ALLEGATO

ORIENTAMENTI SULLA PROTEZIONE DEI DATI NELL’AMBITO DEL SISTEMA DI ALLARME RAPIDO E DI REAZIONE (EWRS)

1.   INTRODUZIONE

L’EWRS è un’applicazione basata su Internet ideata dalla Commissione europea, in collaborazione con gli Stati membri, allo scopo di mettere in comunicazione tra loro in maniera strutturata e permanente la Commissione e le autorità sanitarie pubbliche competenti degli Stati membri del SEE responsabili della determinazione delle misure necessarie per proteggere la sanità pubblica. Dal 2005 all’EWRS è legato anche il Centro europeo per la prevenzione e il controllo delle malattie (di seguito «ECDC»), che è un’agenzia dell’Unione europea (1).

La cooperazione tra le autorità sanitarie nazionali riveste fondamentale importanza per rafforzare la capacità degli Stati membri di prevenire la possibile diffusione di malattie trasmissibili nell’Unione europea, di rispondere in maniera coordinata e tempestiva a casi di malattie trasmissibili che rappresentano una minaccia reale o potenziale per la sanità pubblica.

I precedenti focolai di SARS, influenza pandemica A(H1N1) e altre malattie trasmissibili hanno dimostrato con chiarezza con quanta rapidità possono diffondersi malattie in precedenza sconosciute, causando un elevato tasso di mortalità e di morbilità. Mezzi di trasporto rapidi e scambi commerciali a livello mondiale favoriscono la diffusione delle malattie trasmissibili, che non conoscono confini. Un accertamento precoce e una comunicazione e un coordinamento efficaci a livello europeo e internazionale sono essenziali per controllare tali imprevisti e prevenire sviluppi estremamente gravi.

L’EWRS è stato concepito come meccanismo centralizzato per consentire agli Stati membri di inviare messaggi di allerta, condividere le informazioni e coordinare la loro risposta, in maniera tempestiva e sicura, in relazione a casi che rappresentano una minaccia potenziale per la salute nell’Unione europea.

2.   CAMPO DI APPLICAZIONE E OBIETTIVI DEGLI ORIENTAMENTI

La gestione e l’uso dell’EWRS possono comportare lo scambio di dati personali in casi specifici in cui gli strumenti giuridici pertinenti lo prevedano (cfr. sezione 4 sui fondamenti giuridici per lo scambio di informazioni personali nell’ambito dell’EWRS).

Lo scambio di informazioni personali tra le autorità sanitarie competenti degli Stati membri deve essere conforme alle disposizioni relative alla protezione dei dati personali delle leggi nazionali di recepimento della direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Tuttavia, poiché gli utenti dell’EWRS non sono esperti di protezione dei dati e possono non essere sempre sufficientemente a conoscenza delle norme vigenti in materia di protezione dei dati, è opportuno fornire loro orientamenti che illustrino in maniera semplice e facilmente comprensibile il funzionamento dell’EWRS dal punto di vista della protezione dei dati. Gli orientamenti hanno anche uno scopo di sensibilizzazione e di promozione delle migliori prassi e di procedure uniformi e coerenti per garantire il rispetto dell’obbligo di protezione dei dati tra gli utenti dell’EWRS negli Stati membri.

Va tuttavia sottolineato che gli orientamenti non sono intesi a fornire un esame completo di tutte le questioni connesse alla protezione nell’ambito dell’EWRS. Ulteriori indicazioni e assistenza possono essere ottenuti dalle autorità garanti della protezione dei dati degli Stati membri. In particolare, gli utenti dell’EWRS sono caldamente invitati a rivolgersi alle rispettive autorità garanti della protezione dei dati per conoscere il modo migliore per applicare gli orientamenti a livello nazionale, in modo da conformarsi pienamente alle norme in materia di protezione dei dati vigenti nei rispettivi paesi. Al seguente indirizzo sono disponibili un elenco delle autorità garanti della protezione dei dati, con le relative coordinate:

http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm

Infine, è opportuno sottolineare che gli orientamenti non sono un’interpretazione autentica della normativa dell’Unione europea sulla protezione dei dati in quanto nel sistema istituzionale dell’Unione il compito di interpretarla spetta esclusivamente alla Corte di giustizia.

