51999PC0337

Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (presentata dalla Commissione)

RELAZIONE

Il trattamento dei dati personali è un'operazione correntemente praticata da istituzioni ed organismi comunitari, e specialmente dalla Commissione, nell'ambito della loro attività. La Commissione procede a scambiare dati personali con gli Stati membri nel quadro della politica agraria comune, per la gestione del regime doganale, dei fondi strutturali e di altre politiche comunitarie. Nell'intento di eliminare ogni soluzione di continuità nella protezione dei dati nel 1990 la Commissione, all'atto di proporre la direttiva 95/44/CE, ha dichiarato che anch'essa ne avrebbe rispettato i principi.

Nell'adottare la direttiva Commissione e Consiglio si sono impegnati con una dichiarazione pubblica a rispettare la direttiva stessa e hanno invitato le altre istituzioni e gli altri organismi comunitari a fare altrettanto.

Nel corso della conferenza intergovernativa per la revisione dei trattati la questione riguardante l'applicazione alle istituzioni comunitarie delle norme sulla protezione dei dati è stata sollevata dal governo olandese e da quello greco. Il trattato firmato ad Amsterdam al termine dei negoziati ha inserito nel trattato che istituisce la Comunità europea una disposizione specifica a questo riguardo. Nella numerazione definitiva si tratta dell'articolo 286, così formulato:

1. A decorrere dal 1 gennaio 1999 gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati si applicano alle istituzioni e agli organismi istituiti dal presente trattato o sulla base del medesimo.

2. Anteriormente alla data di cui al paragrafo 1 il Consiglio, deliberando secondo la procedura di cui all'articolo 251, istituisce un organo di controllo indipendente incaricato di sorvegliare l'applicazione di detti atti alle istituzioni e agli organismi comunitari e adotta, se del caso, tutte le altre pertinenti disposizioni.

L'articolo 286 prevede dunque che a decorrere dal 1 gennaio 1999 le istituzioni e gli organismi comunitari applichino le norme comunitarie sulla protezione dei dati personali stabilite prevalentemente dalla direttiva 95/46/CE, e che un organo di controllo indipendente vigili sull'applicazione di tali norme. La presente proposta di regolamento mira a conseguire questo duplice obiettivo.

Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la proposta della Commissione [1],

[1] GU C

visto il parere del Comitato economico e sociale [2],

[2] GU C

deliberando secondo la procedura di cui all'articolo 251 del trattato [3],

[3] GU C

considerando quanto segue:

(1) L'articolo 286 del trattato stabilisce che gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati si applicano alle istituzioni e agli organismi comunitari.

(2) Per esser completo, un sistema di protezione dei dati personali richiede che si stabiliscano non soltanto determinati diritti per le persone cui tali dati si riferiscono e determinati obblighi per chi li elabora, ma anche adeguate sanzioni per i trasgressori ed il controllo di un organo indipendente di vigilanza.

(3) L'articolo 286, paragrafo 2 prescrive l'istituzione di un organo di controllo indipendente incaricato di vigilare sull'applicazione di tali atti comunitari ad istituzioni ed organismi della Comunità.

(4) L'articolo 286, paragrafo 2 prescrive l'adozione di ogni altra disposizione pertinente che si riveli opportuna.

(5) È necessario un regolamento per accordare alle persone fisiche diritti giuridicamente sanzionabili e per chiarire gli obblighi dei responsabili del trattamento dei dati in seno alle istituzioni e agli organismi comunitari, nonché per istituire un organo di vigilanza indipendente incaricato di controllare dall'esterno il trattamento dei dati effettuato in ambito comunitario.

(6) I principi della tutela si devono applicare a tutte le informazioni relative ad una persona identificata o identificabile. Per stabilire se una persona è identificabile, occorre tener conto di tutti gli strumenti prevedibilmente impiegati dal responsabile del trattamento dei dati o da chiunque altro al fine d'identificare detta persona. Detti principi di tutela non devono essere applicati ai dati resi anonimi in modo da rendere non più identificabile la persona interessata.

(7) La direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati [4], fa obbligo agli Stati membri di garantire la tutela delle libertà e dei diritti fondamentali delle persone fisiche, e particolarmente del diritto alla riservatezza per quanto riguarda il trattamento dei dati personali, nonché di assicurare la libera circolazione dei dati personali nella Comunità.

[4] GU L 281 del 23.11.1995, pag. 31.

(8) La direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni [5] precisa e integra la direttiva 95/46/CE quanto al trattamento dei dati personali nel settore delle telecomunicazioni.

[5] GU L 24 del 30.1.1998, pag. 1.

(9) Diversi altri atti comunitari, soprattutto in tema di assistenza reciproca tra le amministrazioni nazionali e la Commissione, mirano a precisare e integrare la direttiva 95/46/CE nel settore cui essi si riferiscono.

(10) Occorre garantire su tutto il territorio comunitario un'applicazione coerente ed omogenea delle norme relative alla tutela delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali.

(11) Il risultato perseguito è quello di garantire tanto l'effettivo rispetto delle norme relative alla tutela delle libertà e dei diritti fondamentali delle persone fisiche quanto la libera circolazione dei dati personali tra gli Stati membri e le istituzioni o gli organismi comunitari nonché fra le istituzioni e gli organismi comunitari stessi ai fini dell'esercizio delle rispettive competenze.

(12) Per meglio conseguire tale risultato occorre adottare disposizioni vincolanti nei confronti delle istituzioni e degli organismi comunitari. Tali disposizioni devono applicarsi all'insieme delle operazioni di trattamento di dati personali effettuate da istituzioni ed organismi comunitari nell'esercizio delle competenze loro assegnate dai trattati che istituiscono le Comunità europee e dal trattato sull'Unione europea.

(13) Dette disposizioni devono essere identiche a quelle previste per il ravvicinamento delle legislazioni nazionali o l'attuazione di altre politiche comunitarie, segnatamente in materia di assistenza reciproca; tuttavia può rendersi necessario precisare e integrare tali disposizioni per garantire la protezione dei dati personali sottoposti a trattamento da istituzioni ed organismi comunitari.

(14) Tale osservazione vale parimenti per i diritti delle persone fisiche i cui dati personali sono sottoposti a trattamento, per gli obblighi delle istituzioni e degli organismi comunitari responsabili del trattamento, nonché per i poteri da conferire all'organo indipendente di controllo incaricato di verificare la corretta applicazione del presente regolamento.

(15) Il trattamento dei dati personali per l'esercizio delle funzioni svolte dalle istituzioni e dagli organismi della Comunità nel pubblico interesse comprende il trattamento dei dati personali necessari alla gestione e al funzionamento di tali istituzioni e organismi.

(16) Può essere opportuno sottoporre a controllo le reti di calcolatori delle istituzioni e degli organismi della Comunità per prevenire un'utilizzazione non autorizzata; il garante europeo della protezione dei dati deve stabilire se e a quali condizioni il controllo può essere esercitato.

(17) L'articolo 21 del regolamento (CE) n. 322/97 del Consiglio del 17 febbraio 1997 relativo alle statistiche comunitarie [6] dispone che il regolamento si applica fatte salve le disposizioni della direttiva 95/46/CE.

[6] GU L 52 del 22.2.1997, pag. 1.

(18) Per ragioni di trasparenza occorre render pubbliche informazioni supplementari sull'applicazione del presente regolamento, compresa una lista delle istituzioni e degli organismi comunitari ad esso soggetti,

(19) Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall'articolo 29 della direttiva 95/46/CE, ha formulato il suo parere.

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto

1. Le istituzioni e gli organismi istituiti dai trattati che istituiscono le Comunità europee o sulla base di tali trattati (in prosieguo: "le istituzioni e gli organismi comunitari") garantiscono, conformemente alle disposizioni del presente regolamento, la tutela dei diritti e delle libertà fondamentali delle persone fisiche, ed in particolare il diritto alla riservatezza per quanto attiene al trattamento dei dati personali.

2. L'autorità indipendente di vigilanza istituita dal presente regolamento (in prosieguo: "il garante europeo della protezione dei dati"), sorveglia l'applicazione delle disposizioni del presente regolamento a tutte le operazioni di trattamento dei dati svolte da un'istituzione o da un organismo comunitari.

Articolo 2

Definizioni

Ai fini del presente regolamento s'intendono per:

(a) "dati personali", qualsiasi informazione concernente una persona fisica identificata o identificabile ("persona interessata"); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero d'identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;

(b) "trattamento di dati personali" ("trattamento"), qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati, in relazione a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la divulgazione mediante trasmissione, diffusione o qualsiasi altra forma di comunicazione, il raffronto o l'interconnessione, nonché il congelamento, la cancellazione o la distruzione;

(c) "archivio di dati personali" ("archivio"), qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

(d) "responsabile del trattamento", l'istituzione o l'organismo della Comunità, la direzione generale, l'unità o qualunque altra entità organizzativa che, da soli o insieme ad altri, determinano le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento siano determinati da un atto comunitario specifico, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati da tale atto comunitario;

(e) "incaricato del trattamento", la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

(f) "terzi", la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che non siano la persona interessata, il responsabile del trattamento, l'incaricato del trattamento o le persone autorizzate ad elaborare i dati sotto la loro autorità diretta;

(g) "destinatario", la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo cui vengano comunicati dati, indipendentemente dal fatto che si tratti o no di terzi. Non sono tuttavia considerate destinatari le autorità alla quale i dati possono essere comunicati nell'ambito di una specifica inchiesta;

(h) "consenso della persona interessata", qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento.

Articolo 3

Campo d'applicazione

1. Il presente regolamento si applica al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organismi comunitari.

2. Il presente regolamento si applica al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti in archivi o destinati ad esservi inseriti.

CAPO II

CONDIZIONI GENERALI DI LICEITÀ DELLE OPERAZIONI DI TRATTAMENTO DI DATI PERSONALI

SEZIONE 1

PRINCIPI RELATIVI ALLA QUALITÀ DEI DATI

Articolo 4

1. I dati personali devono essere:

(a) trattati in modo corretto e lecito;

(b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché il responsabile del trattamento fornisca garanzie appropriate, in particolare per assicurare che i dati vengano trattati esclusivamente a tali fini;

(c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e successivamente trattati;

(d) esatti e, se necessario, aggiornati; nei limiti del ragionevole va preso ogni provvedimento che consenta di cancellare o rettificare i dati inesatti o incompleti rispetto delle finalità per le quali sono stati rilevati o successivamente trattati;

(e) conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario per conseguire le finalità per le quali sono stati rilevati o sono stati successivamente trattati. L'istituzione o l'organismo comunitario in questione prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici, in particolare per quanto riguarda l'anonimato.

2. Il responsabile del trattamento è tenuto a garantire il rispetto delle disposizioni del paragrafo 1.

SEZIONE 2

PRINCIPI RELATIVI ALLA LEGITTIMAZIONE DEL TRATTAMENTO DEI DATI

Articolo 5

Liceità del trattamento

Il trattamento di dati personali è consentito soltanto in una delle seguenti fattispecie:

(a) quando è necessario per eseguire un compito nell'interesse pubblico in forza di disposizioni di legge o per l'esercizio di pubblici poteri di cui sono investiti l'istituzione o l'organismo della Comunità ovvero i terzi cui vengono comunicati i dati;

(b) quando è necessario per adempiere un obbligo legale cui sia soggetto il responsabile del trattamento;

(c) quando è necessario all'esecuzione di un contratto concluso con la persona interessata ovvero di provvedimenti da precontrattuali presi a sua richiesta;

(d) quando la persona interessata ha manifestato il proprio consenso in modo inequivocabile;

(e) quando è necessario per salvaguardare gli interessi vitali della persona interessata.

Articolo 6

Trattamento supplementare con finalità compatibili

1. È consentito trattare i dati personali per fini diversi da quelli per cui sono stati rilevati soltanto se il cambiamento di finalità è espressamente autorizzato dalle norme interne dell'istituzione o dell'organismo comunitario.

2. I dati personali rilevati con altre finalità possono essere trattati per assicurare il rispetto di disposizioni finanziarie e di bilancio.

3. Non è consentito impiegare per altri fini i dati personali rilevati allo scopo esclusivo di garantire la sicurezza o il controllo dei sistemi o delle operazioni di trattamento, a eccezione dei fini di cui all'articolo 18, paragrafo 1, lettera a).

Articolo 7

Trasmissione di dati personali fra istituzioni e organismi comunitari o al loro interno

1. Il trasferimento di dati personali ad altre istituzioni o ad altri organismi comunitari ovvero al loro interno è consentito unicamente se i dati sono necessari per il legittimo esercizio delle funzioni che rientrano nelle competenze del destinatario.

2. Il responsabile del trattamento e il destinatario sono responsabili della legittimità della trasmissione:

Il responsabile del trattamento si limita a verificare le competenze del destinatario e il merito della richiesta. Qualora tuttavia emergano dubbi sul merito, il responsabile del trattamento verifica anche la necessità della trasmissione.

Il destinatario provvede a che si possa successivamente verificare la necessità della trasmissione.

Articolo 8

Trasmissione a persone ed organismi, diversi dalle istituzioni e dagli organismi comunitari, situati negli Stati membri

1. È consentito trasmettere dati personali a persone ed organismi situati negli Stati membri soltanto se il destinatario ha potuto dimostrare la necessità di comunicargli tali dati e se non sussistono ragioni per paventare che possano subir pregiudizio interessi legittimi delle persone interessate.

2. Nel procedere al trattamento dei dati personali il destinatario persegue unicamente le finalità per cui questi gli sono stati trasmessi.

Articolo 9

Trasferimento a persone ed organismi, diversi dalle istituzioni e dagli organismi comunitari, non soggetti alla direttiva 95/46/CE

1. È consentito trasferire dati personali a persone e organismi che non siano le istituzioni e gli organismi comunitari e non siano soggetti alle norme nazionali sulla protezione dei dati a norma dell'articolo 4 della direttiva 95/46/CE unicamente se, nel paese del destinatario o all'interno dell'organizzazione internazionale destinataria, è assicurato un livello adeguato di tutela, la trasmissione dei dati avviene strettamente nell'ambito dei compiti previsti dalle competenze del responsabile del trattamento e sono soddisfatti i requisiti di cui all'articolo 4, paragrafo 1, lettera b) del presente regolamento.

