legislazione attuale non è aggiornata in relazione ai progressi tecnologici. Tuttavia, alcuni di questi problemi sono risolti da altre disposizioni giuridiche, ad esempio la legge sulla diffamazione.

Laddove Internet venga usata per diffondere o visualizzare informazioni personali, l'ispettorato ha stabilito una politica rigorosa che prevede la richiesta del consenso informato delle persone registrate prima di rendere disponibili le informazioni su Internet. Questo tipo di diffusione o visualizzazione è stato utilizzato in particolare dalle aziende che desideravano mostrare i nomi, i curriculum e le fotografie dei propri dipendenti.

Nel 1998, l'uso delle telecamere di sorveglianza ha raggiunto il proprio apice. L'ultima novità è stata la richiesta di usare telecamere all'interno dei taxi. Degno di nota è anche il fatto che il dipartimento di polizia di Oslo intende usare telecamere di sorveglianza in alcune vie o piazze della città.

Alcune decisioni del 1998

Telenor, il principale operatore norvegese di telecomunicazioni, ha espresso il desiderio di diffondere su Internet le pagine dell'elenco telefonico senza il consenso delle persone interessate. L'ispettorato per la protezione dei dati ha respinto tale richiesta asserendo che la diffusione attraverso Internet debba fondarsi sul consenso informato da parte degli abbonati. Telenor ha presentato al ministero della Giustizia un ricorso relativo a tale decisione. La conclusione del caso dipenderà dalla decisione finale del ministero.

In Norvegia, gli istituti di credito hanno espresso il desiderio di registrare informazioni sulla proprietà delle automobili e sul fatto se una determinata automobile sia gravata da debiti o ipoteche. Gli istituti di credito pretendevano di ottenere tali informazioni collegandosi con il Registro automobilistico nazionale norvegese. L'ispettorato per la protezione dei dati ha respinto la concessione dell'autorizzazione in tal senso sulla base del fatto che tale uso del registro automobilistico sarebbe stato in conflitto con lo scopo originario del registro stesso, nonché una minaccia alla tutela della vita privata. Il ministero della Giustizia ha confermato la decisione dell'ispettorato.

L'ispettorato per la protezione dei dati sta esaminando la sicurezza delle tecnologie dell'informazione negli ospedali norvegesi. Lo scopo è garantire la transizione sicura dei dati medici nelle reti TI aperte come Internet. Nel 1998, l'ispettorato si è rifiutato di concedere a due dei maggiori ospedali della Norvegia l'accesso ad Internet attraverso la rete informatica principale dell'ospedale. Il ministero della Giustizia ha confermato la decisione dell'ispettorato, anche se solo parzialmente in uno dei casi.

Cooperazione con altre autorità di controllo per la protezione dei dati

L'ispettorato per la protezione dei dati è in comunicazione costante con altre autorità scandinave. I vertici delle autorità scandinave si riuniscono in via informale una volta all'anno per discutere le politiche in materia di protezione dei dati personali.

Anche i funzionari si riuniscono ogni anno.

L'ispettorato partecipa, come osservatore, al gruppo di cui all'articolo 29 ed è membro del gruppo di lavoro internazionale sulla protezione dei dati nelle telecomunicazioni.

Per tutti i paesi candidati all'adesione, la strategia rafforzata di preadesione mira a permettere l'integrazione dell' ‘acquis comunitario'. Con questo spirito, per l'attuazione efficace dell' ‘acquis comunitario', l'accento è posto sulle strutture amministrative necessarie, come autorità di controllo indipendenti.

Molti paesi candidati all'adesione hanno una legislazione sulla protezione dei dati (Ungheria, Estonia, Lituania e Slovenia) mentre altri erano in procinto di adottarla. Il 29 agosto 1997, la Polonia ha adottato una legge sulla protezione dei dati che è entrata in vigore all'inizio del 1998. Le legge polacca ha creato un'autorità di controllo indipendente, l' "Ispettorato generale per la protezione dei dati personali". La repubblica slovacca ha adottato la propria legislazione il 3 febbraio 1998.

