52007DC0087

[pic] | COMMISSIONE DELLE COMUNITÀ EUROPEE |

Bruxelles, 7.3.2007

COM(2007) 87 definitivo

COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO

sul seguito dato al programma di lavoro per una migliore applicazione della direttiva sulla protezione dei dati

COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO

sul seguito dato al programma di lavoro per una migliore applicazione della direttiva sulla protezione dei dati

(Testo rilevante ai fini del SEE)

La direttiva 95/46/CE[1] ha segnato una pietra miliare nella storia della protezione dei dati personali intesa come diritto fondamentale, lungo la via aperta dalla convenzione del Consiglio d'Europa 108[2]. La prima relazione sull'applicazione della direttiva, realizzata dalla Commissione conformemente a quanto stabilito dall'articolo 33 della direttiva[3], ha concluso che, pur non rendendosi necessarie modifiche legislative, c'era del lavoro da fare e che c'erano notevoli possibilità per migliorare l'attuazione della direttiva.

La relazione conteneva un Programma di lavoro per una migliore applicazione della direttiva sulla tutela dei dati . La presente comunicazione esamina il lavoro svolto nell'ambito di tale programma, valuta la situazione attuale e delinea le possibilità per il futuro. Ciò è necessario per la riuscita delle iniziative in una serie di settori di azione, alla luce dell'articolo 8 della Carta europea dei diritti fondamentali che riconosce un diritto autonomo alla protezione dei dati personali.

La Commissione ritiene che la direttiva stabilisca un quadro giuridico generale adeguato nell'insieme e neutro nei confronti della tecnologia. La serie di norme armonizzate, create per garantire un livello elevato di protezione dei dati personali in tutta la UE, ha procurato notevoli vantaggi ai cittadini, alle imprese e alle autorità. Si tratta di norme che tutelano gli individui da una sorveglianza generale o da indebite discriminazioni sulla base delle informazioni di cui dispongono altre persone. Per lo sviluppo del commercio elettronico (e-commerce) è indispensabile che i consumatori si sentano sicuri che non venga fatto un uso improprio dei dettagli personali che essi forniscono nel corso delle loro operazioni. Le attività delle imprese e la cooperazione tra le amministrazioni in tutta la Comunità hanno luogo senza che esse debbano temere che le loro attività internazionali siano perturbate a causa della mancata protezione, all'origine o alla destinazione, dei dati personali che esse devono scambiarsi.

La Commissione continuerà a controllare l'applicazione della direttiva, collaborando con gli operatori del settore per ridurre ulteriormente le divergenze nazionali, e ad esaminare la necessità di una legislazione settoriale specifica per applicare i principi della protezione dei dati alle nuove tecnologie e per soddisfare le esigenze di sicurezza dei cittadini.

1. IL PASSATO: OBIETTIVI CONSEGUITI NELL'AMBITO DEL PROGRAMMA DI LAVORO

Dopo la pubblicazione della relazione, sono state volte attività nei seguenti 10 settori di azione[4].

Azione 1: Dibattito con gli Stati membri e le autorità responsabili della protezione dei dati

La Commissione ha portato avanti un "dialogo strutturato" con gli Stati membri sul recepimento nazionale. In tale dialogo rientrano un esame dettagliato delle legislazioni nazionali in materia e il dibattito con le autorità nazionali al fine di allineare completamente la legislazione nazionale con quanto previsto dalla direttiva.

Azione 2: Partecipazione dei paesi candidati allo sforzo per giungere a una migliore e più uniforme applicazione della direttiva

I rappresentanti di tali Stati membri hanno partecipato prima dell'adesione alle riunioni del comitato dei rappresentanti degli Stati membri istituito dall'articolo 31 della direttiva, come già avevano fatto, a partire dal 2002, con il "gruppo di lavoro articolo 29"[5]. Nel frattempo, la Commissione ha collaborato strettamente con le autorità di tali paesi al processo di adozione della legislazione nazionale in materia, offrendo la propria consulenza per il recepimento dell'acquis onde limitare al massimo la necessità di ricorrere a procedure formali d'infrazione.

