Questo sito è parte di
L'accesso al diritto dell'Unione europea
Comunicazione della Commissione al Parlamento Europeo e al Consiglio sulla promozione della protezione dei dati mediante tecnologie di rafforzamento della tutela della vita privata (PET)
/* COM/2007/0228 def. */
| BG | ES | CS | DA | DE | ET | EL | EN | FR | GA | IT | LV | LT | HU | MT | NL | PL | PT | RO | SK | SL | FI | SV |
| html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | |||
| doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc |
| Doppia visualizzazione: CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT SK SL SV |
[pic] | COMMISSIONE DELLE COMUNITÀ EUROPEE |
Bruxelles, 2.5.2007
COM(2007) 228 definitivo
COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO
sulla promozione della protezione dei dati mediante tecnologie di rafforzamento della tutela della vita privata (PET)
COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO
sulla promozione della protezione dei dati mediante tecnologie di rafforzamento della tutela della vita privata (PET) (Testo rilevante ai fini del SEE)
1. INTRODUZIONE
Lo sviluppo intensivo e sostenuto delle tecnologie dell'informazione e della comunicazione (TIC) offre servizi sempre nuovi che apportano costanti miglioramenti alla vita dei cittadini. Le materie prime dell'interazione nel ciberspazio sono costituite, in ampia misura, dai dati personali di privati cittadini che navigano nella rete per acquistare beni e servizi, stabilire e mantenere contatti o comunicare le proprie idee sulla rete web. Parallelamente ai vantaggi offerti da questi sviluppi si configura una serie di nuovi rischi per il cittadino quali l'usurpazione d'identità, la profilazione discriminatoria, la sorveglianza continua o la frode.
La Carta dei diritti fondamentali dell'Unione europea riconosce, all'articolo 8, il diritto alla protezione dei dati personali. Questo diritto fondamentale è regolamentato dal quadro giuridico europeo in materia di protezione dei dati personali, che consiste essenzialmente nella direttiva sulla protezione dei dati 95/46/CE[1], nella direttiva ePrivacy 2002/58/CE[2] e nel regolamento (CE) n. 45/2001 concernente il trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari.[3] Tali normative disciplinano l'attività delle autorità di controllo, riconoscono i diritti degli interessati, prevedono sanzioni e rimedi adeguati in caso di violazione e istituiscono meccanismi per la loro efficace esecuzione.
Tuttavia, questo sistema può risultare insufficiente quando i dati a carattere personale sono divulgati su scala mondiale attraverso reti TCI e il trattamento dei dati coinvolge giurisdizioni diverse, spesso al di fuori dell'Unione europea. In questi casi si ritiene che le norme attuali siano applicabili e diano una chiara risposta giuridica, e che possa essere identificata l'autorità competente all'esecuzione di tali norme. Si possono tuttavia incontrare ostacoli pratici considerevoli derivanti da difficoltà inerenti alla tecnologia utilizzata, che implica il trattamento dei dati da parte di attori diversi in paesi diversi, con i problemi intrinseci all'esecuzione di sentenze giudiziali o amministrative nazionali in un'altra giurisdizione, in particolare in paesi terzi.
Quantunque a rigor di termini la responsabilità per il rispetto delle norme sulla protezione dei dati incomba ai responsabili del trattamento dei dati, anche altri attori sono in qualche misura responsabili, da un punto di vista etico e sociale, degli aspetti relativi alla protezione dei dati: tra l'altro, coloro che provvedono alla concezione delle specifiche tecniche e all'effettiva produzione o esecuzione delle applicazioni ovvero dei sistemi operativi.
L'articolo 17 della direttiva sulla protezione dei dati stabilisce l'obbligo per i responsabili del trattamento di attuare misure tecniche e organizzative appropriate e garantire un livello di sicurezza adeguato ai rischi presentati dalla natura dei dati da proteggere e dal relativo trattamento. L'uso di tecnologie volte a rafforzare il rispetto della legislazione, in particolare delle norme relative alla protezione dei dati, è già previsto in qualche misura dalla direttiva e-Privacy[4].
Un ulteriore passo verso il conseguimento degli obiettivi del quadro giuridico, la cui finalità è ridurre al minimo il trattamento di dati personali e utilizzare dati anonimi o pseudonimi ogni qualvolta sia possibile, potrebbe trovare sostegno in cosiddette tecnologie di rafforzamento della tutela della vita privata (PET), le quali non solo contribuirebbero a garantire che le infrazioni alle norme sulla protezione dei dati e le violazioni dei diritti individuali siano vietate e passibili di sanzioni, ma le renderebbero anche tecnicamente più difficili.