3.   DIRITTO APPLICABILE E CONTROLLO

Il diritto applicabile è determinato in funzione dell’utilizzatore dell’EWRS. In particolare, il trattamento di dati personali da parte della Commissione e dell’ECDC nel quadro del funzionamento e della gestione del sistema (come illustrato nelle sezioni seguenti) è disciplinato dal regolamento (CE) n. 45/2001.

Per quanto riguarda il trattamento dei dati personali da parte delle autorità nazionali competenti per l’EWRS, il diritto applicabile è la normativa nazionale pertinente in materia di protezione dei dati che recepisce la direttiva 95/46/CE. Va sottolineato che la direttiva menzionata lascia agli Stati membri un certo margine di manovra per recepirne le disposizioni nel diritto nazionale. In particolare, la direttiva consente agli Stati membri di introdurre esenzioni o deroghe ad alcune delle sue disposizioni in casi specifici. Al contempo, la normativa nazionale in materia di protezione dei dati alla quale sono soggetti gli utenti dell’EWRS può stabilire requisiti di protezione dei dati più rigorosi o specifici per il paese interessato e non previsti dalle normative degli altri Stati membri.

Tenuto conto di tali particolarità, si raccomanda agli utenti dell’EWRS di discutere gli orientamenti con le proprie autorità garanti della protezione dei dati per assicurare il rispetto di tutte le disposizioni delle normative nazionali. Per esempio, i dati da fornire agli interessati al momento della raccolta dei dati possono essere molto diversi da uno Stato membro all’altro, e lo stesso vale per le norme relative al trattamento di specifiche categorie di dati personali, per esempio i dati sanitari.

Una caratteristica importante del quadro giuridico dell’UE in materia di protezione dei dati costituito dal regolamento (CE) n. 45/2001 e dalla direttiva 95/46/CE è il controllo da parte di autorità pubbliche indipendenti responsabili della protezione dei dati. Il trattamento dei dati personali da parte delle istituzioni e degli organismi dell’Unione europea è controllato dal Garante europeo della protezione dei dati (di seguito «GEPD») (2), mentre il trattamento da parte di persone fisiche o giuridiche, autorità pubbliche nazionali, agenzie o altri organismi degli Stati membri è controllato dalle rispettive autorità garanti della protezione dei dati. Le autorità di controllo hanno il compito in tutti gli Stati membri di esaminare le denunce presentate dai cittadini riguardo alla protezione dei loro diritti e delle loro libertà in relazione al trattamento dei dati personali. Per maggiori informazioni sul modo di trattare le richieste o i reclami degli interessati, gli utenti dell’EWRS sono invitati a far riferimento alla sezione 9 sull’accesso ai dati personali e altri diritti degli interessati.

4.   BASE GIURIDICA DELLO SCAMBIO DI DATI PERSONALI NELL’AMBITO DELL’EWRS

La decisione n. 2119/98/CE ha stabilito l’istituzione di una rete a livello di Unione europea (di seguito la «rete») per promuovere la cooperazione e il coordinamento tra gli Stati membri, con l’assistenza della Commissione, allo scopo di migliorare la prevenzione e il controllo nell’Unione europea delle malattie trasmissibili (3). In questo contesto, l’EWRS è stato istituito come uno dei pilastri della rete, consentendo lo scambio di informazioni, la consultazione e il coordinamento a livello europeo nei casi di malattie trasmissibili che rappresentano una minaccia potenziale per la sanità pubblica nell’Unione europea.

Va notato che non tutte le informazioni scambiate nell’ambito dell’EWRS sono di carattere personale. Di fatto, in generale in questo quadro non sono scambiati dati sanitari o altri dati personali riguardanti persone fisiche identificate o identificabili.

