This document is an excerpt from the EUR-Lex website
Document 52012XX0630(01)
Executive summary EDPS Opinion of 7 March 2012 on the data protection reform package
Sintesi del parere del GEPD, del 7 marzo 2012 , sul pacchetto di riforma della protezione dei dati
Sintesi del parere del GEPD, del 7 marzo 2012 , sul pacchetto di riforma della protezione dei dati
GU C 192 del 30.6.2012, p. 7–15
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
30.6.2012 |
IT |
Gazzetta ufficiale dell'Unione europea |
C 192/7 |
Sintesi del parere del GEPD del 7 marzo 2012 sul pacchetto di riforma della protezione dei dati
(Il testo completo del presente parere è reperibile in EN, FR e DE sul sito web del GEPD http://www.edps.europa.eu)
2012/C 192/05
Il 25 gennaio 2012 la Commissione ha adottato un pacchetto di misure per la riforma delle norme dell’UE in materia di protezione dei dati, che comprende una proposta di regolamento contenente il quadro normativo generale in materia di protezione dei dati e una proposta di direttiva sulla protezione dei dati nel settore delle attività di contrasto.
Il 7 marzo 2012 il Garante europeo della protezione dei dati (GEPD) ha adottato un parere che contiene un commento dettagliato su entrambe le proposte legislative. Il testo completo del parere è reperibile sul sito web del GEPD all’indirizzo seguente: http://www.edps.europa.eu
Nel parere il GEPD illustra brevemente il contesto delle proposte e fornisce la sua valutazione generale.
Il GEPD si compiace della proposta di regolamento poiché costituisce un enorme passo in avanti per la protezione dei dati in Europa. Le norme proposte rafforzeranno i diritti degli individui e responsabilizzeranno maggiormente i responsabili del trattamento sul modo di trattare i dati personali. Inoltre, il ruolo e i poteri delle autorità di controllo nazionali (separatamente e congiuntamente) ne risultano realmente rafforzati.
Il GEPD si compiace, in particolare, del fatto che per il quadro generale sulla protezione dei dati sia stato proposto lo strumento del regolamento. Il regolamento proposto sarebbe direttamente applicabile negli Stati membri ed eliminerebbe le numerose complessità e incoerenze derivanti dalle varie disposizioni nazionali di attuazione in vigore.
Il GEPD, tuttavia, è seriamente deluso dalla proposta di direttiva per la protezione dei dati nel settore dell’applicazione della legge. Il GEPD si rammarica che la Commissione abbia scelto di regolamentare questa materia con uno strumento giuridico autonomo che fornisce un livello di protezione inadeguato, di gran lunga inferiore a quello della proposta di regolamento.
Un elemento positivo della direttiva proposta è il fatto che essa disciplina il trattamento di dati a livello nazionale ed ha quindi una portata maggiore rispetto all’attuale decisione quadro. Tuttavia, questo miglioramento avrebbe un valore aggiunto solo se la direttiva aumentasse sostanzialmente il livello di protezione dei dati in questo settore, il che non si verifica.
La principale debolezza del pacchetto nel suo insieme è che non pone rimedio alla mancanza di completezza delle norme dell’UE sulla protezione dei dati. Lascia inalterati diversi strumenti dell’UE per la protezione dei dati, fra cui le norme sulla protezione dei dati per le istituzioni e gli organismi dell’UE, ma anche tutti gli strumenti specifici adottati nel settore della cooperazione di polizia e giudiziaria in materia penale come la decisione di Prüm e le norme relative a Europol ed Eurojust. Inoltre gli strumenti proposti, considerati nel loro insieme, non affrontano pienamente le situazioni di fatto che rientrano in entrambi i settori politici, come l’uso del PNR o dei dati delle telecomunicazioni ai fini delle attività di contrasto.
Per quanto riguarda la proposta di regolamento, una questione orizzontale è il rapporto fra le norme dell’UE e quelle nazionali. Il regolamento proposto costituisce un progresso notevole, poiché crea un’unica normativa applicabile per la protezione dei dati nell’UE. Tuttavia, vi è ancora più spazio per la coesistenza e l’interazione fra il diritto dell’UE e le leggi nazionali di quanto si potrebbe pensare a prima vista. Il GEPD ritiene che il legislatore dovrebbe prendere maggiormente atto di questa situazione.
