31.7.2012

IT

Gazzetta ufficiale dell'Unione europea

C 229/90

---

Parere del Comitato economico e sociale europeo in merito alla Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)

COM(2012) 11 definitivo — 2012/0011 (COD)

2012/C 229/17

Relatore generale: PEGADO LIZ

Il Parlamento europeo, in data 16 febbraio 2012, e il Consiglio, in data 1o marzo 2012, hanno deciso, conformemente al disposto dell'articolo 304 del Trattato sul funzionamento dell'Unione europea, di consultare il Comitato economico e sociale europeo in merito alla:

Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)

COM(2012) 11 final — 2012/0011 (COD).

L'Ufficio di presidenza del Comitato economico e sociale europeo, in data 21 febbraio 2012, ha incaricato la sezione specializzata Occupazione, affari sociali, cittadinanza di preparare i lavori in materia.

Vista l'urgenza dei lavori, il Comitato economico e sociale europeo, nel corso della 481a sessione plenaria dei giorni 23 e 24 maggio 2012 (seduta del 23 maggio), ha nominato relatore generale PEGADO LIZ e ha adottato il seguente parere con 165 voti favorevoli, 34 voti contrari e 12 astensioni.

1.   Conclusioni e raccomandazioni

1.1

Il Comitato economico e sociale europeo (CESE) accoglie con favore l'impostazione generale della Commissione, esprime appoggio alla scelta della base di legittimità e approva in linea di principio gli obiettivi della proposta, i quali seguono da vicino un parere del Comitato. Per quanto riguarda lo status giuridico della protezione dei dati, il CESE è dell'avviso che il trattamento e il trasferimento di dati nel mercato interno debbano essere limitati dal diritto alla protezione dei dati a carattere personale, ai sensi dell'articolo 8 della Carta dei diritti fondamentali e dell'articolo 16, paragrafo 2 del TFUE.

1.2

Per quanto riguarda la scelta del regolamento in quanto strumento giuridico più adeguato in considerazione degli obiettivi perseguiti, il CESE è diviso e chiede alla Commissione di dimostrare e giustificare meglio le ragioni che rendono tale strumento preferibile alla direttiva, o addirittura indispensabile.

1.3	Il Comitato però si rammarica per le eccezioni e limitazioni troppo numerose che incidono sui principi enunciati del diritto alla protezione dei dati personali.

1.4

Nel nuovo contesto dell'economia digitale, il Comitato si dice d'accordo con la Commissione quando questa afferma che «è diritto di chiunque avere il controllo effettivo delle proprie informazioni personali», e auspica anche che questo diritto sia esteso ai diversi usi per i quali sono creati profili individuali a partire da dati raccolti con un gran numero di strumenti (legali e a volte illegali) e dal trattamento dei dati così ottenuti.

1.5	In materia di diritti fondamentali, l'armonizzazione mediante regolamento in settori specifici dovrebbe consentire agli Stati membri di adottare, nei rispettivi ordinamenti nazionali, disposizioni che mancano nel regolamento o sono più favorevoli di quelle ivi previste.

1.6	Il CESE inoltre non può accettare tutti i rinvii quasi sistematici ad atti delegati che non fanno espressamente capo all'articolo 290 del TFUE.

1.7

Il Comitato si compiace comunque della volontà di creare un quadro istituzionale efficace atto a garantire il funzionamento concreto delle disposizioni giuridiche sia a livello delle imprese (responsabili della protezione dei dati - RPD) sia a livello delle pubbliche amministrazioni degli Stati membri (autorità di controllo indipendenti). Tuttavia, avrebbe apprezzato se la Commissione avesse scelto un approccio più conforme alle reali esigenze ed aspirazioni dei cittadini, che fosse anche più modulato in funzione della natura di alcuni settori dell'attività economica e sociale.

1.8

Il CESE vede tutta una serie di possibili miglioramenti e precisazioni da apportare al testo proposto e fornisce esempi precisi riguardanti numerosi articoli, che vanno verso una migliore definizione dei diritti, del rafforzamento della tutela dei cittadini in generale e dei lavoratori in particolare, della natura del consenso, della liceità del trattamento e, in particolare, delle funzioni dei responsabili della protezione dei dati e del trattamento dati nell'ambito dei rapporti di lavoro.