Che cosa sono i «dati personali»?

Ai fini della direttiva 95/46/CE e del regolamento (CE) n. 45/2001, si intende per «dati personali» qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale (4).

Le autorità sanitarie competenti degli Stati membri del SEE comunicano generalmente alla rete, attraverso l’EWRS, informazioni riguardanti, tra l’altro, l’insorgenza o la ricomparsa di casi di malattie trasmissibili nonché informazioni sulle misure di controllo applicate, o su fenomeni epidemici insoliti o su nuove malattie trasmissibili di origine ignota (5), che possono richiedere un’azione tempestiva e coordinata da parte degli Stati membri per contenere il rischio di propagazione nell’UE (6). Gli Stati membri, sulla base delle informazioni disponibili attraverso la rete, si consultano, in collegamento con la Commissione, per coordinare la loro azione in materia di prevenzione e di controllo delle malattie trasmissibili, anche in relazione alle misure che hanno adottato o intendono adottare a livello nazionale (7).

In alcuni casi, tuttavia, le informazioni scambiate attraverso il sistema riguardano persone fisiche e possono essere considerate dati personali.

In primo luogo, il funzionamento e la gestione del sistema implicano il trattamento di una quantità limitata di dati personali degli utenti autorizzati dell’EWRS. Il trattamento delle coordinate (nome, organizzazione, indirizzo di posta elettronica, numero di telefono ecc.) di tali utenti è infatti essenziale per istituire e far funzionare il sistema. I dati personali sono raccolti dagli Stati membri e successivamente trattati sotto la responsabilità della Commissione unicamente ai fini di un’efficace cooperazione sulla gestione dell’EWRS e della rete che ne sta alla base.

Un aspetto ancora più importante è che il verificarsi di un caso di malattia trasmissibile con una possibile dimensione europea può richiedere l’attuazione di particolari misure di controllo, le cosiddette misure di ricerca di contatti, da parte degli Stati membri interessati in collaborazione tra loro, per individuare le persone contaminate e le persone potenzialmente in pericolo e per prevenire la diffusione di gravi malattie trasmissibili. Tale collaborazione può comportare lo scambio attraverso l’EWRS di dati personali, tra cui dati sanitari sensibili, di casi umani confermati o sospetti tra gli Stati membri direttamente interessati dalle misure di ricerca di contatti (8).

Che cosa si intende per «trattamento dei dati personali»?

Ai fini della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 si intende per «trattamento di dati personali qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione»  (9).

Nei casi menzionati in precedenza, il trattamento di dati personali nell’ambito dell’EWRS deve fondarsi su una base giuridica specifica. A questo proposito, l’articolo 7 della direttiva 95/46/CE e le corrispondenti disposizioni dell’articolo 5 del regolamento (CE) n. 45/2001 stabiliscono i criteri che legittimano il trattamento dei dati.

Per quanto riguarda le coordinate degli utenti dell’EWRS, il relativo trattamento è basato su quanto segue:

—

articolo 5, lettera b), del regolamento (CE) n. 45/2001: il trattamento «è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento (10) ». Il trattamento è necessario per il funzionamento e la gestione dell’EWRS da parte della Commissione, con il sostegno dell’ECDC,

—

articolo 5, lettera d), del regolamento (CE) n. 45/2001: «l’interessato ha manifestato il proprio consenso in maniera inequivocabile». Le coordinate degli utenti si ottengono dagli stessi interessati, dopo averli messi in condizione di accettare che i dati personali che li riguardano siano oggetto di un trattamento nell’ambito dell’EWRS (cfr. sezione 8 relativa all’informazione degli interessati).