Progetti legislativi sono in corso in altri paesi candidati, in particolare Bulgaria, Lettonia, Romania e Repubblica ceca. Un progetto di legge è in fase di discussione anche in Slovenia.

La commissione del commercio federale ha rivolto un crescente interesse alle questioni riguardanti la vita privata nel corso del 1997 e nella prima parte del 1998, in particolare in riferimento ad Internet e al commercio elettronico. Ciò ha portato, nel mese di luglio 1998, a una richiesta di legislazione in materia di protezione dei dati raccolti su Internet che fanno riferimento all'infanzia e a una raccomandazione concernente la vita privata degli adulti per cui, se non fosse stata migliorata l'autoregolamentazione entro la fine dell'anno, sarebbe stato necessario adottare un approccio di tipo legislativo.

La prima parte del 1998 ha visto la politica della Casa Bianca sulla protezione dei dati e sulla tutela della vita privata fare ulteriori passi avanti. Il 31 luglio, il vicepresidente Gore ha annunciato una serie di passi in direzione di una Carta dei diritti per l'elettronica che comprendesse il sostegno alla regolamentazione nei settori dei dati medici e finanziari, usurpazione dell'identità e rispetto della vita privata dell'infanzia, nonché per l'autoregolamentazione dell'industria, con meccanismi di applicazione efficaci in altri campi.

Al fine di stabilire un contesto prevedibile e praticabile che garantisca standard elevati di protezione dei dati e, al contempo, il libero flusso di dati personali attraverso l'Atlantico, all'inizio del 1998 è stato avviato un dialogo informale sulla protezione dei dati tra i servizi della Commissione e il ministero del Commercio degli Stati Uniti. Nel corso dell'anno, il dialogo si è intensificato con varie riunioni di alto livello. Il gruppo e il comitato stabiliti dall'articolo 31 della direttiva 95/46/CE sono stati informati regolarmente sull'andamento. Il 4 novembre 1998, il ministero del Commercio degli Stati Uniti ha emanato una serie di principi sulla vita privata intesi ad offrire un "approdo sicuro" alle società e organizzazioni statunitensi che vi aderissero su base volontaria.

Il 19 novembre 1998, il comitato di cui all'articolo 31 ha tenuto una prima discussione sui principi statunitensi. Il comitato ha considerato tali principi come uno sviluppo positivo, ma ha ritenuto che fossero necessari miglioramenti e chiarimenti prima di poter stabilire se essi offrano una "protezione adeguata" secondo quanto previsto dalla direttiva. Gli Stati membri hanno invitato la Commissione a proseguire le discussioni con il ministero del Commercio. Il dialogo è stato inoltre incoraggiato dal vertice del 18 dicembre tra l'UE e gli Stati Uniti.

Canada: il Governo federale ha presentato un progetto di legge sulla protezione delle informazioni personali nel settore privato. Il progetto di legge è stato discusso dal Parlamento nel mese di dicembre 1998 e i servizi della Commissione sono stati invitati a formulare pareri informali al riguardo. Secondo una valutazione preliminare, il progetto di legge, se attuato, soddisferà probabilmente a tutti i criteri essenziali di adeguatezza con l'eventuale eccezione del principio dei trasferimenti progressivi.

Giappone: nel 1998 sono proseguiti i proficui contatti informali con il ministero del Commercio e dell'Industria (MITI). Il MITI aveva emanato le linee guida sulla protezione dei dati per i settori di sua competenza. Ogni settore, ed in seguito anche le singole società, è invitato ad elaborare le proprie linee guida in base a tale modello. Dal 1° aprile 1998, è stato introdotto un marchio sulla vita privata per le aziende che attuano le linee guida sulla protezione dei dati ed è stato istituito un organismo di controllo in grado di esaminare i ricorsi. Il 17 aprile a Tokyo, i rappresentanti della Commissione hanno discusso con il MITI e altri ministeri le questioni relative alla protezione dei dati. Questa missione ha offerto l'opportunità di illustrare ad un vasto pubblico la posizione della Comunità. I rappresentanti giapponesi hanno illustrato le proprie iniziative in materia di protezione dei dati nei rispettivi settori di competenza. E' tuttora in esame la legislazione relativa al settore dei servizi finanziari e i dati medici.