1.9	Il Comitato ritiene inoltre necessario inserire elementi finora trascurati, come in particolare l'ampliamento dell'ambito d'applicazione, il trattamento dei dati sensibili o le azioni collettive.

1.10

Il CESE, di conseguenza, è dell'avviso che i motori di ricerca su Internet che ottengono la maggior parte dei profitti dalla pubblicità mirata grazie alla raccolta di dati personali e alla profilazione dei loro visitatori debbano rientrare espressamente nell'ambito d'applicazione del regolamento. Lo stesso dovrebbe valere per i siti che offrono spazio di stoccaggio dati su server e, in alcuni casi, software (come nel caso del cloud computing) e che raccolgono dati sui loro utilizzatori a fini commerciali.

1.11

Lo stesso dovrebbe valere inoltre per le informazioni personali pubblicate sulle reti sociali: queste ultime dovrebbero consentire, in virtù del diritto all'oblio, la modifica o la cancellazione di informazioni da parte della persona interessata oppure la soppressione, su richiesta, della sua pagina personale e dei collegamenti che conducono verso altri siti molto frequentati in cui queste informazioni sono riprodotte o commentate. L'articolo 9 dovrebbe essere modificato in questo senso.

1.12

Infine, il CESE chiede alla Commissione di riconsiderare determinati aspetti della proposta che giudica inaccettabili per temi delicati come la protezione dei minori, il diritto di opposizione e la profilazione, nonché certe limitazioni dei diritti, la soglia di 250 lavoratori per nominare un RPD o il modo in cui è disciplinato lo «sportello unico».

2.   Introduzione

2.1

Il CESE è stato invitato ad elaborare un parere in merito alla Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)  (1).

2.2

Va però osservato che questa proposta fa parte di un pacchetto che comprende anche una comunicazione introduttiva (2), una proposta di direttiva (3) e una Relazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni basata sull'articolo 29, paragrafo 2, della decisione quadro del Consiglio del 27 novembre 2008  (4). Il CESE non è stato consultato su tutti gli atti legislativi proposti, ma solo sul progetto di regolamento, quando invece sarebbe stato opportuno consultarlo anche sul progetto di direttiva.

2.3	La proposta su cui il Comitato è invitato ad esprimersi si trova, secondo la Commissione, a cavallo fra due dei più importanti orientamenti giuridico-politici e politico-economici dell'UE.

2.3.1

Da una parte ci sono l'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e l'articolo 16, paragrafo 1, del Trattato sul funzionamento dell'Unione europea (TFUE), che fanno della protezione dei dati un diritto fondamentale da tutelarsi in quanto tale. Le comunicazioni della Commissione europea relative al programma di Stoccolma e al piano d'azione per la sua attuazione si basano proprio su questo principio (5).

2.3.2

Dall'altra, vi sono la strategia digitale per l'Europa e, più in generale, la strategia Europa 2020, che raccomandano di consolidare la dimensione «mercato unico» della protezione dei dati e di ridurre gli oneri amministrativi gravanti sulle imprese.

2.4

La Commissione intende aggiornare e modernizzare i principi sanciti dalla direttiva 95/46/CE consolidata sulla protezione dei dati personali, in modo da garantire in futuro la tutela del diritto degli individui alla vita privata nella società digitale e nelle sue reti. L'obiettivo perseguito è rafforzare i diritti dei cittadini, consolidare il mercato interno dell'UE, garantire un livello elevato di protezione dei dati in tutti i campi (compresa la cooperazione giudiziaria in materia penale), assicurare la corretta applicazione delle disposizioni adottate al riguardo, agevolare il trattamento transfrontaliero dei dati e adottare norme universali per la protezione dei dati.

3.   Osservazioni generali

3.1

Nel nuovo contesto dell'economia digitale, il Comitato si dice d'accordo con la Commissione quando questa afferma che «è diritto di chiunque avere il controllo effettivo delle proprie informazioni personali», e auspica anche che questo diritto sia esteso ai diversi usi per i quali sono creati profili individuali a partire da dati raccolti con un gran numero di strumenti (legali e a volte illegali) e dal trattamento dei dati così ottenuti. Il CESE ritiene altresì che il trattamento e il trasferimento dei dati nel quadro del mercato unico debbano essere limitati dal diritto alla protezione derivante dall'articolo 8 della Carta dei diritti fondamentali. Si tratta di un diritto di base, sancito dal diritto istituzionale dell'Unione e dalla maggior parte dei diritti nazionali degli Stati membri.