Una seconda questione di importanza generale deriva dalle numerose disposizioni che consentono alla Commissione di adottare atti delegati o di esecuzione. Il GEPD si compiace di questo approccio perché contribuisce all’applicazione coerente del regolamento, ma nutre riserve nella misura in cui le disposizioni giuridiche essenziali sono lasciate a poteri delegati. Molti di questi poteri dovrebbero essere riconsiderati.
A livello di dettaglio, il GEPD mette in evidenza i principali elementi positivi della proposta di regolamento, ovvero:
— |
il chiarimento dell’ambito di applicazione del regolamento proposto, |
— |
il rafforzamento dei requisiti di trasparenza nei confronti dell’interessato e il rafforzamento del diritto di opporsi, |
— |
l’obbligo generale per i responsabili del trattamento di garantire e di dimostrare la conformità alle disposizioni del regolamento, |
— |
il rafforzamento della posizione e del ruolo delle autorità di controllo nazionali, |
— |
le linee principali del meccanismo di coerenza. |
I principali elementi negativi della proposta di regolamento sono i seguenti:
— |
la possibilità di nuove deroghe al principio di limitazione delle finalità, |
— |
le possibilità di limitare i principi e i diritti di base, |
— |
l’obbligo per i responsabili del trattamento di conservare la documentazione di tutte le attività di trattamento, |
— |
il trasferimento di dati a paesi terzi mediante deroga, |
— |
il ruolo della Commissione nel meccanismo di coerenza, |
— |
l’obbligatorietà dell’imposizione di sanzioni amministrative. |
Per quanto riguarda la direttiva, il GEPD ritiene che la proposta, sotto diversi aspetti, non soddisfi il requisito di un livello coerente ed elevato di protezione dei dati. Lascia inalterati tutti gli strumenti esistenti nel settore e, in molti casi, non contiene alcuna giustificazione per derogare alle disposizioni previste nella proposta di regolamento.
Il GEPD sottolinea che, sebbene il settore delle attività di contrasto richieda alcune norme specifiche, ogni deroga alle norme generali sulla protezione dei dati dovrebbe essere debitamente giustificata sulla base di un’adeguata ponderazione fra l’interesse pubblico nell’ambito dell’applicazione della legge e i diritti fondamentali dei cittadini.
Il GEPD è preoccupato in particolare di quanto segue:
— |
la mancanza di chiarezza nella formulazione del principio di limitazione delle finalità, |
— |
l’assenza di qualsiasi obbligo per le autorità competenti di dimostrare il rispetto della direttiva, |
— |
le condizioni insufficienti per i trasferimenti verso paesi terzi, |
— |
i poteri indebitamente limitati delle autorità di controllo. |
Sono formulate le seguenti raccomandazioni.
Raccomandazioni sull’intero processo di riforma
— |
Annunciare pubblicamente lo scadenzario della seconda fase del processo di riforma il più presto possibile. |
— |
Incorporare le norme per le istituzioni e gli organismi dell’UE nella proposta di regolamento o almeno garantire l’allineamento delle norme vigenti al momento dell’entrata in vigore del regolamento proposto. |
— |
Presentare il più presto possibile una proposta di norme comuni in materia di politica estera e di sicurezza comune, sulla base dell’articolo 39 TUE. |
Raccomandazioni sulla proposta di regolamento
Questioni orizzontali
— |
Aggiungere una disposizione che chiarisca l’ambito di applicazione territoriale del diritto nazionale nel contesto del regolamento. |
— |
Riconsiderare la delega di poteri di cui all’articolo 31, paragrafi 5 e 6, articolo 32, paragrafi 5 e 6, articolo 33, paragrafi 6 e 7, articolo 34, paragrafo 2, lettera a), e articolo 44, paragrafo 1, lettera d), e paragrafo 7. |
— |
Prevedere misure adeguate e specifiche per le micro, piccole e medie imprese soltanto in atti di esecuzione selezionati, e non negli atti delegati di cui all’articolo 8, paragrafo 3, articolo 14, paragrafo 7, articolo 22, paragrafo 4 e articolo 33, paragrafo 6. |
— |
