CE-GRUPPO PER LA TUTELA DEI DATI PERSONALI (ARTICOLO 29)

Adottata il 17.5.2001

INDICE

1. INTRODUZIONE

2. PROTEZIONE DEI DATI PERSONALI: FATTI SALIENTI NELL'UNIONE EUROPEA

3. CONSIGLIO D'EUROPA

4. PRINCIPALI SVILUPPI NEI PAESI TERZI

5. ALTRI SVILUPPI A LIVELLO INTERNAZIONALE

6. ALLEGATI

I Membri del gruppo "articolo 29" sulla protezione dei dati

II Elenco dei documenti adottati nel 1999 dal gruppo "articolo 29" sulla protezione dei dati

III Siti Internet delle autorità nazionali per la protezione dei dati

IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995¹,

visto l'articolo 29 e l'articolo 30, paragrafo 6 di detta direttiva,

visto il proprio regolamento interno, in particolare gli articoli 12, 13 e 15,

ha adottato la presente relazione.

1. INTRODUZIONE

Questa è la quarta relazione annuale del gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali² , relativa all'anno 1999. La relazione è presentata della Commissione al Parlamento europeo, al Consiglio e al pubblico. Il gruppo di lavoro è un organismo consultivo e indipendente per le questioni riguardanti la tutela dei dati e della sfera privata³. La relazione presenta la situazione nella Comunità e nei paesi terzi per quanto riguarda la tutela delle persone rispetto al trattamento dei dati personali ⁴.

La direttiva 95/46/CE del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito "la direttiva") è stata adottata il 24 ottobre 1995 e il termine per il recepimento nelle legislazioni nazionali era di tre anni a decorrere da tale data (24 ottobre 1998)⁵. La direttiva particolare 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni, adottata dal Parlamento europeo e dal Consiglio il 15 dicembre 1997 ha fissato come termine di recepimento la stessa data fissata per la direttiva generale.

La prima relazione presentava la composizione e i compiti del gruppo di lavoro per i principali sviluppi intervenuti nel 1996 per quanto riguarda la tutela dei dati personali⁶.

La seconda relazione riguardava l'anno 1997 e riprendeva sostanzialmente la struttura della prima relazione, in modo da facilitare l'analisi degli sviluppi. La terza relazione annuale ha proseguito la tradizione: presentava dapprima una rassegna dei principali avvenimenti nell'Unione europea, sia negli Stati membri, sia a livello comunitario, quindi l'attività del Consiglio d'Europa. La relazione informava inoltre sui principali sviluppi nei paesi e su altri sviluppi a livello internazionale.

Questa quarta relazione è redatta secondo una nuova struttura, che ne facilita la lettura e permette di mettere in evidenza le attività del gruppo di lavoro nell'anno 1999, che sono presentate in un capitolo distinto (2.3). La relazione annuale del gruppo di lavoro sulla tutela dei dati personali istituito dall'articolo 29 intende completare, più che sintetizzare, le relazioni annuali nazionali delle autorità di controllo sulla tutela dei dati personali. Inoltre, poiché la tutela della vita privata e dei dati personali è andata assumendo nel corso degli anni un'importanza sempre maggiore e nell'Unione europea sono sempre più numerose le persone interessate a quanto avviene nella Comunità in questo campo, è stato deciso di dare maggiore rilievo alle questioni relative all'Unione europea.

I principali temi affrontati nel 1999 a livello comunitario riguardano i trasferimenti di dati personali a paesi terzi, in particolare agli Stati Uniti d'America, alla Svizzera e all'Ungheria, Internet e le telecomunicazioni.

Nel corso del 1999 il gruppo di lavoro si è riunito otto volte. Rispetto ai primi tre anni (nel 1996, 1997 e 1998 si erano svolte quattro riunioni all'anno) il numero delle riunioni è quindi raddoppiato. I punti dell'ordine del giorno trattati sono stati 72 e circa 280 sono stati i documenti nelle varie lingue ufficiali esaminati dal gruppo di lavoro nel corso della preparazione dei pareri, delle raccomandazioni e dei documenti di lavoro.

Il gruppo di lavoro è presieduto dal signor Peter J. HUSTINX, presidente dell'autorità dei Paesi Bassi per la protezione dei dati (Registratiekamer), rieletto nella 9 a riunione del 10 e 11 marzo 1998 per un periodo di due anni. Nel corso della stessa riunione il Prof. Stefano RODOTÁ, presidente dell'autorità italiana (Garante per la protezione dei dati personali), è stato eletto vicepresidente del gruppo di lavoro a seguito delle dimissioni della signora Louise CADOUX (Commission National de l'Informatique et des Libertés, CNIL).

I pareri e le raccomandazioni del gruppo di lavoro sono state trasmesse alla Commissione e al comitato articolo 31 e, se del caso, ai presidenti del Consiglio e del Parlamento europeo e ad altri.

Il segretariato del gruppo di lavoro è assicurato dalla

Commissione europea
Direzione generale Mercato interno
Unità "Protezione dei dati personali".

I documenti adottati dal gruppo di lavoro sono disponibili in tutte le lingue ufficiali nella pagina dell'unità suddetta sul sito Internet "Europa" della Commissione europea:

2. PROTEZIONE DEI DATI PERSONALI: FATTI SALIENTI NELL'UNIONE EUROPEA

2.1 Direttiva 95/46/CE

Alle autorità nazionali di controllo per la protezione dei dati è stato chiesto di fornire informazioni circa l'attuazione delle direttive sulla protezione dei dati e ogni altro sviluppo in questo campo nei rispettivi paesi. La situazione del recepimento è presentata più avanti, nei capitoli 2.1 e 2.2. Gli altri sviluppi sono illustrati nel capitolo 2.4.

Austria

La legge 2000 sulla protezione dei dati (BGBl. I n. 165/1999) è stata approvata nel 1999 per dare attuazione alla direttiva sulla protezione dei dati ed è entrata in vigore il 1° gennaio 2000. L'Austria è uno Stato federale e, in ragione della ripartizione delle competenze tra federazione e Länder, la direttiva 95/46/CE può essere recepita a livello federale soltanto nei campi in cui la federazione ha diritto di legiferare. Per il legislatore federale non è possibile recepire l'intero campo d'applicazione della direttiva 95/46/CE. Quando il trattamento dei dati avviene per scopi che ricadono nella sfera in cui il potere legislativo spetta al Land, è compito dei Länder attuare le disposizioni delle direttive sulla protezione dei dati. Le prime leggi sulla protezione dei dati sono state adottate dai Länder nel 2000 (attualmente esistono sei di tali leggi a livello dei Länder.)

Belgio

La legge dell'11 dicembre 1998 che attua la direttiva 95/46/CE è stata pubblicata nella Gazzetta ufficiale (Moniteur Belge) il 3 febbraio 1999. La legge entrerà in vigore il sesto mese dopo la pubblicazione nella Gazzetta ufficiale del relativo decreto esecutivo, ossia il 1° settembre 2001 (il decreto esecutivo è stato pubblicato il 13 marzo 2001).

Danimarca

Nessun recepimento nel 1999.

Finlandia

La direttiva 95/46/CE del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, è stata attuata in Finlandia dalla legge 523/1999 sui dati personali, entrata in vigore il 1° giugno 1999.

Francia

Nessun recepimento nel 1999.

Nel giugno 2000 il governo francese ha informato la Commission Nationale de l'informatique et des Libertés (CNIL) del progetto preliminare di legge di attuazione della direttiva 95/46/CE. La CNIL ha trasmesso il suo parere al governo a metà settembre. Il Consiglio di Stato deve ora emettere il suo parere prima che il progetto di legge sia adottato dal Governo e presentato al Parlamento. Il progetto di legge intende semplificare il sistema di notifica preventiva del trattamento all'autorità di controllo, di cui sarebbero ampliati i poteri ex-post.

Germania

Il Governo tedesco non ha dato attuazione alla direttiva 95/46/CE entro il termine previsto. Esso intende ora procedere in due fasi.

In una prima fase è previsto il recepimento della direttiva 95/46/CE, con l'aggiunta di altre disposizioni relative a questioni come la sorveglianza video, le tessere con microprocessore, l'anonimato, l'uso di pseudonimi e l'audit sulla protezione dei dati. La conclusione di questa fase è prevista per la metà del 2001.

In una seconda fase è prevista la revisione generale della legge tedesca sulla protezione dei dati. Un piano generale per il raggiungimento di questo obiettivo è previsto per il 2002.

Italia

Nel 1999 sono state emanate varie norme che precisano le disposizioni di attuazione della direttiva 95/46/CE della legge 31.12.96 n. 675 e riguardano anche le operazioni di trattamento inizialmente escluse dal campo d'applicazione delle relative disposizioni per prorogare il termine per l'attuazione da parte di taluni responsabili del trattamento. Nuove leggi sono entrate in vigore, in particolare per quanto riguarda le operazioni di trattamento di cui all'articolo 8 della direttiva 95/46/CE; si applicano in particolare agli enti pubblici, autorizzati dalla legge generale sulla protezione dei dati (n. 675/1996) a continuare le operazioni di trattamento a titolo provvisorio, e ai settori per i quali dovevano essere adottate, a norma dell'articolo 17 della direttiva, le misure minime di sicurezza richieste a scopo preventivo.

Il decreto legislativo 11.05.99, n. 135 definisce i principi generali in base ai quali i soggetti pubblici sono autorizzati a trattare dati sensibili (compresi i dati personali idonei a rivelare lo stato di salute) o attinenti a particolari provvedimenti giudiziari. Sono specificati i casi in cui il trattamento può essere considerato di rilevante interesse pubblico ed è quindi automaticamente consentito per il perseguimento di tale finalità. Inoltre, i principi generali definiti dalla legge n. 675/1996 sono rafforzati dalla disposizione che specifica che i soggetti pubblici sono autorizzati a trattare i soli dati essenziali per svolgere attività istituzionali. L'elaborazione di dati riguardanti la salute e la vita sessuale è soggetta a obblighi specifici, tra cui l'uso di tecniche di cifratura o di codici identificativi che permettano di identificare gli interessati solo in caso di necessità, e a modalità particolare di conservazione.

Il decreto legislativo 30.07.99, n. 281 contiene disposizioni in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica. Esso tiene conto dei principi enunciati nelle raccomandazioni del Consiglio d'Europa n. R(83) 10 e R(97) 18 e attribuisce un ruolo di particolare rilevanza ai codici di deontologia e di buona condotta. Il gruppo incaricato di redigere tali codici ha lavorato nel 1999 e nel 2000 sotto gli auspici del Garante; un progetto di codice di condotta per il trattamento dei dati personali per finalità storiche (in italiano ed in inglese) può essere consultato sul sito Internet del Garante.

Il decreto legislativo 30.07.99, n. 282 disciplina il trattamento dei dati idonei a rivelare lo stato di salute da parte di organismi sanitari pubblici (a complemento delle disposizioni del decreto n. 135/1999) nonché di organismi sanitari e di esercenti le professioni sanitarie in regime di convenzione o accreditamento con il servizio sanitario nazionale.

Il contributo delle parti interessate all'elaborazione di un regime di autoregolamentazione efficace sotto gli auspici e la guida del garante si è dimostrato utile ai fini del perseguimento dell'obiettivo della protezione dei dati personali mediante misure legislative integrative, in piena conformità con l'articolo 27 della direttiva 95/46/CE.

Il decreto 28.07.99, n. 318 definisce le norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali. Varie misure sono previste in funzione dell'uso dei mezzi elettronici o automatici per il trattamento e in funzione delle finalità del trattamento (obblighi meno rigorosi si applicano se i dati sono trattati esclusivamente a fini personali). In caso d'inosservanza di queste misure sono previste sanzioni penali ai sensi dell'articolo 36 della legge n. 675/1996 sulla protezione dei dati.

Irlanda

Nel corso del 1999 la direttiva non è stata recepita nella legislazione nazionale. Il recepimento è previsto per l'inizio del 2001.

Lussemburgo

Nel 1999 il Lussemburgo non ha ancora recepito la direttiva. Il relativo progetto di legge sarà sottoposto al Parlamento nell'ottobre 2000 e la votazione avrà luogo nel 2001.

Portogallo

La direttiva 95/46/CE è stata recepita nella legislazione nazionale nel 1998 con la legge 67/98 del 26 ottobre (legge sulla protezione dei dati).

Svezia

La direttiva 95/46 CE è stata recepita nella legislazione svedese nel 1998 con l'adpprovazione della legge sui dati personali (1998:204). Nel 1999 il Parlamento ha deciso di modificare l'articolo 33 (trasferimento verso paesi terzi) per seguire più strettamente la direttiva. Nella nuova formulazione, l'articolo 33 prevede che i dati personali possano essere trasferiti a un paese terzo a condizione che in tale paese esista un livello adeguato di protezione dei dati personali. Un secondo paragrafo precisa i criteri da prendere in considerazione nel valutare se il livello di protezione è adeguato. La precedente versione dell'articolo 33 contemplava un divieto assoluto di trasferimento a paesi terzi, ad eccezione dei casi particolari indicati nell'articolo 34.