3.2

Ogni cittadino o residente nell'Unione gode automaticamente dei diritti fondamentali iscritti nella Carta e nei trattati; questi diritti sono anche riconosciuti dal diritto degli Stati membri, e a volte perfino a livello costituzionale. Altri diritti, come il diritto all'immagine o alla protezione della vita privata, completano e rafforzano il diritto alla protezione dei dati personali. Deve essere possibile far rispettare questi diritti chiedendo a un sito Internet di modificare o rimuovere un profilo personale o un file dal server e, in caso di inadempienza, ricorrere a un giudice perché questo formuli un'ingiunzione al riguardo.

3.3

La conservazione di archivi contenenti dati individuali è indispensabile alla pubblica amministrazione (6), alla gestione del personale nelle imprese, ai servizi commerciali, alle associazioni e ai sindacati, ai partiti politici o alle reti sociali e ai motori di ricerca su Internet ma, per proteggere la vita privata delle persone che vi sono legalmente iscritte, è necessario che tali archivi, che rispondono a finalità diverse, raccolgano soltanto i dati essenziali alle rispettive finalità e che non siano collegati fra loro mediante le TIC senza che vi sia necessità e protezione legale. L'esistenza di un'autorità dotata di un accesso senza limiti a tutti i dati costituirebbe un rischio per le libertà pubbliche e la vita privata.

3.4	Le persone interessate devono disporre di un diritto di accesso, correzione e anche eliminazione dei dati che le riguardano in caso di archivi tenuti da persone di diritto privato per motivi di ricerche di mercato o per le reti sociali.

3.5

Per quanto riguarda gli archivi tenuti dalle amministrazioni pubbliche o private, e che rispondono agli obblighi di legge, le persone devono disporre di un diritto di accesso, di correzione in caso di errore e anche di eliminazione dei dati qualora l'iscrizione della persona sia diventata inutile, ad esempio in un registro giudiziario, in caso di amnistia, oppure alla fine di un contratto di lavoro, una volta scaduti i termini legali di conservazione.

3.6

Il CESE accoglie con favore l'orientamento generale della Commissione e riconosce che gli obiettivi della direttiva 95/46/CE consolidata rimangono attuali, anche se, dopo 17 anni, e con tutti i cambiamenti tecnologici e sociali intervenuti nell'ambiente digitale, una revisione profonda delle norme è ormai indispensabile. Ad esempio, la direttiva 95/46/CE non trattava alcuni aspetti dello scambio transfrontaliero d'informazioni e di dati fra amministrazioni incaricate della repressione dei reati penali e dell'esecuzione delle sentenze nel quadro della cooperazione giudiziaria e di polizia. Questa questione è affrontata nel progetto di direttiva compreso nel pacchetto sulla protezione dei dati, sul quale il Comitato non è stato consultato.

3.7

Il CESE approva in linea di principio gli obiettivi della proposta, che rientrano nel settore della protezione dei diritti fondamentali e seguono da vicino il parere del Comitato (7), in particolare per quanto riguarda: — l'istituzione di un complesso unico di norme valido in tutta l'Unione che garantisca il livello più elevato possibile di protezione dei dati; — la riaffermazione esplicita della libertà di circolazione dei dati a carattere personale all'interno dell'UE; — l'abolizione di diversi obblighi amministrativi inutili che, secondo la Commissione, consentirà un risparmio annuale di circa 2,3 miliardi di euro per le imprese; — l'obbligo imposto alle imprese e alle organizzazioni di notificare all'autorità di controllo nazionale le violazioni gravi dei dati a carattere personale nel modo più tempestivo (se possibile, entro 24 ore); — la possibilità per i cittadini di rivolgersi all'autorità incaricata della protezione dei dati nel loro paese, anche quando i loro dati siano trattati da un soggetto stabilito al di fuori del territorio dell'UE; — l'accesso agevolato ai propri dati, nonché il trasferimento dei dati personali da un fornitore di servizi all'altro (diritto alla portabilità dei dati); — un «diritto all'oblio» digitale che garantisca ai cittadini la migliore gestione dei rischi legati alla protezione dei dati online, con la facoltà di ottenere la cancellazione dei dati che li riguardano quando non vi siano motivi legittimi a giustificarne la conservazione; — il rafforzamento, rispetto alla situazione attuale, del ruolo delle autorità nazionali indipendenti incaricate della protezione dei dati, affinché queste possano far applicare e rispettare meglio le norme dell'UE sul territorio dello Stato in cui si trovano, in particolare grazie al potere d'infliggere sanzioni alle imprese che infrangono le regole, sanzioni che potranno arrivare fino a un milione di euro o al 2 % del fatturato mondiale annuo dell'impresa stessa; — la neutralità tecnologica e l'applicazione a tutti i trattamenti dei dati, siano essi automatizzati o manuali; — l'obbligo di effettuare valutazioni d'impatto relative alla protezione dei dati.