Precisare la nozione di «interesse pubblico» in ciascuna disposizione in cui viene usata. Dovrebbero essere identificati esplicitamente interessi pubblici specifici in relazione al contesto del trattamento di cui trattasi in ciascuna disposizione pertinente della proposta (cfr., in particolare, considerando 87, articolo 17, paragrafo 5, articolo 44, paragrafo 1, lettera d), e articolo 81, paragrafo 1, lettere b) e c)). Fra gli ulteriori requisiti si potrebbe includere che il motivo può essere invocato solo in circostanze specificamente preminenti o per ragioni imperative previste dalla legge. |
Capo I — Disposizioni generali
— |
Articolo 2, paragrafo 2, lettera d): inserire un criterio per differenziare le attività pubbliche e domestiche sulla base del numero indefinito di persone che possono accedere alle informazioni. |
— |
Articolo 2, paragrafo 2, lettera e): disporre che l’eccezione si applichi alle autorità pubbliche competenti. Il considerando 16 dovrebbe essere reso coerente con l’articolo 2, paragrafo 2, lettera e). |
— |
Articolo 4, numeri 1 e 2: aggiungere una spiegazione più chiara in un considerando, che insista sul fatto che non appena si ha una stretta relazione fra un identificativo e una persona, ciò determinerà l’applicazione dei principi di protezione dei dati. |
— |
Articolo 4, numero 13: precisare il criterio per identificare lo stabilimento principale del responsabile del trattamento pertinente, tenendo conto dell’«influenza dominante» di uno stabilimento sugli altri in stretta connessione con il potere di attuare le norme sulla protezione dei dati personali o le norme pertinenti per la protezione dei dati. In alternativa, la definizione potrebbe incentrarsi sullo stabilimento principale del gruppo nel suo complesso. |
— |
Aggiungere nuove definizioni per «trasferimento» e «limitazione del trattamento». |
Capo II — Principi
— |
Articolo 6: aggiungere un considerando per chiarire ulteriormente che cosa rientri nell’esecuzione di un compito «di interesse pubblico o connesso all’esercizio di pubblici poteri» di cui all’articolo 6, paragrafo 1, lettera e). |
— |
Articolo 6, paragrafo 4: cancellare la disposizione o almeno limitarla all’ulteriore trattamento di dati per scopi incompatibili per i motivi di cui all’articolo 6, paragrafo 1, lettere a) e d). Ciò comporta anche una modifica del considerando 40. |
— |
Aggiungere una nuova disposizione sulla rappresentanza di tutte le persone prive di sufficiente capacità (giuridica) o che non siano altrimenti capaci di agire. |
— |
Articolo 9: includere reati e situazioni che non hanno portato a condanne nelle categorie particolari di dati. Estendere l’obbligo di controllo dell’autorità pubblica a tutti i motivi indicati nell’articolo 9, paragrafo 2, lettera j). |
— |
Articolo 10: esplicitare nel considerando 45 che il responsabile del trattamento non dovrebbe potere invocare la mancanza di informazioni per respingere una richiesta di accesso quando tali informazioni possono essere fornite dall’interessato per consentire tale accesso. |
Capo III — Diritti dell’interessato
— |
Articolo 14: includere informazioni sull’esistenza di alcune attività di trattamento che hanno un impatto particolare sugli individui, nonché sulle conseguenze di tale trattamento sulle persone. |
— |
Articolo 17: elaborare ulteriormente la disposizione per garantirne l’efficacia nella pratica. Eliminare l’articolo 17, paragrafo 3, lettera d). |
— |
Articolo 18: chiarire che l’esercizio del diritto non pregiudica l’obbligo di cui all’articolo 5, lettera e), di cancellare i dati quando non sono più necessari. Garantire che l’articolo 18, paragrafo 2, non sia limitato soltanto ai dati che sono stati forniti dall’interessato sulla base del consenso o di un contratto. |
— |
Articolo 19: chiarire cosa deve fare il responsabile del trattamento in caso di disaccordo con l’interessato e allineare l’articolo con l’articolo 17, paragrafo 1, lettera c). Spiegare in un considerando quali possano essere i «motivi preminenti e legittimi». |
— |
Articolo 20: includere il diritto delle persone a far valere il loro punto di vista nell’articolo 20, paragrafo 2, lettera a), come previsto nell’attuale articolo 15 della direttiva 95/46/CE. |
— |