Spagna

La legge organica n. 15/1999 del 13 dicembre 1999 sulla protezione dei dati personali ha modificato la legge in vigore (legge organica 5/1992) per adeguarla pienamente alla direttiva e completare il recepimento di quest'ultima (tutte le leggi che disciplinano i diritti fondamentali sanciti dalla costituzione spagnola sono dette "orgánicas" e devono essere votate dal Parlamento a maggioranza assoluta).

Paesi Bassi

La direttiva 95/46/CE non è stata recepita nella legislazione nazionale nel 1999. La legge sulla protezione dei dati personali (Wet Bescherming Persoonsgegevens) del 6 luglio 2000, discussa dal Parlamento nel 1999, entrerà in vigore nel 2001.

Regno Unito

Nel corso del 1999 sono state adottate le disposizioni regolamentari e tecniche necessarie per dare attuazione alla legge sulla protezione dei dati del 1998.

2.1.2 Procedimenti per infrazione

La Commissione europea ha deciso nel luglio 1999 di inviare pareri motivati alla Francia, al Lussemburgo, ai Paesi Bassi, alla Germania, al Regno Unito, all'Irlanda, alla Danimarca, alla Spagna e all'Austria per inosservanza dell'obbligo, previsto dall'articolo 32 paragrafo 4, di notificare tutte le misure necessarieo per l'attuazione della direttiva 95/46/CE. I pareri motivati rappresentano la seconda fase del procedimento formale per infrazione previsto dall'articolo 226 del trattato CE. Non avendo ricevuto entro due mesi una risposta soddisfacente da Francia, Lussemburgo, Germania, Irlanda e Paesi Bassi, la Commissione ha deciso nel dicembre 1999 di deferire questi paesi alla Corte di giustizia europea per la mancata notifica delle misure necessarie per l'attuazione della direttiva 95/46/CE. Tale atto costituisce la terza fase formale del procedimento per infrazione di cui all'articolo 226 del trattato CE.

2.2 Direttiva 97/66/CE

Alle autorità nazionali per il controllo per la protezione dei dati è stato chiesto di fornire informazioni sullo stato di attuazione delle direttive sulla protezione dei dati e su ogni altro sviluppo nel campo della produzione dei dati nei rispettivi paesi. Lo stato dell'attuazione è presentato in questo capitolo. Gli altri sviluppi sono illustrati nel capitolo 2.4.

Austria

L'Austria ha recepito la direttiva 97/66/CE con la legge sulle telecomunicazioni (BGBl. I n. 100/1997).

Belgio

Le disposizioni della direttiva 97/66/CE sono state recepite nella legislazione belga per mezzo di modificazioni della legislazione in vigore.

Gli articoli 78-79 della legge sulla protezione dei consumatori del 14/07/91 sono stati modificati per regolamentare le chiamate non richieste a scopi di vendita diretta. Le nuove disposizioni sono entrate in vigore l'1/10/99 (M.B. 23/06/99). L'articolo 9 del Regio decreto sulle telecomunicazioni del 22/06/98 è stato modificato l'8/07/99 per inserirvi le disposizioni della direttiva riguardanti l'identificazione della linea chiamante. Le modifiche sono entrate in vigore l'1/09/99 (M.B. 01/09/99). Un Regio decreto sugli elenchi degli abbonati è stato adottato il 14/09/99 ed è entrato in vigore il 18/09/99 (M.B. 18/09/99). Definisce le condizioni di pubblicazione dei dati personali negli elenchi degli abbonati.

L'articolo 105nonies della legge del 21 marzo 1991 sulle imprese economiche pubbliche è stato completamente modificato per recepire la disposizione della direttiva 97/66/CE relativa al trattamento e alla conservazione dei dati sul traffico da parte degli operatori e dei fornitori dei servizi di telecomunicazione. La legge modificata è entrata in vigore il 21 dicembre 1999 (M.B. 21.12.99).

Danimarca

Nessun recepimento nel 1999.

Finlandia

La direttiva 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni è stata recepita con la legge sulla protezione della vita privata e la sicurezza dei dati nelle telecomunicazioni, entrata in vigore il 1° luglio 1999.

Francia

Il governo francese ha informato la CNIL del progetto preliminare di legge di attuazione della direttiva 97/66/CE nel dicembre 1999 e dei progetti di regolamento nel giugno 2000. La CNIL ha trasmesso al governo il suo parere su questi due testi rispettivamente nel gennaio 2000 e nel luglio 2000.

Germania

La direttiva 97/66/CE è stata recepita nella legislazione nazionale (cfr. terza relazione annuale, pag. 10).

Italia

La direttiva 97/66/CE è stata recepita nella legislazione nazionale con il decreto legislativo del 13.05.1998, n. 171 (cfr. 3 a relazione annuale).

Irlanda

Nessun recepimento nel 1999. Il recepimento della direttiva nella legislazione irlandese è prevista per l'inizio del 2001.

Lussemburgo

Finora, nessun testo di attuazione della direttiva è stato elaborato. Il recepiment della direttiva sarà possibile soltanto all'inizio del 2002.

Portogallo

La direttiva 97/66/CE è stata recepita nella legislazione nazionale anche nel 199 con la legge 69/98 del 28 ottobre.

Spagna

La direttiva è stata già recepita nel 1998 con la legge generale sulle telecomunicazioni 11/1998 e con il Regio decreto 1736/1998 che ha adottato il regolamento che sviluppa il titolo III delle legge anzidetta.

Svezia

La direttiva 97/66/CE è stata recepita nella legislazione svedese nel 1999 mediante modifiche della legge sulle telecomunicazioni (1993:597) e dell'ordinanza sulle telecomunicazioni (1997:399).

L'articolo 12 sulle chiamate indesiderate a scopi pubblicitari è stato recepito nel marzo 2000 mediante una modifica della legge sulle pratiche commerciali (1995:450).

Paesi Bassi

La direttiva 97/66/CE è stata recepita nella legislazione nazionale con la legge sulle telecomunicazioni del 19 ottobre 1998.

Regno Unito

Il regolamento del 1998 sulle telecomunicazioni (protezione dei dati e della vita privata, vendita diretta), entrato in vigore il 1° marzo 1999, ha recepito l'articolo 12 della direttiva 97/66/CE relativo alle chiamate indesiderate a scopi commerciali.

Otto Stati membri (Germania, Spagna, Italia, Paesi Bassi, Austria, Portogallo, Finlandia e Svezia) hanno notificato le misure di attuazione della direttiva 97/66/CE. I procedimenti avviati contro Paesi Bassi, Austria, Portogallo, Finlandia e Svezia sono stati quindi interrotti nel 1999, mentre pareri motivati sono stati inviati a Belgio, Danimarca⁷ e Irlanda. Nel dicembre 1999 la Commissione ha deciso di deferire alla Corte di giustizia Grecia, Francia, Lussemburgo e Regno Unito per mancata notifica delle misure nazionali di attuazione.

2.3 Questioni esaminate dal gruppo di lavoro "articolo 29" per la protezione dei dati

Le principali questioni su cui il gruppo di lavoro ha preso una posizione nel corso del 1999 riguardano il trasferimento di dati a paesi terzi, Internet e le telecomunicazioni, il seminario P3P, l'informazione del settore pubblico, i codici di buona condotta e la Carta comunitaria dei diritti fondamentali.

La direttiva stabilisce una serie di regole che limitano il trasferimento di dati ai soli paesi terzi che assicurano un adeguato livello di tutela delle persone con riguardo al trattamento dei dati personali o in determinati casi per i quali sono previste deroghe (articoli 25 e 26 della direttiva 95/46/CE). Senza tali regole, gli standard elevati di protezione dei dati stabiliti dalla direttiva sarebbero rapidamente disattesi, data la facilità con la quale i dati possono circolare attraverso le reti internazionali.

La direttiva dispone l'interruzione, in caso di necessità, di determinati trasferimenti, ma questa è un'eventualità estrema ed esistono vari modi per assicurare un'adeguata protezione dei dati, senza perturbare i flussi internazionali di dati e le operazioni commerciali che vi sono collegate.

La Commissione può accertare, d'intesa con il comitato istituito dall'articolo 31 della direttiva 95/46/CE composto da rappresentanti degli Stati membri, che un paese terzo assicura un adeguato livello di protezione. La Commissione consulta il gruppo articolo 29, che emette un parere sul livello di protezione nei paesi terzi.

Il 24 luglio 1998 il gruppo ha adottato un documento di lavoro sui trasferimenti di dati personali a paesi terzi⁸ che analizza i requisiti fissati dalla direttiva 95/46/CE ed elenca i fattori concreti di cui va tenuto conto nel valutare se esiste o no un livello adeguato di protezione.

Quando non esiste un livello adeguato di protezione, le clausole contrattuali possono offrire garanzie sufficienti per quanto riguarda la protezione dei diritti fondamentali e delle libertà delle persone così da permettere i trasferimenti verso tali paesi⁹.

Nel corso del 1999, gran parte dell'attività del gruppo è stata dedicata alla questione dei trasferimenti di dati a paesi terzi. Il gruppo si è occupato in particolare degli Stati Uniti d'America, della Svizzera e dell'Ungheria.

Alla base dei principi "Safe Harbor" vi è negli Stati Uniti una concezione della protezione della vita privata diversa da quella della Comunità europea. Gli Stati Uniti seguono un approccio settoriale basato su un misto di legislazione, regolamentazione e autoregolamentazione che, a parere del gruppo articolo 29, non offre garanzie di una protezione adeguata in tutti i casi per i dati personali trasferiti dall'Unione europea. Il 4 novembre 1998 il Department of Commerce (DoC) ha enunciato una serie di principi in materia di protezione in materia della vita privata nell'intento di stabilire un quadro permanente per il trasferimento dei dati personali tra Stati Uniti e Unione europea.

A seguito di questa iniziativa, nel 1999 si sono svolte ampi discussioni bilaterali tra il governo americano e la Commissione europea. Dialoghi informali con il signor Mogg, direttore generale della Direzione generale Mercato interno e dal sottosegretario al commercio Aaron (DoC) hanno avuto luogo nei mesi di marzo, maggio e novembre 1999.

La Commissione ha informato ampiamente il gruppo delle discussioni e ha chiesto il suo parere su vari punti per migliorare e chiarire il testo dei principi "Safe Harbor" e delle "domande frequenti" del DoC e contribuire ad un testo che offre "protezione adeguata" come richiesto dalla direttiva 95/46/CE. Questo lavoro ha prodotto quattro pareri pubblici ed un documento di lavoro pubblico.

Gennaio 1999

Il gruppo ha adottato il 26 gennaio 1999 un primo parere (parere 1/99¹⁰) sul livello di protezione dei dati negli Stati Uniti e le discussioni in corso tra la Commissione europea e il governo degli Stati Uniti, nel quale sollecita le parti e i rappresentanti degli Stati membri dell'UE nel comitato istituito dall'articolo 31 della direttiva 95/46/CE a tener conto delle seguenti carenze del progetto di testo statunitense:

Aprile-Maggio

A seguito della versione riveduta dei principi "Safe Harbor" pubblicata dal DoC il 19 aprile, il gruppo ha emesso il 3 maggio un secondo parere, (parere 2/99¹¹), sulla "adeguatezza dei principi internazionali Safe Harbor" .

Tale parere riconosce i progressi compiuti su vari punti, ad esempio la definizione dei dati personali (che si riferiscono ora ad una "persona identificata o identificabile") e i trasferimenti successivi (con una differenziazione tra i trasferimenti tra organizzazioni aderenti ai principi e trasferimenti a terzi non partecipanti al sistema "Safe Harbor").

Preoccupazioni sono state espresse per le deroghe previste nella legislazione degli Stati membri, che potrebbero dar luogo all'interpretazione delle misure nazionali di attuazione da parte di organizzazioni aderenti ad un sistema di autoregolamentazione di un paese terzo. Per quanto riguarda i dati "manuali", il gruppo ha ritenuto che devono essere trattati nello stesso modo i dati automatici e quelli manuali detenuti negli archivi. Infine sono stati discussi in profondità i seguenti principi: notifica, scelta, trasferimento successivo, accesso e applicazione.