Azione 3: Miglioramento della notificazione di tutti gli atti giuridici che recepiscono la direttiva e delle notificazioni della autorizzazioni concesse ai sensi dell'articolo 26, paragrafo 2 della direttiva.

Il dialogo strutturato realizzato nell'ambito dell'Azione 1 ha fornito alla Commissione un quadro più chiaro e globale delle misure nazionali di applicazione della direttiva, compreso il diritto derivato e settoriale. In una lettera inviata agli Stati membri nell'agosto 2003, la Commissione ha proposto criteri comuni per un trattamento pragmatico delle notificazioni ai sensi dell'articolo 26, paragrafo 3 della direttiva. Ciò ha portato ad un aumento delle notificazioni da parte di alcuni Stati membri. Lo scambio di migliori pratiche e di conoscenze tra le autorità nazionali è migliorato a seguito della pubblicazione sul sito Internet della Commissione di una selezione dei documenti fondamentali relativi alle politiche nazionali, delle decisioni e delle raccomandazioni.

Azione 4: Esecuzione

Nella dichiarazione sull'applicazione della direttiva, il gruppo di lavoro ha fatto proprio il principio di azioni nazionali sincroniche da realizzare a livello dell’UE per l’applicazione della direttiva e ha definito dei criteri per individuare i settori in cui si rendono necessarie delle indagini. Nel marzo 2006 le autorità nazionali responsabili per la protezione dei dati hanno promosso un'indagine comune sul trattamento dei dati personali nel settore delle assicurazioni private di malattia.

Azione 5: Notificazione e pubblicizzazione delle operazioni di trattamento

Il gruppo di lavoro ha stilato una redazione su questo argomento, illustrando le attuali situazioni nazionali e formulando raccomandazioni analoghe a quelle della Commissione. A ciò ha fatto seguito un "Vademecum sui requisiti delle notificazioni", ideato al fine di offrire un quadro complessivo delle diverse norme nazionali nonché di fornire pratiche e orientamenti ai responsabili del trattamento dei dati.

Azione 6: Disposizioni più armonizzate in materia di informazioni

Oltre all'analisi delle legislazioni nazionali che la Commissione ha effettuato nell'ambito del dialogo strutturato, il gruppo di lavoro ha riconosciuto la necessità di un'armonizzazione e ha studiato un approccio comune per soluzioni pragmatiche. Ha provveduto a degli orientamenti per i responsabili del trattamento su casi specifici, sul contenuto e la forma delle informazioni e sui modelli di avvertenze sulla protezione della vita privata a diversi livelli o di avvisi relativi al trasferimento di dati PNR.

Azione 7: Semplificazione dei requisiti per i trasferimenti internazionali

a) un uso più esteso dei riscontri relativi a un livello adeguato di protezione dei dati nei paesi terzi ai sensi dell'articolo 25, paragrafo 6

Dopo la pubblicazione del programma di lavoro, la Commissione ha effettuato una serie di riscontri relativi al livello adeguato della protezione dei dati nei paesi terzi ed è giunta alla conclusione che l'Argentina, il Guernsey e l'isola di Man garantiscono un livello adeguato di protezione.

La Commissione ha inoltre riesaminato il funzionamento delle decisioni relative a tale adeguatezza adottate precedentemente. Nel 2004 è stata presentata una relazione dei servizi della Commissione sul funzionamento della sfera di sicurezza (Safe Harbour), cui hanno fatto seguito una nota d'informazione e un modulo per la presentazione delle denunce alla commissione responsabile della protezione dei dati. A ciò ha fatto seguito una conferenza di ampia portata sui trasferimenti internazionali di dati personali, organizzata nell'ottobre 2006 insieme con il gruppo di lavoro e il Ministero del Commercio degli Stati Uniti. E' stata inoltre valutata l'applicazione dei riscontri relativi all'adeguatezza in Svizzera e in Canada.

b) altre decisioni prese sulla base dell'articolo 26, paragrafo 4, al fine di offrire agli operatori economici una scelta più ampia di clausole contrattuali tipo.