Articolo 21: introdurre garanzie dettagliate secondo le quali la legge nazionale dovrebbe specificare gli obiettivi perseguiti dal trattamento, le categorie di dati personali da trattare, le finalità specifiche e gli strumenti del trattamento, il responsabile del trattamento, le categorie di persone autorizzate al trattamento dei dati, la procedura da seguire per il trattamento, e le garanzie contro ogni interferenza arbitraria da parte delle autorità pubbliche. Includere, come ulteriore garanzia, l’obbligo di informare gli interessati di una limitazione e del loro diritto di deferire la questione all’autorità di controllo per ottenere l’accesso indiretto. Aggiungere nell’articolo 21 che la possibilità di applicare limitazioni al trattamento effettuato da responsabili del trattamento privati ai fini dell’applicazione della legge non obbliga questi ultimi a conservare dati diversi da quelli strettamente necessari per lo scopo originariamente perseguito, né a cambiare la loro architettura informatica. Eliminare il motivo contenuto nell’articolo 21, paragrafo 1, lettera e). |
Capo IV — Responsabile del trattamento e incaricato del trattamento
— |
Articolo 22: fare esplicito riferimento al principio di rendicontazione, in ogni caso nel considerando 60. Unificare i paragrafi 1 e 3 dell’articolo 22 e indicare esplicitamente che le misure dovrebbero essere adeguate ed efficaci. Includere una disposizione generale che preceda gli obblighi specifici di cui all’articolo 22, paragrafo 2, e che sviluppi il concetto di «controllo della gestione», comprese l’assegnazione di responsabilità, la formazione del personale e istruzioni adeguate, e che imponga al responsabile del trattamento di procedere, nell’ambito delle proprie responsabilità, almeno a una sintesi e a un inventario generale delle attività di trattamento. Aggiungere un nuovo paragrafo per disporre che, quando il responsabile del trattamento decide di pubblicare una relazione periodica delle sue attività o è obbligato in tal senso, tale relazione debba contenere anche una descrizione delle politiche e delle misure di cui all’articolo 22, paragrafo 1. |
— |
Articolo 23: fare riferimento nell’articolo 23, paragrafo 2, e nel considerando 61 al fatto che gli interessati dovrebbero essere liberi, in via di principio, di scegliere se consentire un uso più ampio dei loro dati personali. |
— |
Articolo 25, paragrafo 2, lettera a): cancellare l’eccezione per i paesi terzi adeguati. |
— |
Articolo 26: aggiungere all’elenco di specificazioni di cui all’articolo 26, paragrafo 2, l’obbligo per l’incaricato del trattamento di tenere conto del principio della protezione dei dati fin dalla progettazione. |
— |
Articolo 28: riconsiderare o eliminare le esenzioni di cui all’articolo 28, paragrafo 4. |
— |
Articolo 30: chiarire l’articolo 30 per garantire la responsabilità generale del responsabile del trattamento e aggiungere per lo stesso l’obbligo di seguire un approccio di gestione della sicurezza delle informazioni all’interno dell’organizzazione, compresa, laddove opportuna, l’attuazione di una politica di sicurezza delle informazioni specifica per il trattamento dei dati effettuato. Includere un riferimento esplicito alla valutazione d’impatto sulla protezione dei dati nell’articolo 30. |
— |
Articoli 31 e 32: specificare i criteri e i requisiti per determinare una violazione dei dati e le circostanze nelle quali dovrebbe essere notificata. Modificare il limite di tempo di 24 ore nell’articolo 31 in entro 72 ore. |
— |
Articolo 33: l’elenco dei trattamenti di cui all’articolo 33, paragrafo 2, lettere b), c) e d), non dovrebbe essere limitato al trattamento su vasta scala. Allineare l’articolo 33, paragrafo 5, con il considerando 73. Limitare il paragrafo 6 dell’articolo 33 a elementi non essenziali. Chiarire che la dimensione di un’impresa non dovrebbe mai far venire meno l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati in merito alle attività di trattamento che presentano rischi specifici. |
— |
Articolo 34: spostare l’articolo 34, paragrafo 1, al Capo V della proposta di regolamento. |
— |