I criteri stabiliti dall’articolo 7, lettere c), d), e e), della direttiva 95/46/CE sono i più importanti per lo scambio dei dati di ricerca di contatti (per esempio, coordinate della persona contaminata, informazioni sui mezzi di trasporto, l’itinerario di viaggio e i luoghi di soggiorno della persona, informazioni sulle persone visitate e sulle persone potenzialmente esposte a contaminazione) di persone fisiche nell’ambito dell’EWRS (11):

—

articolo 7, lettera c), della direttiva 95/46/CE: il trattamento «è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento». L’istituzione di un sistema di allarme rapido e di reazione per la prevenzione e il controllo delle malattie trasmissibili nell’Unione europea è prevista dalla decisione n. 2119/98/CE. Tale decisione impone agli Stati membri l’obbligo di comunicare attraverso l’EWRS determinati casi di malattie trasmissibili che rappresentano una minaccia reale o potenziale per la sanità pubblica (12). L’obbligo di comunicazione riguarda anche le misure adottate dalle autorità competenti degli Stati membri interessati per prevenire e arrestare la diffusione di tali malattie, comprese le misure di ricerca di contatti attuate allo scopo di rintracciare persone contaminate o che rischiano di essere contaminate (13),

—

articolo 7, lettera d), della direttiva 95/46/CE: il trattamento «è necessario per la salvaguardia dell’interesse vitale della persona interessata». In linea di principio, lo scambio tra gli Stati membri interessati dei dati personali delle persone contaminate e delle persone esposte a un rischio imminente di contaminazione è necessario per fornire la cura o il trattamento adeguato e per rintracciare e individuare le persone e poterle sottoporre a isolamento e quarantena, allo scopo di proteggere la salute delle persone interessate e, di conseguenza, di tutti i cittadini dell’Unione europea,

—

articolo 7, lettera e), della direttiva 95/46/CE: il trattamento «è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati». L’EWRS è uno strumento inteso ad aiutare gli Stati membri a coordinare i loro sforzi di prevenzione e di controllo di gravi malattie trasmissibili nell’Unione europea. Il sistema è pertanto concepito per contribuire allo svolgimento di un compito di interesse pubblico assegnato agli Stati membri per proteggere la salute pubblica.

Gli stessi motivi di interesse pubblico possono giustificare il trattamento da parte degli Stati membri di dati sanitari sensibili (per esempio, informazioni sull’evento che rappresenta una minaccia per la salute, dati relativi alle condizioni sanitarie delle persone contaminate e delle persone potenzialmente esposte a contaminazione) nell’ambito dell’EWRS. Sebbene il trattamento dei dati relativi alla salute sia in linea di principio vietato dall’articolo 8, paragrafo 1, della direttiva 95/46/CE, al trattamento di questa specifica categoria di dati nell’ambito dell’EWRS si applica la deroga prevista dall’articolo 8, paragrafo 3, della stessa direttiva purché il trattamento sia «necessario alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura e quando il trattamento dei medesimi dati viene effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi nazionali competenti, o da un’altra persona egualmente soggetta a un obbligo di segreto equivalente».

Altre deroghe al divieto di trattamento dei dati sanitari possono essere stabilite, per motivi di interesse pubblico rilevante e purché sano previste opportune garanzie, dalle normative nazionali degli Stati membri, o da una decisione delle autorità garanti della protezione dei dati degli Stati membri (14).

5.   CHI FA COSA NELL’EWRS? LA QUESTIONE DEL CONTROLLO CONGIUNTO

L’EWRS è stato concepito come sistema multiutente che collega, attraverso adeguati mezzi tecnici comprendenti diversi canali di comunicazione strutturati, i referenti designati delle autorità sanitarie pubbliche competenti degli Stati membri del SEE (di seguito i «punti focali nazionali dell’EWRS»), la Commissione, l’ECDC e, in misura limitata, anche l’OMS.

Ognuno di tali soggetti è un utente separato dell’EWRS, sebbene l’accesso alle informazioni scambiate nell’ambito del sistema sia stato modulato creando vari profili di utenti e canali di comunicazione «selettivi», che offrono garanzie adeguate quanto al rispetto delle norme applicabili in materia di protezione dei dati.