3.8

Il CESE accoglie con soddisfazione l'enfasi posta sulla protezione dei diritti fondamentali e si dichiara pienamente d'accordo con la scelta della base giuridica proposta, utilizzata per la prima volta nella normativa. Esso inoltre sottolinea la grande importanza della proposta per la realizzazione del mercato unico e i suoi effetti positivi nel quadro della strategia Europa 2020. Per quanto riguarda la scelta del regolamento, una parte dei membri del CESE, senza distinzioni di gruppo, è d'accordo con la Commissione e ritiene che si tratti dello strumento giuridico più adeguato per garantire un'applicazione uniforme e lo stesso livello elevato di protezione dei dati in tutti gli Stati membri; un'altra parte invece considera la direttiva lo strumento che potrebbe meglio salvaguardare il principio di sussidiarietà e proteggere i dati, soprattutto negli Stati membri che garantiscono già una protezione più elevata di quella definita nella proposta della Commissione. Il CESE è anche consapevole del fatto che gli Stati membri sono a loro volta divisi in proposito. Il Comitato quindi invita la Commissione a motivare meglio la sua proposta, rendendo più esplicite la compatibilità col principio di sussidiarietà e le ragioni per cui la scelta di un regolamento è considerata indispensabile per raggiungere gli obiettivi perseguiti.

3.8.1

Poiché si tratta di un regolamento immediatamente e direttamente applicabile in tutti gli Stati membri, senza bisogno di una procedura di recepimento, il CESE attira l'attenzione della Commissione sulla necessità di garantire la coerenza delle traduzioni in tutte le lingue, cosa che invece non è accaduta con la proposta.

3.9

Il CESE è dell'avviso che, da una parte, la proposta avrebbe potuto spingersi oltre nella dimensione di tutela di alcuni diritti che al momento sono praticamente svuotati di contenuto a causa di una congerie di eccezioni e limitazioni e che, dall'altra parte, avrebbe dovuto trovare un migliore equilibrio fra i diritti degli uni e degli altri. In questo modo rischia infatti di creare uno squilibrio fra gli obiettivi del diritto fondamentale alla protezione dei dati e gli obiettivi del mercato unico, a detrimento dei primi. Il CESE condivide nelle grandi linee il parere espresso dal Garante europeo della protezione dei dati (8).

3.10

Il CESE avrebbe apprezzato se la Commissione avesse adottato un approccio più conforme alle esigenze e alle aspirazioni dei cittadini, che fosse anche più modulato in funzione della natura di alcuni settori dell'attività economica e sociale, come ad esempio il commercio online, il marketing diretto, i rapporti di lavoro, le autorità pubbliche, la sorveglianza e la sicurezza, il DNA ecc., distinguendo il regime giuridico in base a questi aspetti così diversi del trattamento dei dati.

3.11

Per quanto riguarda diverse disposizioni contenute nella proposta (tutte riprese all'articolo 86), alcuni aspetti molto importanti dello strumento giuridico e del funzionamento del sistema dipendono dai futuri atti delegati (26 deleghe di durata indeterminata). Il CESE è dell'avviso che questo stato di cose ecceda largamente i limiti stabiliti all'articolo 290 del Trattato e definiti nella comunicazione della Commissione europea Attuazione dell'articolo 290 del Trattato sul funzionamento dell'Unione europea  (9), il che si ripercuote sulla sicurezza e la certezza giuridica del dispositivo. Il CESE ritiene che un numero determinato di deleghe potrebbe essere disciplinato direttamente dal legislatore europeo. Altre deleghe potrebbero rientrare tra le competenze delle autorità nazionali di vigilanza o delle loro associazioni a livello europeo (10). Ciò rafforzerebbe l'applicazione dei principi di sussidiarietà e contribuirebbe ad accrescere la certezza del diritto.