2. L'adeguatezza del livello di tutela accordato dal paese (o dall'organizzazione internazionale) in questione è valutata con riguardo a tutte le circostanze relative ad un trasferimento dei dati o ad una serie di tali operazioni. In particolare sono presi in considerazione la natura dei dati, le finalità e durata delle operazioni di trattamento previste, il paese od organizzazione internazionale destinatario finale, la normativa, generale o settoriale, vigente in tale paese (o organizzazione internazionale), nonché le regole professionali e le misure di sicurezza osservate in quel paese od organizzazione internazionale.

3. Le istituzioni e gli organismi comunitari informano la Commissione e il garante europeo della protezione dei dati circa i casi in cui a loro parere il paese o l'organizzazione internazionale in questione non assicurano un livello adeguato di tutela ai sensi del paragrafo 2.

4. Quando la Commissione, assistita dal comitato istituito dall'articolo 31, paragrafo 1 della direttiva 95/46/CE, abbia accertato che il paese o l'organizzazione internazionale in questione assicura o non assicura un livello adeguato di tutela a termini del paragrafo 2 del presente articolo, le istituzioni e gli organismi comunitari adottano le misure necessarie per conformarsi alla decisione della Commissione.

Tale decisione è adottata secondo la procedura di gestione di cui all'articolo 4 della decisione del Consiglio 1999/468/CE [7], salvo il disposto dell'articolo 8 della medesima.

[7] GU L 184 del 17.7.1999, pag. 23.

Il periodo di cui all'articolo 4, paragrafo 3 della decisione 1999/468/CE è di tre mesi.

5. In deroga al paragrafo 1 le istituzioni e gli organismi comunitari possono trasferire dati personali a condizione che:

(a) la persona interessata abbia manifestato in maniera inequivocabile il proprio consenso al trasferimento previsto, oppure

(b) il trasferimento sia necessario all'esecuzione di un contratto concluso tra la persona interessata ed il responsabile del trattamento ovvero di provvedimenti precontrattuali presi a richiesta di questa, oppure

(c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto stipulato tra il responsabile del trattamento e un terzo nell'interesse della persona interessata, oppure

(d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, ovvero per costituire, esercitare o difendere un diritto per via giudiziaria, oppure

(e) il trasferimento sia necessario per la salvaguardia di interessi vitali della persona interessata, oppure

(f) il trasferimento sia effettuato a partire da un registro che, a norma del diritto comunitario, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, purché sussistano i requisiti per la consultazione previsti dalla normativa comunitaria.

6. Le istituzioni e gli organismi comunitari informano il garante europeo della tutela dei dati in merito ai casi od alle categorie di casi di applicazione del paragrafo 5.

SEZIONE 3

TRATTAMENTI RIGUARDANTI CATEGORIE PARTICOLARI DI DATI

Articolo 10

1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, come pure trattare dati relativi alla salute e alla vita sessuale.

2. Il paragrafo 1 non si applica qualora:

(a) la persona interessata abbia dato il proprio consenso espresso a tale trattamento, eccezion fatta per il caso in cui le regole interne dell'istituzione o dell'organismo comunitario prevedono che il consenso dell'interessato non sia sufficiente ad eliminare il divieto di cui al paragrafo 1; oppure

(b) il trattamento in questione sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del responsabile del trattamento in materia di occupazione, se ed in quanto esso sia consentito in forza del diritto comunitario o di norme di attuazione del diritto comunitario o sia autorizzato dal garante europeo della protezione dei dati con adeguati provvedimenti di salvaguardia; oppure

(c) il trattamento in questione risulti necessario per salvaguardare un interesse vitale dell'interessato o di terzi, qualora l'interessato si trovi nell'incapacità fisica o giuridica di dare il proprio consenso; oppure

(d) il trattamento riguardi dati resi manifestamente pubblici della persona interessata o sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria; oppure

(e) il trattamento in questione è eseguito, nell'ambito delle sue legittime attività e con adeguate garanzie, da un organismo senza fini di lucro che costituisca un'entità integrata in un'istituzione od in un organismo comunitario cui in virtù dell'articolo 4 della direttiva 95/46/CE non si applica la legge nazionale sulla protezione dei dati e che si prefigga finalità politiche, filosofiche, religiose o sindacali, purché il trattamento in questione riguardi unicamente i membri di detto organismo ovvero persone che sono in regolare contatto con esso per finalità connesse a quelle dell'organismo stesso ed i dati non vengano comunicati a terzi senza il consenso della persona interessata.

3. Il paragrafo 1 non si applica quando il trattamento dei dati è necessario in ambito medico per finalità di prevenzione, diagnosi, accertamento dell'attitudine ai fini dell'assunzione, assistenza sanitaria o terapia ovvero gestione di centri di cura, e quando il trattamento dei medesimi dati viene effettuato da un professionista della sanità vincolato al segreto professionale o da un'altra persona parimenti soggetta a un equivalente obbligo di segretezza.

4. Purché siano fornite le garanzie del caso, e per motivi di interesse pubblico rilevante, è possibile disporre ulteriori deroghe, oltre a quelle previste dal paragrafo 2, con una decisione del garante europeo della protezione dei dati.

5. È consentito trattare dati relativi ad infrazioni, condanne penali o misure di sicurezza unicamente qualora si sia autorizzati a farlo da una normativa comunitaria o da altri strumenti giuridici approvati a norma del trattato sull'Unione europea che prevedano appropriate garanzie specifiche, ovvero dal garante europeo della tutela dei dati.

6. Il garante europeo della protezione dei dati stabilisce le condizioni alle quali può venir sottoposto a trattamento un numero personale d'identificazione o qualsiasi altro mezzo d'identificazione d'uso generale in un'istituzione o in un organismo della Comunità.

SEZIONE 4

INFORMAZIONE DEGLI INTERESSATI

Articolo 11

Informazioni da fornire qualora i dati siano ottenuti dalla persona interessata

1. Il responsabile del trattamento deve fornire alla persona interessata presso la quale effettua la raccolta dei dati che la riguardano, almeno le informazioni elencate qui di seguito, a meno che tale persona non ne disponga già:

a) l'identità del responsabile del trattamento;

b) le finalità del trattamento cui sono destinati i dati richiesti;

c) i destinatari o le categorie di destinatari dei dati;

d) il carattere obbligatorio o facoltativo delle risposte alle domande, nonché le possibili conseguenze di una mancata risposta;

e) l'esistenza di diritti di accesso e di rettifica in merito ai dati che riguardano l'interessato;

f) eventuali informazioni supplementari quali:

- il fondamento giuridico del trattamento cui sono destinati i dati,

- i limiti di tempo per la conservazione dei dati,

- il diritto di rivolgersi in qualsiasi momento al garante europeo della protezione dei dati,

nella misura in cui tali informazioni siano necessarie, considerate le circostanze specifiche della loro raccolta, per garantire un corretto trattamento dei dati della persona interessata.

2. In deroga al paragrafo 1 la comunicazione delle informazioni in questione o di una parte di esse può venir differita per il tempo necessario a conseguire il legittimo obiettivo di un'indagine statistica, in considerazione del suo oggetto o della sua natura. Le informazioni vanno fornite non appena vengano meno i motivi per i quali erano state taciute a meno che il farlo non risulti manifestamente irragionevole o non attuabile, nel qual caso le informazioni andranno fornite in un momento successivo non appena la situazione lo consenta.

Articolo 12

Informazioni da fornire qualora i dati non siano ottenuti dalla persona interessata

1. Qualora i dati non vengano raccolti presso la persona interessata, al momento della registrazione dei dati personali, ovvero nell'ipotesi che sia previsto di comunicarli a terzi, il responsabile del trattamento deve fornire agli interessati, al più tardi all'atto della prima comunicazione dei dati stessi, almeno le informazioni elencate qui di seguito, a meno che essi non ne dispongano già:

a) l'identità del responsabile del trattamento;

b) le finalità del trattamento;

c) le categorie di dati in questione;

d) i destinatari o le categorie di destinatari dei dati;

e) l'esistenza di diritti di accesso e di rettifica in merito ai dati che riguardano l'interessato;

f) eventuali informazioni supplementari quali:

- il fondamento giuridico del trattamento cui sono destinati i dati,

- i limiti di tempo per la conservazione dei dati,

- il diritto di rivolgersi in qualsiasi momento al garante europeo della protezione dei dati,

- l'origine dei dati, a meno che motivi connessi al segreto professionale non impediscano al responsabile del trattamento di renderla nota,

se ed in quanto tali informazioni siano necessarie per garantire un corretto trattamento dei dati della persona interessata, considerate le circostanze specifiche della loro raccolta.

2. Le disposizioni del paragrafo 1 non si applicano qualora, in particolare nel trattamento di dati a scopi statistici ovvero di ricerca storica o scientifica, risulti impossibile o sproporzionatamente difficile informare la persona interessata, oppure quando la registrazione o la comunicazione dei dati sia espressamente prescritta dal diritto comunitario. In questi casi le istituzioni o gli organismi comunitari prevedono garanzie appropriate.

SEZIONE 5

DIRITTO DELLA PERSONA INTERESSATA DI ACCEDERE AI DATI

Articolo 13

Diritto di accesso

Qualsiasi persona interessata ha il diritto di ottenere quanto segue dal responsabile del trattamento, in qualunque momento, senza ritardi eccessivi e gratuitamente:

(a) la conferma del fatto che siano o meno in corso operazioni di trattamento di dati che la riguardano;

(b) informazioni sulle finalità dei trattamenti, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatari cui vengono comunicati i dati;

(c) la comunicazione in forma intelligibile dei dati oggetto del trattamento nonché di tutte le informazioni disponibili sulla loro origine;

(d) la conoscenza della logica cui risponde qualsiasi processo decisionale automatizzato che la interessi.

Articolo 14

Rettifica

Su richiesta dell'interessato il responsabile del trattamento rettifica senza indugio i dati personali incompleti o inesatti.

Articolo 15

Congelamento

1. I dati personali sono congelati nei casi seguenti:

(a) quando sono oggetto di contestazione da parte degli interessati e risulta impossibile appurare se siano esatti o no;

(b) quando, benché il responsabile del trattamento non ne abbia più bisogno per l'esercizio delle sue funzioni, occorre conservarli in quanto elementi di prova;

(c) quando il trattamento cui sono stati sottoposti era illecito e l'interessato si oppone alla cancellazione dei dati, e ne domanda invece il congelamento.

2. Nei sistemi automatizzati di archiviazione il congelamento va assicurato in linea di massima mediante dispositivi tecnici. Il sistema deve indicare che i dati personali sono stati congelati in modo da rendere evidente l'impossibilità d'impiegarli.

3. Eccezion fatta per le operazioni volte a garantirne la conservazione, i dati personali congelati sono oggetto di trattamento soltanto se necessari in quanto elementi di prova, qualora la persona interessata abbia dato il suo consenso, o per motivi connessi all'interesse giuridico di terzi.

Articolo 16

Cancellazione

1. I dati personali vengono cancellati se il trattamento cui sono stati sottoposti si rivela essere illecito, con particolare riferimento ai casi di violazione di quanto disposto dalle sezioni 1, 2 e 3 del capo II.

2. I dati personali vengono cancellati se il responsabile del trattamento non ne ha più bisogno per lo svolgimento delle sue funzioni e se non v'è motivo di ritenere che la cancellazione possa recare pregiudizio a interessi delle persone interessate.

Articolo 17

Notificazione a terzi

Il responsabile del trattamento notifica eventuali rettifiche, cancellazioni o congelamenti ai terzi ai quali sono stati comunicati i dati, a meno che la notificazione non si dimostri impossibile o tale da comportare difficoltà sproporzionate.

SEZIONE 6

DEROGHE E LIMITAZIONI

Articolo 18

1. Le istituzioni e gli organismi comunitari possono limitare l'applicazione dell'articolo 4, paragrafo 1, dell'articolo 11, dell'articolo 12, paragrafo 1, dell'articolo 13, dell'articolo 33 e dell'articolo 34, paragrafo 1 qualora ciò sia necessario per salvaguardare quanto segue:

(a) le attività volte a prevenire, indagare, rilevare e perseguire attività sanzionate penalmente;

(b) importanti interessi economici o finanziari di uno Stato membro o della Comunità, anche in campo monetario, tributario e di bilancio;

(c) la tutela della persona interessata o dei diritti e delle libertà altrui;

(d) una funzione di controllo, d'ispezione o di regolazione, connessa, anche occasionalmente, all'esercizio di poteri pubblici nei casi di cui alle lettere a) e b).

2. Le disposizioni degli articoli da 13 a 16 non si applicano qualora il trattamento dei dati si prefigga unicamente finalità di ricerca scientifica oppure i dati vengano conservati sotto forma personale ed esclusivamente per un periodo di tempo non superiore a quello necessario all'elaborazione di statistiche, a condizione che risulti chiaramente escluso ogni rischio di violazione della sfera privata degli interessati e che il responsabile del trattamento fornisca adeguate garanzie giuridiche, in particolare affinché i dati non siano venir utilizzati per prendere provvedimenti o decisioni concernenti una persona determinata.

3. Qualora si applichi una delle restrizioni di cui al paragrafo 1 l'interessato viene informato dei principali motivi della restrizione e del suo diritto di adire il garante europeo della protezione dei dati.

4. Venuto meno il motivo che giustifica le limitazioni di cui al paragrafo 1, le disposizioni che ne sono state oggetto riprendono piena applicazione.

SEZIONE 7

DIRITTO DI OPPOSIZIONE E DI DENUNCIA DELLA PERSONA INTERESSATA

Articolo 19

Diritto di opposizione

La persona interessata ha il diritto di opporsi in qualsiasi momento, per motivi fondati e legittimi connessi alla sua situazione particolare, alle operazioni di trattamento di dati che la riguardano, salvo nei casi previsti dall'articolo 5, lettere b), c) e d). Qualora tale opposizione si riveli giustificata il responsabile deve escludere tali dati dal trattamento.

Articolo 20

Diritto di presentare denuncia

La persona interessata ha il diritto di presentare in qualsiasi momento una denuncia al garante europeo della tutela dei dati.

Articolo 21

Decisioni automatizzate relative a singoli individui

Nessuno può essere sottoposto a decisioni che producano effetti giuridici o abbiano ripercussioni significative a suo carico e siano fondate esclusivamente su processi automatizzati di trattamento dei dati destinati a valutare determinati aspetti della sua personalità, come il rendimento professionale, l'affidabilità o la condotta, salvo che tali decisioni siano espressamente autorizzate da una norma giuridica che preveda anche provvedimenti volti a salvaguardare i legittimi interessi delle persone interessate.