La Commissione ha adottato una decisione in cui riconosce una serie supplementare di clausole contrattuali per fornire garanzie adeguate per il trasferimento di dati ai responsabili del trattamento nei paesi terzi. Tali clausole sono state proposte da un gruppo di associazioni professionali rappresentative, tra cui la Camera di Commercio. Nel 2006 i servizi della Commissione hanno anche presentato una prima relazione sull'attuazione delle decisioni precedenti della Commissione in materia di clausole contrattuali.

c) il ruolo svolto dalle norme vincolanti d'impresa nel fornire garanzie adeguate per il trasferimento intra-gruppi di dati personali

Dopo i lavori preparatori del 2003 e 2004, il gruppo di lavoro ha adottato due documenti di primaria importanza. Il primo istituisce una procedura di cooperazione tra le autorità nazionali responsabili del controllo al fine di emettere pareri comuni sulle garanzie sufficienti offerte dalle "norme vincolanti d'impresa". L'altro istituisce un modello di lista di controllo di cui devono servirsi i responsabili del trattamento dei dati quando presentano una domanda di approvazione di tali norme al fine di far constatare che esse offrono garanzie sufficienti.

d) un'interpretazione più uniforme dell'articolo 26, paragrafo 1 della direttiva

Il gruppo di lavoro ha adottato un parere che stabilisce una serie di orientamenti sul ricorso alle deroghe al principio di protezione adeguata nei paesi terzi.

Azione 8: Promozione delle tecnologie per aumentare la tutela della vita privata

Le attività condotte nel 2003 e nel 2004 dalla Commissione e dal gruppo di lavoro hanno portato a progettare una comunicazione relativa alle tecnologie per aumentare la tutela della vita privata in cui la Commissione delinea la propria politica futura in materia.

Azione 9: Promozione dell'autoregolamentazione e dei codici di condotta europei

Il gruppo di lavoro ha approvato il codice di condotta europeo della Federazione del marketing diretto europeo (FEDMA) e ciò ha rappresentato un passo di importanza fondamentale. Purtroppo, altri tentativi non hanno portato a codici di condotta analoghi con criteri di qualità comparabili. Neanche le parti sociali europee, dal canto loro, sono riuscite a concludere un accordo europeo sulla protezione dei dati personali nel contesto dell'occupazione, nonostante i progressi precedentemente conseguiti.

Azione 10: Sensibilizzazione

E' stata realizzata un'indagine Eurobarometro per sondare le opinioni dei cittadini e delle imprese europee sulla privacy. I risultati indicano che i cittadini si interessano al problema, ma non sono sufficientemente al corrente delle norme e dei meccanismi esistenti per tutelare i loro diritti.

2. IL PRESENTE: PANORAMICA SULL'ATTUAZIONE DELLA DIRETTIVA

Miglioramento dell'attuazione

Attualmente, tutti gli Stati membri hanno recepito la direttiva. Nel complesso, il recepimento nazionale copre tutte le disposizioni principali della direttiva.

Le azioni realizzate nell'ambito del programma di lavoro sono state positive e hanno contribuito in maniera sostanziale al miglioramento dell'attuazione della direttiva nella Comunità. Un'importanza di primo piano ha avuto la partecipazione delle autorità nazionali di controllo responsabili della protezione dei dati alle attività del gruppo di lavoro.