In particolare, il sistema è costituito da due canali di comunicazione principali. Un primo canale, il cosiddetto canale di «messaggistica generale», consente alle autorità sanitarie competenti di un dato Stato membro di notificare a tutti i punti focali nazionali dell’EWRS, alla Commissione, all’ECDC e all’OMS informazioni riguardanti casi di malattie trasmissibili che possono avere una dimensione europea che rientrano nell’ambito degli obblighi di comunicazione stabiliti dalla decisione n. 2119/98/CE (15).

In generale, attraverso il canale della messaggistica generale non vengono comunicati dati di carattere sanitario o altri dati personali di persone fisiche identificate o identificabili. Nel sistema sono stati inseriti specifici meccanismi di garanzia per prevenire il trattamento illecito di dati nell’ambito di questo canale (cfr. sezione 7).

Tuttavia, in caso di casi di malattie trasmissibili con una possibile dimensione europea, può essere necessario che gli Stati membri interessati, in collaborazione tra loro, attuino particolari misure di ricerca di contatti allo scopo di rintracciare le persone contaminate, e altre persone esposte alla contaminazione, in modo da prevenire la diffusione di malattie gravi.

Per garantire il rispetto delle norme in materia di protezione dei dati, sono stati introdotti adeguati meccanismi di salvaguardia per limitare lo scambio dei dati sanitari e di ricerca di contatti di persone fisiche soltanto agli Stati membri direttamente interessati da una determinata procedura di ricerca di contatti e per escludere gli altri Stati membri della rete, la Commissione e l’ECDC dall’accesso a tali dati (16).

A tale scopo, nell’ambito dell’EWRS è stato istituito il cosiddetto canale della «messaggistica selettiva» per garantire un canale di comunicazione esclusivo tra gli Stati membri interessati da una determinata misura di ricerca di contatti.

Scambiando dati personali attraverso il canale della messaggistica selettiva, le autorità competenti assumono il ruolo di «responsabili» riguardo al trattamento di tali dati e pertanto si assumono la responsabilità della legittimità delle loro attività di trattamento e della garanzia del rispetto degli obblighi di protezione dei dati stabiliti dalle leggi nazionali di recepimento della direttiva 95/46/CE.

Chi è il «responsabile del trattamento»?

Ai fini della direttiva 95/46/CE, si intende per «responsabile del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali»  (17).

In linea di principio, gli utenti della Commissione e dell’ECDC non hanno accesso ai dati personali scambiati attraverso il canale della messaggistica selettiva (18). Tuttavia, per motivi tecnici, l’archiviazione centrale dei dati nell’EWRS spetta in definitiva alla Commissione nella sua funzione di amministratore e coordinatore del sistema. In questa veste, la Commissione è anche responsabile della registrazione, dell’archiviazione e dei successivi trattamenti dei dati personali degli utenti autorizzati dell’EWRS necessari per il funzionamento del sistema.

L’EWRS costituisce pertanto un esempio tipico di corresponsabilità, dato che la responsabilità di garantire la protezione dei dati è ripartita, a vari livelli, tra la Commissione e gli Stati membri. Inoltre, dal 2005 la Commissione e gli Stati membri, nella loro qualità di corresponsabili del trattamento, hanno deciso di delegare la gestione quotidiana dell’applicazione informatica EWRS all’ECDC, che svolge questo compito per conto della Commissione. Oltre a tale delega, l’agenzia ha assunto la responsabilità di garantire, in qualità di «incaricato del trattamento», la riservatezza e la sicurezza delle operazioni di trattamento effettuate nell’ambito del sistema, nel rispetto degli obblighi di cui agli articoli 21 e 22 del regolamento (CE) n. 45/2001.

Chi è «l’incaricato del trattamento» e quali sono i suoi obblighi?

Ai fini del regolamento (CE) n. 45/2001 si intende per incaricato del trattamento «la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento»  (19).