SEZIONE 8

RISERVATEZZA E SICUREZZA DEL TRATTAMENTO DEI DATI

Articolo 22

Riservatezza delle operazioni di trattamento

L'incaricato del trattamento, o chiunque agisca sotto la sua responsabilità o sotto quella del responsabile del trattamento, deve elaborare i dati personali ai quali ha accesso unicamente dietro istruzione del responsabile del trattamento, a meno che non vi sia tenuto in forza della legge nazionale.

Articolo 23

Sicurezza delle operazioni di trattamento

1. Tenuto conto dell'evoluzione etnica e dei costi da sostenere il responsabile del trattamento prende i provvedimenti di carattere tecnico ed organizzativo necessari a garantire un livello di sicurezza appropriato, in relazione ai rischi che le operazioni di trattamento comportano e alla natura dei dati personali da proteggere.

2. In caso di trattamento manuale dei dati personali vengono presi i provvedimenti appropriati volti in particolare a evitarne la divulgazione o l'accesso non autorizzati, l'alterazione, la distruzione o la perdita accidentale.

3. In caso di trattamento automatizzato dei dati personali vengono presi i provvedimenti del caso volti in particolare a quanto segue:

a) evitare che persone non autorizzate accedano ai sistemi informatici impiegati per trattare i dati personali;

b) evitare qualunque forma non autorizzata di lettura, riproduzione, alterazione o rimozione dei supporti di memorizzazione;

c) evitare qualsiasi immissione non autorizzata di dati in memoria nonché ogni divulgazione, alterazione o cancellazione non autorizzata di dati personali memorizzati;

d) evitare che persone non autorizzate utilizzino i sistemi di trattamento dei dati avvalendosi d'infrastrutture destinate alla trasmissione dei dati;

e) assicurare che le persone autorizzate ad utilizzare un sistema di trattamento dei dati non possano accedere a dati personali diversi da quelli cui si riferisce il loro diritto di accesso;

f) registrare quali dati personali sono stati comunicati, in quale momento e a chi;

g) assicurare che in un momento successivo sia possibile controllare e verificare quali dati personali sono stati trattati, in quale momento e da chi;

h) assicurare che per le operazioni di trattamento di dati personali effettuate per conto di terzi possano valere solo le modalità prescritte dall'istituzione o dall'organismo contraente;

i) assicurare che nel corso delle operazioni di comunicazione di dati personali e durante il trasporto dei supporti di memorizzazione i dati non possano essere letti, copiati o cancellati senza autorizzazione;

j) strutturare l'organizzazione d'istituzioni od organismi in modo da soddisfare le particolari esigenze connesse alla protezione dei dati.

Articolo 24

Trattamento di dati personali per conto del responsabile del trattamento

1. Quando un'operazione di trattamento viene eseguita per conto del responsabile del trattamento questi ne incarica una persona che fornisca adeguate garanzie in rapporto ai provvedimenti di sicurezza tecnica e di organizzazione previsti dall'articolo 23 e si assicura dell'osservanza di tali provvedimenti.

2. L'esecuzione delle operazioni di trattamento su commissione è disciplinata da un contratto o da un atto giuridico che leghi l'incaricato del trattamento al responsabile del trattamento e disponga in particolare quanto segue:

- a) che l'incaricato del trattamento agisca soltanto su istruzioni del responsabile del trattamento;

- b) che anche l'incaricato del trattamento sia soggetto agli obblighi di cui all'articolo 23.

3. A fini probatori, le norme del contratto o dell'atto giuridico sulla protezione dei dati e sugli obblighi relativi ai provvedimenti di cui all'articolo 23 sono stipulate per iscritto o in altra forma equivalente.

SEZIONE 9

RESPONSABILE DELLA PROTEZIONE DEI DATI

Articolo 25

Mandato

1. Ogni istituzione ed organismo della Comunità nomina almeno un responsabile della protezione dei dati personali, scegliendo a tal fine persone di grado adeguato, con il mandato seguente:

a) garantire che i responsabili del trattamento e le persone interessate siano informati dei propri diritti ed obblighi;

b) cooperare con il garante europeo della protezione dei dati su richiesta di quest'ultimo o di propria iniziativa;

c) garantire in maniera indipendente che le disposizioni del presente regolamento ed ogni altra disposizione adottata per la sua attuazione vengano applicate all'interno dell'istituzione od organismo di cui fa parte;

d) tenere il registro delle operazioni effettuate dal responsabile del trattamento, riportandovi le informazioni di cui all'articolo 26, paragrafo 2;

e) notificare al garante europeo della protezione dei dati le operazioni di trattamento che possono presentare rischi specifici a termini dell'articolo 28;

garantendo in tal modo che le operazioni di trattamento non arrechino pregiudizio ai diritti e alle libertà degli interessati.

2. Il responsabile della protezione dei dati deve disporre di personale e risorse sufficienti per l'esercizio delle sue funzioni.

3. Altre norme d'attuazione relative al responsabile della protezione dei dati sono adottate da ogni istituzione o organismo della Comunità sulla base degli orientamenti che figurano nell'allegato I. Le norme d'attuazione potranno in particolare riguardare le qualifiche, la nomina, la rimozione dall'incarico, l'indipendenza e le mansioni, gli obblighi e i poteri del responsabile della protezione dei dati.

Articolo 26

Notificazione al responsabile della protezione dei dati

1. Prima di procedere ad eseguire una o più operazioni di trattamento dei dati, destinate al conseguimento di una o più finalità correlate, il responsabile del trattamento ne informa il responsabile della protezione dei dati.

2. Le informazioni da fornire includono almeno quelle indicate nell'allegato II.

Ogni modifica relativa a tali informazioni viene notificata senza indugio al responsabile della protezione dei dati.

Articolo 27

Registro

Ogni responsabile della protezione dei dati tiene un registro dei trattamenti notificati a norma dell'articolo 26.

Il registro riporta almeno le informazioni di cui all'articolo 26, paragrafo 2.

Il registro può essere consultato da chiunque.

SEZIONE 10

CONTROLLO PREVENTIVO DA PARTE DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI

Articolo 28

1. Il garante europeo della protezione dei dati precisa i trattamenti che possono potenzialmente comportare particolari rischi per i diritti e le libertà degli interessati a causa della loro natura, oggetto o finalità, come quello di escludere una persona da un diritto, un'indennità od un contratto, ovvero a causa dello specifico impiego di una nuova tecnologia.

Tali operazioni di trattamento comprendono:

- determinati trattamenti relativi alle particolari categorie di dati, di cui all'articolo 10;

- trattamenti destinati a valutare la personalità delle persone interessate, inclusi aspetti quali capacità, efficienza e comportamento.

Dette operazioni di trattamento sono soggette a controlli preventivi.

2. Le verifiche preventive sono effettuate dal garante europeo della protezione dei dati dopo notificazione da parte del responsabile della protezione dei dati, il quale, in caso di dubbio, deve consultare il garante.

3. Il garante europeo della protezione dei dati emette un parere entro due mesi dal ricevimento della notificazione. Un parere non emesso entro tale termine è da considerarsi favorevole.

4. Il garante europeo della protezione dei dati tiene un registro di tutti i trattamenti che gli sono stati notificati a norma del paragrafo 2. Il registro contiene le informazioni enumerate all'articolo 26, paragrafo 2. Esso può essere consultato da chiunque.

5. Dispositivi automatizzati di comunicazione fra le istituzioni o gli organismi comunitari, quali l'accesso in linea alle banche di dati o l'interconnessione potranno venir istituiti unicamente previo esame del garante europeo della protezione dei dati.

Nel corso dell'esame suddetto il garante europeo della protezione dei dati stabilisce se una comunicazione automatizzata sia compatibile con interessi legittimi delle persone interessate e necessaria alla luce delle funzioni svolte dalle istituzioni o dagli organismi comunitari in questione.

CAPO III

MEZZI DI RICORSO E SANZIONI

Articolo 29

Mezzi di ricorso

1. fatta salva la possibilità di azione in giudizio, qualunque persona interessata può ricorrere al garante europeo della protezione dei dati se ritiene che i suoi diritti siano stati violati in seguito ad operazioni di trattamento dei suoi dei dati personali effettuate da un'istituzione o da un organismo comunitario.

2. La Corte di giustizia delle Comunità europee ed il Tribunale di primo grado delle Comunità europee sono competenti a conoscere delle controversie relative alle disposizioni del presente regolamento, incluse le azioni per risarcimento del danno.

Articolo 30

Sanzioni

Il funzionario o altro agente delle Comunità europee che, volontariamente o per negligenza, non assolva agli obblighi previsti dal presente regolamento è passibile di provvedimenti disciplinari, secondo le norme e le procedure previste dallo statuto dei funzionari delle Comunità europee o dal regime applicabile agli altri agenti.

CAPO IV

PROTEZIONE DEI DATI PERSONALI E TUTELA DELLA RISERVATEZZA NELL'AMBITO DELLE RETI INTERNE DI TELECOMUNICAZIONI

Articolo 31

Campo d'applicazione

In aggiunta alle altre disposizioni dal presente regolamento, al trattamento di dati personali in connessione con l'impiego di reti e terminali di telecomunicazione il cui esercizio ha luogo sotto il controllo di un'istituzione o di un organismo comunitario si applica il presente capo.

Ai fini del presente capo per "utente" s'intende qualsiasi persona fisica che si serva di una rete di telecomunicazioni il cui esercizio ha luogo sotto il controllo di un'istituzione o di un organismo comunitario.

Articolo 32

Sicurezza

1. Le istituzioni e gli organismi comunitari prendono appropriati provvedimenti di natura tecnica ed organizzativa per garantire un uso sicuro delle reti e dei terminali di telecomunicazioni, all'occorrenza in collaborazione con i fornitori di servizi di telecomunicazioni accessibili al pubblico e con i fornitori di reti di telecomunicazioni pubbliche. Tenuto conto dell'evoluzione tecnica e dei costi da sostenere per adeguarvisi i suddetti provvedimenti devono assicurare un livello di sicurezza adeguato al rischio esistente.

2. Qualora sussistano particolari rischi di violazioni della sicurezza della rete e dei terminali, l'istituzione o l'organismo comunitario interessato informano gli utenti in merito a tali rischi ed alle possibilità di contromisure o di utilizzare mezzi di comunicazione alternativi.

Articolo 33

Riservatezza delle comunicazioni

1. Le istituzioni e gli organismi comunitari garantiscono la riservatezza delle comunicazioni effettuate tramite le reti e i terminali di telecomunicazioni.

Sono vietati l'ascolto, l'intercettazione telefonica, la conservazione e altri tipi d'intercettazione o sorveglianza delle comunicazioni da parte di persone diverse dall'utente, salvo se egli vi abbia consentito.

2. Il paragrafo 1 non riguarda la registrazione di comunicazioni autorizzate dalla regolamentazione interna delle istituzioni e degli organismi comunitari intesa a fornire la prova di atti giuridici o procedurali attinenti allo svolgimento delle attività ufficiali delle istituzioni e degli organismi comunitari, previa approvazione del garante europeo della protezione dei dati.

Articolo 34

Dati relativi al traffico delle comunicazioni ed alla fatturazione

1. I dati sul traffico delle comunicazioni relativi agli utenti, che sono trattati e conservati per stabilire le chiamate ed altri collegamenti sulla rete di telecomunicazioni, vanno cancellati o resi anonimi contestualmente alla cessazione della chiamata o di altro collegamento, salvo il disposto dei paragrafi 2, 3 e 4.

2. È consentito sottoporre a trattamento i dati sul traffico indicati in un elenco approvato dal garante europeo della protezione dei dati a fini di gestione del traffico delle telecomunicazioni e delle relative spese, nonché della verifica dell'utilizzazione autorizzata del sistema di telecomunicazioni.

3. Le operazioni di trattamento dei dati pertinenti al traffico delle comunicazioni ed alla fatturazione devono limitarsi a quanto risulti strettamente necessario per le attività di cui al paragrafo 2 e vanno compiute unicamente da persone incaricate di gestire la fatturazione, il traffico o le spese.

4. Gli utenti delle reti di telecomunicazioni hanno il diritto di ricevere fatture non dettagliate.

Articolo 35

Repertori di utenti

1. I dati personali contenuti in repertori cartacei o elettronici di utenti dovranno esser limitati allo stretto necessario per le finalità specifiche del repertorio.

2. Istituzioni ed organismi comunitari prendono ogni provvedimento necessario per impedire che i dati personali contenuti in tali repertori siano impiegati a fini di diffusione commerciale diretta, indipendentemente dal fatto che tali repertori siano o meno accessibili al pubblico.

Articolo 36

Identificazione dell'emittente o del destinatario della chiamata e restrizione di tale possibilità

1. L'utente che effettua la chiamata deve poter disattivare con mezzi semplici e gratuitamente eventuali dispositivi che consentano d'identificarlo.

2. Qualora disponga della possibilità d'identificare l'emittente della chiamata l'utente destinatario della chiamata stessa deve poter disattivare con mezzi semplici e gratuitamente che vengano così identificate le chiamate in arrivo.

3. Qualora l'emittente della chiamata abbia la possibilità di disporre dell'identificazione della linea chiamata, il destinatario della chiamata deve poter disattivare con mezzi semplici e gratuitamente tale indicazione all'emittente della chiamata.

4. Qualora il sistema consenta d'identificare l'emittente o il destinatario della chiamata le istituzioni e gli organismi comunitari informano gli utenti di tale possibilità e di quelle di cui ai paragrafi 1, 2 e 3.

Articolo 37

Deroghe

Le istituzioni e gli organismi comunitari provvedono affinché procedure trasparenti disciplinino il modo in cui possono annullare la disattivazione dell'identificazione dell'emittente della chiamata nei casi e secondo le modalità seguenti:

a) temporaneamente, quando un utente chieda l'identificazione di chiamate moleste o malintenzionate;

b) linea per linea nel caso di organizzazioni che si occupano di chiamate d'emergenza, al fine di rispondere a tali chiamate.

CAPO V

AUTORITÀ DI VIGILANZA: IL GARANTE EUROPEO DELLA TUTELA DEI DATI

Articolo 38

Autorità di vigilanza: il garante europeo della tutela dei dati

1. È istituita un'autorità di vigilanza denominata garante europeo della protezione dei dati.