Scopo della presente comunicazione, che fa seguito alla prima relazione sull'esecuzione della direttiva relativa alla protezione dei dati[5], è prendere in considerazione i vantaggi delle tecnologie PET, prefissare gli obiettivi della Commissione in questo campo per promuovere tali tecnologie e definire chiare azioni a tal fine sostenendo l'evoluzione delle PET e il loro uso da parte dei responsabili del trattamento e dei consumatori.
2. CHE COSA SONO LE TECNOLOGIE PET?
Esistono diverse definizioni delle PET nell'ambito della comunità accademica e dei progetti pilota in questo settore. Secondo il progetto PISA finanziato dalla CE, ad esempio, con PET si intende un sistema coerente di misure nel settore delle TCI che tutela la privacy sopprimendo o riducendo i dati personali ovvero evitando un qualunque trattamento innecessario e/o indesiderato dei dati personali, preservando al contempo la funzionalità del sistema di informazione. L'uso delle PET può contribuire all'ideazione di sistemi e servizi di informazione e comunicazione che permettono di ridurre al minimo la raccolta e l'uso di dati personali e di favorire il rispetto delle norme sulla protezione dei dati. La Commissione, nella sua prima relazione sull'attuazione della direttiva relativa alla protezione dei dati, ha affermato che " l'utilizzo di misure tecnologiche appropriate costituisce un compromesso essenziale agli strumenti giuridici e dovrebbe costituire parte integrante di qualunque sforzo volto a conseguire un livello sufficiente di tutela della privacy ... ". L'uso delle tecnologie PET dovrebbe consentire di contrastare le violazioni di talune norme sulla protezione dei dati o di contribuire al loro rilevamento.
Nel contesto dinamico delle TCI l'efficacia delle tecnologie PET nel garantire la tutela della privacy, e quindi il rispetto della normativa per la protezione dei dati, è diversa e mutevole nel tempo. Anche la loro tipologia varia: può trattarsi di strumenti autonomi che richiedono un'azione positiva da parte dei consumatori (che devono acquistarli e installarli nei loro computer) oppure di prodotti intrinseci all'architettura stessa del sistema informatico. Si possono citare svariati esempi di tecnologie PET:
- Ripristino automatico dell'anonimato dopo un determinato periodo di tempo, a suffragio del principio in base al quale i dati trattati dovrebbero essere archiviati in modo tale da permettere l'identificazione delle persone interessate solo per il tempo strettamente necessario a conseguire gli scopi per i quali erano stati raccolti.
- Strumenti di crittaggio volti a prevenire la pirateria informatica quando l'informazione è trasmessa via Internet, i quali rafforzano l'obbligo che incombe ai responsabili del trattamento di adottare misure adeguate per proteggere i dati personali dal trattamento illecito.
- Dispositivi per bloccare i marcatori (cookie), installati nel computer dell'utente per l'esecuzione di talune istruzioni senza che l'interessato ne sia consapevole, i quali rafforzano il rispetto del principio che i dati devono essere trattati secondo modalità eque e legittime, e che le persone interessate devono essere informate del trattamento in corso.
- Lo standard P3P (Platform for Privacy Preferences), che consente agli utenti Internet di analizzare l'informativa sulla privacy dei siti web e di compararla alle proprie preferenze circa le informazioni che desiderano diffondere, contribuisce a garantire che gli interessati autorizzino il trattamento dei loro dati con cognizione di causa.
3. LA COMMISSIONE SOSTIENE LE TECNOLOGIE PET
La Commissione ritiene che le tecnologie PET debbano essere ulteriormente sviluppate e più estensivamente utilizzate, in particolare nel caso di trattamento di dati personali attraverso reti TCI. Ritiene inoltre che un più ampio uso delle PET rafforzerebbe la tutela della privacy e contribuirebbe all'ottemperanza delle norme sulla protezione dei dati. L'uso delle PET sarebbe complementare al quadro giuridico e ai meccanismi di attuazione vigenti.