In alcuni paesi non si è ancora proceduto ad un'attuazione corretta della direttiva

A seguito dei lavori per la preparazione della prima relazione della Commissione nel 2003, l’analisi approfondita, realizzata nell'ambito del dialogo strutturato, della legislazione nazionale in materia di protezione dei dati ha chiarito il modo in cui la direttiva è stata recepita nella Comunità. L'analisi è servita a chiarire alcune questioni giuridiche e alcuni dubbi sulla coerenza di talune misure e pratiche nazionali con le disposizioni della direttiva.

Inoltre, il dialogo strutturato ha mostrato che alcuni Stati membri non sono riusciti a inglobare una serie di importanti disposizioni della direttiva. In altri casi, il recepimento o la pratica si erano allontanati dalla direttiva o erano andati al di là del margine di manovra lasciato agli Stati membri.

Una delle preoccupazioni è il rispetto del criterio che prevede che le autorità nazionali di controllo responsabili della protezione dei dati possano agire in piena indipendenza e dispongano dei poteri e delle risorse necessari per svolgere i propri compiti. Tali autorità sono elementi fondamentali nel sistema di protezione ideato dalla direttiva e qualsiasi tentativo di minare la loro indipendenza e i loro poteri ha un impatto estremamente negativo sull'applicazione della legislazione in materia di protezione dei dati.

Al fine di garantire un approccio coerente, la Commissione sta realizzando un'analisi comparativa di tutti i casi in cui si sospetta che vi sia stato un recepimento errato o incompleto. Alcuni Stati membri hanno riconosciuto l'esistenza delle loro lacune legislative e si sono impegnati ad introdurre le necessarie modifiche, come la Commissione incoraggia a fare. Altri punti problematici sono stati sollevati nelle denunce dei cittadini. Ove persista una violazione del diritto comunitario, la Commissione, in qualità di custode dei trattati, avvierà le procedure formali d'infrazione nei confronti degli Stati membri interessati, conformemente all'articolo 226 CE. Un certo numero di tali procedure è già stato avviato.

In alcuni casi le divergenze sorgono nell'ambito del margine di manovra lasciato dalla direttiva

La direttiva contiene una serie di disposizioni formulate in maniera vaga che lasciano, esplicitamente o implicitamente, agli Stati membri un margine di manovra nell'adozione della legislazione nazionale. Nei limiti di tale margine di manovra, possono verificarsi divergenze nell'applicazione della direttiva[6]. Le divergenze in questo settore non sono maggiori di quelle che si riscontrano in altri settori di attività economica e sono una conseguenza naturale di tale margine.

Tali divergenze, tuttavia, non rappresentano un problema effettivo per il mercato interno

La Commissione ha commissionato uno studio per realizzare una "Valutazione economica della direttiva sulla protezione dei dati (95/46/CE)"[7] al fine di calcolare l'impatto economico sui responsabili del trattamento dati. Lo studio, che è incentrato su una serie di casi scelti, dimostra che, nonostante alcune divergenze, la direttiva è stata attuata con costi moderati per le imprese.

Sarebbe indubbiamente auspicabile un maggiore livello di convergenza al fine di promuovere iniziative positive come la semplificazione, l'autoregolamentazione o l'uso di norme vincolanti d'impresa. Tuttavia, nelle denunce ricevute dalla Commissione, non c'è nulla che dimostri che le divergenze nazionali nei limiti della direttiva possano effettivamente ostacolare il buon funzionamento del mercato interno o limitare la libera circolazione dei dati per motivi legati alla mancanza di protezione o a una protezione inadeguata nel paese di origine o di destinazione. Inoltre, le limitazioni all'interno del paese in cui hanno sede le loro imprese non falsano la concorrenza tra gli operatori privati. Le divergenze nazionali non impediscono alle imprese di operare o di stabilirsi in Stati membri diversi e non mettono in questione l'impegno dell'Unione europea e dei suoi Stati membri per la tutela dei diritti fondamentali.

Pertanto, la direttiva consegue il proprio obiettivo di garantire la libera circolazione dei dati personali nel mercato interno assicurando, al contempo, un alto livello di protezione nella Comunità.