2. Detta autorità ha il compito di vigilare sull'applicazione del presente regolamento e di qualunque altro atto comunitario relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte di un'istituzione o di un organismo comunitario.

Articolo 39

Nomina

1. Sulla base di una proposta della Commissione, il Parlamento europeo, il Consiglio e la Commissione nominano di comune accordo il garante europeo della protezione dei dati, per un periodo di quattro anni.

2. Il garante europeo della protezione dei dati è scelto tra personalità che nei rispettivi paesi fanno o hanno fatto parte delle autorità indipendenti di vigilanza sul trattamento dei dati personali oppure possiedono particolari qualifiche per quest'incarico.

3. Il mandato del garante europeo della protezione dei dati è rinnovabile.

4. Il garante europeo della protezione dei dati resta in carica fino all'atto della sua sostituzione.

5. Oltre che per la normale procedura di sostituzione o per decesso, il mandato del garante europeo della protezione dei dati viene meno in caso di dimissioni o d'ufficio, secondo il disposto dal paragrafo 6.

6. Il garante europeo della protezione dei dati può essere rimosso dalla Corte di giustizia su richiesta del Parlamento europeo, del Consiglio o della Commissione qualora vengano meno i requisiti necessari all'esercizio delle sue funzioni o abbia commesso una colpa grave.

7. Salvo il disposto del presente capo, le disposizioni del protocollo sui privilegi e sulle immunità delle Comunità europee applicabili ai giudici della Corte di giustizia si applicano anche al garante europeo della protezione dei dati.

Articolo 40

Condizioni d'impiego

1. Il Parlamento europeo, il Consiglio e la Commissione fissano di comune accordo le condizioni d'impiego del garante europeo della protezione dei dati e, in particolare, la retribuzione, le indennità ed ogni altro compenso sostitutivo.

2. Il Parlamento europeo provvede a che il garante europeo della protezione dei dati disponga del personale e delle attrezzature necessari per l'esercizio delle sue funzioni.

3. Il personale e le attrezzature da fornire figurano in un capitolo separato del bilancio del Parlamento europeo.

4. I membri del personale sono nominati dal garante europeo della protezione dei dati. Il loro superiore è il garante europeo della protezione dei dati ed essi rispondono unicamente alle sue istruzioni.

5. I funzionari e gli altri agenti addetti all'ufficio sono soggetti alla normativa relativa ai funzionari ed agli altri agenti delle Comunità europee.

6. Per le questioni relative al personale alle sue dipendenze il garante europeo della protezione dei dati è equiparato alle istituzioni comunitarie a termini dell'articolo 1 dello statuto dei funzionari delle Comunità europee.

Articolo 41

Indipendenza

1. Il garante europeo della protezione dei dati esercita le sue funzioni in piena indipendenza.

2. Nell'adempimento dei suoi compiti il garante europeo della protezione dei dati non sollecita né accetta alcuna istruzione.

3. Per tutta la durata del suo mandato il garante europeo della protezione dei dati si astiene da qualunque azione incompatibile con i suoi doveri e non può esercitare alcuna altra attività professionale, remunerata o a titolo gratuito.

4. Al termine del suo mandato il garante europeo della protezione dei dati agisce con integrità e discrezione per quanto riguarda l'accettazione di nomine e altri vantaggi.

Articolo 42

Segreto professionale

Durante e dopo il loro mandato il garante europeo della protezione dei dati ed il personale alle sue dipendenze sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso durante l'esercizio delle loro funzioni ufficiali.

Articolo 43

Funzioni

Il garante europeo della protezione dei dati assolve i seguenti compiti:

(a) riceve le denunce e compie i relativi accertamenti;

(b) vigila su ogni operazione di trattamento relativa a dati personali effettuata da un'istituzione od un organismo comunitari, fatta eccezione per la Corte di giustizia e il Tribunale di primo grado nel loro ruolo giurisdizionale;

(c) consiglia tutte le istituzioni e gli organismi comunitari su qualsiasi argomento pertinente all'impiego di dati personali, in particolare prima che essi adottino disposizioni interne relative alla protezione dei diritti e delle libertà individuali in materia di trattamento di dati personali;

(d) segue l'evoluzione delle tecnologie dell'informazione e della comunicazione se ed in quanto si ripercuotano sulla protezione dei dati personali;

(e) collabora con le autorità nazionali di controllo se ed in quanto ciò risulti necessario per lo svolgimento dei suoi compiti, in particolare scambiando ogni informazione utile o chiedendo all'autorità di uno Stato membro di esercitare i suoi poteri;

(f) partecipa alle attività del "Gruppo per la tutela della persone con riguardo al trattamento dei dati personali", istituito dall'articolo 29 della direttiva 95/46/CE;

(g) tiene un registro delle operazioni di trattamento che gli sono state notificate;

(h) procede ad un esame preliminare delle operazioni di trattamento notificategli.

Articolo 44

Consultazione

1. Le istituzioni e gli organismi comunitari informano il garante europeo della protezione dei dati al momento di elaborare proposte di provvedimenti in tema di trattamento dei dati personali che interessino uno o più istituzioni od organismi della Comunità singolarmente o congiuntamente.

2. La Commissione informa il garante europeo della protezione dei dati in merito ad ogni progetto di proposta di legislazione comunitaria che comporti il trattamento di dati personali.

3. Il garante europeo della protezione dei dati può essere consultato da qualunque istituzione o organismo della Comunità su operazioni attinenti al trattamento di dati personali.

Articolo 45

Diritto di ricorso

1. Qualsiasi persona alle dipendenze di un'istituzione od un organismo della Comunità può ricorrere al garante europeo della protezione dei dati senza seguire la via gerarchica per questioni che incidono sui suoi compiti.

2. Non è ammesso che subisca pregiudizi di alcun genere dalla presentazione al garante europeo della protezione dei dati di un ricorso o una denuncia in cui si prospetti una violazione delle norme sul trattamento dei dati personali.

Articolo 46

Poteri

1. Il garante europeo della protezione dei dati in particolare:

(a) svolge indagini di propria iniziativa in seguito a denunce o ricorsi;

(b) ottiene senza indugio tutte le informazioni pertinenti alle sue indagini;

(c) accede in qualsiasi momento agli edifici ufficiali.

I responsabili del trattamento dei dati hanno il dovere di assistere il garante nell'esercizio delle sue funzioni.

2. Il garante europeo della protezione dei dati ha i seguenti poteri:

(a) ordinare la rettifica, il congelamento, la cancellazione o la distruzione di tutti i dati trattati in violazione delle disposizioni sul trattamento dei dati personali;

(b) vietare a titolo provvisorio o definitivo operazioni di trattamento;

(c) rivolgere avvertimenti o moniti al responsabile del trattamento;

(d) riferire la questione all'istituzione o all'organismo comunitario interessato e, se necessario, al Parlamento europeo, al Consiglio e alla Commissione;

(e) intervenire nelle cause dinanzi alla Corte di giustizia e al Tribunale di primo grado;

(f) offrire consulenza agli interessati e, a loro domanda, assisterli in veste di esperto nei procedimenti davanti al Tribunale di primo grado.

3. Qualora accerti una violazione delle disposizioni sul trattamento dei dati personali o qualsiasi altra irregolarità nel trattamento, il garante europeo della protezione dei dati ne informa l'istituzione o l'organismo comunitario in questione ed all'occorrenza presenta proposte volte a correggere tali irregolarità o a migliorare la protezione degli interessati.

4. L'istituzione o l'organismo in questione comunicano le proprie opinioni al garante europeo della protezione dei dati entro un termine fissato da quest'ultimo. La loro risposta comprende anche una descrizione dei provvedimenti presi a seguito delle osservazioni del garante europeo della protezione dei dati.

5. In caso di denuncia o di ricorso, il garante europeo della protezione dei dati informa gli interessati circa l'esito delle sue indagini.

6. Qualora alla persona interessata sia stato negato l'accesso ai dati che la riguardano il garante europeo della protezione dei dati la informa unicamente circa il corretto trattamento dei dati ovvero, in caso contrario, circa le necessarie correzioni apportate.

Qualora ritenga che il fatto di fornire tali informazioni privi di effetti l'applicazione dei limiti dal diritto di ottenere la conferma di cui all'articolo 13, lettera a) il garante europeo della protezione dei dati non informa la persona interessata circa l'esito delle sue indagini.

7. Avverso le decisioni del garante europeo della protezione dei dati che diano luogo a contestazioni può essere proposto ricorso dinanzi alla Corte di giustizia o al Tribunale di primo grado.

Articolo 47

Rapporto sulle attività svolte

1. Il garante europeo della protezione dei dati presenta al Parlamento europeo un rapporto annuale sulla sua attività, rendendolo al tempo stesso pubblico.

2. Il rapporto viene inoltrato alle altre istituzioni e agli altri organismi dell'Unione europea ed è discusso dal Parlamento europeo insieme alle loro risposte.

CAPO VI

DISPOSIZIONI FINALI

Articolo 48

Periodo transitorio

Le istituzioni e gli organismi comunitari provvedono a che le operazioni di trattamento in corso alla data di entrata in vigore del presente regolamento siano rese conformi al presente regolamento entro un anno a decorrere da tale data.

Articolo 49

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla data della sua pubblicazione nella Gazzetta ufficiale delle Comunità europee.

Il presente regolamento è obbligatorio in ogni suo elemento e direttamente applicabile in tutti gli stati membri.

Fatto a Bruxelles,

Per il Parlamento europeo Per il Consiglio

Il Presidente Il Presidente

Allegato I

1. Il responsabile della protezione dei dati sarà selezionato sulla base della sua autorità, la sua esperienza in materia di protezione dei dati e la sua affidabilità.

2. La nomina del responsabile della protezione dei dati non deve comportare un conflitto di interessi con altri doveri, in particolare per quanto riguarda l'applicazione delle disposizioni del presente regolamento.

3. Il responsabile della protezione dei dati è nominato per un mandato di almeno due anni. Egli può essere rinominato. Egli può essere destituito solamente con il consenso del garante europeo della protezione dei dati, se egli non soddisfa più le condizioni richieste per l'esercizio delle sue funzioni.

4. Il responsabile della protezione dei dati non deve ricevere alcuna istruzione per quanto riguarda l'esercizio delle sue funzioni.

5. Dopo la sua nomina il responsabile della protezione dei dati deve essere registrato insieme al garante europeo della protezione dei dati dall'istituzione, organismo (o persona) che lo ha nominato.

6. Il responsabile della protezione dei dati può formulare raccomandazioni per il miglioramento della protezione dei dati e consigliare l'istituzione o l'organismo comunitario che lo ha nominato nonché il responsabile dell'applicazione delle disposizioni in materia di protezione dei dati. Egli dovrà inoltre, di propria iniziativa o a richiesta dell'istituzione o organismo comunitario che lo ha nominato, del responsabile dell'applicazione delle disposizioni, del comitato del personale che si occupa della protezione dei dati, indagare sulle questioni e sui fatti direttamente collegati con l'esercizio delle sue funzioni e che arrivano a sua conoscenza.

7. Il responsabile della protezione dei dati può essere consultato dall'istituzione o organismo comunitario che lo ha nominato, dal responsabile dell'applicazione delle disposizioni, dal comitato del personale e da qualsiasi persona, senza seguire la via gerarchica, su qualsiasi aspetto riguardante l'interpretazione o l'applicazione del regolamento.

8. Nessuno deve subire pregiudizio per una questione portata all'attenzione del responsabile della protezione dei dati relativa alla violazione delle disposizioni del presente regolamento.

9. Ogni responsabile del trattamento deve assistere il responsabile della protezione dei dati nell'esercizio delle sue funzioni e rispondere alle domande. Nell'esercizio delle sue funzioni, il responsabile della protezione dei dati avrà accesso in qualsiasi momento ai dati che formano l'oggetto delle operazioni e a tutti gli uffici, gli impianti per il trattamento dei dati e supporti d'informazione, e può raccogliere l'informazione necessaria.

10. Per quanto necessario all'esercizio delle sue funzioni, il responsabile della protezione dei dati sarà esonerato da altre attività. Il responsabile della protezione dei dati e il suo personale, ai quali si applica l'articolo 287 del trattato, non dovranno divulgare le informazioni ed i documenti ottenuti nell'esercizio delle loro funzioni.

Allegato II

1. Il nome e l'indirizzo del responsabile dell'applicazione delle disposizioni.

2. I nomi delle persone e/o dei servizi di un'istituzione o organismo incaricato del trattamento di dati personali per una particolare finalità.

3. La finalità o le finalità del trattamento.

4. Una descrizione della categoria o delle categorie di persone interessate e delle relative informazioni.

5. Il fondamento giuridico del trattamento al quale sono destinati i dati.

6. I destinatari o le categorie di destinatari ai quali possono essere rivelati i dati.

7. I termini per congelare e cancellare le diverse categorie di dati.

8. Proposte di trasferimento di dati a paesi terzi.

9. Una descrizione generica che consenta una prima valutazione dell'adeguatezza delle misure adottate in forza dell'articolo 23 per garantire la sicurezza del trattamento.

COMMENTI AGLI ARTICOLI

In forza del nuovo articolo 286 del trattato CE istituzioni ed organismi comunitari saranno tenuti ad applicare gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati. Quest'obbligo limita considerevolmente la libertà di scelta della Commissione in merito al contenuto e al campo d'applicazione delle norme di base sulla protezione dei dati stabilite dal presente regolamento. In altri termini l'articolo 286 del trattato CE obbliga la Commissione a rispettare i limiti fissati dalla direttiva 95/46/CE. È questo il motivo principale per cui il presente regolamento segue da vicino le formulazioni e l'assetto della suddetta direttiva. A questo motivo si affianca la necessità di un'interpretazione identica della direttiva e del regolamento.

Il regolamento non è tuttavia formulato in modo completamente identico alla direttiva. Quest'ultima definisce infatti un quadro di riferimento che deve trovare successivamente attuazione nell'ambito del diritto nazionale (per gli Stati membri) o del presente regolamento (per istituzioni ed organismi comunitari). Le norme stabilite dal presente regolamento sono quindi più precise e dettagliate di quelle della direttiva. Su determinati temi la direttiva lascia inoltre la facoltà di scegliere fra diverse alternative, ed anche per questo motivo la formulazione del regolamento si differenzia da quella della direttiva. Il regolamento istituisce infine l'organo di controllo indipendente di cui all'articolo 286 del trattato CE, che richiede disposizioni più dettagliate di quelle contenute nella direttiva, la cui attuazione è demandata alla legislazione nazionale degli Stati membri.