Nella sua comunicazione relativa ad una strategia per una società dell'informazione sicura (COM(2006) 251 del 31 maggio 2006), la Commissione ha invitato in particolare gli attori del settore privato a " stimolare l'immissione sul mercato di prodotti, processi e servizi volti a migliorare la sicurezza, per impedire e combattere il furto d'identità e altre minacce alla vita privata ". Inoltre, nel calendario della Commissione per un piano paneuropeo di gestione dell'identificazione elettronica (eIDM) entro il 2010[6], si afferma che, secondo uno dei principi fondamentali della gestione dell'identificazione elettronica " il sistema dev'essere sicuro, attuare le misure necessarie a proteggere la vita privata dell'utente e il suo uso deve rispettare le sensibilità e gli interessi locali" .
L'intervento di vari attori nel trattamento dei dati e il coinvolgimento di diverse giurisdizioni nazionali potrebbe ostacolare l'attuazione del quadro normativo. D'altro canto, le tecnologie PET potrebbero permettere di evitare, in quanto sarebbe più difficile metterle in pratica, talune violazioni delle norme sulla protezione dei dati suscettibili di dar luogo a violazioni di diritti umani, tra cui il rispetto della vita privata. La Commissione è consapevole del fatto che la tecnologia – pur avendo un ruolo fondamentale nella tutela della privacy – non è sufficiente, di per sé, a garantire la tutela della vita privata. Le tecnologie stesse devono essere attuate secondo un quadro regolamentare composto di norme attuabili che prevedano diversi livelli negoziabili di tutela della privacy per tutti. L'uso delle tecnologie PET non implica la possibilità di esentare gli operatori da taluni obblighi legali (ad esempio concedere agli utenti l'accesso ai dati che li concernono).
Inoltre, l'uso delle PET potrebbe risultare vantaggioso anche ai fini della tutela di importanti interessi pubblici. Il quadro giuridico per la protezione dei dati prevede deroghe che consentono di limitare la portata degli obblighi e dei diritti individuali qualora siano in gioco importanti interessi pubblici quali la pubblica sicurezza, la lotta contro la criminalità o la salute pubblica. Le condizioni per l'applicazione di tali deroghe sono stabilite all'articolo 13 della direttiva sulla protezione dei dati e all'articolo 15 della direttiva e-Privacy. Sono simili, nella sostanza, al disposto dell'articolo 8 della convenzione europea dei diritti dell'uomo (CEDU), in virtù del quale tale interferenza è disciplinata a norma di legge e, in una società democratica, può costituire una misura proporzionata e necessaria per la salvaguardia di legittimi interessi pubblici[7]. L'uso delle tecnologie PET non dovrebbe impedire alle autorità di contrasto o altre autorità competenti di intervenire, nell'esercizio legittimo delle loro funzioni, per salvaguardare un importante interesse di ordine pubblico quale, ad esempio, la lotta alla criminalità informatica o al terrorismo o il diffondersi di malattie contagiose. Per conseguire tali obiettivi le autorità responsabili dovrebbero, in caso di necessità, poter accedere ai dati personali, nel rispetto delle procedure, delle condizioni e delle salvaguardie previste dalla legge.
Un maggior rispetto delle norme sulla protezione dei dati avrebbe un impatto positivo anche sulla fiducia dei consumatori, in particolare nell'ambito del ciberspazio. Diversi servizi di sicura utilità che dipendono da trasferimenti di dati personali attraverso reti informatiche – si pensi ai sistemi e-learning (formazione/apprendimento per via elettronica), all'amministrazione in linea, alla sanità elettronica, ai servizi telebancari, al commercio elettronico o all'iniziativa "automobile intelligente" – se ne avvantaggerebbero certamente. I cittadini confiderebbero nella legittimità dei fini per cui sarebbero utilizzati i dati forniti per identificarsi, usufruire di servizi o effettuare pagamenti e sarebbero certi che la loro partecipazione alla comunità digitale non avvenga a scapito dei propri diritti.
4. LAVORO SVOLTO E PROSPETTIVE
Per conseguire l'obiettivo di migliorare il livello di tutela della privacy e di protezione dei dati nella Comunità attraverso, tra l'altro, la promozione dello sviluppo e dell'uso delle tecnologie PET, la Commissione intende adottare le seguenti iniziative che coinvolgono una vasta serie di attori, tra cui i propri servizi, le autorità nazionali, l'industria e i consumatori.