3.12

Il Comitato capisce le ragioni per cui la Commissione si è soffermata solo sui diritti delle persone fisiche, data la natura giuridica specifica della proposta, ma chiede che essa si occupi anche dei dati relativi agli altri soggetti di diritto, in particolare quelli dotati di personalità giuridica.

4.   Osservazioni particolari

Aspetti positivi

4.1   La proposta rimane conforme all'oggetto e agli obiettivi della direttiva 95/46/CE, in particolare per quanto riguarda alcune definizioni, la sostanza dei principi relativi alla qualità dei dati e alla legittimità dei trattamenti e i trattamenti riguardanti categorie particolari e determinati diritti d'informazione e accesso ai dati.

4.2   La proposta introduce novità positive per quanto riguarda aspetti fondamentali come nuove definizioni, una maggiore precisione quanto alle condizioni di consenso, in particolare nel caso dei minori, nonché la classificazione di nuovi diritti, come i diritti di rettifica e cancellazione, in particolare il diritto all'oblio, il contenuto del diritto di opposizione e la profilazione, e ancora gli obblighi molto particolareggiati dei responsabili e dei coincaricati dei trattamenti, la sicurezza dei dati e il quadro generale delle sanzioni, soprattutto quelle di natura amministrativa.

4.3   Il Comitato apprezza inoltre che la proposta si preoccupi di creare un quadro istituzionale efficace volto a garantire il funzionamento concreto delle disposizioni giuridiche, a livello sia delle imprese (delegati alla protezione dei dati) che delle amministrazioni pubbliche degli Stati membri (autorità di controllo indipendenti), nonché ad assicurare il rafforzamento della collaborazione fra queste autorità e la Commissione (creazione del comitato europeo per la protezione dei dati). Il Comitato segnala tuttavia che vanno garantite le competenze dei responsabili della protezione dei dati nazionali e, in parte, regionali negli Stati membri.

4.4   Infine, il CESE valuta positivamente l'incoraggiamento all'elaborazione di codici di condotta e il ruolo della certificazione e dei sigilli e marchi di protezione dei dati.

Aspetti da migliorare

4.5   Articolo 3 – Campo d'applicazione territoriale

4.5.1   Le condizioni d'applicazione previste al paragrafo 2 sono troppo restrittive: non vanno dimenticati i casi di imprese farmaceutiche con sede al di fuori dell'Europa che, per test clinici, vogliano accedere ai dati clinici delle persone interessate che risiedono nell'UE.

4.6   Articolo 4 – Definizioni

4.6.1   La definizione di consenso, che rappresenta la base essenziale di tutta la struttura della protezione dei dati, dovrebbe essere chiarita meglio in tutti i suoi elementi, in particolare per quanto riguarda la cosiddetta «azione positiva inequivocabile» (soprattutto nella versione francese).

4.6.2   La nozione di «trasferimento dei dati», che resta priva di definizione, dovrebbe essere chiarita all'articolo 4.

4.6.3   La nozione di equità di cui all'articolo 5, lettera a), dovrebbe essere definita.

4.6.4   La nozione di «dati resi manifestamente pubblici» di cui all'articolo 9, paragrafo 2, lettera e) dovrebbe anch'essa essere oggetto di una definizione precisa.

4.6.5   La nozione di «profilazione» utilizzata in tutta la proposta deve essere a sua volta definita.

4.7   Articolo 6 – Liceità del trattamento

4.7.1   Alla lettera f), la nozione di «perseguimento del legittimo interesse del responsabile del trattamento» non coperto da tutte le lettere precedenti sembra vaga e soggettiva e dovrà essere meglio precisata nello stesso testo anziché essere affidata a un atto delegato (paragrafo 5), tanto più che il paragrafo 4 non fa parola della lettera f) (e ciò è importante ad esempio nel caso dei servizi postali e del marketing diretto (11)).

4.8   Articolo 7 - Consenso

4.8.1   Al paragrafo 3 si dovrebbe indicare che la revoca del consenso impedisce ogni trattamento futuro, e che pregiudica la liceità del trattamento solo a partire dalla revoca stessa.