Australia: il Governo ha esaminato il seguito da dare al Libro bianco del 1996 e, in particolare, l'opportunità di estendere la legislazione sulla vita privata al settore privato. La legislazione attuale riguarda esclusivamente il settore pubblico. Nel febbraio 1998, la prima parte di un programma nazionale sulla vita privata per l'Australia è stato approvato con l'adozione di una serie di "principi nazionali per la corretta gestione delle informazioni personali". La Commissione ha avuto l'opportunità di fornire al commissario australiano per la tutela della vita privata commenti informali sui principi in questione. Il Governo del Commonwealth stava svolgendo una consultazione a livello nazionale al fine di introdurre una norma nazionale sulla vita privata, su base puramente volontaria. Parallelamente, tuttavia, nella sessione del Parlamento nella primavera del 1998, lo Stato di Victoria ha introdotto una legislazione sulla vita privata riguardante sia il settore pubblico che quello privato, che si propone di fungere da legislazione "implicita" per coprire quei settori e quelle società le cui iniziative di autoregolamentazione sono insufficienti.

5. ALTRI SVILUPPI A LIVELLO INTERNAZIONALE

Nel mese di febbraio 1998, l'OCSE ha organizzato un workshop sulla tutela della vita privata in una società globale connessa in rete, cui hanno partecipato i rappresentanti dei commissari nazionali per la protezione dei dati e della Commissione europea. L'obiettivo era offrire ai rappresentanti dei governi, dell'industria e dei consumatori l'opportunità di presentare e discutere i vari approcci alla vita privata. La presidenza ha concluso che le linee guida 1980 dell'OCSE sulla vita privata hanno fornito una solida base, anche per quanto riguarda i flussi di dati in reti aperte, sebbene sia ancora necessario chiarire alcune questioni relative alla loro applicazione al commercio elettronico. Il gruppo di esperti sulla sicurezza delle informazioni e la vita privata ha preparato, su questa base, un contributo per la conferenza ministeriale dell'OCSE di Ottawa.

In occasione della conferenza ministeriale dell'OCSE dal titolo "Un mondo senza frontiere: realizzare il potenziale del commercio elettronico globale", tenutasi nel mese di ottobre a Ottawa, i ministri hanno adottato una dichiarazione che ha riconfermato la rilevanza delle linee guida 1980 dell'OCSE sulla vita privata. I ministri hanno dichiarato inoltre che avrebbero adottato i passi necessari per garantire l'effettiva attuazione di queste linee guida in relazione alle reti globali (Dichiarazione ministeriale dell'OCSE sulla tutela della vita privata sulle reti globali (1998)).

Nel 1998, l'OCSE ha iniziato i lavori sulle linee guida per la protezione dei consumatori nel contesto del commercio elettronico. Le linee guida mirano a garantire che i consumatori siano ugualmente protetti quando effettuano acquisti on-line come nel proprio negozio locale o per corrispondenza. Fissando le caratteristiche centrali di una protezione efficace dei consumatori per le transazioni on-line impresa-cliente, le linee guida mirano a contribuire ad eliminare alcune delle incertezze in cui si imbattono sia i clienti che le imprese quando acquistano e vendono on-line. Per quanto riguarda la vita privata, le linee guida propongono di fare riferimento alle linee guida 1980 dell'OCSE al riguardo, tenendo conto della dichiarazione ministeriale dell'OCSE sulla tutela della vita privata sulle reti globali (1998).

In occasione della riunione ministeriale del mese di maggio 1998, l'UE ha presentato una proposta sul commercio elettronico. Per quanto riguarda la protezione dei dati, essa sottolinea che le questioni chiave rimangono l'effettiva conformità ad una serie di principi accettati e il sostegno e, laddove necessario, la riparazione per le persone nell'esercizio dei propri diritti. E' stato adottato un programma di lavoro su questioni correlate al commercio elettronico, che la WTO si impegnerà a passare in rassegna in modo completo. Le discussioni sull'argomento si terranno probabilmente nel mese di marzo 1999 e la Commissione preparerà un documento interlocutorio da sottoporre al comitato per il commercio esterno istituito dall'articolo 113 del trattato agli inizi del 1999.