Articoli da 35 a 37: ridurre la soglia di 250 dipendenti di cui all’articolo 35, paragrafo 1, e precisare il campo di applicazione dell’articolo 35, paragrafo 1, lettera c). Aggiungere garanzie, in particolare condizioni più rigorose per la destituzione del responsabile della protezione dei dati (RPD) e garantire nell’articolo 36, paragrafo 1, che l’RPD abbia accesso a tutte le informazioni rilevanti e ai locali necessari per svolgere le proprie funzioni. Includere nell’articolo 37, paragrafo 1, lettera a), il ruolo dell’RPD nelle attività di sensibilizzazione. |
Capo V — Trasferimento verso paesi terzi
— |
Dichiarare nel considerando 79 che la non applicabilità del regolamento agli accordi internazionali è limitata nel tempo solo agli accordi internazionali già esistenti. |
— |
Inserire una clausola transitoria che preveda la revisione di questi accordi internazionali entro un determinato periodo di tempo per allinearli al regolamento. |
— |
Articolo 41 (e considerando 82): chiarire che, in caso di decisione di non adeguatezza, i trasferimenti dovrebbero essere consentiti solo in presenza di garanzie adeguate o se tale trasferimento rientra nelle deroghe di cui all’articolo 44. |
— |
Articolo 42: garantire che la possibilità di usare strumenti giuridicamente non vincolanti per offrire garanzie adeguate venga chiaramente giustificata e sia limitata soltanto ai casi in cui sia stata dimostrata la necessità di ricorrere a tali strumenti. |
— |
Articolo 44 (e considerando 87): aggiungere che la possibilità di trasferire dati dovrebbe riguardare solo trasferimenti occasionali ed essere basata su un’attenta valutazione di tutte le circostanze del trasferimento su base individuale. Sostituire o chiarire il riferimento a «garanzie adeguate» nell’articolo 44, paragrafo 1, lettera h, e nell’articolo 44, paragrafo 3. |
— |
Considerando 90: modificare il considerando in una disposizione sostanziale. Prevedere garanzie adeguate per questi casi, comprese garanzie giudiziarie e salvaguardie per la protezione dei dati. |
Capi VI e VII — Autorità di controllo indipendenti, cooperazione e coerenza
— |
Articolo 48: prevedere un ruolo per i parlamenti nazionali nella procedura di nomina dei membri delle autorità di controllo. |
— |
Articolo 52, paragrafo 1: includere l’obbligo di elaborare linee guida sul ricorso ai diversi poteri di attuazione, laddove necessario coordinati a livello di UE nel comitato. Ciò potrebbe essere incluso anche nell’articolo 66. |
— |
Articolo 58: sostituire la parola «immediatamente» nell’articolo 58, paragrafo 6, con «senza indugio» ed estendere il termine di un mese nell’articolo 58, paragrafo 7, a due mesi/otto settimane. |
— |
Articolo 58: dare più peso alla regola della maggioranza, assicurando che una richiesta da parte di un’autorità possa essere sottoposta al voto nel caso in cui la questione non riguardi una delle misure principali descritte nell’articolo 58, paragrafo 2. |
— |
Articoli 59 e 60: limitare il potere della Commissione eliminando la possibilità di annullare una decisione di un’autorità di controllo nazionale in una materia specifica attraverso un atto di esecuzione. Garantire che il ruolo della Commissione, nella fase iniziale, sia quello di attivare il ricorso al comitato, come previsto nell’articolo 58, paragrafo 4, e, in una fase successiva, consista nel potere di adottare pareri. Inserire un riferimento all’ulteriore procedura dinanzi alla Corte di giustizia, nel contesto di una procedura d’infrazione o di una richiesta di misure provvisorie, fra cui un ordine di sospensione. |
— |
Articolo 66: aggiungere che il comitato dovrà essere consultato nel contesto delle valutazioni dell’adeguatezza. |
— |
Riconsiderare l’attuale valutazione dell’impatto del segretariato del comitato europeo per la protezione dei dati in termini di risorse finanziarie e umane (cfr. allegato al presente parere, disponibile sul sito web del GEPD). |
Capo VIII — Ricorsi, responsabilità e sanzioni
— |
Articoli 73 e 76: fornire chiarimenti sul mandato che l’organizzazione deve ottenere dagli interessati e sul livello di formalità richiesto. Introdurre una disposizione più ampia sulle azioni collettive. |
— |
Articolo 74, paragrafo 4: limitare il tipo di «oggetto» relativo a un interessato che potrebbe determinare l’azione in giudizio e limitarlo a un rischio di impatto più preciso sui propri diritti. |