4.9   Articolo 14 - Informazione

4.9.1   Al paragrafo 4, lettera b), sembra opportuno fissare un termine massimo.

4.10   Articolo 31 – Notificazione di una violazione dei dati personali all'autorità di controllo

4.10.1   La comunicazione di ogni tipo di violazioni rischia di compromettere il funzionamento del sistema e, in definitiva, di costituire un ostacolo all'effettiva individuazione dei colpevoli.

4.11   Articolo 35 – Il responsabile della protezione dei dati

4.11.1   Per quanto riguarda il responsabile della protezione dei dati (RPD), occorre precisare meglio le condizioni legate a questa funzione, in particolare una protezione contro il licenziamento chiaramente definita, che vada oltre il periodo in cui l'interessato ha ricoperto l'incarico, le condizioni di base associate a requisiti chiari per esercitare tale incarico, il sollevamento dell'RPD da qualunque responsabilità una volta che questi abbia segnalato delle irregolarità al datore di lavoro o alle autorità nazionali incaricate della protezione dei dati, il diritto di partecipazione diretta dei rappresentanti del personale alla designazione dell'RPD e il diritto di tali rappresentanti (12) ad essere informati periodicamente in merito ai problemi incontrati e alla loro soluzione. Si deve anche precisare quali siano le risorse assegnate alla funzione di RPD.

4.12   Articolo 39 – Certificazione

4.12.1   La certificazione deve essere uno dei compiti della Commissione.

4.13   Articoli 82 e 33 – Trattamento dei dati nei rapporti di lavoro

4.13.1   All'articolo 82 manca un riferimento esplicito alla valutazione dei risultati (assente anche nell'articolo 20, relativo alla profilazione). Inoltre, non è precisato se tale abilitazione si applichi anche alla formulazione delle disposizioni riguardanti l'RPD. Il divieto della profilazione nell'ambito dei rapporti di lavoro dovrebbe essere precisato anche ai fini della valutazione d'impatto sulla protezione dei dati (articolo 33).

4.14   Articoli 81, 82, 83 e 84

4.14.1   Anziché «Nei limiti del presente regolamento» si dovrebbe dire «In base al presente regolamento».

Aspetti mancanti da inserire

4.15   Ambito d'applicazione

4.15.1   In materia di diritti fondamentali, l'armonizzazione in settori specifici dovrebbe consentire agli Stati membri di adottare, nei rispettivi ordinamenti nazionali, disposizioni assenti nel regolamento o più favorevoli di quelle ivi previste, come già stabilito per i settori di cui agli articoli da 80 a 85.

4.15.2   Gli indirizzi IP delle persone dovrebbero essere menzionati espressamente fra i dati personali da proteggere nel dispositivo del regolamento, e non soltanto nei considerando.

4.15.3   I motori di ricerca che traggono la maggior parte dei profitti dalla pubblicità e che raccolgono dati personali sui loro visitatori facendone un uso commerciale devono essere inseriti nell'ambito d'applicazione del regolamento, e non figurare soltanto nei considerando.

4.15.4   Si dovrebbe precisare che le reti sociali rientrano comunque nell'ambito d'applicazione del regolamento, non soltanto se praticano la profilazione a fini commerciali.

4.15.5   Alcuni metodi di controllo e filtraggio di Internet che sostengono di lottare contro la contraffazione e hanno come effetto la profilazione di alcuni utilizzatori della rete, che vengono schedati e controllati in tutti i loro movimenti in assenza di un'autorizzazione giudiziaria nominativa, devono anch'essi rientrare nell'ambito d'applicazione del regolamento.

4.15.6   Sarebbe anche auspicabile che le istituzioni e gli organi dell'Unione fossero a loro volta sottoposti agli obblighi del regolamento.

4.16   Articolo 9 - Categorie particolari di dati

4.16.1   Il modo migliore di procedere sarebbe quello di definire sistemi speciali in funzione delle circostanze, delle situazioni e delle finalità del trattamento dei dati. Va aggiunto il divieto della profilazione in questi settori.