Nei dibattiti che la Commissione intende organizzare si presterà particolare attenzione alla situazione specifica delle piccole e medie imprese (PMI), alle loro possibilità e ad eventuali incentivi all'uso delle tecnologie PET. La Commissione dovrebbe inoltre prendere in considerazione, tra l'altro, i problemi della fiducia e della consapevolezza, di particolare rilevanza per le PMI.
4.1. Primo obiettivo: sostenere lo sviluppo delle tecnologie PET
Per essere utilizzate su ampia scala, le tecnologie PET necessitano anzitutto di ulteriore concezione, sviluppo e realizzazione. La Commissione ritiene che quantunque tali attività vengano svolte, in certa misura, dai settori pubblico e privato sia necessario compiere ulteriori progressi in questa direzione. A tal fine si dovrebbe individuare l'esigenza di tecnologie PET e definirne i relativi requisiti tecnologici, mentre le attività di RDS dovrebbero procedere a svilupparne gli strumenti.
4.1.1. Azione 1.1.: identificare la necessità di tecnologie PET e definirne i requisiti tecnologici
Le tecnologie PET dipendono in misura sostanziale dall'evoluzione delle TCI. Una volta individuati i rischi derivanti dagli sviluppi tecnologici è necessario identificare i requisiti appropriati per una soluzione tecnologica.
La Commissione esorterà a riunirsi e a discutere sulle PET i vari gruppi interessati, in particolare i rappresentanti del settore TCI, sviluppatori PET, le autorità per la protezione dei dati, le autorità di contrasto, i partner tecnologici (nella fattispecie esperti dei settori rilevanti, come sanità elettronica o sicurezza informatica), le associazioni di consumatori e per il rispetto dei diritti civili. I gruppi interessati dovrebbero studiare approfonditamente e con regolarità l'evoluzione della tecnologica, identificare i rischi per i diritti fondamentali e la protezione dei dati e definire i requisiti tecnici di una risposta PET, eventualmente adattando le misure tecnologiche in funzione dei diversi rischi e dei diversi dati in gioco nonché tenendo conto dell'esigenza di salvaguardare interessi pubblici quale, ad esempio, la pubblica sicurezza.
4.1.2. Azione 1.2.: sviluppare le tecnologie PET
Una volta identificate le esigenze e le specifiche tecniche delle tecnologie PET è necessario intraprendere un'azione concreta per arrivare all'obiettivo di un prodotto finito pronto all'uso.
La Commissione ha già considerato la necessità di tecnologie PET. Nell'ambito del 6° Programma quadro sponsorizza infatti il progetto PRIME[8], che si occupa di problemi di gestione dell'identità digitale e di privacy nella società dell'informazione. Il progetto OPEN-TC[9] consentirà una protezione della vita privata basata sul trusted computing di tipo open source, e il progetto DISCREET[10] sviluppa middleware per il rafforzamento della tutela della privacy in servizi di rete avanzati. In futuro, nell'ambito del 7° Programma quadro la Commissione intende sostenere altri progetti RTS e dimostrazioni pilota su ampia scala finalizzate a sviluppare e promuovere la diffusione delle tecnologie PET, con lo scopo di gettare le basi per l'istituzione di servizi di tutela della privacy che responsabilizzino gli utenti, in grado di riconciliare le disparità giuridiche e tecniche nel territorio europeo attraverso partenariati pubblico / privato.
La Commissione invita inoltre le autorità nazionali e il settore privato ad investire nello sviluppo delle tecnologie PET. Un tale investimento è fondamentale per consentire all'industria europea di conseguire una posizione avanzata in un settore destinato ad espandersi poiché tali tecnologie figureranno sempre più frequentemente tra i requisiti previsti dalle norme tecnologiche e saranno sempre più richieste dai consumatori consapevoli della necessità di tutelare i propri diritti nel ciberspazio.
4.2. Secondo obiettivo: esortare i responsabili del trattamento dati ad utilizzare le tecnologie PET disponibili
Le tecnologie PET costituiranno un effettivo vantaggio soltanto se saranno efficacemente integrate in strumenti e software per il trattamento dei dati personali e da questi utilizzate. La partecipazione dell'industria produttrice di tali attrezzature e dei responsabili del trattamento dati che se ne avvalgono è, pertanto, estremamente importante.