— |
Articolo 75, paragrafo 2: specificare che la deroga non si applica all’autorità pubblica di un paese terzo. |
— |
Articolo 76, paragrafi 3 e 4: inserire una procedura di informazione più sistematica a livello di autorità giurisdizionali. |
— |
Chiarire l’interazione con il regolamento Bruxelles I. |
— |
Chiarire la compatibilità dell’uso delle informazioni ottenute da un responsabile del trattamento (sulla base dell’articolo 53) con il privilegio generale contro l’autoincriminazione. |
— |
Articolo 77: aggiungere che un interessato dovrebbe potersi sempre rivolgere al responsabile del trattamento, a prescindere da dove e da come il danno sia sorto, in relazione al risarcimento del danno. Inserire il conseguente risarcimento del danno fra il responsabile del trattamento e l’incaricato del trattamento, una volta che sia stata chiarita la suddivisione delle loro responsabilità. Aggiungere che ciò dovrebbe trovare applicazione anche per la compensazione dei danni immateriali o dei disagi subiti. |
— |
Introdurre una disposizione usando il concetto di unica entità economica o impresa individuale affinché sia possibile ritenere responsabile il gruppo per la violazione commessa da una filiale. |
— |
Articolo 79: inserire un margine di valutazione per le autorità di controllo in materia di sanzioni amministrative. Aggiungere specificazioni che indichino le circostanze nelle quali è imposta una sanzione amministrativa. Garantire che il mancato rispetto di un ordine specifico di un’autorità di controllo imponga di norma l’applicazione di una sanzione amministrativa più elevata rispetto ad un’unica violazione della stessa disposizione generale. |
Capo IX — Specifiche situazioni di trattamento dei dati
— |
Articolo 80: riformulare l’articolo 80 e dichiarare che gli Stati membri devono prevedere esenzioni o deroghe alle disposizioni del regolamento se ciò è necessario al fine di conciliare il diritto alla protezione dei dati personali e il diritto alla libertà d’espressione. Aggiungere, nella disposizione o in un considerando, che in sede di riconciliazione dei due diritti fondamentali, l’essenza dei due diritti non deve essere compromessa. |
— |
Aggiungere una disposizione sostanziale sull’accesso pubblico ai documenti che dichiari che i dati personali contenuti in documenti in possesso di autorità ed enti pubblici possono essere diffusi pubblicamente nel caso in cui ciò (1) sia previsto dal diritto dell’UE o dal diritto nazionale, (2) sia necessario per riconciliare il diritto alla protezione dei dati con il diritto dell’accesso pubblico a documenti ufficiali e (3) costituisca un’equa ponderazione dei vari interessi coinvolti. |
— |
Sostituire negli articoli 81, 82, 83 e 84 le parole «nei limiti del presente regolamento» con «fatto salvo il presente regolamento». |
— |
Articolo 81: allineare l’articolo 81, paragrafo 1, numero 3, e l’articolo 9, paragrafo 3, e chiarire la portata e la natura dell’articolo 81. Fornire ulteriori orientamenti per quanto riguarda il requisito del consenso, la determinazione delle responsabilità e i requisiti di sicurezza. |
— |
Articolo 83: includere ulteriori garanzie se vengono trattate speciali categorie di dati. Chiarire nell’articolo 83, paragrafo 1, che il presupposto per le finalità di ricerca dovrebbe essere che il trattamento è effettuato con l’uso di dati resi anonimi. Chiarire cosa si intende con la parola «separatamente» e garantire che la conservazione separata protegga effettivamente gli interessati. Fare riferimento nell’articolo 83, paragrafo 1, lettera b), a «dati che permettono di correlare alcune informazioni a un interessato» invece di «dati che permettono di associare informazioni a un interessato identificato o identificabile». Escludere la limitazione ai diritti di individui con atti delegati. |
Raccomandazioni sulla proposta di direttiva
Questioni orizzontali
— |
Articolo 59: atti specifici nel settore della cooperazione di polizia e giudiziaria in materia penale dovrebbero essere modificati al più tardi al momento dell’entrata in vigore della direttiva. |
— |