Giugno

Le "Frequently asked Questions" (FAQ) sono passate da 6 a 15 durante i mesi di aprile, maggio e giugno 1999. Di conseguenza, il gruppo ha adottato il 7 giugno un terzo parere (parere 4/99¹²) che considera in modo particolare le FAQ, affermando che:

· le FAQ dovrebbero avere valore vincolante a condizione di essere coerenti con i "principi Safe Harbor" e di essere considerate contestualmente a questi;

· l'elenco definitivo delle FAQ dovrebbe essere esaustivo e non dovrebbero esservi introdotte modifiche unilaterali;

· le FAQ dovrebbero essere considerate alla luce delle esperienze in sede di esame dell'attuazione delle disposizioni "Safe Harbor" e potrebbe essere necessario modificarle e/o integrarle.

Inoltre, il parere ha esaminato in dettaglio le FAQ 1 (dati sensibili), 2 (deroghe giornalistiche), 3 (responsabilità secondaria), 4 (cacciatori di teste), 5 (ruolo delle autorità di protezione dei dati), 6 (autocertificazione), 11 (esame indipendente dei reclami) e 13 (scelta opt-out).

Luglio 1999

Il 7 luglio un documento di lavoro¹³ sullo "stato attuale delle discussioni in corso tra la Commissione europea e il governo degli Stati Uniti" sui "principi internazionali Safe Harbor" emessi il 1° giugno 1999 è stato adottato dal gruppo. Esso consiste in un messaggio indirizzato al comitato istituito dall'articolo 31 (rappresentanti degli Stati membri dell'UE) della direttiva.

In esso si segnala alla Commissione la necessità di:

· garantire una solida base giuridica dell'articolo 25 della direttiva 95/46/CE,

· chiarire il campo d'applicazione delle disposizioni "Safe Harbor" in vari settori,

·; specificare le condizioni di attuazione e di applicazione dei principi "Safe Harbor";

· elaborare i contenuti dei principi 1 (notifica), 2 (scelta) e 6 (accesso).

Dicembre 1999

Nel suo quarto parere, adottato il 3 dicembre 1999 (parere 7/99¹⁴) "sul livello di protezione dei dati assicurato dai principi "Safe Harbor" pubblicati unitamente alle FAQ e altri documenti connessi il 15 e 16 novembre 1999", il gruppo ha confermato le sue preoccupazioni generali sulle disposizioni "Safe Harbor" e ha invitato la Commissione a chiedere agli Stati Uniti di apportare alcune migliorie di rilievo, in particolare:

Il gruppo ha anche invitato la Commissione a rivedere l'articolo 2 del progetto di decisione della Commissione del 24 novembre e ad accelerare i lavori sulle clausole contrattuali tipo in vista di una decisione ai sensi dell'articolo 26, paragrafo 4 della direttiva 95/46/CE (garanzie per i trasferimenti a paesi che non garantiscono un livello di protezione adeguato).

Il gruppo è stato informato della proposta di decisione elaborata dalla Commissione europea in base all'articolo 25, paragrafo 6 della direttiva 95/46/CE, con la quale essa prende atto del fatto che, in ragione della sua legislazione nazionale, la Svizzera assicura un livello adeguato di protezione ai sensi dell'articolo 25, paragrafo 2 della suddetta direttiva. Al fine di redigere un parere per la Commissione europea, assistita dal comitato istituito a norma dell'articolo 31 della direttiva 95/46/CE, il gruppo ha effettuato un'analisi delle norme in materia di protezione dei dati in vigore in Svizzera ¹⁵.

Data la divisione dei poteri tra la Confederazione e i Cantoni, la legge federale (legge sulla protezione dei dati del 19 giugno 1992, successivamente modificata e integrata dalla decisione del Consiglio federale del 14 giugno 1993) si applica al trattamento dei dati personali da parte dell'intero settore privato svizzero e delle autorità pubbliche federali. Le disposizioni cantonali, d'altra parte, disciplinano il trattamento dei dati personali da parte degli organismi pubblici a livello cantonale o comunale. I cantoni sono competenti, ad esempio, per il trattamento nei seguenti settori: polizia, istruzione, sanità (in particolare la sanità pubblica). Per completezza, occorre precisare che i Cantoni sono anche competenti per il trattamento di taluni tipi di dati personali secondo la legge federale, ad esempio ai fini della riscossione dell'imposta federale.

La legislazione federale e quella cantonale sono considerate compatibili con: 15 Per ottenere informazioni più precise su determinati punti, il presidente del gruppo ha inviato in data 15 marzo 1999 una lettera al commissiario federale per la protezione dei dati, che ha risposto il 24 marzo 1999. Vi sono anche stati contatti informali tra il segretariato del gruppo e il commissario federale.

1.- la convenzione del Consiglio d'Europa per la tutela delle persone con riguardo al trattamento automatico dei dati personali (convenzione n. 108), ratificata dalla Svizzera il 2 ottobre 1997 e che, pur non essendo direttamente applicabile, stabilisce impegni internazionali per la Confederazione e per i Cantoni;

2.- la Costituzione federale (modificata dal referendum del 18 aprile scorso), interpretata dalla giurisprudenza della suprema corte federale. Occorre notare che la costituzione modificata riconosce ad ogni persona il diritto alla vita privata e, in particolare, il diritto ad essere protetto dall'abuso dei dati che li riguardano (articolo 13 sulla protezione della sfera privata).

In conclusione, il gruppo ha raccomandato che la Commissione e il comitato istituito dall'articolo 31 della direttiva 95/46/CE concludano che la Svizzera assicura un livello adeguato di protezione ai sensi dell'articolo 25, paragrafo 6 della direttiva.

Allo scopo di formulare il proprio parere alla Commissione europea, assista dal comitato istituito dall'articolo 31 della direttiva 95/46/CE, il gruppo ha proceduto all'analisi delle disposizioni vigenti in Ungheria per quanto riguarda la protezione dei dati personali¹⁶.

La protezione dei dati personali è disciplinata dalla legge LXIII promulgata il 17 novembre 1992, entrata in vigore il 1° maggio 1993 e successivamente modificata¹⁷. Il campo d'applicazione di questa legge è più ampio della protezione dei dati personali, in quanto la legge stabilisce anche la procedura applicabile all'accesso del pubblico ai documenti amministrativi. L'ombudsman, i cui potere sono stabiliti dalla legge e che è stato nominato dal Parlamento il 30 giugno 1995, è responsabile del controllo dell'applicazione di entrambe le leggi.

Per quanto riguarda la protezione dei dati personali, sono da notare i punti seguenti:

- gli impegni internazionali dell'Ungheria risultanti dalla ratifica, l'8 ottobre 1997, della convenzione del Consiglio d'Europa per la protezione delle persone con riguardo al trattamento automatizzato dei dati personali (convenzione n. 108),

- la protezione della vita privata a livello costituzionale, in particolare rispetto al trattamento dei dati personali¹⁸,

- l'esistenza di leggi settoriali contenenti disposizioni relative alla protezione dei dati personali in vari campi, quali i servizi segreti, le statistiche, la vendita diretta, la ricerca scientifica e, di recente, il settore sanitario.

Il gruppo "articolo 29", ritenendo che la legge ungherese sulla protezione dei dati assicura un livello di protezione adeguato, ha raccomandato alla Commissione e al Comitato istituito dall'articolo 31 della direttiva 95/46/CE di constatare che l'Ungheria garantisce un livello adeguato di protezione ai sensi dell'articolo 25, paragrafo 6 della direttiva.

La Camera di Commercio Internazionale (CCI) ha elaborato una serie di clausole miranti a garantire i flussi di dati transfrontalieri e a proteggere efficacemente i dati personali in tutto il mondo ai sensi dell'articolo 26, paragrafi 2 e 4 della direttiva 95/46/CE.

Nel settembre 1998 la versione originale delle clausole è stata presentata alla direzione generale "Mercato interno" della Commissione europea in vista della loro adozione come decisione della Commissione ai sensi della direttiva 95/46/CE. Una versione riveduta delle clausole è stata presentata alla direzione generale "Mercato interno" il 18 dicembre 1998.

Il gruppo ha preso in esame le clausole della CCI e ha formulato i propri suggerimenti e commenti. In particolare, esso ha proposto che le clausole CCI si applichino alle situazioni "responsabile del trattamento — responsabile del trattamento". Le clausole dovrebbero cioè prevedere salvaguardie nel caso in cui dati personali fossero venduti dall'UE ad un nuovo responsabile estero. In questo caso la persona non ha protezione. Finora, il testo CCI contempla soltanto le situazioni "responsabile del trattamento — incaricato del trattamento" che sono, in una certa misura, coperte dall'articolo 17, paragrafo 3 della direttiva 95/46/CE. Il gruppo ha invitato la CCI a riesaminare il proprio testo alla luce dei commenti formulati.

Anche la Confederazione dell'Industria Britannica (CBI) ha elaborato clausole contrattuali riguardanti il trasferimento di dati personali dell'Unione europea a paesi terzi. Il documento della CBI (versione 15 dicembre 1998), comprendente una serie di clausole contrattuali tipo e note esplicative, è stato presentato il 23 dicembre 1998 al direttore generale della Direzione generale Mercato interno della Commissione europea.

Nel suo documento di lavoro il gruppo ha chiesto alla Commissione europea di accogliere l'invito della CBI a proseguire l'esame di queste questioni tenedo conto delle lacune individuate.

Il gruppo ha adottato varie raccomandazioni riguardanti i principali aspetti di Internet e delle telecomunicazioni.

La conferenza europea dei commissari incaricati della protezione dei dati, svoltasi a Dublino il 23 e 24 aprile 1998 ha espresso l'auspicio che il gruppo possa trattare il tema in modo più sistematico per chiarire le questioni in gioco e proporre soluzioni allo scopo di contribuire ad uno sviluppo di Internet e dei servizi connessi che rispetti il diritto degli utenti alla tutela della vita privata e crei in tal modo fiducia nei confronti delle applicazioni commerciali e private. I commissari hanno ricordato che le regole derivanti dalla legislazione comunitaria sulla protezione dei dati si applicano pienamente, secondo le opportune modalità, al trattamento dei dati personali su Internet, indipendentemente dalle tecnologie utilizzate.

Il gruppo condivide²⁰ il parere della conferenza europea dei commissari incaricati della protezione dei dati. Internet non si colloca in un vuoto giuridico. Il trattamento dei dati personali su Internet deve rispettare i principi della protezione dei dati esattamente come nel modo "off-line"²¹ . Questo non costituisce un limite all'utilizzazione di Internet, ma è al contrario uno dei principi fondamentali che mirano ad assicurare la fiducia degli utenti nel funzionamento di Internet e dei servizi forniti per suo tramite. La protezione dei dati su Internet è quindi una condizione indispensabile per lo sviluppo del commercio elettronico.

La direttiva generale 95/46/CE relativa alla protezione dei dati si applica ad ogni trattamento dei dati personali che rientra nel suo campo d'applicazione, indipendentemente dalle tecnologie impiegate. Il trattamento dei dati personali su Internet deve perciò essere considerato alla luce della direttiva.

La direttiva specifica 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni completa la direttiva generale 95/46/CE stabilendo disposizioni giuridiche e tecniche specifiche.²² Internet è una rete di computer aperta a tutti. Fa quindi parte del settore delle telecomunicazioni pubbliche. Le disposizioni della direttiva 97/66/CE si applicano pertanto al trattamento dei dati personali in connessione con la fornitura di servizi di telecomunicazione accessibili al pubblico sulle reti pubbliche di telecomunicazione della Comunitಳ.

Questa raccomandazione²⁴ è motivata dal fatto che vari tipi di trattamento dei dati personali sono effettuati su Internet mediante software o hardware senza che le persone interessate ne abbiano conoscenza. Si tratta quindi di trattamenti "invisibili" per gli utenti. Ad esempio, la cosiddetta tecnologia dei "cookies" permette ad un server di memorizzare e reperire in modo invisibile taluni dati particolari sul disco duro dell'utente di Internet. Analogamente, il software per Internet comunemente in uso (in particolare browser, FTP 25 , email, notiziari e conversazioni) raccoglie, collega e diffonde vari tipi di dati personali dell'utente e questo permette di creare profili di utenti a loro insaputa. Queste tecniche permettono di creare "clicktrails" sull'utente Internet. I "clicktrails" consistono in informazioni sul suo comportamento, la sua identità, i suoi percorsi o le scelte espresse nel visitare un sito web. Essi contengono i collegamenti che un utente ha seguito e sono registrati nel server web.

Il gruppo ha constatato che le varie pratiche di trattamento dei dati personali su Internet non sono conformi alla direttiva comunitaria sulla protezione dei dati, in particolare all'obbligo di informare la persona interessata del trattamento in questione. Il gruppo ha quindi raccomandato agli operatori Internet di adattare i loro programmi e prodotti ai principi della protezione dei dati specificati in tale

22 Per tutte le questioni non disciplinate in modo specifico dalla direttiva 97/66/CE, come gli obblighi del responsabile del trattamento e i diritti delle persone o i servizi di telecommunicazioni non offerti al pubblico, si applica la direttiva 95/46/CE (cfr. considerando 11 della direttiva 97/66/CE).

documento, in particolare configurando hardware e software in modo che essi non permettano, per difetto, la raccolta, la memorizzazione o l'invio di informazioni permanenti sul cliente. In questo modo all'utente verrebbe assicurata la libertà di scelta.