L'Organizzazione mondiale per la proprietà intellettuale (WIPO) ha intrapreso un processo internazionale inteso a sviluppare raccomandazioni su talune questioni relative alla proprietà intellettuale associate alla nomenclatura dei domini Internet, tra cui la risoluzione delle controversie. Le raccomandazioni risultanti da questo•65 processo di nomenclatura dei domini Internet della WIPO saranno rese disponibili alla nuova organizzazione che sarà istituita per gestire gli aspetti tecnici e politici del sistema di nomenclatura dei domini Internet e saranno notificate agli Stati membri della WIPO.

A tale scopo, la WIPO ha emanato una richiesta di pareri sui temi trattati nel processo di nomenclatura dei domini Internet della WIPO (WIPO RFC-2) su cui la Commissione si è espressa. Per quanto riguarda gli aspetti relativi alla protezione dei dati (come il tipo di dati da rendere pubblici e il tipo di ricerca consentita), i pareri espressi hanno messo in evidenza la necessità di un approccio equilibrato tra gli interessi legittimi dei titolari dei diritti di proprietà intellettuale e il diritto fondamentale alla vita privata delle persone coinvolte nel processo di nomenclatura dei domini Internet.

6. ALLEGATI

ALLEGATO I: elenco dei membri del gruppo e particolari di contatto delle rispettiva autorità di protezione dei dati.

ALLEGATO II

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Autorizzazione al trattamento di dati a carattere giudiziario
da parte di privati e di enti pubblici economici

per il gruppo
il presidente
P.J. HUSTINX

2 Istituito dall'articolo 29 della direttiva 95/46/CE. Gli articoli 30 della direttiva 95/46/CE e 14, paragrafo 3, della direttiva 97/66/CE ne stabiliscono i compiti.

3 V. articolo 29, paragrafo 1, secondo comma della direttiva 95/46/CE.

4 V. articolo 30, paragrafo 6, della direttiva 95/46/ CE.

5 Questa data è diversa da quella di entrata in vigore: poiché la direttiva non specifica la data di entrata in vigore, essa è entrata in vigore il ventesimo giorno successivo alla data della sua pubblicazione (v. articolo 191, paragrafo 1, del trattato).

6 WP 3, adottato il 25 giugno 1997, disponibile su: v. nota 1.

7 V. articolo 30, paragrafo 1, comma b, della direttiva 95/46/CE.

8 V. articolo 27, paragrafo 3, e articolo 30, paragrafo 1, comma d, della direttiva 95/46/CE.

9 V. articolo 30, paragrafo 1, comma a, e paragrafo 3 della direttiva 95/46/CE.

10 La Commissione europea sta esaminando le leggi nazionali che attuano la direttiva 95/46/CE al fine di verificarne la conformità alla direttiva medesima.

11 Pubblicato nella Gazzetta ufficiale belga "Moniteur belge" il 3 febbraio 1999.

12 Legge 675/96, Gazzetta Ufficiale della Repubblica Italiana n. 5, supplemento 3, 8.01.1997.

13 Ad eccezione di taluni aspetti concernenti l'accordo di Schengen entrato in vigore l'8 gennaio 1997.

14 Legge 675/96, Gazzetta Ufficiale della Repubblica Italiana n. 5, supplemento 3, 8.01.1997.

15 V. la prima relazione annuale, pag. 7, nota 8.

16 V. la prima relazione annuale, pag. 7, nota 8.

17 Gazzetta ufficiale svedese, SFS 1998:1191, ordinanza sui dati personali (1998:1191) emessa il 3 settembre 1998 e pubblicata il 15 settembre 1998.

18 Codice della commissione per il controllo dei dati, numero 1998:3 - regolamenti della commissione di controllo dei dati relativi alle esenzioni dal divieto a persone diverse dalle autorità di trattare i dati personali concernenti le violazioni delle leggi, ecc., adottato il 18 settembre 1998.