Le norme in sé sono sostanzialmente adeguate

Il problema è quindi di capire se le soluzioni giuridiche fornite dalla direttiva, oltre a conseguire l'armonizzazione, siano anche adeguate a risolvere i problemi in esame.

Alcune disposizioni sono state, infatti, criticate; si è detto che la notificazione impone degli oneri, ma essa è di considerevole importanza come misura di trasparenza per le persone cui si riferiscono i dati. La notificazione serve a sensibilizzare i responsabili del trattamento dei dati e funge da strumento di controllo per le autorità. Alcuni problemi sorgono a causa di Internet e delle nuove possibilità - per le persone cui si riferiscono i dati - di interagire e di accedere ai servizi forniti nei paesi terzi. Sono problemi che riguardano le norme per la determinazione del diritto nazionale applicabile o i trasferimenti di dati ai paesi terzi, problemi cui la giurisprudenza ha risposto solo in parte[8]. I sistemi RFID (Radio Frequency IDentification) sollevano problemi per quanto riguarda la portata delle norme per la protezione dei dati e il concetto di dati personali. La combinazione di dati sonori e visivi con il riconoscimento automatico impone una particolare cautela nell'applicazione dei principi della direttiva.

Un analogo dibattito si è svolto nel Consiglio d'Europa sulla rilevanza nel mondo di oggi dei principi contenuti nella convenzione 108. In generale, tutti concordano sul fatto che tali principi restano validi e forniscono soluzioni soddisfacenti.

L'adattamento all'evoluzione tecnologica

La Commissione ritiene che la direttiva sia neutra nei confronti della tecnologia, che i suoi principi e le sue disposizioni siano sufficientemente generali e che le sue norme possano continuare ad applicarsi bene alle nuove tecnologie e situazioni. Può, tuttavia, essere necessario tradurre tali norme generali in orientamenti o disposizioni particolari per tener conto delle specificità di tali tecnologie.

Pertanto, la direttiva 2002/58/CE precisa ed integra la direttiva 95/46/CE per quanto riguarda il trattamento dei dati personali nel settore della comunicazione elettronica, garantendo la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all'interno della Comunità. Le direttiva è attualmente in corso di riesame nell'ambito della revisione generale del quadro normativo per le comunicazioni elettroniche.

Il gruppo di lavoro si è impegnato molto sul fronte dei problemi tecnologici, come le comunicazioni indesiderate ("spam"), i filtri di posta elettronica e il trattamento dei dati relativi al traffico per la fatturazione o dei dati relativi all'ubicazione per i servizi a valore aggiunto. La tecnologia RFID è stata oggetto di una serie di seminari e di una consultazione pubblica dei servizi della Commissione per discutere i problemi sollevati in materia di privacy e sicurezza.

Esame delle esigenze imposte dall'interesse pubblico

Nella direttiva, l'equilibrio tra la promozione dei diritti e delle libertà fondamentali delle persone e le esigenze imposte dall'interesse pubblico è assicurato da due tipi di disposizioni.

Un tipo di disposizioni esclude una serie di elementi dalla portata della direttiva come l'articolo 3 per quanto riguarda " la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale ". La Corte di Giustizia ha precisato che il trattamento ai fini della salvaguardia della pubblica sicurezza e dell'applicazione della legge non rientra nel campo di applicazione della direttiva[9]. Vista la necessità di una serie armonizzata di norme sulla protezione dei dati nell'UE, la Commissione ha adottato una proposta sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale[10] a complemento della proposta sullo scambio di informazioni in virtù del principio di disponibilità[11]. In tale settore, la UE ha concluso un accordo internazionale con gli Stati Uniti sul trattamento e sul trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) da parte dei vettori aerei al dipartimento della Sicurezza interna degli Stati Uniti[12]