4.16.2   Occorre introdurre il principio della non discriminazione nel trattamento dei dati sensibili a fini statistici.

4.17   Possibilità (per ora inutilizzate) che dovrebbero essere inserite nei seguenti settori:

—	partecipazione dei rappresentanti del personale a tutti i livelli nazionali ed europei all'elaborazione di «norme vincolanti d'impresa», che dovrebbero essere considerate una condizione per il trasferimento internazionale dei dati (articolo 43);

—	informazione e consultazione del comitato aziendale europeo nel caso di trasferimenti internazionali di dati dei lavoratori, in particolare verso i paesi terzi;

—	informazione e partecipazione delle parti sociali europee e delle ONG europee dei consumatori e per la difesa dei diritti umani alla designazione dei membri del comitato europeo per la protezione dei dati destinato a sostituire il gruppo di lavoro Articolo 29;

—	informazione e partecipazione dei soggetti sopra indicati a livello nazionale alla designazione dei membri delle autorità nazionali di protezione dei dati, non previste attualmente.

4.18   Articoli da 74 a 77 – Azioni collettive in materia di archivi illegali e di danni e interessi

4.18.1   La maggior parte delle violazioni dei diritti alla protezione dei dati riveste un carattere collettivo: in questi casi l'infrazione non colpisce una sola persona, ma un gruppo o l'insieme delle persone su cui si conservano dati. Le tradizionali forme di ricorso giurisdizionale da parte di un singolo non sono adatte per reagire contro questo tipo di violazioni. L'articolo 76 autorizza qualunque organismo, organizzazione o associazione di tutela dei diritti ad avviare, a nome di una o più persone interessate, i procedimenti di cui agli articoli 74 e 75, ma lo stesso non si applica quando si tratta di chiedere una riparazione o un indennizzo dei danni e gli interessi perché, in questo caso, l'articolo 77 prevede questa possibilità solo per i singoli, e non ammette una procedura di rappresentanza o di azione collettiva.

4.18.2   Al riguardo, il Comitato ricorda di sostenere da anni, nell'ambito di diversi pareri, la necessità e l'urgenza di dotare l'UE di uno strumento giuridico armonizzato di azione collettiva a livello europeo, necessario in diversi settori del diritto dell'UE, come già avviene in numerosi Stati membri.

Aspetti inaccettabili

4.19   Articolo 8 - Minori

4.19.1   Dato che all'articolo 4, paragrafo 18, si definisce correttamente il minore come una «persona di età inferiore agli anni diciotto» conformemente alla convenzione di New York, non è accettabile che, all'articolo 8, paragrafo 1, si dia la possibilità a minori che abbiano compiuto i 13 anni di età di esprimere il loro consenso al trattamento dei dati personali.

4.19.2   Anche se il CESE comprende la necessità di definire regole specifiche per le PMI, non è accettabile che la Commissione, con un atto delegato, possa concedere a tali imprese un'esenzione pura e semplice dall'obbligo di rispettare i diritti dei minori.

4.20   Articolo 9 - Categorie particolari

4.20.1   Analogamente, all'articolo 9, paragrafo 2, lettera a), non c'è alcun motivo per cui dei minori possano dare il loro consenso al trattamento di dati riguardanti la loro origine nazionale, le opinioni politiche, la religione, la salute, la vita sessuale o le condanne penali.

4.20.2   I dati forniti volontariamente dagli interessati, ad esempio su Facebook, non dovrebbero essere esclusi dalla protezione, come si può desumere dall'articolo 9, lettera e), e dovrebbero beneficiare almeno del diritto all'oblio.

4.21   Articolo 13 – Diritti relativi ai destinatari

4.21.1   L'eccezione introdotta dalla parte finale, «salvo che ciò si riveli impossibile o implichi risorse sproporzionate» non è né giustificabile né accettabile.

4.22   Articolo 14 - Informazione

4.22.1   L'identica eccezione di cui al paragrafo, lettera b), è ugualmente inaccettabile.

4.23   Articolo 19, paragrafo 1 – Diritto di opposizione

4.23.1   La formula vaga utilizzata come eccezione, «motivi preminenti e legittimi», non è accettabile e svuota di contenuto il diritto di opposizione.

4.24   Articolo 20 - Profilazione

4.24.1   Il divieto di profilazione non deve essere ristretto ai trattamenti automatizzati (13).

4.24.2   Al paragrafo 2, lettera a), l'espressione «che siano state offerte» va sostituita con «che siano state introdotte».

4.25   Articolo 21 - Limitazioni

4.25.1   La formulazione del paragrafo 1, lettera c) è totalmente inaccettabile, in quanto contiene espressioni vaghe e indefinite come interesse economico o finanziario, materia monetaria, di bilancio e tributaria, stabilità e integrità del mercato (quest'ultima formula è stata aggiunta alla direttiva 95/46).