Aggiungere una nuova disposizione che introduca un meccanismo di analisi delle valutazioni periodiche basate su prove oggettive, per determinare se le attività di trattamento dei dati ad un certo livello costituiscano realmente una misura necessaria e proporzionata a fini di prevenzione, indagine, accertamento e perseguimento di reati. |
— |
Aggiungere una nuova disposizione per garantire che il trasferimento dei dati personali dalle autorità di contrasto ad altri enti pubblici o a privati sia consentito solo nel rispetto di specifiche e rigorose condizioni. |
— |
Aggiungere una nuova disposizione su specifiche garanzie in relazione al trattamento dei dati relativi ai minori. |
Capi I e II — Disposizioni generali e principi
— |
Articolo 3, numero 4: concretizzare ulteriormente in linea con l’articolo 17, paragrafo 5, della proposta di regolamento. |
— |
Articolo 4, lettera b): inserire un chiarimento in un considerando affinché la nozione di «uso compatibile» sia interpretata in maniera restrittiva. |
— |
Articolo 4, lettera f): allineare con l’articolo 5, lettera f), della proposta di regolamento e modificare gli articoli 18 e 23 di conseguenza. |
— |
Articolo 5: includere le persone non sospettate come categoria separata. Eliminare «nella misura del possibile» e specificare le conseguenze della categorizzazione. |
— |
Articolo 6: eliminare «nella misura del possibile» nei paragrafi 1 e 2. |
— |
Articolo 7, lettera a): inserirlo in una disposizione autonoma che garantisca in modo generale che tutte le attività di trattamento dei dati siano previste per legge, rispettando così i requisiti della Carta dei diritti fondamentali dell’UE e della CEDU. |
— |
Articolo 7, lettere da b) a d): sostituirlo con un’ulteriore disposizione separata che elenchi esaustivamente i motivi di interesse pubblico per i quali può essere concessa una deroga al principio di limitazione delle finalità. |
— |
Aggiungere una nuova disposizione sul trattamento dei dati personali per finalità storiche, statistiche e scientifiche. |
— |
Aggiungere un obbligo per l’autorità competente di creare meccanismi che garantiscano la fissazione di limiti di tempo per la cancellazione dei dati personali e per una revisione periodica della necessità di conservare i dati, stabilendo anche periodi di conservazione per le diverse categorie di dati personali nonché controlli regolari sulla loro qualità. |
— |
Articolo 8: includere la rigorosa formulazione del considerando 26 nell’articolo 8. Indicare cosa si intende per misure idonee che vanno oltre le garanzie regolari. |
Capo III — Diritti dell’interessato
— |
Articolo 10: eliminare il riferimento a «tutte le misure ragionevoli» nell’articolo 10, paragrafi 1 e 3. Includere un esplicito limite di tempo nell’articolo 10, paragrafo 4, e dichiarare che le informazioni dovrebbero essere fornite all’interessato al massimo entro un mese dal ricevimento della richiesta. Sostituire l’espressione «vessatorie» nell’articolo 10, paragrafo 5, con «manifestamente eccessive» e fornire ulteriori orientamenti su questa nozione in un considerando. |
— |
Aggiungere una nuova disposizione che imponga al responsabile del trattamento di comunicare a ciascun destinatario, al quale sono stati comunicati dati, qualsiasi rettifica, cancellazione e variazione dei dati effettuate in conformità o meno degli articoli 15 o 16, a meno che ciò sia impossibile o comporti uno sforzo sproporzionato. |
— |
Articoli 11 e 13: aggiungere una frase nell’articolo 11, paragrafo 4, e nell’articolo 13, paragrafo 1, che dichiari che il responsabile del trattamento è tenuto a valutare in ciascun caso specifico, attraverso un esame concreto e individuale, se applicare restrizioni parziali o totali per uno dei motivi. Garantire un’interpretazione limitata dell’ambito di applicazione dell’articolo 11, paragrafo 5, e dell’articolo 13, paragrafo 2. Eliminare la parola «omettere» nell’articolo 11, paragrafo 4, e «escludere» nel considerando 33. |
— |
Articoli 15 e 16: aggiungere motivi e condizioni per la limitazione del diritto alla rettifica e del diritto alla cancellazione. |
— |