19 Codice della commissione per il controllo dei dati, numero 1998:2 — regolamenti della commissione di controllo dei dati relativi all'obbligo di notificare il trattamento al Datainspektionen, adottato l'8 settembre 1998.

20 Questa dichiarazione è stata pubblicata in un comunicato stampa del Consiglio il 24 luglio 1995 (9012/95 — Press 226).

21 Con riguardo al Regno Unito, v. capitolo 2 - 4 in seguito.

22 Le leggi nazionali di recepimento della direttiva 97/66/CE sono in esame presso la Commissione

europea per verificarne la conformità alla direttiva medesima.

23 V. versione inglese all'URL: http://www.datenschutz-berlin.de/gesetze/tkg/tkge.htm

24 http:/www.datenschutz-berlin.de/gesetze/medien/tdsve.htm

25 V. articolo 27, paragrafo 1, della direttiva 95/46/CE.

26 V. articolo 30, paragrafo 1, della direttiva 95/46/CE.

27 WP 13 (5004/98): Attività futura riguardante i codici di condotta: Documento di lavoro sulla procedura relativa alla valutazione dei codici di condotta comunitari ad opera del gruppo tutelare. Adottato il 10 settembre 1998 (in 11 lingue). Disponibile all'indirizzo indicato nelle note.

28 V. articolo 28 della direttiva 95/46/ CE.

29 Questo documento è stato sostituito da una nuova proposta americana intitolata "Principi dell'approdo sicuro" (Safe Harbor Principles), che in alcuni punti differiva dal precedente.

31 Recentemente, il governo ha annunciato che la legge sulla protezione dei dati del 1998 entrerà in vigore il 1° marzo 2000.

32 I regolamenti sulle telecomunicazioni (Protezione dei dati e vita privata) (Marketing diretto) sono entranti in vigore il 1° maggio 1999.

33 I regolamenti sulle telecomunicazioni 1999 (Protezione dei dati e vita privata) sono stati sottoposti al Parlamento il 26 luglio 1999. Essi entreranno in vigore il 1° marzo 2000 insieme alla legge sulla protezione dei dati 1998.

34 La legge 1998 sui diritti umani è entrata in vigore il 2 ottobre 2000.

35 Convenzione del Consiglio d'Europa per la protezione delle persone fisiche con riguardo al trattamento automatico dei dati personali, trattato europeo Serie 108, Strasburgo 1981.

37 Proposta per una direttiva del Parlamento europeo e del Consiglio su un quadro comune per le firme elettroniche (COM (1998) 297 finale) , disponibile su: v. nota 34.

38 Proposta per una direttiva del Parlamento europeo e del Consiglio su taluni aspetti giuridici del commercio elettronico nel mercato interno (COM(1998)586finale)

39 Direttiva 97/7/CE del Parlamento europeo e del Consiglio del 20 maggio 1997 sulla protezione dei consumatori con riguardo ai contratti a distanza

40 Proposta modificata per una direttiva del Parlamento europeo e del Consiglio sull'armonizzazione di taluni aspetti delle norme sui diritti d'autore e dei diritti connessi nella società dell'informazione (COM(1999)250finale)

41 Proposta di regolamento del Consiglio che modifica il regolamento N. 2299/89 (CEE) del Consiglio su un codice di condotta in materia di sistemi telematici di prenotazione: COM(97) 246 finale del 9 luglio 1997.

42 WP 10 (5009/98): raccomandazione 1/98 in materia di sistemi telematici di prenotazione nel trasporto aereo, adottata il 28.4.1998 (in 11 lingue), disponibile all'indirizzo riportato alla nota 1.

43 Coreper = Commissione di rappresentanti permanenti che predispone le attività dei ministri del Consiglio.

44 V. articolo 2, paragrafo 1, comma 2, del protocollo allegato al trattato dell'Unione europea e al trattato che istituisce la Comunità europea, che integra l' ‘acquis' di Schengen nel quadro dell'Unione europea.

45 Decisione del Consiglio dell'Unione europea del mese di luglio 1997 che permette alla Commissione di aprire i negoziati per consentire alla Comunità europea di aderire alla Convenzione 108.