Il regolamento prevede che, quando il trattamento sia eseguito per suo conto, il responsabile del trattamento deve scegliere un incaricato del trattamento che presenti garanzie sufficienti per quanto riguarda le misure di sicurezza tecnica e di organizzazione necessarie ai fini della sicurezza dei dati. La responsabilità ultima del rispetto di tali misure spetta al responsabile del trattamento. Ciononostante, gli obblighi di cui agli articoli 21 e 22 del regolamento relativi alla riservatezza e alla sicurezza del trattamento vincolano anche l’incaricato del trattamento (20).

6.   PRINCIPI APPLICABILI IN MATERIA DI PROTEZIONE DEI DATI

Il trattamento di dati personali nell’ambito dell’EWRS deve essere conforme a una serie di principi in materia di protezione dei dati stabiliti dal regolamento (CE) n. 45/2001 e dalla direttiva 95/46/CE.

Nella loro qualità di responsabili del trattamento, la Commissione e le autorità competenti degli Stati membri hanno il compito di garantire il rispetto di tali principi ogni volta che trattano dati personali attraverso l’EWRS. Alcuni di questi principi sono esposti qui di seguito. Restano impregiudicate le altre prescrizioni in materia di protezione dei dati previste dagli strumenti giuridici pertinenti, riguardo alle quali vengono fornite indicazioni nelle varie sezioni dei presenti orientamenti. In particolare, gli utenti dell’EWRS sono invitati a leggere con attenzione la sezione 8 sull’informazione degli interessati e la sezione 9 sull’accesso ai dati e altri diritti degli interessati.

6.1.   Principi relativi alla liceità del trattamento e alla limitazione delle finalità

I responsabili del trattamento devono assicurarsi che i dati personali siano trattati lealmente e lecitamente. Questo principio implica, in primo luogo, che la raccolta e ogni trattamento successivo di dati personali siano basati su motivi legittimi stabiliti dalla legge (21). In secondo luogo, i dati personali possono essere raccolti soltanto per finalità specificate, esplicite e legittime e non devono essere sottoposti a successivi trattamenti in maniera incompatibile con tali finalità (22).

6.2.   Principi sulla qualità dei dati

I responsabili del trattamento devono assicurarsi che i dati personali siano adeguati, pertinenti e non eccessivi in relazione alle finalità per le quali sono raccolti. Inoltre, i dati devono essere precisi e aggiornati (23).

6.3.   Principi sulla conservazione dei dati

I responsabili del trattamento devono assicurarsi che i dati personali siano conservati in modo da consentire l’identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali i dati sono raccolti o successivamente trattati (24).

6.4.   Principi sulla riservatezza e la sicurezza dei dati

I responsabili del trattamento devono assicurarsi che le persone che hanno accesso ai dati personali e che agiscono sotto la sua autorità o quella dell’incaricato del trattamento, compreso quest’ultimo, effettuino il trattamento degli stessi solo su istruzione del responsabile del trattamento (25). Inoltre, i responsabili del trattamento devono adottare adeguate misure tecniche e di organizzazione per proteggere i dati personali contro la distruzione o la perdita, l’alterazione, la comunicazione o l’accesso accidentali, non autorizzati o illeciti e contro tutte le forme di trattamento illecite (26).

Per un’applicazione efficace e corretta dei principi di cui sopra nel contesto dell’utilizzo del sistema, si raccomanda agli utenti dell’EWRS in particolare quanto segue:

per garantire che il trattamento abbia una base giuridica, i dati siano raccolti per finalità esplicite e lecite e non siano successivamente trattati in modo incompatibile con tali finalità, ogni volta che raccolgono o altrimenti trattano dati personali mediante l’EWRS, gli utenti dell’EWRS devono:

—

valutare caso per caso se l’attuazione di misure coordinate di ricerca di contatti, e la conseguente attivazione del canale selettivo dell’EWRS per lo scambio dei relativi dati di ricerca di contatti o di altri dati personali, sia giustificata in considerazione della natura della malattia e dei vantaggi scientificamente comprovati della ricerca di contatti per la prevenzione o la riduzione dell’ulteriore diffusione della malattia, tenendo conto della valutazione dei rischi fornita dalle autorità sanitarie degli Stati membri e dagli organismi scientifici (ECDC e OMS),