Le osservazioni presentate nel seguito si concentrano sulle disposizioni del regolamento che non sono identiche a quelle corrispondenti della direttiva.

Capo I: Disposizioni generali

Articolo 1: Oggetto del regolamento

L'articolo 1 riguarda l'oggetto del regolamento. La tutela si estende non solo al trattamento dei dati relativi ad agenti delle istituzioni o a chiunque lavori per loro conto, ma anche al trattamento di dati concernenti persone fisiche estranee alle istituzioni, quali ad esempio fornitori o beneficiari di fondi comunitari. Il presente regolamento si applica in particolare alle informazioni personali trasmesse dagli Stati membri alla Commissione a fini di gestione o di controllo dell'erogazione delle sovvenzioni comunitarie.

È opportuno rilevare che l'oggetto del presente regolamento si distingue da quello della direttiva.

La direttiva, basata sull'articolo 100 A del trattato CE, mira a coniugare le esigenze fondamentali per la realizzazione del mercato interno con quelle soggiacenti alla protezione delle persone fisiche, come si evince dalla lettura dei due paragrafi dell'articolo 1: il primo fa obbligo agli Stati membri di garantire la tutela dei diritti e delle libertà delle persone conformemente alla direttiva; il secondo ne trae le conseguenze sotto il profilo della libera circolazione dei dati personali nell'ambito del mercato interno. In altre parole il paragrafo 1 fa riferimento allo strumento introdotto (l'armonizzazione delle normative nazionali), mentre il paragrafo 2 fa riferimento alla finalità perseguita (la libera circolazione dei dati personali).

Non occorre reiterare queste considerazioni nell'articolo 1 del presente regolamento.

L'oggetto del regolamento è quello di ottemperare all'obbligo fatto ad istituzioni ed organismi comunitari di rispettare i diritti e le libertà fondamentali delle persone, nella fattispecie il loro diritto alla vita privata, in relazione al trattamento dei loro dati personali.

Il presente regolamento avrà dunque evidentemente l'effetto di garantire che i dati personali trasmessi ad istituzioni ed organismi comunitari per l'adempimento dei loro compiti siano trattati secondo modalità tali da garantire il rispetto di diritti e libertà fondamentali degli interessati (condizioni che rispecchiano quelle previste dalla direttiva).

Non appare tuttavia necessario riprendere nel presente regolamento una disposizione analoga a quella dell'articolo 1, paragrafo 2, della direttiva; la circolazione delle informazioni, in particolare quelle personali, tra gli Stati membri e le istituzioni o gli organismi comunitari, ovvero tra le istituzioni o gli organismi stessi, è disciplinata dalle norme pertinenti dei trattati (quale l'articolo 213 del trattato CE) o del diritto comunitario derivato.

È peraltro ovvio che il presente regolamento non reca pregiudizio ai diritti eventualmente garantiti da altre disposizioni comunitarie o nazionali. Ciò vale, in particolare, anche per le norme dello statuto dei funzionari comunitari.

Articolo 2: Definizioni

In quest'articolo sono riprese le definizioni contenute nell'articolo 2 della direttiva.

La definizione relativa al "responsabile del trattamento" è stata tuttavia adattata allo specifico contesto comunitario. Si tratta di puntualizzazioni di natura puramente fattuale che mirano a far notare come, a seconda della situazione, il responsabile possa essere un'istituzione, un organismo o un servizio amministrativo, per esempio una direzione generale. Dalla direttiva si sono ripresi invece i criteri che permettono di stabilire chi, di fatto, vada considerato il responsabile del trattamento dei dati: si tratta dell'entità che determina le finalità e le modalità di esecuzione del trattamento.

Articolo 3: Campo d'applicazione

Paragrafo 1: le istituzioni e gli organismi cui si applica il regolamento

Il regolamento si applica al trattamento dei dati personali da parte di ogni istituzione ed organismo comunitario.

Rientrano pertanto nel campo d'applicazione del regolamento le operazioni effettuate da:

- le istituzioni enumerate nell'articolo 7 del trattato UE: Parlamento europeo, Consiglio, Commissione, Corte di giustizia, Corte dei conti;

- gli organismi creati dai trattati che istituiscono la Comunità europea, la CECA e l'EURATOM: Banca centrale europea, Banca europea per gli investimenti, mediatore, Comitato economico e sociale e Comitato delle regioni;

PER LA CONTINUAZIONE DEL TESTO VEDI SOTTO NUMERO: 599PC0337.1

- gli organi creati in base ad atti comunitari derivati, per esempio in riferimento all'articolo 308 del trattato CE, quali: Centro europeo per lo sviluppo della formazione professionale, Fondazione europea per il miglioramento delle condizioni di vita e di lavoro, Agenzia europea dell'ambiente, Fondazione europea per la formazione professionale, Osservatorio europeo delle droghe e delle tossicodipendenze, Agenzia europea di valutazione dei medicinali, Ufficio per l'armonizzazione nel mercato interno (marchi, disegni e modelli), Agenzia europea per la salute e la sicurezza sul luogo di lavoro, Ufficio comunitario delle varietà vegetali, Centro di traduzione degli organi dell'Unione.

Il regolamento è applicabile a qualunque operazione di trattamento eseguita nel corso di qualsiasi attività di competenza delle istituzioni e degli organismi comunitari. Fra tali attività non si operano distinzioni, prescindendo dal fatto che siano svolte a norma dei trattati CE, CECA, EURATOM ovvero, all'occorrenza, del titolo VI del trattato sull'Unione europea.

Nel campo d'applicazione del presente regolamento non rientrano, invece, le operazioni di trattamento di dati personali eseguite dagli organismi istituiti nel quadro del titolo VI del trattato UE, come l'Europol.

Paragrafo 2: trattamenti cui si applica il regolamento

Questo paragrafo, ripreso dall'articolo 3, paragrafo 1 della direttiva, si applica al trattamento interamente o parzialmente automatizzato di dati personali nonché al trattamento non automatizzato di dati contenuti o destinati a figurare in un archivio.

Capo II: Condizioni generali di liceità dei trattamenti di dati personali

Sezione I: Principi relativi alla qualità dei dati

Articolo 4

In quest'articolo sono riprese le disposizioni dell'articolo 6 della direttiva.

Le lettere b) e c), in particolare, richiamano le deroghe che consentono il trattamento successivo dei dati per scopi storici, statistici o scientifici; tali deroghe devono comunque essere corredate da garanzie appropriate.

Il testo prevede che le garanzie appropriate siano fornite dall'istituzione o dall'organismo che persegue gli scopi storici, statistici o scientifici in questione.

Il successivo trattamento per finalità diverse da quelle per le quali i dati erano stati originariamente raccolti può venir espressamente autorizzato da disposizioni di legge quali l'articolo 16 del regolamento del Consiglio (CE) n. 322/97 del 17 febbraio 1997 sulle statistiche comunitarie, il quale dispone il ricorso a dati amministrativi per ridurre l'onere a carico dei rispondenti.

Sezione II: Principi relativi alla legittimazione del trattamento dei dati

Articolo 5

Quest'articolo riprende dall'articolo 7 della direttiva l'elenco completo delle condizioni attinenti alla legittimazione dei trattamenti.

Sono state tuttavia introdotte tre modifiche:

- la presentazione dell'elenco è stata modificata;

- l'elenco è più breve;

- la formulazione di una delle condizioni è stata resa più esplicita.

- La presentazione dell'elenco è stata modificata: le condizioni sono state classificate in funzione di un ordine d'importanza pratica presumibilmente adatto ad un'autorità pubblica, quali sono le istituzioni e gli organismi comunitari. In particolare è sembrato logico collocare in cima all'elenco delle condizioni di legittimazione l'esecuzione dei compiti che competono a tali istituzioni ed organismi. Tra le condizioni di legittimazione del trattamento più ricorrenti non dovrebbero altresì figurare il consenso o l'interesse vitale degli interessati, che sono elementi necessari per determinate attività delle istituzioni e degli organismi comunitari, per esempio in campo di gestione dei loro servizi medici.

- L'elenco è più limitato: nel presente regolamento/ non è ripresa la lettera f) dell'articolo 7 della direttiva. Essa infatti fonda la legittimazione del trattamento sull'interesse legittimo del responsabile o di terzi a condizione che non prevalga l'interesse della persona i cui dati sono trattati e non trova dunque applicazione nel campo delle attività del settore pubblico. Il suo ampio campo d'applicazione dovrebbe invece coprire unicamente le attività del settore privato.

- L'adattamento della formulazione della lettera a): quest'ultima riprende la lettera e) dell'articolo 7 della direttiva, adeguandola al contesto comunitario: sono le istituzioni e gli organismi comunitari ad essere investiti di pubblici poteri in base ai quali si potrà all'occorrenza procedere al trattamento di dati. La lettera a) comprende anche il trattamento di dati personali per la gestione quotidiana delle istituzioni e degli organismi comunitari, ad esempio il trattamento dei dati personali dei funzionari.

Articolo 6: Trattamento supplementare con finalità compatibili

Tale articolo fa riferimento al trattamento di dati con una finalità diversa ma compatibile con quella per cui i dati sono stati rilevati.

Il paragrafo 1 stabilisce che il trattamento supplementare con finalità compatibili debba essere legittimato dalle norme interne dell'istituzione o dell'organismo in questione.

I paragrafi 2 e 3 fanno riferimento specifico a due situazioni di trattamento supplementare. Il paragrafo 2 autorizza ulteriori trattamenti finalizzati all'osservanza di regolamenti finanziari e di bilancio, mentre il paragrafo 3 vieta ulteriori trattamenti di dati personali rilevati per la sicurezza o il controllo dei sistemi o delle operazioni di trattamento.

L'articolo 6 lascia impregiudicato quanto disposto dall'articolo 18, che stabilisce le condizioni in base alle quali può essere autorizzato il trattamento supplementare con finalità incompatibili.

Articoli 7, 8 e 9: Trasferimento di dati personali

Gli articoli 7, 8 e 9 operano una distinzione fra tre diverse situazioni.

L'articolo 7 fa riferimento al trasferimento di dati personali fra istituzioni e organismi comunitari nonché al loro interno. In questo caso i dati personali sono trasmessi ad un destinatario che è ugualmente soggetto al presente regolamento.

L'articolo 8 fa riferimento al trasferimento di dati personali da un'istituzione o un organismo comunitario ad un destinatario soggetto alle disposizioni della direttiva 95/46/CE.

Gli articoli 7 e 8 lasciano impregiudicato quanto disposto dagli articoli 4, 5 e 6. Essi contengono provvedimenti supplementari di salvaguardia e, nel caso dell'articolo 7, specificano le responsabilità rispettive del responsabile del trattamento e del destinatario.

Articolo 9: Trasferimento di dati personali ad un destinatario non soggetto all'obbligo di fornire un livello adeguato di tutela

L'articolo 9 riprende gli articoli 25 e 26 della direttiva e fa riferimento al trasferimento di dati personali ad un destinatario che non è soggetto né al presente regolamento, né alla direttiva 95/46/CE. Nella maggior parte dei casi si tratterà di trasferimenti di dati personali a paesi terzi. Le disposizioni procedurali dell'articolo 9 sono state per quanto possibile allineate a quelle della direttiva.

Sezione III: Categorie particolari di trattamenti

Articolo 10: Trattamenti riguardanti categorie particolari di dati

Quest'articolo riprende la struttura dell'articolo 8 della direttiva, che comprende:

- da un lato (paragrafo 1) il divieto di trattare dati sensibili, quali quelli atti a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché i dati relativi alla salute e alla vita sessuale;

- dall'altro lato una serie di deroghe relative a esigenze specifiche associate a garanzie appropriate.

Occorre rilevare che lo statuto dei funzionari e degli altri agenti delle Comunità europee contiene già disposizioni relative al divieto d'inserire determinati dati delicati nel fascicolo personale del funzionario. L'articolo 26 dello statuto fa riferimento alle opinioni politiche, religiose o filosofiche di un funzionario. Le altre categorie di dati considerati sensibili dalla direttiva non sono menzionate nello statuto, il quale dovrà a tempo debito allinearsi al presente regolamento.

Le deroghe relative al trattamento di dati sulle condanne penali, di cui all'articolo 8, paragrafo 5 della direttiva, si applicano solo in parte alle istituzioni e agli organismi comunitari.

I paragrafi da 4 a 6 conferiscono inoltre all'autorità comunitaria di controllo la facoltà di decidere in merito ad ulteriori deroghe (paragrafo 4), autorizzare il trattamento di dati pertinenti a reati, condanne penali e provvedimenti cautelativi (paragrafo 5) e stabilire a quali condizioni sia possibile sottoporre a trattamento un numero personale od un altro codice d'identificazione utilizzato in seno ad un'istituzione o ad un organismo comunitario (paragrafo 6).

Un esempio di trattamento di dati personali che può essere autorizzato dal garante europeo della protezione dei dati è il trattamento inteso a prevenire un'utilizzazione non autorizzata delle reti di computer, per esempio perché queste vengono utilizzate per diffondere materiale razzistico o pornografico.

I poteri discrezionali conferiti al garante europeo della protezione dei dati nei paragrafi da 4 a 6 non possono venir utilizzati in modo contrario alle deroghe disposte dal diritto comunitario o da altri strumenti giuridici.

Si propone infine di non inserire nel presente regolamento le facoltà conferite dalla direttiva agli Stati membri in forza dell'articolo 8, paragrafo 5, secondo comma che estende alle sanzioni amministrative e ai procedimenti civili il regime applicabile alle sanzioni penali.

Sezione IV: Informazione dell'interessato

Articolo 11: Informazioni da fornire qualora i dati siano ottenuti dagli interessati

L'articolo 11, paragrafo 1 s'ispira direttamente all'articolo 10 della direttiva.

Sono tuttavia necessarie due osservazioni:

- a proposito di chi tratta l'informazione: il riferimento al rappresentante del responsabile del trattamento di cui all'articolo 10 della direttiva rimanda alla situazione in cui il responsabile sia ubicato in un paese terzo piuttosto che sul territorio comunitario. Tale riferimento è fuori luogo nel presente regolamento, trattandosi d'istituzioni e organismi comunitari;

- a proposito dell'elenco delle informazioni da fornire alle persone interessate: al pari dell'articolo 10 della direttiva, l'articolo 12 del presente regolamento stabilisce un elenco d'informazioni che si propone di integrare l'elenco minimo contenuto nella direttiva.