4.2.1. Azione 2.1.: promuovere l'uso delle tecnologie PET da parte dell'industria
La Commissione ritiene che tutti gli attori coinvolti nel trattamento dei dati personali beneficerebbero di un più ampio uso delle tecnologie PET. L'industria TCI, in quanto principale sviluppatore e fornitore delle tecnologie PET, ha un ruolo particolarmente importante da svolgere in relazione alla promozione di tali tecnologie. La Commissione invita tutti i responsabili del trattamento dati ad integrare ed applicare le tecnologie PET in modo più estensivo ed intensivo. La Commissione intende organizzare seminari con i principali attori dell'industria TCI, in particolare con gli sviluppatori PET, al fine di analizzare il loro possibile contributo alla promozione delle tecnologie PET tra i responsabili del trattamento dati.
La Commissione intende altresì effettuare uno studio sui vantaggi economici derivanti dalle PET e diffonderne i risultati al fine di incoraggiare le aziende, in particolare le piccole e medie imprese, ad utilizzarle.
4.2.2. Azione 2.2.: garantire il rispetto di norme adeguate in materia di protezione di dati personali tramite le tecnologie PET
Sebbene un'estensiva attività promozionale richieda il coinvolgimento attivo dell'industria TCI come produttore di tecnologie PET, il rispetto di norme adeguate richiede un'azione che va oltre l'autoregolamentazione o la buona volontà degli attori coinvolti. La Commissione valuterà l'esigenza di sviluppare norme per il trattamento legittimo dei dati personali con tecnologie PET mediante adeguate valutazioni d'impatto. In base al risultato di queste analisi si potranno prendere in considerazione due tipi di strumenti:
- azione 2.2.a) normazione
La Commissione intende tener conto della necessità di rispettare le norme per la protezione dei dati nelle attività di normazione. La Commissione si adopererà per prendere in considerazione il contributo del dibattito multilaterale sulle tecnologie PET nella preparazione delle corrispondenti azioni della Commissione e del lavoro degli organismi europei di normazione. Ciò sarà di fondamentale importanza, in particolare, qualora il dibattito identificasse norme adeguate per la protezione dei dati che richiedano l'integrazione e l'uso di talune tecnologie PET.
La Commissione potrebbe invitare gli enti europei di normazione (CEN, CENELEC, ETSI) a valutare le specifiche esigenze europee e, in un secondo momento, a portarle a livello internazionale mediante l'applicazione degli accordi in vigore tra enti normatori europei e internazionali. Se del caso, gli organismi europei dovrebbero definire un programma specifico di lavoro di normazione che soddisfi le esigenze europee, integrando in tal modo il lavoro in corso a livello internazionale.
- Azione 2.2.b) coordinamento delle norme tecniche internazionali sulle misure di sicurezza applicabili al trattamento dei dati
Le norme nazionali adottate in ottemperanza alla direttiva sulla protezione dei dati[11] conferiscono alle autorità nazionali competenti per la protezione dei dati una certa influenza ai fini di una precisa determinazione dei requisiti tecnici, quali fornire orientamenti ai responsabili del trattamento, esaminare i sistemi istituiti o emanare istruzioni tecniche. Le autorità nazionali per la protezione dei dati potrebbero altresì richiedere di integrare ed utilizzare talune tecnologie PET laddove il trattamento dei dati personali lo renda necessario. La Commissione ritiene che in questo settore il coordinamento delle pratiche nazionali potrebbe contribuire positivamente alla promozione dell'uso delle tecnologie PET, in particolare attraverso il "Gruppo articolo 29"[12], la cui funzione è verificare l'applicazione uniforme delle misure nazionali adottate ai sensi della direttiva. La Commissione invita pertanto il "Gruppo articolo 29" a portare avanti la sua attività nel settore includendo nel programma un'attività permanente di analisi della necessità di integrare le tecnologie PET nelle operazioni per il trattamento dei dati, in quanto strumento efficace per garantire il rispetto delle norme sulla protezione dei dati. Questo lavoro dovrebbe quindi dar luogo alla definizione di orientamenti destinati alle autorità per la protezione dei dati, da applicare a livello nazionale mediante l'adozione coordinata degli strumenti adeguati.
4.2.3. Azione 2.3.: promuovere l'uso delle tecnologie PET da parte delle autorità pubbliche
Le autorità pubbliche effettuano un numero consistente di operazioni di trattamento di dati personali nell'esercizio delle loro funzioni, sia a livello nazionale sia a livello comunitario. Anche gli organismi pubblici sono tenuti a rispettare i diritti fondamentali, compreso il diritto al rispetto della vita privata, e a garantirne il rispetto da parte di terzi. Essi dovrebbero pertanto adottare una condotta esemplare.