—

evitare di utilizzare il canale di messaggistica generale per lo scambio di dati di ricerca di contatti e di altri dati personali. In particolare, tali dati non devono essere inclusi nel corpo dei messaggi generali trasmessi, negli allegati o in qualsiasi altra forma. L’uso del canale di messaggistica generale ai fini della ricerca di contatti sarebbe illegittimo e sproporzionato, in quanto si comunicherebbero dati personali a destinatari (fra cui la Commissione e l’ECDC) non interessati da una determinata procedura di ricerca di contatti e che non devono avere accesso a tali dati,

—	in caso di utilizzazione della messaggistica selettiva, scegliere come destinatari dei messaggi selettivi che contengono dati personali soltanto le autorità competenti degli Stati membri che devono collaborare a una data procedura di ricerca di contatti;

gli utenti dell’EWRS devono essere particolarmente attenti quando scambiano, attraverso il canale di messaggistica selettiva, dati sensibili riguardanti le condizioni di salute di persone identificate o identificabili, per esempio persone contaminate o potenzialmente esposte le cui coordinate o altri dati personali sono comunicati contemporaneamente attraverso l’EWRS, in modo che la persona in questione possa essere direttamente o indirettamente identificata. In questo caso, continuano a essere valide le raccomandazioni di cui sopra; inoltre, gli utenti dell’EWRS devono tenere presente che lo scambio di dati sensibili è consentito dalla direttiva 95/46/CE soltanto in situazioni molto limitate. In particolare (27):

—

la persona di cui si raccolgono i dati deve avere dato il proprio consenso esplicito al loro trattamento [articolo 8, paragrafo 2, lettera a), della direttiva 95/46/CE]. Tuttavia, la necessità di intervenire in maniera tempestiva in situazioni di emergenza sanitaria può rendere impossibile fornire agli interessati tutte le informazioni richieste per poter dare un consenso informato (cfr. sezione 8 relativa all’informazione degli interessati). Inoltre, la possibilità che i dati siano successivamente divulgati mediante l’EWRS non è necessariamente nota nel momento in cui i dati sono raccolti,

—

in mancanza del consenso degli interessati, il trattamento dei dati sanitari può essere considerato legittimo se è necessario «alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura», a condizione che il trattamento dei dati sanitari venga effettuato da un professionista in campo sanitario soggetto al segreto professionale o da un’altra persona egualmente soggetta a un obbligo di segreto equivalente (articolo 8, paragrafo 3, della direttiva 95/46/CE). In altri termini, ogni volta che inviano un messaggio selettivo contenente dati sanitari sensibili a destinatari in altri Stati membri, gli utenti dell’EWRS devono valutare se la comunicazione di tali dati è strettamente necessaria per consentire alle autorità competenti degli Stati membri interessati di attuare le misure specifiche richieste per una delle finalità menzionate. Si rammenta inoltre agli utenti dell’EWRS che possono essere previsti motivi aggiuntivi di trattamento dei dati dalle rispettive leggi nazionali di recepimento della direttiva 95/46/CE e da una decisione delle autorità garanti della protezione dei dati nazionali (28).

Per garantire la qualità dei dati personali che scambiano attraverso il sistema, e in particolare, prima di inviare un messaggio selettivo, gli utenti dell’EWRS devono considerare se:

—

i dati personali che vogliono scambiare sono strettamente necessari per garantire l’efficacia della procedura di ricerca di contatti. In altre parole, le autorità competenti che inviano il messaggio dovrebbero fornire alle autorità degli altri Stati membri interessati soltanto i dati personali necessari per identificare in maniera inequivocabile le persone infettate o esposte. L’elenco indicativo dei dati personali che possono essere scambiati ai fini della ricerca di contatti, allegato alla decisione 2009/547/CE, non deve essere considerato come un’autorizzazione generale incondizionata a trattare tali categorie di dati. Si dovrà procedere con la massima precauzione nel trattamento dei dati personali diversi da quelli elencati nell’allegato, in quanto la loro comunicazione potrebbe essere eccessiva e irragionevole. Si dovrà valutare caso per caso se l’inclusione di taluni dati personali sia strettamente necessaria ai fini di una determinata procedura di ricerca di contatti.