Un secondo tipo di disposizioni autorizza gli Stati membri a limitare i principi della protezione dei dati a determinate condizioni come prevede l'articolo 13 " qualora tale restrizione costituisca una misura necessaria alla salvaguardia " . Tali restrizioni possono tener conto, ad esempio, della necessità di combattere la criminalità o di proteggere la salute pubblica nelle situazioni di emergenza. Altre disposizioni della direttiva prevedono analoghe deroghe limitate. La Corte di Giustizia ha chiarito che i dati originariamente raccolti "a fini commerciali" possono essere utilizzati successivamente ad altri fini di interesse pubblico solo nel rispetto delle condizioni stabilite da tale articolo. Inoltre, i limiti imposti al legislatore nazionale sono equivalenti a quelli stabiliti dall'articolo 8 della convenzione dei diritti dell'uomo e la giurisprudenza della Corte europea dei diritti dell'uomo è di primaria importanza. [13]. Tale meccanismo, che permette a uno Stato membro di valutare che cosa costituisca « una misura necessaria » e « un interesse pubblico importante », è, per sua natura, una fonte di discrepanze tra le legislazioni nazionali.

L'armonizzazione di tali restrizioni è stata realizzata solo in un numero limitato di settori. Un esempio recente è costituito dalla direttiva 2006/24/CE[14] sulla conservazione dei dati in occasione della quale la Commissione ha annunciato la decisione di costituire un gruppo di esperti, al fine di discutere difficoltà come il recepimento della direttiva nel diritto nazionale.

Creare il contesto per un maggiore rispetto di un diritto così fondamentale

La Commissione si è impegnata a rispettare la carta dei diritti fondamentali in tutte le sue proposte. Per quanto riguarda il diritto alla protezione dei dati personali di cui all'articolo 8, la direttiva istituisce una norma di alto livello e serve da punto di riferimento per garantire la coerenza con il rispetto della privacy nella legislazione di tutta la Comunità in diversi settori.

3. IL FUTURO: LA VIA DA PERCORRERE

Tenendo conto di questa situazione, la Commissione intende portare avanti una politica caratterizzata dagli elementi che seguono.

La ratifica del trattato costituzionale può aprire nuove prospettive

Il trattato costituzionale avrebbe un enorme impatto in questo campo. Esso sancirebbe, all'articolo II-68, il diritto alla protezione dei dati a carattere personale previsto all'articolo 8 della carta dei diritti fondamentali. Inoltre, creerebbe, con l'articolo I-51, una base giuridica specifica e autonoma che permetterebbe all’Unione di legiferare in materia e aprirebbe la via all’adozione di strumenti applicabili in tutti i settori. L'attuale divisione in "pilastri" e le limitazioni dell'articolo 3 della direttiva non esisterebbero più. Tuttavia, in attesa che la situazione per quanto riguarda il processo di ratifica del trattato costituzionale diventi più chiara, la Commissione ha sottolineato la necessità di procedure più efficaci nel settore della libertà, sicurezza e giustizia, conformemente a quanto previsto nei trattati attuali[15].

La direttiva non deve essere modificata

Per tali motivi, la Commissione ritiene che la direttiva sulla protezione dei dati costituisca una base giuridica generale che soddisfa gli obiettivi originari dal momento che costituisce una garanzia sufficiente per il funzionamento del mercato interno pur assicurando un livello elevato di protezione. La direttiva crea il contesto per il diritto fondamentale alla protezione dei dati personali; il rispetto delle sue norme dovrebbe rassicurare le persone sul modo in cui sono utilizzate le informazioni che le riguardano, condizione fondamentale per lo sviluppo dell'economia elettronica (e-economy). Inoltre, essa costituisce un punto di riferimento per le iniziative in una serie di settori d'azione; è neutra nei confronti della tecnologia e continua a fornire risposte solide ed adeguate ai problemi di questo tipo.

Pertanto, la Commissione non prevede di presentare alcuna proposta legislativa per modificare la direttiva.