Per quanto concerne le autorità nazionali, la Commissione rileva la proliferazione di applicazioni di amministrazione elettronica in quanto strumento per rafforzare l'efficacia del servizio pubblico. Come già detto nella comunicazione della Commissione sul ruolo del eGoverment per il futuro dell'Europa [13] l'uso delle tecnologie PET nella amministrazione elettronica è necessario al fine di ottenere la fiducia necessaria a garantirne il successo. La Commissione invita i governi nazionali a far sì che le salvaguardie per la protezione dei dati siano integrate nelle applicazioni di amministrazione elettronica, prevedendo il più ampio uso possibile delle tecnologie PET nella loro concezione ed esecuzione.
Per quanto concerne le istituzioni e gli organismi comunitari, la Commissione stessa si impegna a garantire l'ottemperanza alle disposizioni del regolamento (CE) n. 45/2001, in particolare attraverso un più ampio uso delle tecnologie PET nell'esecuzione delle applicazioni TCI che prevedono il trattamento di dati personali. Al contempo, la Commissione invita le altre istituzioni comunitarie a fare altrettanto. Il garante europeo della protezione dei dati potrebbe, con la propria consulenza alle istituzioni e agli organismi comunitari, contribuire alla definizione di norme interne relative al trattamento dei dati personali. Nel selezionare nuove applicazioni TCI per il proprio uso interno o nello sviluppare le applicazioni esistenti, la Commissione prenderà in considerazione la possibilità di introdurre tecnologie di rafforzamento della tutela della privacy. L'importanza delle tecnologie PET troverà eco nella strategia globale di gestione informatica della Commissione. La Commissione continuerà inoltre a sensibilizzare il proprio personale a questa problematica. Tuttavia, l'integrazione delle tecnologie PET nelle applicazioni TCI della Commissione è subordinata alla disponibilità dei prodotti corrispondenti e dovrà essere valutata caso per caso, in funzione dello stadio di sviluppo delle applicazioni.
4.3. Terzo obiettivo: incoraggiare i consumatori ad utilizzare le tecnologie PET
I consumatori costituiscono il gruppo più direttamente interessato a che sia fatto il giusto uso delle informazioni personali, a che siano correttamente applicate le norme sulla protezione dei dati e a che le tecnologie costituiscano uno strumento efficace per il conseguimento di tale obiettivo.
I consumatori dovrebbero, pertanto, essere pienamente consapevoli dei vantaggi dell'uso delle tecnologie PET ai fini della riduzione dei rischi inerenti le operazioni di trattamento dei dati personali. Pertanto, ai fini della riduzione dei rischi inerenti le operazioni di trattamento dei dati personali, i consumatori dovrebbero essere messi in condizione di operare una scelta con cognizione di causa nell'acquisto di attrezzature e software IT o nell'uso di servizi elettronici. Tale scelta dovrebbe riflettere la consapevolezza dei rischi che comportano, in particolare in quanto saprebbero determinare se le tecnologie PET disponibili offrono, o meno, una protezione adeguata. E' necessario fornire agli utenti informazioni semplici e di facile comprensione sugli strumenti tecnologici per la tutela della privacy disponibili. Un maggior uso delle tecnologie PET, associato a un maggior uso di servizi elettronici che integrano tali tecnologie, produrrà un ritorno economico per le industrie che ne fanno uso, e potrebbe dar luogo a un effetto "palla di neve" inducendo altre aziende a prestare maggiore attenzione al rispetto delle norme per la protezione dei dati. Per conseguire tale obiettivo è necessario intraprendere una serie di iniziative.
4.3.1. Azione 3.1.: sensibilizzare i consumatori
È necessario adottare una strategia coerente per sensibilizzare i consumatori in merito ai rischi che il trattamento dei dati personali comporta, e delle soluzioni che le tecnologie PET potrebbero fornire in quanto complemento dei rimedi esistenti previsti dalla legislazione sulla protezione dei dati. La Commissione intende lanciare una serie di iniziative di sensibilizzazione in materia di PET su scala comunitaria.