Nel contesto delle discussioni svoltesi in seno al Consiglio dell'Unione europea sulle intercettazioni e delle risoluzioni del Parlamento europeo sul sistema di spionaggio Echelon, il gruppo ha ritenuto necessario dare il proprio contributo al pubblico dibattito.

Il gruppo ha osservato che ogni intercettazione di telecomunicazioni, intesa come l'acquisizione della conoscenza, da parte di terzi, del contenuto e/o di dati relativi a telecomunicazioni private tra due o più corrispondenti, e in particolare di dati sul traffico riguardanti l'uso dei servizi di telecomunicazione, costituisce una violazione del diritto della persona alla tutela della vita privata e del segreto della corrispondenza. Le intercettazioni sono quindi inammissibili, a meno che avvengano nel rispetto dei tre criteri fondamentali indicati nell'articolo 8, paragrafo 2 della convenzione europea per la protezione dei diritti umani e le libertà fondamentali del 4 novembre 1950²⁶, e secondo l'interpretazione della Corte europea dei diritti dell'uomo di tale disposizione: una base giuridica, la necessità del provvedimento in una società democratica e il perseguimento di uno dei fini legittimi enumerati nella convenzione²⁷.

La base giuridica deve definire in modo preciso i limiti e i modi dell'applicazione del provvedimento, con regole chiare e dettagliate, necessarie in particolare a causa del continuo miglioramento dei mezzi tecnici utilizzabili. Il testo della legge deve essere accessibile al pubblico in modo che i cittadini possano essere informati delle conseguenze delle loro azioni. In questo contesto giuridico, la sorveglianza esplorativa o generale su larga scala deve essere proscritta.

Nell'Unione europea la direttiva 95/46/CE afferma il principio della tutela del diritto alla vita privata, sancito dagli ordinamenti giuridici degli Stati membri. La direttiva precisa i principi contenuti nella convenzione europea per la protezione dei diritti dell'uomo del 4 novembre 1950 e nella convenzione n. 108 del Consiglio d'Europa del 28 gennaio 1981 (convenzione per la protezione delle persone con riguardo al trattamento automatizzato dei dati personali). La direttiva 97/66/CE²⁸ dà espressione concreta alle disposizioni di tale direttiva precisando l'obbligo degli Stati membri di assicurare per mezzo di regolamenti nazionali la riservatezza delle comunicazioni effettuate per mezzo di una rete pubblica di telecomunicazioni o di servizi di telecomunicazione accessibili al pubblico.

Questa raccomandazione si propone di indicare come i principi della protezione dei diritti fondamentali e delle libertà delle persone fisiche, in particolare della loro vita privata e della segretezza delle comunicazioni vadano applicati ai provvedimenti relativi all'intercettazione di telecomunicazioni adottati a livello europeo. La raccomandazione riguarda le intercettazioni in senso ampio, comprese le intercettazioni del contenuto delle telecomunicazioni e dei dati relativi alle telecomunicazioni, in particolare ogni misura preparatoria (come il monitoraggio e l'estrazione di dati sul traffico) che può essere considerata per decidere se un'intercettazione è consigliabile.

Il gruppo sottolinea in particolare che gli obblighi di sicurezza e di riservatezza dei dati a cui sono soggetti gli operatori delle telecomunicazioni, i fornitori di servizi e gli Stati membri in forza dell'articolo 17, paragrafi 1 e 2 della direttiva 95/46 e degli articoli 4, 5 e 6 della direttiva 97/66/CE rispettivamente sono la regola e non l'eccezione. Gli operatori delle telecomunicazioni e i fornitori di servizi di telecomunicazione devono adottare le disposizioni necessarie per rendere l'intercettazione delle telecomunicazioni da parte di soggetti non autorizzati impossibile o tecnicamente difficile per quanto lo stato attuale della tecnologia lo permette.

Il gruppo ha concluso con un elenco di controllo relativo ai modi del rispetto e dei diritti delle libertà fondamentali da parte delle autorità per quanto riguarda le intercettazioni.

La lotta contro la criminalità informatica è una questione che va acquistando sempre maggiore importanza a livello internazionale. I paesi del G8²⁹ hanno adottato un piano d'azione in 10 punti, varato nel 1999 con l'aiuto di un sottogruppo di esperti in criminalità informatica composto da rappresentanti di organismi che nei paesi del G8 hanno il compito di far rispettare la legge. Una delle questioni aperte e più controverse riguarda la conservazione dei dati sul traffico storici e futuri da parte dei fornitori di servizi Internet allo scopo di assicurare il rispetto della legge e la comunicazione di tali dati alle autorità poste a tale scopo. Il sottogruppo G8 per la criminalità informatica intende proporre raccomandazioni miranti a garantire la possibilità di conservare e comunicare i dati sul traffico. Parallelamente, il Consiglio d'Europa sta elaborando un progetto di convenzione sulla criminalità informatica.

Consapevole dell'importanza che i dati sul traffico possono avere nel contesto delle indagini sui reati commessi tramite Internet, il gruppo desidera tuttavia ricordare ai governi nazionali i principi relativi alla protezione dei diritti e delle libertà fondamentali delle persone, in particolare della loro vita privata e della segretezza della corrispondenza, di cui è necessario tener conto in questo contesto. Il gruppo è altresì consapevole dell'onere che può essere imposto agli operatori delle telecomunicazioni e ai fornitori di servizi.

Come il gruppo ha già indicato nella sua raccomandazione 2/99 sul rispetto della vita privata nel contesto dell'intercettazione delle telecomunicazioni, adottata il 3 maggio 1999³⁰, il fatto che un terzo prenda conoscenza dei dati sul traffico relativi all'uso dei servizi di telecomunicazione è stato generalmente considerato un'intercettazione delle telecomunicazioni e costituisce pertanto una violazione del diritto della persona alla tutela della vita privata e della segretezza della corrispondenza, garantita dall'articolo 5 della direttiva 97/66/CE. Inoltre, tale divulgazione di dati sul traffico è incompatibile con l'articolo 6 di questa direttiva. Il gruppo ha ritenuto che il mezzo più efficace per ridurre rischi inaccettabili per la vita privata, pur riconoscendo le necessità di un'applicazione efficace della legge è che i dati sul traffico non debbano in linea di principio essere conservati soltanto ai fini dell'applicazione della legge.

La Commissione ha ospitato un seminario con il World Wide Web Consortium (W3C) che sta elaborando la piattaforma per le preferenze in materia di rispetto della vita privata (P3P) e il gruppo di lavoro sulla protezione dei dati istituito dall'articolo 29. La P3P concepisce la protezione della vita privata e dei dati come oggetto di un accordo tra l'utente Internet, di cui sono raccolti i dati, e il sito web che raccoglie i dati. L'idea fondamentale è che l'utente acconsente alla raccolta dei propri dati personali da parte di un sito, a condizione che la prassi dichiarata del sito in materia di protezione della vita privata, ad esempio gli scopi per i quali i dati sono raccolti e se i dati sono raccolti per scopi secondari o trasferiti a terzi, risponda alle esigenze dell'utente. Il World Wide Web Consortium ha cercato di sviluppare un vocabolario unico per mezzo del quale articolare le preferenze dell'utente e le pratiche del sito. Il seminario P3P è stato il seguito del parere del gruppo 1/98. L'obiettivo è stato quello di discutere in che modo il protocollo per le preferenze in materia di protezione della vita privata (P3P) possa tenere conto degli obblighi giuridici della direttiva sulla protezione dei dati per la sua applicazione nell'UE.

La Commissione ha sottoposto alla consultazione del pubblico un Libro verde intitolato "L'informazione del settore pubblico: una risorsa fondamentale per l'Europa"³¹. L'obiettivo principale del Libro verde è di stimolare la discussione su come l'informazione del settore pubblico possa essere resa più accessibile ai cittadini e alle imprese e sulla necessità o meno di armonizzare le regole nazionali in questo campo. Uno degli aspetti fondamentali del Libro verde è la disponibilità dell'informazione del settore pubblico. Il Libro verde non ignora la questione della protezione dei dati personali, ma non la considera centrale.

Il gruppo ha contribuito con il proprio parere 3/99 al processo di consultazione³².

Il parere si propone come un contributo alla discussione sulla protezione dei dati personali, una dimensione di cui è necessario tener conto se si intende favorire l'accesso ai dati del settore pubblico che si riferiscono a persone. Il parere non pretende di fornire risposte a tutte le questioni sollevate dalla necessità di creare un equilibrio tra un migliore accesso ai dati del settore pubblico, basato sul desiderio di accrescere la trasparenza da parte dello Stato nei riguardi dei propri cittadini, da una parte, e la protezione dei dati personali quali definita dalla direttiva 95/46/CE, dall'altra. Basandosi sulla direttiva 95/46/CE e su illustrazioni pratiche riguardanti i più comuni registri pubblici di dati personali, il parere intende fornire, sulla base di esempi concreti, alcuni termini di riferimento di cui è opportuno tener conto nel prendere decisioni concrete.

Lo scopo principale (articolo 6 della direttiva 95/46/CE) è di far sì che i dati personali siano raccolti per fini specifici, espliciti e legittimi e non siano successivamente trattati in una maniera incompatibile con tali finalità. Questo principio assume pertanto un ruolo fondamentale nell'accessibilità dei dati personali detenuti dal settore pubblico.

In particolare, occorre determinare, caso per caso, in quale misura una legge esige o consente la pubblicazione o l'accesso da parte del pubblico a dati di carattere personale. La legge intende assicurare l'accesso ai dati nella loro interezza senza limiti di tempo? I dati possono essere utilizzati per qualsiasi scopo, indipendentemente dallo scopo iniziale o, invece, la legge permette l'accesso ai dati soltanto ad alcune parti e/o impone che i dati siano utilizzati per una finalità collegata alla finalità iniziale per la quale i dati sono stati resi pubblici? Di conseguenza, i dati personali destinati ad essere resi pubblici non costituiscono una categoria omogenea, che può essere trattata in modo uniforme dal punto di vista della protezione dei dati, né la persona interessata perde i propri diritti quando i propri dati personali sono resi pubblici. Occorre piuttosto procedere ad un'analisi graduale dei diritti dell'interessato e del diritto del pubblico ad accedere ai dati. L'accesso pubblico ai dati può essere soggetto a determinate condizioni (come la dimostrazione di un interesse legittimo). Anche gli scopi per i quali i dati possono essere utilizzati, ad esempio scopi commerciali o da parte dei media, possono essere limitati. Numerosi esempi illustrano questi punti.

L'articolo 27 della direttiva 95/46/CE dispone che la Commissione e gli Stati membri incoraggino l'elaborazione di codici di condotta destinati a contribuire ad un'adeguata applicazione delle disposizioni nazionali di attuazione della direttiva, tenendo conto delle caratteristiche specifiche dei vari settori. Per quanto concerne i codici comunitari, essi possono essere sottoposti al gruppo articolo 29 che, tra l'altro, accerta la conformità dei progetti alle disposizioni nazionali. La Commissione può assicurare un'appropriata pubblicità ai codici approvati dal gruppo. Il gruppo ha elaborato un documento di lavoro³³ che definisce la procedura ed elementi di merito per l'esame dei codici comunitari. Il presidente, il segretariato, (assicurato dalla Commissione) e i membri svolgono il proprio ruolo rispettivo fino all'adozione di un parere finale. Finora non è stato approvato alcun codice. Il gruppo e le organizzazioni proponenti stanno ancora discutendo la forma finale dei codici.

FEDMA

La Federation of European Direct Marketing (FEDMA) rappresenta il settore della vendita diretta a livello europeo³⁴. I suoi membri nazionali sono le associazioni della vendita diretta di 12 paesi dell'Unione europea (esclusi Lussemburgo, Danimarca e Grecia), Svizzera, Ungheria, Polonia, Repubblica ceca e Repubblica slovacca, che rappresentano utenti, fornitori di servizi e media/vettori della vendita diretta. La FEDMA conta fra i suoi membri anche circa 500 società di vendita diretta e rappresenta direttamente o indirettamente tramite le associazioni di categoria circa 10.000 operatori europei della vendita diretta.

Il gruppo ha costituito un sottogruppo sul codice FEDMA che ha presentato la sua prima relazione al gruppo il 3 dicembre 1998. Esso ha commentato la prima versione del progetto di codice di condotta europeo presentato dalla FEDMA il 18 agosto 1998. Le conclusioni della relazione sono che il progetto di codice è su molti punti non conforme alla direttiva e non presenta sufficiente valore aggiunto.