L'articolo 10 della direttiva non indica specificamente quando deve essere informata la persona interessata. In generale questo avverrà quando vengono raccolti i dati personali. L'articolo 11, paragrafo 2 consente di rinviare l'informazione se questo dovesse risultare necessario per il motivo indicato in tale disposizione.

Articolo 12: Informazioni da fornire qualora i dati non siano ottenuti dagli interessati

Quanto osservato in merito all'articolo 11 si applica parimenti all'articolo 12. Sono state riprese le deroghe all'obbligo d'informazione previste dall'articolo 11 della direttiva, con la precisazione che un'eventuale deroga di questo genere deve basarsi su una norma di diritto comunitario.

Sezione V: Diritto di accesso ai dati da parte degli interessati

Per maggior chiarezza il contenuto dell'articolo 12 della direttiva è stato ripartito fra gli articoli da 13 a 17 del presente regolamento.

Sono state inoltre introdotte alcune precisazioni rispetto all'articolo 12.

Articolo 13: Diritto di accesso

Quest'articolo riprende l'articolo 12, lettera a) della direttiva.

È stata introdotta una modifica riguardante le spese il cui rimborso può essere eventualmente richiesto alla persona che esercita il diritto di accesso: l'articolo 12 della direttiva stabilisce che queste spese non debbano essere eccessive, mentre l'articolo 13 del presente regolamento ne prevede la totale gratuità.

D'altro canto si propone di non avvalersi della facoltà (prevista dalla direttiva) di limitare alle decisioni automatizzate l'obbligo per il responsabile del trattamento d'informare gli interessati in merito alla logica applicata nei trattamenti automatizzati.

Articolo 14: Rettifica

Quest'articolo, come il 15 ed il 16, riguarda uno dei tre provvedimenti che il responsabile del trattamento deve prendere qualora appuri che il trattamento dei dati non è conforme al regolamento. Questi tre articoli del presente regolamento riprendono l'articolo 12, lettera b) della direttiva, seppur con alcune precisazioni.

Articolo 15: Congelamento

Quest'articolo contempla in modo particolareggiato alcune situazioni in cui:

- si dovrebbe procedere all'operazione tecnica in questione: contestazione dell'accuratezza dei dati trattati rispetto alla finalità perseguita, conservazione dei dati come elementi di prova, domanda di congelamento dei dati (che andrebbero altrimenti cancellati) da parte della persona interessata;

- i dati congelati possono essere nuovamente utilizzati.

Articolo 16: Cancellazione

Il paragrafo 1 prescrive la cancellazione dei dati personali trattati in modo illecito, in particolare qualora si sia avuta violazione delle prescrizioni concernenti qualità dei dati, liceità del trattamento e dati delicati.

Il paragrafo 2 ribadisce il principio secondo cui i dati personali sono conservati solo per il tempo necessario a perseguire le finalità per cui sono stati rilevati.

Articolo 17: Notificazione a terzi

Quest'articolo riprende l'articolo 12, lettera c) della direttiva.

Sezione VI: Deroghe e restrizioni

Articolo 18: Deroghe e restrizioni

Quest'articolo riprende in parte l'articolo 13 della direttiva, che lascia agli Stati membri determinate facoltà, le quali, se utilizzate, devono comunque rispondere a talune condizioni relative a:

- diritti degli interessati ed obblighi del responsabile del trattamento, di cui si può limitare la portata: a differenza dell'articolo 13 della direttiva, il presente articolo contiene una deroga all'obbligo d'informare gli interessati (articoli 11 e 12) e al loro diritto di accesso (articolo 13). Le condizioni che rendono possibile la deroga alla qualità dei dati, qualora si tratti di una finalità compatibile, sono già state trattate nell'articolo 6 del presente regolamento, relativo al cambiamento di finalità. Non è peraltro opportuno inserire nell'articolo 18 del presente regolamento un rinvio agli articoli da 14 a 16. L'esercizio dei diritti previsti da tali articoli presuppone che il diritto di accesso sia stato accordato: senza accesso risulta impossibile esercitare i diritti in questione, e qualora invece l'accesso sia stato accordato la deroga a tali diritti risulta ingiustificata;

- ragioni di eventuali restrizioni ai diritti degli interessati: le ragioni relative alla sicurezza dello Stato, alla difesa e alla pubblica sicurezza, elencate nell'articolo 13, paragrafo 1, lettere a), b) e c) della direttiva non sono state riprese in quanto intrinsecamente inapplicabili ad istituzioni ed organismi comunitari;

- garanzie da fornire: l'applicazione dell'articolo 13 della direttiva da parte degli Stati membri presuppone, a termini dell'articolo stesso, che siano stati presi provvedimenti legislativi. Per le istituzioni e gli organismi comunitari detti provvedimenti legislativi sono costituiti dall'articolo 18 del presente regolamento. È inoltre chiaro che l'articolo 13 della direttiva non autorizza una vera e propria deroga, ma una serie di semplici esenzioni e restrizioni da praticare caso per caso. Per questo motivo i paragrafi 3 e 4 del presente articolo prevedono diverse garanzie volte a tutelare la persona cui sia negato il diritto di accesso in casi particolari: l'interessato va informato dei principali motivi per cui gli è stato rifiutato l'accesso, del suo diritto di ricorrere al garante europeo della protezione dei dati e del suo diritto di venir informato a posteriori.

Sezione VII: Diritto di opposizione della persona interessata

Articolo 19: Diritto di opposizione della persona interessata

Quest'articolo riprende l'articolo 14, lettera a) della direttiva, che lascia un margine di discrezione agli Stati membri quanto al campo d'applicazione del diritto in questione. Nel contesto del presente regolamento sono pertanto necessarie alcune precisazioni.

L'articolo 14, lettera b) della direttiva, relativo al diritto di opposizione in caso d'invio di materiale pubblicitario, non riguarda l'attività d'istituzioni ed organismi comunitari.

Occorre parimenti osservare che, quanto al campo d'applicazione del diritto di opposizione quale è definito nell'articolo 14, lettera a) della direttiva, il riferimento ai trattamenti effettuati in forza dell'articolo 7, lettera f) della direttiva - a cui rimanda l'articolo 14, lettera a) della medesima - non è applicabile alle istituzioni e agli organismi comunitari, dal momento che (come già osservato) l'articolo 7, lettera f) non ha efficacia in questo contesto comunitario specifico.

Articolo 20: Diritto dell'interessato a sporgere denuncia

Il diritto di sporgere denuncia rappresenta la contropartita logica del potere di pronunciarsi in merito ad eventuali contenziosi conferito al garante europeo della protezione dei dati in forza dell'articolo 28, paragrafo 4 della direttiva.

Articolo 21: Decisioni individuali automatizzate

Quest'articolo riprende l'articolo 15 della direttiva.

Evidentemente alcuni degli esempi enumerati nell'articolo 15, paragrafo 1 della direttiva in merito alla valutazione di taluni aspetti della personalità sono privi di validità nel particolare contesto del regolamento e non sono stati pertanto ripresi (nella fattispecie la capacità di credito della persona).

Sezione VIII: Riservatezza e sicurezza dei trattamenti

Articolo 22: Riservatezza dei trattamenti

Quest'articolo riprende l'articolo 16 della direttiva.

Non si è giudicato necessario riprendere la possibilità di deroga prevista nella direttiva a proposito degli obblighi giuridici; si sarebbe infatti trattato di un doppione dell'articolo 6 relativo al cambiamento di finalità.

Articolo 23: Sicurezza dei trattamenti

Quest'articolo riprende l'articolo 17, paragrafo 1 della direttiva apportandovi alcuni chiarimenti.

Il paragrafo 1 del presente articolo riprende l'articolo 17, paragrafo 1, secondo comma della direttiva.

Il paragrafo 2 verte sui provvedimenti di sicurezza da prendere in caso di trattamento manuale dei dati.

Il paragrafo 3 chiarisce l'articolo 17, paragrafo 1, primo comma della direttiva, la cui formulazione è molto generale. Il paragrafo 3 s'ispira a diverse raccomandazioni recentemente adottate dal Consiglio d'Europa in materia di protezione dei dati, nonché al testo della convenzione di applicazione dell'accordo di Schengen (articolo 118).

Risulta in pratica evidente che i necessari provvedimenti di sicurezza s'inseriranno nel quadro di quelli di portata più generale che istituzioni ed organismi hanno già preso in tema di sicurezza dei sistemi d'informazione (si veda ad esempio la decisione della Commissione del 23 novembre 1995 che mira a proteggere l'integrità, la riservatezza e la disponibilità dei sistemi d'informazione).

Articolo 24: Trattamento dei dati personali per conto del responsabile del trattamento

Quest'articolo riprende l'articolo 17, paragrafi da 2 a 4 della direttiva.

Sezione IX: Responsabile della protezione dei dati

Articolo 25: Responsabile della protezione dei dati

Quest'articolo stabilisce che ogni istituzione od organismo nomini un responsabile della protezione dei dati, cui spetta il compito di garantire in modo indipendente una efficace protezione dei dati in seno all'istituzione o all'organismo in questione.

L'articolo 18, paragrafo 2 della direttiva prevede la nomina facoltativa di responsabili della protezione dei dati da parte degli Stati membri. In forza di questo stesso articolo tale nomina rende possibili alcune semplificazioni, tra cui l'esonero dall'obbligo di notificare i trattamenti al garante europeo della protezione dei dati.

A questo proposito la direttiva rispecchia una prassi ormai consolidata in taluni Stati membri, che consente un'efficace tutela delle persone.

Giova fare alcune osservazioni circa la nomina del responsabile della protezione dei dati, le sue funzioni, le garanzie previste per consentirgli di assolvere tali funzioni, i rapporti con l'autorità di controllo.

- Nomina del responsabile della protezione dei dati: ogni istituzione od organismo deve nominare almeno un responsabile della protezione dei dati. Alcune istituzioni (come ad esempio la Commissione) dovranno probabilmente nominarne più di uno, in funzione del volume delle operazioni di trattamento di dati personali che devono effettuare.

- Funzioni del responsabile della protezione dei dati: sua funzione principale (descritta nel paragrafo 1 del presente articolo, la cui formulazione s'ispira direttamente a quella della direttiva) è garantire un'efficace protezione dei dati in seno all'organizzazione di cui fa parte e tenere un registro dell'insieme delle operazioni di trattamento da essa effettuate. L'articolo dà risalto al compito del responsabile d'informare sia le persone interessate dai trattamenti che i responsabili del trattamento circa diritti ed obblighi rispettivi in tema di protezione dei dati. Tale informazione costituisce il primo requisito per una corretta applicazione della protezione della direttiva, come dimostra il fatto che tale punto figuri al primo trattino del paragrafo 1, il quale tuttavia non aggiunge nulla di sostanziale al testo più generale della direttiva. D'altro lato il responsabile della protezione dei dati dispone di varie possibilità più specifiche per assolvere i suoi compiti: può presentare proposte volte a migliorare la protezione dei dati in seno all'istituzione o all'organismo di cui fa parte e può essere consultato dall'autorità che lo ha nominato, dai responsabili del trattamento o dal comitato del personale. Il responsabile della protezione dei dati è inoltre tenuto a cooperare con il garante europeo della protezione dei dati (secondo trattino). L'obbligo di cui al quinto trattino è inteso a facilitare l'identificazione delle operazioni di trattamento che presentano rischi specifici grazie ad una verifica da parte del garante europeo della protezione dei dati.

- Garanzie che permettono l'esercizio delle funzioni del responsabile della protezione dei dati: le garanzie previste nell'articolo mirano tutte a consolidare per quanto possibile il requisito fondamentale che deve caratterizzare il mandato dell'incaricato quale descritto dalla direttiva, cioè la sua indipendenza.

Articoli 26 e 27: Notificazione al responsabile della protezione dei dati

Nell'interesse della trasparenza l'articolo 27 prevede che, conformemente al testo della direttiva, il responsabile della protezione dei dati tenga un registro pubblico delle operazioni di trattamento effettuate in seno all'istituzione o all'organismo di cui fa parte.

Per poter assolvere correttamente tale funzione il responsabile della protezione dei dati deve ricevere notifica dei tale operazioni dal responsabile dei medesimi, prima che quest'ultimo proceda ad effettuarle.

L'elenco delle informazioni da fornire al responsabile della protezione dei dati è ripreso all'articolo 19, paragrafo 1 della direttiva, cui fa parimenti riferimento l'articolo 21, paragrafo 2 della direttiva.

La direttiva fornisce un elenco di minima. Per garantire una maggiore trasparenza dei trattamenti effettuati dalle istituzioni e dagli organismi si propone di aggiungere a detto elenco le informazioni relative alla base giuridica dei trattamenti (per esempio, le norme di diritto comunitario che stabiliscono la necessità del trattamento) ed ai limiti di tempo per la conservazione dei dati. Giova inoltre ricordare che ad istituzioni ed organismi comunitari non è applicabile il riferimento al rappresentante del responsabile del trattamento di cui all'articolo 19, paragrafo 1, lettera a) della direttiva.

Sezione X: Controllo preliminare da parte del garante europeo della protezione dei dati

Articolo 28: Controllo preliminare da parte del garante europeo della protezione dei dati

Quest'articolo è equivalente all'articolo 20 della direttiva.

La direttiva prescrive su un controllo selettivo della liceità dei trattamenti in funzione dei rischi che possono presentare per i diritti delle persone:

- la notificazione dei trattamenti all'autorità può in generale essere semplificata, quando non addirittura tralasciata, a determinate condizioni, segnatamente quando si è provveduto a nominare un responsabile della protezione dei dati;

- la notificazione resta necessaria, arrivando ad assumere anche la forma di un controllo preventivo, per i trattamenti che presentano rischi specifici.

Il presente regolamento trae le conseguenze dell'istituzione di un responsabile della protezione dei dati presso istituzioni ed organismi comunitari, restringendo ai soli trattamenti che presentano rischi specifici l'obbligo di notificazione all'autorità garante.