La Commissione vigilerà sulla corretta applicazione delle proprie disposizioni a livello nazionale ed internazionale

Alcune incoerenze nella legislazione nazionale derivano da un recepimento scorretto o incompleto delle disposizioni della direttiva. Sulla base delle informazioni raccolte nel dialogo strutturato con gli Stati membri, e dei dati ricavati dalle denunce dei cittadini, la Commissione continuerà a collaborare con gli Stati membri e, ove opportuno, avvierà delle procedure formali d'infrazione al fine di garantire che vi sia una piattaforma comune per tutti gli Stati membri.

Inoltre, la Commissione incita gli Stati membri a garantire un'adeguata attuazione delle leggi nazionali adottate conformemente a quanto stabilito dalla direttiva. Al tempo stesso, continuerà a monitorare gli sviluppi conseguiti da organizzazioni internazionali come il Consiglio d'Europa, l'OCSE e l'ONU e a contribuirvi, al fine di garantire la coerenza dell'impegno degli Stati membri con gli obblighi loro imposti dalla direttiva.

La Commissione preparerà una comunicazione interpretativa per talune disposizioni

I problemi individuati nell'attuazione di alcune particolari disposizioni della direttiva che possono portare all'avvio di procedure formali d'infrazione rispecchiano il significato che la Commissione dà alle disposizioni della direttiva e al modo corretto di applicarle, tenendo conto della giurisprudenza e del lavoro interpretativo svolto dal gruppo di lavoro.

Tali idee saranno illustrate in una comunicazione interpretativa.

La Commissione esorta tutte le parti in causa a cercare di ridurre le divergenze nazionali

A tal fine verranno realizzate diverse attività.

– Il programma di lavoro continuerà

Le misure definite nel 2003 per migliorare l'applicazione della direttiva erano adeguate all'epoca e continuano ad esserlo.

Le attività elencate nel programma di lavoro continueranno ad essere portate avanti e la partecipazione di tutti gli operatori del settore è una solida base per cercare di meglio attuare i principi della direttiva.

– Il gruppo di lavoro deve contribuire in modo più attivo all'armonizzazione

Il gruppo di lavoro, che riunisce le autorità nazionali responsabili del controllo della protezione dei dati, è un elemento chiave per garantire un'attuazione migliore e più coerente. Pertanto, il gruppo ha il compito di " esaminare ogni questione attinente all'applicazione delle norme nazionali di attuazione della direttiva per contribuire alla loro applicazione omogenea ". Il gruppo ha già svolto un utile lavoro nel cercare di uniformare l'applicazione nazionale di disposizioni chiave, come quella sulla circolazione transfrontaliera di dati o sul concetto di dati personali.

Al fine di cogliere i massimi benefici da tale mandato, le autorità responsabili della protezione dei dati devono anche cercare di adattare le pratiche nazionali alla linea comune stabilita dal gruppo di lavoro.

Raccogliere la sfida delle nuove tecnologie

I principi contenuti nella direttiva restano validi e non devono essere modificati. Tuttavia, i grandi sviluppi delle nuove tecnologie dell'informazione e della comunicazione richiedono orientamenti specifici sulle modalità di applicazione di tali principi nella pratica. Tecnologie sempre più sofisticate permettono alle informazioni di circolare rapidamente per il mondo, ma permettono anche una migliore protezione dei dati, ove necessario, dal momento che rendono più facile il controllo e la ricerca dei dati: i dati rilevanti possono essere individuati in maniera più rapida ed agevole. Nei casi in cui non sia stata autorizzata la trasmissione di dati, le tecnologie permettono di isolare i dati in questione e di proteggerli in maniera più rapida ed efficace del passato.

Il gruppo di lavoro ha un ruolo fondamentale da svolgere. Deve proseguire le attività realizzate nell'ambito della task force Internet e continuare ad elaborare un approccio comune per le autorità nazionali responsabili del controllo della protezione dei dati al fine di armonizzare l'applicazione della legislazione nazionale, segnatamente per quanto riguarda il diritto applicabile e la circolazione transfrontaliera dei dati.