È stato inoltre proposto alla FEDMA un incontro per discutere delle questioni in gioco. I commenti sono stati inviati alla FEDMA (e non pubblicati). La FEDMA ha elaborato una versione riveduta che ha sottoposto al sottogruppo il 12 luglio 1999. Il sottogruppo ha nuovamente analizzato il testo e ha concluso che, benché siano state apportate notevoli migliorie, il progetto di codice non è ancora pienamente conforme alla direttiva e potrebbe fornire maggiore valore aggiunto (per esempio per quanto riguarda in particolare le operazioni di trattamento nel settore della vendita diretta e l'esame dei singoli reclami transfrontalieri).

IATA

Nel 1997 l'Associazione internazionale del trasporto aereo (IATA) ha sottoposto al gruppo la "Pratica raccomandata 1774 - protezione della vita privata e dei flussi transfrontalieri di dati personali utilizzati nel trasporto aereo internazionale di passeggeri e merci" (RP 1174). Questi principi sono raccomandati dalla IATA ai propri membri da anni. Alla luce della direttiva 95/46/CE, la IATA ha riveduto la RP 1774 allo scopo di conformarla alla direttiva ed eventualmente contribuire alla libera circolazione dei dati personali tra i propri membri internazionali.

Il gruppo ha vivamente raccomandato alla convenzione che elabora la Carta europea dei diritti fondamentali di includervi, oltre al diritto alla tutela della vita privata, il diritto alla protezione dei dati³⁵.

2.4 Principali sviluppi negli Stati membri

Come negli anni precedenti, le autorità nazionali di controllo sono state invitate a comunicare tutti gli sviluppi intervenuti nel 1999 per quanto riguarda la protezione dei dati. Questi sviluppi sono sintetizzati qui di seguito. Gli indirizzi dei rispettivi siti Internet in cui possono essere consultati i testi integrali delle relazioni annuali delle autorità nazionali per la protezione dei dati sono elencati nell'allegato 3.

Sola differenza rispetto allo scorso anno, gli Stati membri sono stati invitati a compilare un questionario anziché a redigere una sintesi dei principali sviluppi nei rispettivi paesi. Il questionario aveva per oggetto cinque questioni specifiche:

AUSTRIA

A. Misure legislative adottate nel quadro del primo pilastro (escluse le direttive 95/46/CE e 97/66/CE)

Unitamente alla legge sulla protezione dei dati (DSG) 2000, il Parlamento ha adottato la legge federale sulle statistiche (Bundesstatistikgesetz) 2000, BGBl. I No 163/1999, la legge federale sugli archivi (Bundesarchivgesetz), BGBl. I No 162/1999 e la modifica della legge sui contratti d'assicurazione (Versicherungsvertragsgesetz), BGBl. I No 150/1999.

L'obiettivo della legge federale sulle statistiche è di creare una base giuridica per la raccolta dei dati per le indagini statistiche da parte dei registri pubblici e delle autorità amministrative, in primo luogo per ridurre l'onere gravante sui rispondenti e in secondo luogo per permettere una compilazione più razionale delle statistiche da parte dell'Istituto federale austriaco di statistica. Inoltre, la legge definisce i criteri e i principi di qualità da seguire nella compilazione delle statistiche e dei conti nazionali, con corrispondenti meccanismi di controllo, al fine di garantire statistiche ufficiali e obiettivi che rispondano alle norme internazionali e alle esigenze scientifiche.

La legge federale austriaca sulla protezione, la conservazione e l'uso del materiale degli archivi federali (legge federale sugli archivi) è entrata in vigore il 1° gennaio 2000. Scopo della legge è di dare una definizione giuridica del materiale d'archivio che comprenda le possibilità tecniche attuali di creare registrazioni scritte e inoltre di introdurre precise disposizioni sulla protezione e la conservazione dei documenti di valore storico e/o porre le basi giuridiche per l'accesso all'archivio. Questo rientra nel campo delle competenze federali.

La direttiva sulla protezione dei dati è stata anche, tra l'altro, la ragione diretta della modifica della legge sui contratti d'assicurazione, in quanto non era chiaro in quale misura gli assicuratori privati possono utilizzare i dati di carattere sanitario. Per questo motivo, una base giuridica per l'uso delle informazioni di carattere sanitario da parte degli assicuratori è stata introdotta nell'articolo 11a della legge sui contratti d'assicurazione. La disposizione stabilisce quando e per quali scopi gli assicuratori possono utilizzare dati di carattere sanitario e a chi tali dati possono essere trasmessi.

Inoltre, sono stati introdotte disposizioni per la protezione dei diritti delle persone interessate.

La legge federale sulle firme elettroniche (Signaturgesetz-SIG, BGBl. I n. 190/1999) recepisce la direttiva 1999/93/CE e costituisce il quadro giuridico per la generazione e l'uso delle firme elettroniche e per la prestazione dei servizi di firma e certificazione.

B. Variazioni intervenute nel quadro del secondo e del terzo pilastro

La legge modificata sulla polizia di sicurezza (Sicherheitspolizeigesetznovelle) 1999, BGBl. I No 146/1999, disciplina, tra l'altro, i seguenti settori: per compensare l'abolizione dei controlli alle frontiere conseguente all'adesione dell'Austria all'accordo di applicazione della convenzione di Schengen, sono introdotte disposizioni per il controllo delle persone e delle merci nel contesto dei viaggi internazionali (cosiddetta "Schleierfahndung" - controlli non basati su sospetti). Sono state introdotte anche disposizioni che disciplinano gli schedari della polizia che comprendono l'uso di informazioni genetiche ottenute tramite analisi dell'ADN.

Poiché vari regolamenti internazionali (regolamento EURATOM n. 3, decisione della Commissione europea del 30 novembre 1994, decisione del Consiglio del 27 aprile 1998, convenzione Europol) richiedono l'effettuazione di controlli di sicurezza di alta qualità, il numero dei casi in cui sono consentiti controlli di sicurezza è stato aumentato ed è anche diventato possibile, in particolari circostanze, condurre indagini ai fini di un controllo di sicurezza. Inoltre, è stato istituito presso il Ministero dell'interno un consiglio consultivo per i diritti umani che presta la sua consulenza al Ministro sulle questioni relative al rispetto dei diritti umani.

BELGIO

A. Misure legislative adottate nel quadro del primo pilastro (escluse le direttive 95/46/CE e 97/66/CE)

Nessuna

B. Variazioni intervenute nel quadro del secondo e del terzo pilastro

Nell'intento di rafforzare la lotta contro la criminalità, varie iniziative legislative sono state adottate nel 1999, riguardanti da una parte la criminalità informatica e dall'altra i reati relativi alla pornografia infantile e alla tratta degli esseri umani.

Nel corso del 1999 alcuni progetti di legge sono stati sottoposti per parere alla Commissione della protezione della vita privata. Uno dei progetti riguardava la cooperazione degli operatori delle telecomunicazioni per quanto riguarda l'intercettazione delle telecomunicazioni. La Commissione ha emesso un parere negativo su questo progetto, perché ha ritenuto eccessivamente ampia la definizione del campo d'applicazione della legge e delle condizioni di comunicazione e di accesso ai dati da parte delle autorità giudiziarie. Per quanto riguarda un altro progetto di legge sulla criminalità informatica, la Commissione ha emesso riserve, in particolare a proposito dell'obbligo di conservare i dati sul traffico imposto agli operatori delle telecomunicazioni e dei rischi connessi allo sviluppo di un sistema generalizzato di sorveglianza dei dati delle telecomunicazioni³⁶.

La Commissione della protezione della vita privata ha inoltre emesso un parere sul trattamento dei dati personali nel quadro del sistema "VICLAS" (Violent Crime Linkage Analysis System). Il sistema si basa sull'analisi dei dati relativi alla vittima e all'autore di reati gravi e soprattutto di reati in serie (per esempio omicidi, aggressioni sessuali) per stabilire eventuali collegamenti tra i reati. Il sistema è utilizzato dai paesi membri dell'UE e da paesi terzi. Pur senza contestarne l'utilità, la Commissione ha formulato varie osservazioni per quanto riguarda la compatibilità del sistema con la legislazione belga in materia di tutela della vita privata. La Commissione ha sottolineato in particolare l'urgenza di un quadro giuridico che autorizzi il trattamento dei dati sensibili e medici figuranti in VICLAS da parte della autorità giudiziarie.

Essa ha inoltre indicato che talune informazioni sulla vittima non dovrebbero essere raccolte sistematicamente quando non sono necessarie. Per quanto riguarda i dati sull'ADN, la Commissione è contraria alla proliferazione delle banche dati sull'ADN e considera che VICLAS non dovrebbe creare la propria banca dati ADN, ma seguire la procedura esistente per quanto riguarda la consultazione e l'utilizzazione di tali dati.

La Commissione ha infine raccomandato una conservazione dei dati per un periodo limitato, secondo la qualità dei dati e non, come previsto, per un periodo generale di 30 anni.

C. Giurisprudenza

Nessuna giurisprudenza nel campo della protezione della vita privata e dei dati.

D. Questioni specifiche

Come indicato al punto B, pareri ufficiali sono stati emessi per quanto riguarda l'elaborazione di misure di lotta alla criminalità (intercettazione delle telecomunicazioni, raccolta di dati penali, etc.)

Tenuto conto del numero crescente di domande riguardanti le condizioni d'uso della videosorveglianza, la Commissione della protezione della vita privata ha emesso di propria iniziativa un parere sulla questione, che aggiorna un precedente parere del 1995 e interpreta e chiarisce l'applicazione della nuova legislazione sulla protezione della vita privata al trattamento delle immagini, e in particolare all'uso delle videocamere.

Riunioni periodiche hanno avuto luogo con i membri della Commissione belga di studio sui beni appartenenti ad ebrei, depredati durante la seconda guerra mondiale.

La Commissione della protezione della vita privata ha precisato a quali condizioni le banche e le compagnie d'assicurazione dovranno cooperare e comunicare i loro dati alla commissione di studio.

La Commissione ha anche esaminato la questione dell'applicazione della legislazione sulla protezione della vita privata alle persone decedute, giungendo alla conclusione che attualmente mancano disposizioni adeguate che permettano la protezione dei dati personali delle persone decedute e che consentano ad esempio l'accesso degli eredi a determinati dati (ad esempio nel caso in cui sia necessario verificare la cartella clinica del defunto nell'eventualità di un errore medico all'origine del decesso). La Commissione ha raccomandato un'iniziativa legislativa per rimediare a questa situazione.

La Commissione ha adottato un parere di propria iniziativa riguardante la nuova utilizzazione degli elenchi telefonici, in particolare la pubblicazione di elenchi on-line, che permettono ricerche invertite, per esempio sulla base di un numero di telefono. La Commissione ha sottolineato che tali pubblicazioni dovrebbero avvenire soltanto a condizioni specifiche, tra cui l'informazione e il consenso preliminare delle persone interessate.

E. Sito Internet
http://www.privacy.fgov.be

DANIMARCA

A. Misure legislative adottate nel quadro del primo pilastro (escluse le direttive 95/46/CE e 97/66/CE)

Ogni anno vengono emanate numerose disposizioni di legge e regolamenti che hanno rilevanza per la protezione della vita privata e dei dati. Non è possibile enumerarli tutti qui. In particolare nel campo delle telecomunicazioni, vari nuovi regolamenti sono stati adottati nel 1999.

B. Variazioni intervenute nel quadro del secondo e del terzo pilastro dell'UE

Nessuna

C. Giurisprudenza

Nel 1999 tutti i casi riguardanti le leggi sulla registrazione sono stati trattati sul piano amministrativo dall'Agenzia danese per la protezione dei dati.

D. Questioni specifiche

Nel 1999 l'Agenzia danese per la protezione dei dati ha esaminato due casi concernenti la questione del controllo dell'uso di Internet da parte di dipendenti e studenti mediante un codice d'accesso. L'Agenzia danese per la protezione dei dati ha ritenuto in entrambi i casi che il codice d'accesso degli studenti e dei dipendenti costituisce uno schedario che rientra nel campo d'applicazione della legge sugli schedari delle amministrazioni pubbliche. L'Agenzia ha ritenuto legale la schedatura alla condizione che la sua finalità sia ragionevole e che i dipendenti e gli studenti siano preventivamente informati della sua esistenza.

L'Agenzia danese per la protezione dei dati ha inoltre presentato un rapporto sul livello di sicurezza in relazione al fatto che numerosi schedari delle amministrazioni pubbliche (compresi quelli contenenti dati sensibili) sono gestiti dall'impresa privata "Computer Science Corporation" (CSC). L'Agenzia ha ritenuto che non esistono problemi di sicurezza fintanto che la CSC rispetta la legge. Il fatto che la CSC sia un'impresa privata non ha alcuna importanza.