Avvalendosi della facoltà offerta dall'articolo 20, paragrafo 2 della direttiva i trattamenti a rischio andranno notificati all'autorità garante dal responsabile della protezione dei dati che opera nell'ambito di ogni istituzione od organismo.

L'articolo 20, paragrafo 1, della direttiva stabilisce che spetta agli Stati membri indicare i trattamenti potenzialmente atti a presentare rischi specifici. Il considerando n. 53 prevede la possibilità d'inserire tali indicazioni nella normativa nazionale, se gli Stati membri lo desiderano, lasciando comunque alle stesse autorità di controllo la possibilità di arrivare ad una propria idea dei trattamenti che presentano rischi specifici. Il presente articolo adotta questa seconda soluzione, conferendo all'autorità garante il compito di definire i trattamenti che presentano rischi specifici. Diversi esempi, ispirati al considerando n. 53, figurano comunque nel testo stesso dell'articolo.

Sulla falsariga del considerando n. 54 il paragrafo 3 del presente articolo dispone che l'autorità garante cui sia stato notificato un trattamento atto a comportare rischi specifici esprima un parere sulla liceità del trattamento previsto. Spetta all'istituzione o all'organismo notificante trarne le conseguenze di natura operativa.

Capo III: Ricorsi giurisdizionali e sanzioni

Articoli 29 e 30

Si tratta di disposizioni che riprendono rispettivamente quelle degli articoli 22, 23 e 24 della direttiva. In una Comunità di diritto è di fondamentale importanza che i diritti conferiti all'individuo possano essere esercitati anche quando essi siano violati da un'istituzione o da un organismo comunitario. In forza delle norme del trattato che disciplinano la responsabilità extracontrattuale della Comunità quest'ultima deve risarcire i danni cagionati dalle sue istituzioni o dai suoi agenti nell'esercizio delle loro funzioni, mentre la Corte di giustizia è competente a conoscere delle controversie relative al risarcimento di tali danni.

Capo IV: Protezione dei dati personali e della vita privata nell'ambito delle reti interne di telecomunicazioni

Questo capo riprende le disposizioni della direttiva 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni, se ed in quanto esse si prestano ad essere applicate ad istituzioni ed organismi comunitari. La maggior parte delle disposizioni ha dovuto essere adattata alle circostanze specifiche delle istituzioni e degli organismi comunitari.

Articolo 31: Campo d'applicazione

Il campo d'applicazione di questo capo è limitato alle reti di telecomunicazioni il cui esercizio ricade sotto il controllo d'istituzioni od organismi comunitari. Gli articoli da 31 a 38 sono pertanto applicabili soltanto se le istituzioni e gli organismi comunitari sono in grado di determinare le condizioni d'esercizio delle reti di telecomunicazioni in questione.

Articolo 32: Sicurezza

Questa disposizione riprende l'articolo 4 della direttiva 97/66/CE.

Qualora una linea o una rete di telecomunicazioni abbiano un collegamento con una rete accessibile al pubblico oppure siano noleggiate dal fornitore di una rete ad accesso pubblico o gestite in cooperazione con quest'ultimo potrebbe risultare necessario che l'istituzione o l'organismo comunitario collabori con il fornitore della rete o del servizio in questione per garantire un livello sufficiente di sicurezza.

Articolo 33: Riservatezza

Questa disposizione riprende l'articolo 5 della direttiva 97/66/CE.

Nel perseguire le finalità di cui all'articolo 35 potrebbe in determinati casi rivelarsi necessario vigilare sull'uso di una particolare rete di telecomunicazioni. Ne sono un esempio la conservazione di certi dati attinenti alle chiamate telefoniche a fini di fatturazione o la vigilanza sull'uso dell'accesso Internet fornito ai funzionari delle istituzioni e degli organismi comunitari. Conformemente ai principi generali del presente regolamento la portata delle intercettazioni o della vigilanza in oggetto dovrebbe restare quanto più limitato possibile.

Articolo 34: Dati relativi al traffico e alla fatturazione

Questa disposizione riprende l'articolo 6 della direttiva 97/66/CE.

L'articolo 35 specifica i limiti delle operazioni di trattamento di dati personali a fini di gestione della fatturazione, del traffico o del bilancio.

Articolo 35: Repertori di utenti

Questa disposizione riprende l'articolo 11 della direttiva 97/66/CE.

Per garantire il regolare funzionamento d'istituzioni ed organismi comunitari agli utenti (cioè in genere ai funzionari) non è stato accordato il diritto di essere omessi dai repertori. I loro dati personali riportati da questi repertori si limitano allo stretto necessario per le finalità del repertorio. Questo implica per quanto riguarda i dati particolareggiati il funzionario deve poter decidere se questi dati devono essere inclusi o no. Un esempio è il diritto di chiedere che in un repertorio non figurino tutti i nomi che ha ricevuto alla nascita, bensì solo il nome con il quale il funzionario è conosciuto ai suoi colleghi, purché non si tratti di uno pseudonimo.

Articolo 36: Identificazione dell'emittente o del destinatario della chiamata

Questa disposizione riprende l'articolo 8 della direttiva 97/66/CE. L'articolo 8, paragrafo 3 di tale direttiva non è stato tuttavia ripreso dato che non si ritiene adeguato respingere la chiamata di un collega nell'ambito delle istituzioni e organismi comunitari.

Articolo 37: Deroghe

Questa disposizione riprende l'articolo 9 della direttiva 97/66/CE.

Capo V: Autorità di controllo: il garante europeo della protezione dei dati

Articoli da 38 a 47

L'autorità di controllo è stata modellata, coi necessari cambiamenti, sull'articolo 28 della direttiva, che fornisce chiare indicazioni sull'indipendenza delle autorità di controllo istituite a livello nazionale nonché sui poteri di cui devono disporre. Se ed in quanto la predetta disposizione costituisce una serie di obblighi a carico degli Stati membri l'articolo 286 del trattato stabilisce che i medesimi obblighi valgano per istituzioni ed organismi comunitari.

Articolo 39: Nomina del garante europeo della protezione dei dati

Per quanto riguarda le modalità di nomina dell'autorità di controllo la soluzione prescelta ricalca le norme relative al mediatore europeo (articolo 195 del trattato). A parere del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall'articolo 29 della direttiva, la nomina dell'autorità da parte del Parlamento europeo rappresenta la soluzione appropriata. Tuttavia, contrariamente a quanto avviene per la nomina del mediatore europeo, il Parlamento europeo è tenuto a consultare la Commissione ed il Consiglio.

Articolo 46: Poteri del garante europeo della protezione dei dati

Il potere d'intervenire nelle azioni giudiziarie dinanzi alla Corte di giustizia e al Tribunale di primo grado di cui all'articolo 46, paragrafo 2, lettera e) "recepisce" l'articolo 28, paragrafo 3, terzo trattino della direttiva.

L'articolo 46, paragrafo 7 recepisce l'ultimo paragrafo dell'articolo 28, paragrafo 1 della direttiva. Sarà necessario un emendamento del regolamento di procedura della Corte di giustizia e del Tribunale di primo grado per consentire loro di procedere contro il garante europeo della protezione dei dati.

Disposizioni finali

Articolo 48

Questa disposizione riprende l'articolo 32, paragrafo 2, della direttiva e stabilisce un periodo transitorio affinché le operazioni di trattamento in corso siano rese conformi al regolamento. Il termine proposto è di un anno invece di tre.

SCHEDA FINANZIARIA

1. Denominazione dell'iniziativa

Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.

2. Linea di bilancio

Nuovo capitolo 39 (da costituire) della sezione 1 (PE), titolo 3 del bilancio generale.

3. Base giuridica

Articolo 286 del trattato che istituisce la Comunità europea, quale inserito nel trattato di Amsterdam.

Articolo 286

1. A decorrere dal 1 gennaio 1999 gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché della libera circolazione di tali dati si applicano alle istituzioni ed agli organismi istituiti dal presente trattato sulla base del medesimo.

2. Anteriormente alla data di cui al paragrafo 1, il Consiglio, deliberando secondo la procedura di cui all'articolo 251, istituisce un organo di controllo indipendente incaricato di sorvegliare l'applicazione di detti atti alle istituzioni ed agli organismi comunitari e adotta, se del caso, tutte le altre pertinenti disposizioni.

4. Descrizione dell'iniziativa

4.1 Obiettivo generale

1. Costituzione di un organismo indipendente di vigilanza corrispondente a quanto prescritto dal nuovo articolo 286, paragrafo 2 del trattato CE (il garante europeo della protezione dei dati o GEPD; si veda l'allegato 1), incaricato di vigilare sull'applicazione delle norme e dei principi attinenti alla protezione dei dati nell'ambito d'istituzioni ed organismi comunitari.

2. Nomina di uno o più responsabili della protezione dei dati (RPD) in ogni istituzione od organismo comunitario (si vedano gli allegati 2a e 2b).

4.2 Periodo previsto per l'iniziativa e modalità di rinnovo o proroga

Queste strutture avranno carattere permanente.

5. Classificazione delle spese/entrate

5.1 Spese non obbligatorie

5.2 Stanziamenti non dissociati

5.3 Tipo di entrate previste

- -

6. Natura delle spese/entrate

Spese amministrative.

7. Incidenza finanziaria

Si veda il paragrafo 10.

8. Disposizioni antifrode previste (e risultati dei provvedimenti presi)

Saranno rigorosamente applicate le norme ed i procedimenti che disciplinano l'acquisizione di beni e servizi ad uso delle Comunità, conformemente al regolamento finanziario applicabile al bilancio generale delle Comunità europee, al regolamento sulle modalità d'attuazione del regolamento finanziario ed alle norme interne.

Le pertinenti clausole di tutela verranno inserite in tutti gli accordi e contratti stipulati tra il garante europeo della protezione dei dati o altri organismi od istituzioni comunitari e i contraenti.

In tutti i contratti e gli accordi saranno sistematicamente inclusi provvedimenti di controllo, quali la stesura di rapporti con cadenza regolare e la valutazione di risultati tangibili predeterminati a conclusione di fasi predeterminate dei lavori. Prima che sia autorizzato qualsiasi pagamento si procederà a verificare i risultati effettivamente conseguiti.

9. Elementi d'analisi costo-efficacia

9.1 Obiettivi specifici e quantificabili, beneficiari

- Obiettivi specifici:

Garantire l'entrata in vigore, l'applicazione ed il controllo di norme in tema di protezione dei dati nell'ambito d'istituzioni ed organismi comunitari (in ottemperanza all'obbligo disposto dal nuovo articolo 286 del trattato CE).

- Beneficiari:

Tutte le persone fisiche i cui dati personali siano oggetto di operazioni di trattamento da parte d'istituzioni ed organismi comunitari. Le norme stabilite nel regolamento recheranno giovamento alla Comunità in generale, ai dipendenti d'istituzioni ed organismi comunitari, a cittadini e contraenti che operino per la Comunità, i quali possono tutti risentire del livello di protezione dei dati esistenti in istituzioni ed organismi comunitari.

9.2 Giustificazione dell'iniziativa

In quanto istituito in base al nuovo articolo 286 del trattato CE il GEPD costituirà un organismo comunitario, e come tale sarà finanziato dal bilancio della Comunità.

- Scelta delle modalità d'intervento

* vantaggi rispetto a possibili alternative:

GEPD

Il nuovo articolo 286 del trattato CE prescrive l'istituzione del GEPD. Il GEPD non formerà parte della Commissione ma costituirà un nuovo organismo comunitario indipendente, che svolgerà i suoi compiti a livello interistituzionale, vale a dire esercitando la vigilanza su ogni altra istituzione od organismo comunitario. La Commissione ha stimato sia il numero di funzionari che andranno destinati a questo compito (si veda il punto 10.1) che l'impatto finanziario (si veda il punto 10.2). L'unico punto di riferimento che la Commissione ha avuto nel stabilire tali dati sono state le autorità nazionali preposte alla protezione dei dati, che tuttavia non risultano integralmente confrontabili al GEPD poiché a differenza di quest'ultimo esse in genere esercitano la propria vigilanza tanto sul settore pubblico quanto su quello privato. Inoltre il numero delle istituzioni e degli organismi comunitari è di gran lunga inferiore a quello delle autorità pubbliche nazionali. Da tale confronto risulta chiaro che vi sono buoni motivi perché l'organico dell'ufficio del GEPD sia inferiore a quello delle autorità nazionali suddette. D'altro canto il volume di lavoro relativo ad alcuni dei compiti del GEPD non dipende dalle dimensioni delle istituzioni o degli organismi interessati, né dal numero delle operazioni di trattamento che essi effettuano.

RPD

La proposta di regolamento prevede che ogni istituzione ed organismo comunitario nomini almeno un RPD.

Per quanto riguarda le istituzioni e gli organismi diversi dalla Commissione, questi sono stati consultati e le loro stime sono state inserite nella scheda finanziaria. Il segretariato generale del PE ha reso noto che spetta ad ogni istituzione ed organismo stimare le proprie necessità, e che non esprimerà pertanto un parere in merito alle nostre stime.

Per quanto riguarda i servizi della Commissione si prevede di nominare un RPD per ogni servizio della Commissione facendo ricorso al personale esistente, piuttosto che nominare uno o più RPD a tempo pieno per l'intera Commissione. Le cifre riportate nella presente scheda finanziaria si basano su questa ipotesi.

Vi sono diversi motivi per assegnare un RPD ad ogni servizio della Commissione. I servizi della Commissione costituiscono infatti entità organizzative separate, e la natura delle operazioni di trattamento dati può presentare enormi variazioni in ciascuno di essi. Un RPD deve possedere una conoscenza particolareggiata di quanto avviene nel settore della protezione dei dati all'interno del servizio cui è responsabile. In uno dei servizi della Commissione (DG XV) è stato portato a termine con successo un progetto pilota su queste linee. In seguito all'entrata in vigore del regolamento l'esperienza potrebbe dimostrare che alcuni servizi dovranno usufruire di maggiori risorse di RPD, ed altri di minori.

I servizi nomineranno il RPD tra i membri del proprio organico attuale; la persona prescelta dovrà dedicare soltanto una parte ridotta del proprio tempo di lavoro (valutata in media al 5%) ai compiti di RPD. Si prevede inoltre che il RPD del Segretariato generale sia responsabile per il coordinamento delle attività di tutti gli RPD della Commissione. In considerazione di questi compiti aggiuntivi di coordinamento questo RPD "perno" dovrà dedicare più del 5% del proprio tempo di lavoro a tale incarico, arrivando forse addirittura al 25%. Anche alcuni altri servizi hanno dichiarato di aver bisogno di un po' più del 5% (abbiamo valutato i fabbisogni di tali servizi al 10% anziché al 5%).