Quando una determinata tecnologia pone regolarmente dei problemi per quanto riguarda il rispetto dei principi relativi alla protezione dei dati e la sua vasta utilizzazione o potenziale invasività potrebbero giustificare misure più severe, la Commissione potrebbe proporre una legislazione settoriale specifica a livello dell’UE al fine di applicare tali principi alle esigenze specifiche della tecnologia in questione. Tale approccio è stato assunto dalla direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.

L’esame in corso di tale direttiva e la comunicazione sulla RFID di cui sopra offrono l'occasione per riflettere sulla necessità di modificare la direttiva o di adottare norme specifiche che permettano di risolvere i problemi di protezione dei dati sollevati da tecnologie come Internet o la RFID.

Dare una risposta coerente alle esigenze di interesse pubblico, specialmente in materia di sicurezza

Dobbiamo riconciliare due esigenze fondamentali: l'esigenza di fronteggiare efficacemente le minacce alla vita quotidiana dei cittadini in Europa, specialmente in materia di sicurezza, e, al tempo stesso, quella di tutelare i diritti fondamentali, tra cui quello alla protezione dei dati. I dati raccolti sugli individui sono di dimensioni considerevoli e sono molte le attività in cui rimangono e vengono conservate tracce di dati personali. Tali dati possono essere utilizzati per motivi diversi da quelli per i quali sono stati originariamente raccolti solo previa autorizzazione. Si tratta di misure che devono essere giustificate e che si rendono necessarie in una società democratica per motivi di interesse pubblico, per esempio per combattere il terrorismo e la criminalità organizzata.

Per far sì che vi sia equilibrio tra le misure per garantire la sicurezza e le misure per la protezione dei diritti fondamentali che non possono essere messi in discussione, la Commissione si adopera per assicurare la protezione dei dati personali sancita dall'articolo 8 della carta dei diritti fondamentali. L'UE collabora anche con partner esterni. Ciò è fondamentale in un mondo globalizzato. In particolare, l'UE e gli USA danno vita ad un dialogo transatlantico ininterrotto per discutere sulla diffusione delle informazioni e la protezione dei dati personali ai fini dell'applicazione della legge.

La Commissione riesaminerà l’applicazione della direttiva quando saranno portate a compimento le misure illustrate nella presente comunicazione.

[1] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, GU L 281 del 23.11.1995, pag. 31, in appresso "la direttiva".

[2] ETS n. 108; in appresso "la convenzione 108".

[3] Prima relazione sull'applicazione della direttiva sulla tutela dei dati (95/46/CE), (COM(2003) 265 def., del 15.5.2003).

[4] La prima relazione della Commissione e gli altri documenti accessibili al pubblico adottati nell'ambito del programma di lavoro di cui sopra sono consultabili su:http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_en.htm.

[5] Il gruppo di lavoro sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva (in appresso "il gruppo di lavoro").

[6] Considerando 9 della direttiva.

[7] http://ec.europa.eu/justice_home/fsj/privacy/docs/studies/economic_evaluation_en.pdf

[8] Causa C-101/01 ("Lindqvist"), sentenza del 6 novembre 2003

[9] Cause congiunte C-317/04 e C-318/04 ("PNR"), sentenza del 30 maggio 2006.

[10] COM(2005) 475 def. del 4.10.2005.

[11] COM(2005) 490 def. del 12.10.2005.

[12] GU L 298 del 27.10.2006, pag. 29.

[13] Cause congiunte C-465/00, C-138/01 ed C-139/01 ("Rechnungshof"), sentenza del 20 maggio 2003.

[14] GU L 105 del 13.4.2006, pag. 54.

[15] COM(2006) 331 def. del 28.6.2006.