Nel 1999 l'Agenzia danese per la protezione dei dati ha trasmesso al Ministero della giustizia una nota relativa ai progetti di istituzione di un archivio ADN, di un archivio delle persone imputate o condannate per taluni reati gravi. L'Agenzia ha ritenuto che l'inserimento nello schedario di persone non condannate non è in contrasto con la legge sugli schedari delle pubbliche amministrazioni, ma ha raccomandato che lo schedario sia autorizzato dalla legge.

FINLANDIA

A. Misure legislative adottate nel quadro del primo pilastro (escluse le direttive 95/46/CE e 97/66/CE)

È proseguito in diversi campi il riesame della legislazione, finalizzato al recepimento dei principi della direttiva. Ad esempio, nel 1999 sono state riesaminate le disposizioni della legge sull'informazione della popolazione, che disciplina il sistema di informazione nazionale della popolazione. La legge sulla carta d'identità elettronica è entrata in vigore nel dicembre 1999. La legge sul servizio elettronico nell'amministrazione è stata approvata dal Parlamento alla fine del 1999 ed è entrata in vigore il 1° gennaio 2000. La legge sulla pubblicità delle attività amministrative, entrata in vigore il 1° dicembre 1999, disciplina la divulgazione dei dati personali tratti da schedari amministrativi, la segretezza dei documenti e dei dati personali e la buona pratica nel campo della gestione dell'informazione.

B. Variazioni intervenute nel quadro del secondo e del terzo pilastro

L'esame delle questioni attinenti al secondo e al terzo pilastro tiene conto anche della direttiva comunitaria sulla protezione dei dati. Tra l'altro, nel 1999 ha avuto inizio il riesame della legislazione relativa agli schedari di dati personali conservati dalla polizia.

C. Giurisprudenza

Secondo la legge finlandese, il pubblico ministero è tenuto a consultare l'Ombudsman per la protezione dei dati prima di formulare un'imputazione per violazione della legge sui dati personali. Nei procedimenti di questo tipo l'Ombudsman ha il diritto di essere ascoltato dal tribunale. L'Ombudsman ha emesso un parere in 18 cause riguardanti, tra l'altro, la tenuta illegale di schedari, l'uso di schedari di dati personali in violazione delle loro finalità, la pirateria informatica, la divulgazione e la segretezza.

D. Questioni specifiche

L'ufficio dell'Ombudsman per la protezione dei dati si è principalmente occupato di questioni di protezione dei dati nel campo della sanità e del lavoro. Dal punto di vista della protezione della vita privata, i servizi elettronici e i contatti con i clienti, il commercio elettronico su Internet, l'uso di Internet e, in generale, le questioni relative alla trasmissione elettronica di dati, le telecomunicazioni e l'uso delle nuove tecnologie hanno avuto il maggiore sviluppo. Il problema d'ordine generale consiste nel fatto che l'introduzione delle tecnologie dell'informazione e delle nuove tecnologie è avvenuto senza un esame preliminare del quadro legislativo e senza un'adeguata pianificazione del trattamento dei dati personali.

L'ufficio dell'Ombudsman per la protezione dei dati ha avuto essenzialmente il compito di prevenire le violazioni della protezione dei dati. A questo fine, l'ufficio pubblicherà una serie di orientamenti e una documentazione sulla nuova legge sui dati personali (15 opuscoli in totale) e ha partecipato a circa 140 seminari di formazione. L'ufficio ha emesso il suo parere o è stato consultato dal Parlamento su 55 progetti di legge concernenti il trattamento dei dati personali.

L'ufficio si è adoperato per promuovere l'elaborazione di codici di condotta riguardanti i vari settori di cui all'articolo 27 della direttiva sulla protezione dei dati.

L'elaborazione dei codici di condotta ha avuto già inizio in vari settori. Nel corso del 1999 sono già stati completati i codici di condotta riguardanti le società di assicurazione contro i danni e di assicurazione vita e di sport. Le organizzazioni sanitarie e private, in particolare, hanno stabilito orientamenti relativi al trattamento dei dati personali. Varie amministrazioni centrali hanno stabilito orientamenti che possono essere considerati codici di condotta nei rispettivi settori amministrativi. In conseguenza dell'entrata in vigore della direttiva comunitaria sulla protezione dei dati, i casi di divulgazione di dati a destinatari esteri sono stati meno numerosi che negli anni precedenti. Le divulgazioni a paesi terzi sono state effettuate per lo più a fini di vendita diretta. In un caso l'Ombudsman per la protezione dei dati ha notificato alla Commissione europea un trasferimento autorizzato.

FRANCIA

A. Misure legislative adottate nel quadro del primo pilastro (escluse le direttive 95/46/CE e 97/66/CE)

Le questioni di protezione dei dati sono sempre più spesso al centro dell'attualità, dalla ricerca epidemiologica sull' HIV, alla creazione di schedari di impronte genetiche per gli autori di reati sessuali, alla politica attiva svolta dalla CNIL per garantire la conformità alla legge dei siti Internet.

Due nuove leggi nazionali sono state oggetto in Francia nel 1999 di un ampio dibattito pubblico su due questioni sociali con rilevanti ripercussioni per la protezione dei dati. Il primo tema di discussione è stato la creazione di un archivio nazionale delle impronte genetiche, in base alla legge del 17 giugno 1998 sulla prevenzione e la repressione dei reati sessuali e la protezione dei minori. L'archivio contiene soltanto le impronte di persone condannate per delitti sessuali, non quelle di sospetti. Oltre le questioni di sicurezza, le misure di applicazione prese dopo che la CNIL ha formulato il suo parere mirano in particolare a garantire che soltanto segmenti di ADN non codificanti, ossia che non permettono di determinare le caratteristiche organiche, fisiologiche o morfologiche delle persone interessate, siano utilizzati a fini di identificazione.

La seconda questione è stata la creazione di un registro di persone che hanno concluso un patto civile di solidarietà (PACS) che, in base alla legge del 15 novembre 1999, garantisce diritti alle coppie non coniugate conviventi, dello stesso sesso o di sessi diversi (per esempio dichiarazione fiscale comune, protezione sociale, diritto all'alloggio, in particolare in caso di decesso di uno dei partner, etc.). Lo scopo principale di questi registri è di permettere ad una persona che intende stipulare un PACS di verificare che il suo partner non abbia già concluso un patto con qualcun altro. A seguito del parere emesso dalla CNIL, è stato deciso che questi registri potranno essere legittimamente consultati da organismi pubblici o privati che si occupano dei diritti riconosciuti alle persone da questa legislazione innovativa (fisco, sicurezza sociale, istituti di credito), ma non saranno accessibili, tenuto conto del carattere sensibile dei dati, dad altre persone quali i proprietari di alloggi affittati o da membri della famiglia. Inoltre, la CNIL ha chiesto e ottenuto che il sistema di informazione sia concepito in modo da non permettere la compilazione di elenchi di partner secondo il loro orientamento sessuale. Infine, la CNIL ha ottenuto che i "certificati PACS" non possano essere rilasciati a persone, in modo da evitare pressioni, in particolare da parte di datori di lavoro o di proprietari di alloggi che intendano ottenere in questo modo informazioni di carattere privato.

Il Parlamento ha inoltre adottato una disposizione di legge mirante a permettere all'amministrazione fiscale di utilizzare il numero di sicurezza sociale per stabilire la base imponibile, controllare e riscuotere le imposte (articolo 107 della legge finanziaria 1999). Il Consiglio costituzionale, chiamato ad esprimersi, ha giudicato ammissibile questa disposizione, essendo le sue finalità limitate ed essendo previste garanzie per la piena applicazione della legge "informatica e libertà". Le norme di attuazione sottoposte al controllo preliminare della CNIL stabiliscono che questo numero non può costituire un identificatore per tutti gli schedari dell'amministrazione fiscale. Inoltre, in caso di violazione grave delle libertà delle persone, gli schedari costituiti utilizzando questo numero potranno essere distrutti.

B. Variazioni intervente nel quadro del secondo e del terzo pilastro

Nessuna.

C. Giurisprudenza

La CNIL ha deferito due casi alle autorità giudiziarie. Il primo riguardava la fornitura di un elenco di membri di un'associazione giovanile regionale di carattere religioso ad un'organizzazione di estrema destra che vende oggetti nazisti. L'altro, il commento "non ha il profilo giusto, omosessuale" in uno schedario delle assunzioni di una grande società.

I tribunali non hanno ancora emesso la loro sentenza.

D. Questioni specifiche

Oltre ai dibattiti pubblici sulle due questioni anzidette, a cui la CNIL ha preso parte, gli avvenimenti più importanti dell'anno sono stati:

- l'aumento delle domande di accesso agli schedari di sicurezza (per lo più della polizia) superiore al 67%, ossia 671 domande che hanno portato a 1100 controlli e verifiche sul posto degli schedari in questione;

- l'aumento generale del numero delle denunce (31%) e delle nuove dichiarazioni di trattamento (250 al giorno);

- un'intensa attività nei settori del commercio al dettaglio e delle telecomunicazioni, congiuntamente agli operatori dei settori interessati.

Grazie all'impulso della CNIL, è stato adottato un quarto codice di condotta professionale, elaborato dagli operatori della grande distribuzione. In particolare, esso prevede che nei moduli di acquisto on-line figurino due caselle da contrassegnare, una che dia modo alla persona interessata di opporsi all'invio di materiale pubblicitario da parte del commerciante e l'altra di opporsi alla cessione a terzi di dati che la riguardano .

La CNIL ha proseguito la propria politica, in atto da anni, di formazione e di controllo dei siti Internet. Un elenco di siti Internet che si impegnano a rispettare la legge è stato pubblicato sul sito della CNIL.

PAESI BASSI

A. Misure legislative adottate nel quadro del primo pilastro dell'UE (escluse le direttive 95/46/CE e 97/66/CE)

Nessuna

B. Variazioni intervenute nel quadro del secondo e terzo pilastro dell'UE

Nessuna

C. Giurisprudenza

Nessuna

D. Questioni specifiche

Nel 1999 la Registratiekamer ha esaminato in particolare tre questioni:

1. I consumatori e i mezzi elettronici d'informazione.

Lo sviluppo combinato di Internet e delle comunicazioni mobili ha aperto molte nuove possibilità ai consumatori. Ovviamente Internet accresce le possibilità di scelta nell'acquisto di beni e nell'uso di servizi, etc., ma rappresenta anche una minaccia, perché il consumatore diffida del commercio elettronico. Quando si ordina un prodotto tramite un sito Internet, non si può essere sicuri che il prodotto ordinato sarà quello giusto e che il pagamento effettuato giunga alla persona a cui era destinato.

Secondo la Registratiekamer quasi tutto ciò che fa il "consumatore digitale" è registrato a sua insaputa. Il consumatore ha quindi bisogno di essere informato e tutelato. Per questo particolare attenzione è stata dedicata alla protezione della vita privata dei consumatori e un'indagine è stata avviata dalla Registratiekamer sull'uso dei dati personali da parte dei fornitori di servizi Internet. I risultati sono stati pubblicati nel giugno 2000.

2. La preparazione dell'entrata in vigore della "Wet Bescherming Persoonsgegevens".

Nel febbraio 1998 il progetto di "Wet Bescherming Persoonsgegevens" (legge sulla protezione dei dati personali) è stata presentato in Parlamento e ha dato luogo ad un vivace dibattito. La legge attuerà la direttiva 95/46 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali. La Registratiekamer ha comunicato alla commissione parlamentare permanente Giustizia il suo parere circa le conseguenze di questa legge. Nel novembre 1999 il Parlamento ha approvato all'unanimità la legge, che entrerà in vigore nel 2001.

3. Il forte sviluppo delle tecniche di "screening" di persone e società.

Per screening si intende un'indagine volta a determinare se qualcuno, ad esempio un candidato o un partner commerciale, è affidabile e degno di fede. Per fare questo sono consultate varie fonti. L'efficacia di questa tecnica è sopravvalutata e costituisce inoltre una grave intrusione nella vita privata delle persone. Lo screening dovrebbe aver luogo soltanto in mancanza di una soluzione meno radicale. Esso dovrebbe aver luogo secondo criteri chiari e prestabiliti e sulla base di informazioni acquisite in maniera legale. Per tracciare un bilancio il più possibile preciso degli strumenti di tutela esistenti, la Registratiekamer ha organizzato nel 1999 una tavola rotonda su questo tema.

Principali pubblicazioni

Tutte le pubblicazioni sono disponibili integralmente nella versione olandese sul sito della Registratiekamer. Nella maggior parte dei casi è anche disponibile on-line un riassunto in inglese del documento.