Esperti esterni in tema di protezione dei dati

La Commissione raccomanda inoltre che, almeno nelle fasi iniziali, il RPD possa usufruire del sostegno e dei consigli di esperti esterni in tema di trattazione dei dati. Contrariamente a quanto fatto nell'ambito del modello utilizzato dalla DG XV, il cui RPD viene assistito dai "propri" esperti esterni, la scheda finanziaria si basa su tre esperti esterni a tempo pieno per l'intera Commissione.

* analisi delle iniziative analoghe eventualmente attuate a livello comunitario o nazionale

L'idea di un supporto infrastrutturale del GEPD da parte della struttura organizzativa del Parlamento europeo si basa sull'organizzazione del mediatore europeo.

Per quanto riguarda gli RPD sono servite da esempio l'esperienza della DG XV nonché le prassi seguite a livello nazionale.

* effetti derivati e moltiplicatori previsti

Nessuno. Questo aspetto è stato discusso con la direzione informatica: software e metodologie sono già disponibili oggi, cosicché non sono previste spese aggiuntive.

- Principali fattori aleatori atti ad incidere sui risultati specifici dell'iniziativa

La scheda finanziaria si basa sull'ipotesi che il GEPD disponga del necessario supporto infrastrutturale, fornitogli dal Parlamento europeo (si veda l'allegato 1).

9.3 Controllo e valutazione dell'azione

- Indicatori d'efficacia prescelti

* indicatori di output (misura delle attività intraprese)

Il GEPD elaborerà un rapporto annuo. Il livello d'attività del GEPD risulterà tra l'altro (si veda l'articolo 37 della proposta di regolamento) da: 1) il numero di denunce ricevute o sporte di propria iniziativa, 2) il numero di decisioni prese, 3) il numero di verifiche svolte.

Per quanto riguarda i RPD: rapporti sulle attività svolte.

* indicatori d'impatto (in funzione degli obiettivi perseguiti)

1. Denunce seguite da condanne a carico d'istituzioni ed organismi comunitari.

2. Livello di rispetto delle norme, valutato in base alle verifiche effettuate.

- Modalità e cadenza previste dalla valutazione

Le valutazioni dovranno basarsi sui rapporti annuali. Il RPD "perno" coordinerà le attività degli altri RPD ed inoltre il GEPD vigilerà sul loro lavoro e li consiglierà in merito alla corretta applicazione delle norme.

10. Spese amministrative (sezione III, parte A del bilancio)

L'effettiva mobilitazione delle necessarie risorse amministrative dipenderà dalle decisioni prese annualmente dalle istituzioni o dagli organismi in questione in merito alla destinazione delle risorse, tenendo conto dell'organico e dei fondi autorizzati dall'autorità di bilancio.

Per quanto riguarda le valutazioni della Commissione dell'impatto dell'istituzione del GEPD, queste sono solo indicative e preliminari. Esse non pregiudicano i costi che potrebbe stimare il Parlamento europeo, tenuto conto che il segretariato generale del Parlamento europeo ha informato i servizi della Commissione che spetta ad ogni istituzione valutare i propri fabbisogni e che non intende esprimersi sulle valutazioni formulate dalla Commissione.

10.1 Ripercussioni sul numero di posti

>SPAZIO PER TABELLA>

GEPD (si veda l'allegato 1)

>SPAZIO PER TABELLA>

RPD della Commissione (si veda l'allegato 2b)

>SPAZIO PER TABELLA>

RPD di altre istituzioni ed organismi (si veda allegato 2c)

>SPAZIO PER TABELLA>

TOTALE COMPLESSIVO

>SPAZIO PER TABELLA>

10.2 Impatto finanziario globale delle risorse umane aggiuntive

La valutazione dell'impatto finanziario è effettuata sulla base del costo medio di un funzionario della Commissione a Bruxelles (grado A-1, A-2, A-4, A-5 e A-7).

GEPD

>SPAZIO PER TABELLA>

RPD della Commissione

>SPAZIO PER TABELLA>

RPD: altre istituzioni ed organismi

>SPAZIO PER TABELLA>

TOTALE COMPLESSIVO

>SPAZIO PER TABELLA>

10.3 Aumento di altre spese amministrative in seguito all'iniziativa

L'incidenza degli altri costi potenziali per il GEPD dipende dalla misura in cui il GEPD può venir integrato nell'esistente infrastruttura del Parlamento europeo (si veda l'allegato 1). La stima delle conseguenze che avrà per il Parlamento europeo (PE) la proposta d'integrare amministrativamente nella sua organizzazione l'ufficio del GEPD deve ancora essere confermata dal PE stesso.

Allegato 1

Ufficio del garante europeo della protezione dei dati

I dati relativi all'ufficio del GEPD si basano sull'ipotesi che sia possibile ottenere i servizi descritti nel seguito integrando l'ufficio del GEPD nell'esistente infrastruttura del Parlamento europeo, in modo analogo a quanto si è fatto per il mediatore europeo.

- Traduzione

- Interpretazione

- Mansioni amministrative quali: amministrazione di missioni, formazione professionale, personale (assunzione, esami medici, paga, questioni sociali, carriera, ecc.), aspetti mobiliari, automazione degli uffici, sviluppo dell'informatica (attrezzature e capacità), servizi postali, comunicazioni, trasporti, arredamenti, fotocopiatrici, forniture d'ufficio, servizi d'usciere, autisti, traslocatori, sale di riunione.

- Comunicazione: telefoni e fax, sistemi elettronici di trasferimento della documentazione, PC e stampanti, accesso a basi dati.

- Sicurezza

- Uffici esterni

- Stampa e PR

- Pubblicazioni: rapporto annuo, distribuzione di documentazione, stampa

- Acquisto di pubblicazioni ed abbonamento a periodici

L'organico complessivo sarà probabilmente di:

Grado 1: 6

Grado B: 2

Grado C: 2

Totale: 10

Allegato 2a

Responsabile della protezione dei dati

I funzionari nominati RPD dedicheranno soltanto una parte (valutata in media tra il 5% e il 10%; si veda punto 9.2) del loro tempo di lavoro ai loro compiti di RPD. Essi possono chiedere l'assistenza di esperti esterni in tema di protezione dei dati, i quali potranno fornire loro sostegno e consulenza.

Compiti e responsabilità dei RPD sono elencati nel seguito; per quanto riguarda tutti questi aspetti peraltro gli RPD potranno avvalersi dei consigli degli esperti esterni in tema di protezione dei dati.

I responsabili della protezione dei dati dovranno provvedere a:

- Garantire che i responsabili del trattamento e gli interessati siano informati in merito a diritti ed obblighi rispettivi;

- cooperare con il garante europeo della protezione dei dati su richiesta di quest'ultimo o di propria iniziativa;

- garantire in modo indipendente l'applicazione delle norme del regolamento e di ogni altra disposizione approvata per attuarle all'interno delle organizzazioni di cui fanno parte;

- tenere il registro delle operazioni di trattamento effettuate dal responsabile del trattamento stesso;

- formulare raccomandazioni per migliorare sotto il profilo pratico la protezione dei dati;

- consigliare l'istituzione o l'organismo comunitario che li ha nominati ed il responsabile del trattamento interessato su aspetti relativi all'applicazione delle disposizioni in tema di protezione dei dati;

- indagare, di propria iniziativa ovvero su richiesta dell'istituzione o dell'organismo comunitario che li ha nominati, del responsabile del trattamento, del comitato del personale o della persona interessati, questioni ed avvenimenti direttamente pertinenti ai propri compiti che siano pervenuti alla sua attenzione;

- fornire consulenze all'istituzione o all'organismo comunitario che li ha nominati, al responsabile del trattamento interessato, al comitato del personale interessato ed a qualunque individuo, senza passare per i canali ufficiali, in merito a qualsiasi aspetto concernente l'interpretazione o l'applicazione del regolamento.

Gli RPD dovranno, almeno inizialmente, potersi avvalere di consigli indipendenti di esperti esterni in tema di protezione dei dati. Questi aspetti esterni forniranno consulenze, nei tempi e nei modi richiesti dal RPD, in merito agli aspetti giuridici, organizzativi e tecnici della protezione dei dati personali, nell'intento di coadiuvare i RPD nell'esecuzione di tutte le loro funzioni.

Più in particolare gli esperti esterni potranno dare consigli per quanto riguarda:

- la tenuta del registro delle operazioni di trattamento, che contiene dati personali;

- la valutazione dei rischi che tali operazioni presentano per la sfera privata degli interessati, e

- i modi per ovviare a tali rischi, tenendo presente la necessità di contribuire allo sviluppo di precise linee guida per le pratiche ottimali che possano a tempo debito essere applicate da altri servizi della Commissione.

I principali settori in cui si dovrà probabilmente far ricorso ai consigli ed all'esperienza degli esperti a questo proposito sono:

(a) qualità dei dati richiesti;

(b) esercizio dei diritti delle persone interessate;

(c) nuovi sistemi informatici;

(d) trattamenti esterni ed affidati a terzi;

(e) familiarizzazione e formazione del personale;

(f) elaborazione di linee guida;

(g) riservatezza e provvedimenti di sicurezza;

(h) rapporto sulle attività svolte.

Allegato 2b

Responsabili della protezione dei dati nei servizi della Commissione

- Segretariato generale

- Task force giustizia e affari interni

- OLA

- Ispettorato generale

- Servizio giuridico

- Servizio del portavoce

- Servizio comune degli interpreti di conferenza

- Ufficio statistico

- Servizio di traduzione

- Direzione informatica

- DG I: Relazioni esterne: Politica commerciale e relazioni con l'America del nord, l'Estremo oriente, l'Australia e la Nuova Zelanda

- DG IA: Relazioni esterne: Europa e Nuovi Stati indipendenti, politica estera di sicurezza comune, servizio esterno

- DG IB: Relazioni esterne: Mediterraneo del sud, medio e vicino oriente, America latina, Asia del sud e del sud-est e cooperazione nord-sud

- DG II: Affari economici e finanziari

- DG III: Industria

- DG IV: Concorrenza

- DG V: Occupazione, relazioni industriali e affari sociali

- DG VI: Agricoltura

- DG VII: Trasporti

- DG VIII: Sviluppo

- DG IX: Personale ed amministrazione

- DG X: Informazione, comunicazione, cultura, audiovisivo

- DG XI: Ambiente, sicurezza nucleare e protezione civile

- DG XII: Affari scientifici, ricerca e sviluppo, centri comuni di ricerca

- DG XIII: Telecomunicazioni, mercato dell'informazione e valorizzazione della ricerca

- DG XIV: Pesca

- DG XV: Mercato interno e servizi finanziari

- DG XVI: Politica regionale e coesione

- DG XVII: Energia

- DG XIX: Bilanci

- DG XX: Controllo finanziario

- DG XXI: Sistema fiscale e unione doganale

- DG XXII: Istruzione, formazione e gioventù

- DG XXIII: Politica delle imprese, commercio, turismo ed economia sociale

- DG XXIV: Politica dei consumatori e tutela della loro salute

- Ufficio umanitario della Comunità europea (ECHO)

- Task Force per i negoziati d'adesione (TFNA)

- Agenzia d'approvvigionamento dell'EURATOM

- Ufficio delle Pubblicazioni ufficiali delle Comunità europee

- Servizio Comune Relax (SCR)

Totale = 40.

Come già spiegato al paragrafo 9.2, è previsto che ogni servizio della Commissione nomini un proprio RPD ricorrendo agli effettivi di cui già dispone piuttosto che nominare uno o più RPD per la Commissione nel suo insieme. Le cifre riportate nella presente scheda finanziaria si basano su tale ipotesi. Si ritiene che in media occorra il 5% di un funzionario a tempo pieno per ogni servizio. Alcuni servizi avranno bisogno di più del 5%, altri meno. Alcuni servizi hanno già dichiarato che hanno bisogno di più del 5%, e i loro fabbisogni sono stati stimati al 10%. Questi dati portano ad un totale di 2,40 funzionari a tempo pieno per l'intera Commissione. Si prevede inoltre che il RPD del Segretariato generale sia anche responsabile del coordinamento delle attività di tutti gli altri servizi della Commissione; a causa del lavoro aggiuntivo che ciò comporta la persona in questione spenderà più del 5% del suo tempo di lavoro per tale incarico, arrivando forse al 25%. Questo dato è già compreso nella stima di 2,40 funzionari.

È inoltre previsto, almeno nella fase iniziale, di stipulare contratti con esperti esterni (3 consulenti a tempo pieno per l'intera Commissione).

Allegato 2c

Responsabili della protezione dei dati in istituzioni ed organismi esterni alla Commissione

Parlamento europeo 2,0Mediatore europeo 1,0Consiglio dell'Unione europea 2,0Corte di giustizia 1,0Corte dei conti 1,0Banca europea per gli investimenti 1,0Comitato economico e sociale 1,0Comitato delle regioni 1,0Banca centrale europea 1,0CEDEFOP - Centro europeo per lo sviluppo della formazione professionale 0,5Fondazione europea per il miglioramento delle condizioni di vita e di lavoro 0,5Agenzia europea dell'ambiente 0,5Fondazione europea per la formazione professionale 0,5Osservatorio europeo delle droghe e delle tossicodipendenze 0,5Agenzia europea di valutazione dei medicinali 0,5Ufficio per l'armonizzazione nel mercato interno (marchi, disegni e modelli) 0,5Agenzia per la salute e la sicurezza sul luogo di lavoro 0,5Ufficio europeo delle varietà vegetali 0,5Centro di traduzione degli organi dell'Unione 1,0Osservatorio europeo contro il razzismo e la xenofobia 0,5

Totale = 17 (funzionari a tempo pieno x EUR 108 000).

A prescindere dagli RPD insediati presso le istituzioni e gli organismi di cui sopra occorre prospettare anche la possibilità di contratti con esperti esterni in tema di protezione dei dati. Si stima che ogni istituzione od organismo dovrà destinare alla protezione dei dati in media 22 giornate lavorative all'anno. Tale cifra risulta comparabile a quella stabilita per i singoli servizi della Commissione. Il costo medio per ogni servizio di tali contratti è valutato a EUR 13 750 all'anno.