4.26   Articoli 25, 28 e 35 – Limite dei 250 lavoratori

4.26.1   Il limite di 250 lavoratori per far scattare l'applicazione di alcune disposizioni di protezione, come la presenza di un responsabile della protezione dei dati, avrebbe per conseguenza che solo il 40 % scarso dei lavoratori potrebbe beneficiare di tali disposizioni. Lo stesso limite per quanto riguarda l'obbligo di documentazione farebbe sì che la grande maggioranza dei lavoratori non avrebbe alcuna possibilità di vigilare sull'utilizzo dei propri dati personali, per cui non esisterebbe più alcun controllo. Il Comitato suggerisce di prevedere la possibilità di un limite più basso, prendendo, ad esempio, come criterio il numero di lavoratori solitamente richiesto negli Stati membri per la costituzione di un organo di rappresentanza degli interessi del personale all'interno dell'azienda. Si potrebbe anche pensare a un altro approccio basato su criteri obiettivi, ad esempio sul numero di pratiche di protezione dei dati trattate in un intervallo di tempo da definire, indipendentemente dalla dimensione dell'impresa o del servizio interessato.

4.27   Articolo 51 – Lo «sportello unico»

4.27.1   Se, per facilitare la vita delle imprese e rendere più efficaci i meccanismi di protezione dei dati, si può concepire un principio come quello dello «sportello unico», tale principio rischia però di causare un sensibile deterioramento della protezione di dati dei cittadini in generale e i dati personali dei lavoratori in particolare, in quanto viene meno l'obbligo attuale di far sì che i trasferimenti di dati personali siano soggetti a un accordo d'impresa e approvati da una commissione nazionale per la protezione dei dati (14).

4.27.2   Inoltre, questo sistema appare in contrasto con la volontà di esercitare una gestione di prossimità e rischia di privare il cittadino della possibilità di vedere istruire la sua pratica dall'autorità di controllo a lui più vicina ed accessibile.

4.27.3   Vi è dunque motivo di mantenere la competenza dell'autorità dello Stato membro in cui risiede il ricorrente.

---

(1)  COM(2012) 11 final.

(2)  COM(2012) 9 final.

(3)  COM(2012) 10 final.

(4)  COM(2012) 12 final.

(5)  Tali documenti insistono sulla necessità per l'Unione di «introdurre un regime completo in materia di protezione dei dati personali che ricomprenda tutte le competenze dell’Unione» e di «assicurare l’applicazione sistematica del diritto fondamentale alla protezione dei dati», in modo che le persone fisiche abbiano il diritto di esercitare un controllo effettivo sui dati che le riguardano.

(6)  Cfr. parere CESE in merito al riutilizzo dell’informazione del settore pubblico, GU C 191 del 29.6.2012, pag. 129.

(7)  Cfr. parere del CESE - GU C 248 del 25.8.2011, pag. 123.

(8)  Parere del Garante europeo della protezione dei dati sul tema Pacchetto di riforma della protezione dei dati (Opinion of the European Data Protection Supervisor on the data protection reform package) del 7 marzo 2012.

(9)  COM(2009) 673 final del 9 dicembre 2009.

(10)  Cfr. l'obiezione di non conformità al principio di sussidiarietà formulata dal Senato francese.

(11)  Servirebbero maggiori precisazioni sulla questione dei sondaggi per lettera nominativa, perché l'applicazione del regolamento così com'è ora ne causerebbe il divieto, nonostante essi rappresentino un metodo poco intrusivo e mirato per sondare i nuovi clienti.

(12)  Ad esempio, comunicazione di una relazione periodica dell'attività dell'RPD ai rappresentanti del personale o ai membri eletti dai lavoratori in seno al consiglio d'amministrazione o al consiglio di vigilanza, nazionale e/o europeo, ove esistente.

(13)  Cfr. raccomandazione CM/Rec(2010)13 del Comitato dei ministri del Consiglio d'Europa del 23 novembre 2010.

(14)  In particolare, le autorità amministrative indipendenti incaricate di autorizzare e controllare la creazione di dossier nominativi; al contrario, le loro competenze dovrebbero essere ampliate nell'odierna società digitale, nel caso delle reti sociali e a causa del valore di scambio che hanno i profili individuali per il settore degli studi di mercato.

---

---