L'esercizio di questa attività compete essenzialmente alle autorità nazionali per la protezione dei dati, che hanno già acquisito un'esperienza rilevante in questo settore. La Commissione invita le suddette autorità nazionali a potenziare le loro attività di sensibilizzazione, con tutti i mezzi a disposizione, per includervi informazioni sulle tecnologie PET. La Commissione esorta inoltre il "Gruppo articolo 29" a coordinare le prassi nazionali nell'ambito di un piano di lavoro coerente per la sensibilizzazione alle tecnologie PET, e a costituire un punto d'incontro per lo scambio di buone prassi, già attivo a livello nazionale. In particolare, le associazioni di consumatori e altri attori - quale la rete dei centri europei dei consumatori (rete CEC - Eurosportelli), nel suo ruolo di rete su scala comunitaria istituita per offrire consulenza ai cittadini sui propri diritti di consumatori - potrebbero assumere il ruolo di partner nella campagna di informazione dei consumatori.
4.3.2. Azione 3.2.: favorire la scelta informata dei consumatori:i marchi di certificazione -Privacy Seal
Sarebbe possibile favorire l'integrazione e l'uso di tecnologie PET se la loro presenza in un determinato prodotto e nei suoi elementi fondamentali fosse facilmente individuabile. A tal fine la Commissione intende analizzare la fattibilità di un sistema comunitario di certificazione della tutela della privacy (marchi di certificazione - privacy seal ) che includerebbe anche una valutazione d'impatto economico e sociale. L'obiettivo di questi privacy seal sarebbe quello di garantire ai consumatori la possibilità di riconoscere facilmente un determinato prodotto che garantisce o rafforza il rispetto delle norme per la protezione dei dati nel trattamento dati, in particolare in quanto contiene adeguate tecnologie PET.
Perché la certificazione sia efficace la Commissione ritiene che debbano essere rispettati i seguenti principi:
- il numero di sistemi di certificazione dovrebbe essere ridotto al minimo. Difatti, una proliferazione di sistemi potrebbe accrescere la confusione dei consumatori e minare la loro fiducia in tutti i privacy seal . Pertanto, si dovrebbe effettuare uno studio che accerti se, e in quale misura, sarebbe opportuno integrare una certificazione europea di tutela della vita privata in un sistema più generale di certificazione della sicurezza[14].
- I marchi di certificazione dovrebbero essere concessi soltanto ai prodotti che ottemperano a una serie di norme in materia di protezione dati. Nel territorio dell'UE le norme dovrebbero essere quanto più uniformi possibile.
- Le autorità pubbliche, in particolare le autorità nazionali per la protezione dei dati, dovrebbero svolgere un ruolo importante nel sistema partecipando alla definizione delle norme e delle procedure opportune nonché al monitoraggio del funzionamento del sistema di certificazione.
Alla luce di quanto sopra esposto e in considerazione delle precedenti esperienze di programmi di certificazione in altri settori (certificazione di prodotti e servizi nei settori ambientale, agricolo e della sicurezza), la Commissione intende avviare un dialogo con tutte le parti interessate, tra cui le autorità nazionali competenti per la protezione dei dati, le associazioni di industriali, le associazioni di consumatori e gli enti di normazione.
[1] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 Ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).
[2] Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) GU L 201 del 31.7.2002, pag. 37.
[3] Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.
[4] Considerando 46 e articolo 14, paragrafo 3.
[5] COM (2003) 265(01) del 15.5.2003, vedasi http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf
[6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf
[7] Sentenza della Corte di giustizia europea del 20.5.2003, cause riunite C-465/00, C-138/01 e C-139/01"Ostereichischer Rundfunk and Others" ("Rechnungshof"), Racc. 2003, pag. I-04989, paragrafi 71 e 72.
[8] https://www.prime-project.eu/
[9] http://www.opentc.net/
[10] http://www.ist-discreet.org/
[11] Ad esempio all'articolo 17.
[12] Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46/CE.
[13] COM (2003) 567 def. del 26.9.2003.
[14] Nella sua comunicazione del 31 maggio 2006 su una strategia per una società di informazione sicura “Dialogo, partenariato e responsabilizzazione”(COM (2006) 251 def.), la Commissione ha già invitato il settore privato a “elaborare sistemi di certificazione della sicurezza a prezzi contenuti per prodotti, processi e servizi che rispondano ad esigenze comunitarie specifiche (in particolare in relazione alla vita privata)”.
| In alto |