Articolo 16: usare l’espressone «limita il trattamento» invece di «contrassegna» nell’articolo 16, paragrafo 3. Includere nell’articolo 16 l’obbligo per il responsabile del trattamento di informare l’interessato prima di eliminare qualsiasi limitazione al trattamento. |
Capo IV — Responsabile del trattamento e incaricato del trattamento
— |
Articolo 18: dichiarare, anche nell’articolo 4, lettera f), che il requisito relativo alla documentazione discende dall’obbligo generale di dimostrare il rispetto della direttiva. Includere un requisito per la conservazione delle informazioni per il motivo giuridico per il quale i dati sono trasferiti, con una spiegazione sostanziale specialmente se il trasferimento si basa sugli articoli 35 o 36. |
— |
Articolo 19: motivare la nozione di protezione dei dati «di default». |
— |
Articolo 23, paragrafo 2: allineare con l’articolo 28, paragrafo 2, della proposta di regolamento. |
— |
Articolo 24: includere l’identità dei destinatari dei dati. |
— |
Inserire una nuova disposizione che imponga alle autorità competenti di svolgere una valutazione dell’impatto della protezione dei dati (DPIA), a meno che durante il procedimento legislativo sia già stata effettuata una valutazione specifica, uguale ad una DPIA. |
— |
Articolo 26: allinearlo maggiormente alle procedure elaborate nell’articolo 34, paragrafo 2, della proposta di regolamento. |
— |
Articolo 30: trattare la questione del conflitto di interessi e definire un termine minimo d’ufficio di due anni. |
— |
Articolo 31: prevedere un adeguato allegato amministrativo con il dovuto riguardo per il ruolo indipendente del responsabile della protezione dei dati e al fine di evitare possibili relazioni irregolari o influenza da parte di responsabili del trattamento di alto livello. |
Capo V — Trasferimento verso paesi terzi
— |
Articolo 33: aggiungere il requisito secondo cui il trasferimento può avere luogo solo se il responsabile del trattamento nel paese terzo o l’organizzazione internazionale è un’autorità competente ai sensi della direttiva proposta. |
— |
Articolo 35: eliminare il paragrafo 1, lettera b), o includere almeno il requisito di un’autorizzazione preventiva dell’autorità di controllo. |
— |
Articolo 36: chiarire in un considerando che qualsiasi deroga usata per giustificare un trasferimento deve essere interpretata in maniera restrittiva e non dovrebbe consentire il trasferimento frequente, ingente e strutturale di dati personali; anche un caso individuale non dovrebbe consentire trasferimenti interi di dati e dovrebbe essere limitato ai dati strettamente necessari. Aggiungere ulteriori garanzie quali l’obbligo di documentare specificamente i trasferimenti. |
— |
Articoli 35 e 36: aggiungere che, in caso di decisione negativa sull’adeguatezza, i trasferimenti devono essere basati (i) sull’articolo 35, paragrafo 1, lettera a), se vi è un accordo internazionale giuridicamente vincolante che consente il trasferimento a specifiche condizioni che garantiscano una protezione adeguata, o (ii) sulle deroghe di cui all’articolo 36, lettere a) o c). |
Capi VI e VII — Meccanismi di sorveglianza
— |
Articolo 44: fornire maggiori orientamenti in un considerando su cosa si intende per «funzioni giurisdizionali». |
— |
Articolo 46: allineare i poteri delle autorità di controllo nei confronti delle autorità di polizia nazionali con i poteri di cui alla proposta di regolamento. Allineare l’articolo 46, lettera a), con l’articolo 53 della proposta di regolamento e modificare l’espressione «come» nell’articolo 46, lettere a) e b), con «compresa» e «compreso». |
— |
Articolo 47: includere che la relazione di attività annuale delle autorità di controllo deve essere presentata al parlamento nazionale e resa pubblica. |
— |
Articolo 48: includere le disposizioni dell’articolo 55, paragrafi da 2 a 7, della proposta di regolamento nell’articolo 48. |
— |
Considerare la necessità di un meccanismo di cooperazione rafforzata anche nell’ambito di applicazione della proposta di direttiva. |
(Versione ridotta. Il testo completo del presente parere è reperibile in EN, FR e DE sul sito web del GEPD http://www.edps.europa.eu)
Fatto a Bruxelles, il 7 marzo 2012
Peter HUSTINX
Garante europeo della protezione dei dati