-"Informatieverstrekking door de fiscus — ontheffing van de fiscale geheimhoudingsplicht in het licht van privacywetgeving" (informazioni fornite dal fisco — esenzione dall'obbligo della segretezza fiscale nel contesto della legislazione sulla protezione dei dati). In questa relazione, presentata al segretario di Stato alle finanze e al Parlamento, la Registratiekamer spiega perché la legislazione relativa alla comunicazione dei dati personali da parte del fisco è superata. È necessaria una revisione della legislazione fiscale.

-"Werken met gegevens" (lavorare con i dati). Questa pubblicazione tratta dei centri per il lavoro e il reddito. Le istituzioni pubbliche e private per il lavoro e il reddito operano sempre più spesso in collaborazione. Di conseguenza, le amministrazioni, i servizi sociali e le agenzie per l'occupazione offrono i loro servizi in questi centri. La Registratiekamer ha elencato e analizzato le possibilità e i limiti di questi centri e proposto una serie di regole per l'attuazione pratica di questo tipo di cooperazione.

-"Koning Klant" (il cliente è re). In questo rapporto, la Registratiekamer indica in che modo i principi e le disposizioni della legge sulla protezione dei dati si applicano al trattamento delle informazioni sui consumatori e come gli interessi economici delle organizzazioni devono essere conciliati con il diritto alla vita privata dei clienti.

-"Intelligent Software Agents and Privacy" (in cooperazione con l'autorità di controllo per la protezione della vita privata dell'Ontario) e "At face value: on biometrical identification and privacy". Questi due rapporti trattano dei recenti sviluppi tecnologici che potrebbero avere conseguenze per la protezione della vita privata dei cittadini.

- Un'altra pubblicazione presenta uno studio sull'organizzazione e la gestione del registro della popolazione di tre comuni. Da questo rapporto risulta che i dati relativi ai cittadini conservati nel registro non sono sufficientemente protetti. È probabile che lo stesso valga anche per altri comuni.

REGNO UNITO

A. Misure legislative adottate nel quadro del primo pilastro dell'UE (escluse direttive 95/46/CE e 97/66/CE)

Nessuna.

B. Variazioni intervenute nel quadro del secondo e terzo pilastro dell'UE

Nel 1999 nessun fatto nuovo di rilievo è intervenuto nel campo della protezione dei dati e della vita privata nel quadro del secondo e del terzo pilastro.

C. Giurisprudenza

Il 7 maggio 1999 Midlands Electricity plc ha presentato un ricorso al Data Protection Tribunal contro un'ingiunzione del Data Protection Registrar del 1° dicembre 1998, a norma dell'articolo 10 della legge 1984 sulla protezione dei dati. L'ingiunzione riguardava l'uso di dati personali a fini di vendita diretta, mentre i dati erano stati ottenuti per scopi attinenti alla fornitura di energia. La vendita diretta in questione riguardava beni e servizi forniti da terzi, non in relazione con la fornitura di elettricità e di prodotti elettrici, ed era proposta ai clienti per mezzo di un inserto pubblicitario allegato alle fatture. Il tribunale ha confermato l'ingiunzione, che è entrata in vigore il 1° gennaio 2001 e ha imposto a Midlands Electricity plc di ottenere il consenso dei clienti per continuare a distribuire l'inserto pubblicitario.

D. Questioni specifiche

Nel 1999 la principale priorità è stata l'attuazione della direttiva 95/46/CE sulla protezione dei dati e delle altre disposizioni della direttiva 97/66/CE sulle telecomunicazioni.

2.5 Attività comunitarie

Le istituzioni e gli organi comunitari, in particolare la Commissione, trattano abitualmente dati personali nel quadro delle loro attività. La Commissione scambia dati personali con gli Stati membri nel quadro della politica agricola comune, per la gestione delle procedure doganali e dei Fondi strutturali e nel quadro delle altre politiche comunitarie. Affinché questo scambio non sia messo in questione dagli Stati membri per ragioni di protezione dei dati, la Commissione ha dichiarato nel 1990 che si sarebbe essa stessa conformata ai principi stabiliti nel progetto di direttiva.

All'epoca dell'adozione della direttiva 95/46/CE, che istituisce un quadro comunitario per l'armonizzazione delle disposizioni degli Stati membri, la Commissione ed il Consiglio si sono impegnati con una pubblica dichiarazione a rispettarlo e hanno invitato le altre istituzioni ed organi a fare altrettanto.

Alla conferenza intergovernativa sulla riforma dei Trattati è stata posta la questione dell'applicazione delle norme relative alla protezione dei dati alle istituzioni comunitarie. Al termine dei negoziati, il trattato firmato ad Amsterdam ha inserito, nel trattato che istituisce la Comunità europea, una disposizione specifica a questo riguardo.

Il nuovo articolo 286 prevede che a partire dal 1° gennaio 1999 le istituzioni e gli organi comunitari applichino le disposizioni comunitarie relative alla protezione dei dati, stabilite principalmente dalle direttive 95/46/CE e 97/66/CE.

Esso dispone altresì che l'applicazione di tali norme sia controllata da un'autorità di controllo indipendente.

La Commissione ha risposto a questo appello presentando il 14 luglio 1999 la sua proposta di regolamento del Parlamento europeo e del Consiglio relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni e degli organi della Comunità e alla libera circolazione di tali dati. Fin dall'inizio della procedura legislativa, il Parlamento europeo e il Consiglio hanno dichiarato di condividere l'obiettivo della Commissione di giungere ad un rapido accordo che permetterebbe di adottare questo regolamento in prima lettura, secondo la nuova modalità introdotta dal trattato di Amsterdam nella procedura di codecisione.

A seguito della comunicazione della Commissione "assicurare la fiducia nella comunicazione elettronica — verso un quadro europeo per le firme elettroniche e la cifratura" dell'ottobre 1997, la Commissione europea ha presentato nel maggio 1998 una proposta di direttiva che istituisce un quadro comunitario per le firme elettroniche. La direttiva è stata adottata il 13 dicembre 1999³⁷. Il suo obiettivo è di garantire il riconoscimento in tutta l'UE delle firme elettroniche.

Le firme elettroniche permettono di ottenere dati tramite le reti elettroniche come Internet per determinare l'origine dei dati e verificare che non siano stati modificati. La direttiva non è destinata a regolamentare tutti i particolari, ma definisce i requisiti dei certificati di firma elettronica e dei servizi di certificazione per garantire un livello minimo di sicurezza e permetterne la libera circolazione nel mercato interno.

I suoi principali elementi sono:

Poiché le firme elettroniche possono anche servire come mezzo di identificazione e di autenticazione, i fornitori di servizi hanno l'obbligo di identificare l'identità dei loro clienti e sono responsabili delle indicazioni che figurano nel certificato. È stato ritenuto necessario precisare i principi generali relativi alla rilevazione di dati personali e alla limitazione della finalità (articolo 8 della direttiva). Poiché la maggior parte delle operazioni commerciali non richiedono legalmente l'identificazione del cliente, è essenziale poter utilizzare pseudonimi nel certificato.

In assenza di obblighi giuridici di identificazione, l'utente ha la scelta se indicare il proprio nome o uno pseudonimo nei certificati. Si tratta di un elemento indispensabile per conciliare la necessità dell'autenticazione con le esigenze di protezione della vita privata e dei dati nel commercio elettronico.

Come annunciato nella comunicazione della Commissione del maggio 1997 sul commercio elettronico, la Commissione europea ha proposto nel novembre 1998 una direttiva che istituisce un quadro giuridico coerente per il commercio elettronico nel mercato interno. Un accordo politico è stato raggiunto in sede di Consiglio nel dicembre 1999³⁸.

La direttiva non contiene disposizioni particolari riguardanti la protezione dei dati e della vita privata per il commercio elettronico. Il gruppo ha invitato i servizi della Commissione alle sue riunioni di marzo e maggio 1999 sulla base della proposta della Commissione intesa a chiarire la relazione esistente tra questa direttiva e le direttive sulla protezione dei dati. I considerando 14, 15 e 30 precisano che il quadro esistente per la tutela delle persone fisiche con riguardo al trattamento dei dati personali si applica interamente al trattamento dei dati personali nel contesto del commercio elettronico. E' anche affermato che l'attuazione della direttiva sul commercio elettronico deve essere pienamente conforme alle disposizioni in materia di protezione dei dati. Il testo dell'articolo che esclude talune materie dal suo campo di applicazione è stato chiarito.

Gli attori economici che intendono trattare dati personali devono quindi conformarsi agli obblighi risultanti dalle direttive 95/46/CE e 97/66/CE. Le persone fisiche hanno gli stessi diritti che nel campo "off-line". Questo ha particolare importanza per quanto riguarda l'informazione del consumatore sul trattamento previsto, la definizione e la limitazione delle finalità, la necessità di una base legittima per il trattamento e, più in particolare, le disposizioni applicabili alle comunicazioni commerciali, sia o no necessario il consenso preliminare.

Questa direttiva estende il campo d'applicazione della direttiva 83/189 (che riguarda le disposizioni nazionali applicabili alla libera circolazione delle merci) per includervi le disposizioni sui servizi della società dell'informazione. Questo strumento richiede che, prima della loro adozione definitiva, tutti i progetti di disposizioni nazionali riguardanti direttamente tali servizi siano notificati alla Commissione ed esaminati con gli altri Stati membri per assicurare che siano compatibili con la libera circolazione dei servizi e il principio del controllo del paese d'origine (ossia lo "sportello normativo unico": se un servizio offerto in uno Stato membro ne rispetta la legge, gode della certezza giuridica di poter circolare liberamente nell'Unione europea indipendentemente dalle leggi degli altri Stati membri). Secondo la giurisprudenza della Corte di giustizia (sentenza del 30.4.96 nella causa C-194/94), se uno Stato membro ha omesso di notificare tale disposizione nazionale, quest'ultima non è vincolante per gli operatori economici.

Questo sistema di dialogo strutturale tra le amministrazioni nazionali e la Commissione, fondato sulle regole del mercato unico, ha il vantaggio di permettere di prevedere qualsiasi problema derivante dallo sviluppo dei servizi on-line e di offrire soluzioni immediate.

Nel 1999 sono stati notificati testi tecnici con un impatto sulla fornitura di questi servizi e sulla libera circolazione dei dati personali, quali l'intercettazione, l'accesso ai sistemi di dati sul traffico, le firme elettroniche 39.

La Commissione ha preso in esame l'attuazione e le necessità di adattamento degli strumenti legali agli sviluppi tecnologici nel settore delle telecomunicazioni. La Commissione si è occupata in modo particolare della convergenza dei mezzi di comunicazione. Ha proposto di creare un quadro giuridico semplificato, chiaro e neutro sul piano tecnologico. Tutte le disposizioni necessarie dovrebbero esser contenute in una direttiva quadro da completare con direttive più specifiche, una delle quali relativa alla protezione dei dati. A questo scopo la Commissione ha proposto di modificare la direttiva 97/66/CE sulla tutela della vita privata nel settore delle telecomunicazioni. La comunicazione della Commissione ha dato avvio ad una consultazione.

A seguito delle riunioni preparatorie con gli organismi europei di normalizzazione, l'industria, le autorità per la protezione dei dati, gli esperti nel campo della protezione nella vita privata e gli Stati membri, nonché delle discussioni svoltesi in varie conferenze internazionali, la Commissione europea ha affidato nel 1999 un mandato alle organizzazioni di normalizzazione dell'Unione europea. L'obiettivo del mandato è di sostenere l'attuazione della direttiva 95/46/CE, nell'UE e a livello internazionale.

Occorre in primo luogo analizzare e valutare il ruolo potenziale delle organizzazioni europee di normalizzazione a sostegno della direttiva 95/46/CE. In particolare, le piattaforme europee di consenso possono contribuire all'applicazione progressiva della direttiva negli Stati membri e al miglioramento del livello di protezione delle persone fisiche con riguardo al trattamento dei dati personali nei paesi terzi. Tale attività potrebbe riguardare sia gli aspetti sostanziali (principi di protezione dei dati, applicazione e ricorso), sia gli aspetti procedurali (procedura aperta, creazione di situazioni "win-win", aumento della concorrenza). Essa potrebbe comprendere l'elaborazione di codici di condotta e favorire la messa a punto di tecnologie in grado di assicurare una migliore protezione della vita privata, pur rispondendo alla necessità di un sistema coerente che assicuri un livello adeguato di interoperabilità. Per quanto riguarda le iniziative internazionali, è necessario coordinare la posizione europea per evitare frizioni con gli obblighi giuridici stabiliti dalla direttiva.

La Commissione europea promuove la messa a punto di tecnologie che rafforzano la protezione della vita privata, per esempio organizzando il seminario sulla protezione dei dati e la tecnologia del 20 ottobre 1999, con l'intervento di rappresentanti delle autorità di protezione dei dati. Nel corso della preparazione del programma di lavoro 2000 "Tecnologie della società dell'informazione", è stato proposto di inserirvi una linea d'azione specifica riguardante tali tecnologie e di utilizzare misure orizzontali per accompagnare i progetti aventi un impatto sulla vita privata.

Il Consiglio dell'Unione europea ha adottato il 12 marzo 1999 le norme che disciplinano la trasmissione dei dati personali da parte di Europol a Stati terzi od organizzazioni terze.

3. CONSIGLIO D'EUROPA

Il Consiglio d'Europa ha proseguito i lavori in corso nel campo della protezione dei dati.

Il Comitato consultivo della convenzione ha concluso il suo lavoro su un emendamento alla convenzione STE n. 108, che permette l'adesione delle Comunità europee alla convenzione. Adottato dal Comitato dei ministri il 15 giugno 1999, l'emendamento è aperto alla firma di tutte le parti. Il Comitato ha proseguito inoltre i suoi lavori su un progetto di protocollo aggiuntivo alla convenzione STE n. 108 sulle autorità di controllo e i flussi transfrontalieri di dati.

Il 15 ottobre 1999 il gruppo di progetto "Protezione dei dati" ha adottato un progetto di raccomandazione sulla protezione dei dati personali rilevati e trattati per scopi assicurativi e ha terminato nel 2000 la redazione del suo memorandum esplicativo.

La raccomandazione n. R (99) 5 sulla protezione della vita privata su Internet è stata adottata dal Comitato dei ministri il 23 febbraio 1999. Il gruppo ha formulato il suo parere sulla raccomandazione 1402 (1999) dell'Assemblea parlamentare sul controllo dei servizi di sicurezza, il progetto di convenzione sulla criminalità informatica e ha elaborato un progetto di parere sul secondo protocollo aggiuntivo alla convenzione europea sulla reciproca assistenza in materia penale.

La Comunità, rappresentata dalla Commissione, partecipa sia al gruppo di progetto sia al comitato consultivo quando le questioni trattate rientrano nelle competenze esterne risultanti dalle direttive 95/46/CE e 97/66/CE, come nel caso dei testi di cui sopra.

Questa cooperazione con il Consiglio d'Europa mira ad assicurare la piena compatibilità con le direttive comunitarie.

4. PRINCIPALI SVILUPPI NEI PAESI TERZI

Il comitato misto SEE ha adottato due decisioni che integrano le direttive 95/46/CE e 97/66/CE nell'accordo sullo Spazio economico europeo⁴⁰. Esse impongono ai paesi EFTA/SEE l'obbligo di recepire le direttive ed estendono la libera circolazione dei dati personali di cui all'articolo 1 della direttiva 95/46/CE all'insieme dello Spazio economico europeo. Tali decisioni istituiscono inoltre una procedura speciale per l'applicazione da parte dei paesi EFTA/SEE delle decisioni della Commissione sull'adeguatezza dei paesi terzi.

Le decisioni del comitato misto non sono però entrate immediatamente in vigore, poiché la Norvegia, l'Islanda e il Liechtenstein hanno comunicato la necessità di attenersi a procedure nazionali a norma dell'articolo 103 dell'accordo SEE.

Soltanto quando i tre paesi avranno notificato il completamento delle rispettive procedure nazionali, le decisioni del comitato misto SEE entreranno in vigore e le direttive si applicheranno in tutto lo SEE.

A. Misure legislative adottate nel 1999 nel quadro del primo pilastro dell'UE

Non sono state adottate misure legislative aventi rilevanza per la protezione della vita privata e dei dati personali.

B. Variazioni intervenute nel quadro del secondo e del terzo pilastro dell'UE

L'Islanda non è uno Stato membro dell'UE e pertanto non adotta alcuna misura del secondo pilastro nel quadro dell'accordo SEE. Inoltre, l'Islanda adotta solo le misure del terzo pilastro che sono state accettate nel quadro dell'accordo SEE. Nel 1999 non intervenuti in Islanda mutamenti nel campo della protezione dei dati della vita privata in relazione al terzo pilastro.

C. Giurisprudenza

Pochissimi procedimenti giudiziari hanno riguardato questioni di protezione della vita privata e dei dati e nessuno di essi presenta un aspetto transfrontaliero. La sentenza della Corte suprema d'Islanda nella causa n. 252/1998, emessa il 25 febbraio 1999, è una delle poche attinenti a questioni di protezione della vita privata. In questa sentenza si dichiara che la pubblicazione in un libro di informazioni sulla vita privata di un paziente costituisce una violazione passibile di sanzioni dell'articolo 230 del Codice penale generale.

D. Questioni specifiche

Nessuna.

A. Misure legislative adottate nel quadro del primo pilastro dell'UE

La direttiva 95/46/CE non è stata ancora recepita nella legislazione nazionale. Il Ministero della Giustizia sta ancora preparando i progetti di legge da presentare al Parlamento.

La direttiva 97/66/CE è stata in parte recepita nella legge del 1995 sulle telecomunicazioni, ma non le disposizioni riguardanti la protezione dei dati e della vita privata. L'Ispettorato per i dati ha lavorato alla stesura di una regolamentazione per il settore delle telecomunicazioni. L'obiettivo di questo lavoro è stato quello di attuare le disposizioni della direttiva in materia di protezione dei dati e della vita privata.

Altre disposizioni relative alla protezione dei dati emanate nel 1999 nel quadro del primo pilastro.

La legge relativa al sistema informativo Schengen (SIS) è stata approvata dal Parlamento nel 1999. La legge disciplina il trattamento dei dati personali nel SIS.

Nessun'altra legge avente rilevanza per la protezione dei dati e della vita privata è stata approvata dal Parlamento.

B. Variazioni intervenute nel quadro del secondo e del terzo pilastro dell'UE

Altre disposizioni di protezione dei dati emanate nel 1999 nel quadro del secondo e del pilastro.

Il sistema informativo Schengen fa anche parte del terzo pilastro dell'UE. La legge ad esso relativo contiene anche disposizioni sulla protezione dei dati nel quadro del terzo pilastro.

Nessun'altra legge avente rilevanza per la protezione dei dati e della vita privata è stata approvata dal Parlamento.

C. Giurisprudenza

Nel 1999 le cause concernenti la protezione dei dati sono state sottoposte in primo grado all'Ispettorato dei dati e, in appello, al Ministero della Giustizia. In maggioranza hanno riguardato la questione della necessità del consenso della persona interessata e la forma di tale consenso. Le cause più importanti sono state le seguenti:

Queste decisioni sono state prese in applicazione della legge norvegese sulla protezione dei dati del 1978.

D. Questioni specifiche

Nel 1999 è stato sottoposta alla Corte suprema una causa importante, concernente l'accesso della polizia ai dati di identificazione personale dei clienti della società di telecomunicazione Telenor.

Si trattava di stabilire se la polizia doveva disporre di un mandato dell'autorità giudiziaria prima di accedere a questi dati. La corte suprema ha concluso che per i dati in questione un mandato non è necessario.

La decisione è stata presa in applicazione della legge del 1995 sulle telecomunicazioni.

Clausole contrattuali per i trasferimenti internazionali di dati personali

Dopo un primo studio del signor Dix (commissario alla protezione dei dati, Brandenburg, Germania), l'OCDE ha incaricato un esperto (signora Elisabeth& Longworth, Nuova Zelanda) di redigere un rapporto sull'uso di soluzioni contrattuali per i flussi transfrontalieri di dati; il rapporto è stato discusso una prima volta nella riunione di dicembre del gruppo sulla sicurezza dell'informazione e la vita privata. Il rapporto è stato adottato nel maggio 2000.

Privacy Wizard

Per sensibilizzare gli utenti di Internet alle pratiche relative alla tutela della vita privata adottate dai siti che consultano, l'OCSE, in cooperazione con gli operatori del settore, gli esperti nel campo della tutela della vita privata e le associazioni di consumatori, ha deciso di creare un generatore di dichiarazioni sulla politica di tutela della vita privata "html" denominato Wizard, basato sugli orientamenti OCSE sulla protezione della vita privata. Il Wizard, a certe condizioni, permette ai gestori dei siti di definire una politica di tutela della vita privata e di produrre una dichiarazione che informa i visitatori di un sito della politica di protezione della vita privata seguita da un'organizzazione. Questo "generatore", adottato nel 2000, non è una procedura di rilascio di un marchio, ma soltanto uno strumento didattico che rispecchia esclusivamente le pratiche delle organizzazioni in materia di protezione dei dati.

Nel suo programma di lavoro sul commercio elettronico, l'OMC ha incluso anche la protezione dei dati.

Nel quadro dello sviluppo del sistema dei nomi di dominio Internet, i servizi della Commissione hanno comunicato all'ICANN (Internet Corporation for Assigned Numbers and Names) i loro commenti sulla nuova procedura di registrazione per l'attribuzione dei nomi di dominio Internet e in particolare sul contratto tipo dell'ICANN tra Registrars e Second level Domain Name applicants. I servizi della Commissione hanno inoltre comunicato all'OMPI i loro commenti sulle proposte relative alla protezione dei marchi e all'attribuzione dei nomi di dominio.

I servizi della Commissione hanno cominciato a preparare un progetto di comunicazione sull'insieme della questione, compresi gli aspetti della protezione dei dati e una proposta di creazione di un domino di primo livello .eu⁴¹.

6. ALLEGATI

Fatto a Bruxelles, il 17 maggio 2001

Per il gruppo
Il Presidente
Stefano RODOTÀ

ALLEGATO I

ALLEGATO II

Elenco dei documenti adottati nel 1999 dal gruppo "articolo 29" sulla protezione dei dati

WP 15 (5092/98): Parere 1/99 concernente il livello di protezione dei dati negli Stati Uniti e le discussioni in corso tra la Commissione europea e il governo degli Stati Uniti. Adottato il 26 gennaio 1999.

WP 16 (5013/99): Documento di lavoro: Trattamento dei dati personali su Internet. Adottato il 23 febbraio 1999.

WP 17 (5093/98): Raccomandazione 1/99 sul trattamento invisibile e automatizzato dei dati personali su Internet mediante software e hardware. Adottato il 23 febbraio 1999.

WP 18 (5005/99): Raccomandazione 2/99 concernente il rispetto della vita privata nel contesto dell'intercettazione delle telecomunicazioni. Adottato il 3 maggio 1999.

WP 19 (5047/99): Parere 2/99 sull'adeguatezza dei principi internazionali "Safe Harbor" pubblicati dal Ministero del Commercio degli Stati Uniti il 19 aprile 1999. Adottato il 3 maggio 1999.

WP 20 (5026/99/FR+ 5055/99 le altrelingue) : Parere 3/99 concernente l'informazione del settore pubblico e la protezione dei dati personali. Contributo alla consultazione aperta dal Libro verde della Commissione " L'informazione del settore pubblico: una risorsa fondamentale per l'Europa " COM (1998) 585. Adottato il 3 maggio 1999.

WP 21 (5066/99): Parere 4/99 sulle "Frequently asked Questions" pubblicate dal Ministero del Commercio degli Stati Uniti in relazione ai proposti principi "Safe Harbor". Adottato il 7 giugno 1999.

WP 22 (5054/99): Parere 5/99 concernente il livello di protezione dei dati personali in Svizzera. Adottato il 7 giugno 1999.

WP 23 (5075/99): Documento di lavoro sullo stato delle discussioni in corso tra la Commissione europea e il governo degli Stati Uniti sui principi internazionali "Safe Harbor" pubblicati dal Ministero del Commercio degli Stati Uniti il 1° giugno 1999. Adottato il 7 luglio 1999.

WP 24 (5070/99): Parere 6/99 concernente il livello di protezione dei dati personali in Ungheria. Adottato il 7 settembre 1999.

WP 25 (5085/99): Raccomandazione 3/99 sulla conservazione dei dati sul traffico da parte dei fornitori di servizi Internet ai fini dell'applicazione della legge. Adottato il 7 settembre 1999.

WP 26 (5143/99): Raccomadazione 4/99 sull'inclusione del diritto fondamentale alla protezione dei dati personali nella Carta dei diritti fondamentali dell'Unione europea. Adottato il 7 settembre 1999

WP 27 (5146/99): Parere 7/99 sul livello di protezione dei dati garantito dai principi "Safe Harbor", pubblicati unitamente alle "Frequently Asked Questions (FAQs)" e ad altri documenti connessi il 15 e 16 novembre 1999 dal Ministero del Commercio degli Stati Uniti. Adottato il 3 dicembre 1999.

Siti Internet delle autorità nazionali per la protezione dei dati