Successivi trattamenti e archiviazione di dati personali al di fuori dell’EWRS:

è molto importante tenere presente che le norme nazionali in materia di protezione dei dati che recepiscono la direttiva 95/46/CE si applicano anche all’archiviazione e ai successivi trattamenti, al di fuori dell’EWRS, di dati personali ottenuti mediante il sistema. Può trattarsi, per esempio, del caso in cui dati personali archiviati a livello centrale dal sistema vengono memorizzati nei PC locali degli utenti o in banche dati istituite a livello nazionale o del caso in cui i dati vengono trasmessi dall’autorità competente responsabile del loro trattamento nell’ambito dell’EWRS ad altre autorità o a terzi. In questi casi, si rammenta agli utenti dell’EWRS quanto segue:

—	l’archiviazione e i successivi trattamenti al di fuori dell’EWRS non devono essere incompatibili con le finalità originarie per le quali i dati sono stati raccolti e scambiati nell’ambito dell’EWRS,

—	i successivi trattamenti devono avere una base giuridica nella legislazione nazionale in materia di protezione dei dati, essere necessari, adeguati, pertinenti e non eccessivi in relazione alle finalità originarie della raccolta nell’ambito dell’EWRS,

—	i dati devono essere aggiornati e cancellati quando non sono più necessari per le finalità per le quali sono stati successivamente trattati,

—

quando i dati sono estratti dall’EWRS e comunicati a terzi, il responsabile del trattamento deve informare gli interessati di tale circostanza in modo da garantire la correttezza del trattamento, salvo che ciò si riveli impossibile o richieda sforzi sproporzionati o che la comunicazione sia prescritta per legge (cfr. articolo 11, paragrafo 2, della direttiva 95/46/CE). Considerando che la comunicazione può essere prescritta dalla legge di uno soltanto degli Stati membri coinvolti e che tale obbligo può non essere sempre conosciuto in altri paesi, dovranno essere fornite informazioni al riguardo anche nel caso in cui la comunicazione sia espressamente prevista dalla legge.

7.   UN AMBIENTE FAVOREVOLE ALLA PROTEZIONE DEI DATI

Diverse funzioni sono già state incorporate nell’EWRS per garantire il rispetto dei principi di protezione dei dati enunciati nella sezione 6 e indurre gli utenti a considerare gli aspetti della protezione dei dati ogni volta che utilizzano il sistema. Per esempio:

—

sulla pagina generale dei messaggi dell’EWRS viene chiaramente visualizzata un’avvertenza che informa gli utenti che il canale di messaggistica generale non deve essere impiegato per inserire dati della ricerca di contatti o altri dati personali, in quanto ciò potrebbe comportate una comunicazione non necessaria di tali dati a destinatari diversi da quelli che devono avervi accesso,

—	l’accesso alle informazioni scambiate nel sistema è stato modulato creando diversi profili di utenti e canali di comunicazione selettivi, che offrono adeguate garanzie di conformità alle norme in materia di protezione dei dati,

—

in particolare, il canale di messaggistica selettiva dell’EWRS costituisce un canale di comunicazione esclusivo per lo scambio di informazioni personali soltanto tra gli Stati membri interessati. Nel sistema è stata inserita un’opzione predefinita che esclude automaticamente la Commissione e l’ECDC dall’elenco dei possibili destinatari dei messaggi selettivi contenenti dati personali (29),

—	il sistema cancella automaticamente tutti i messaggi selettivi contenenti informazioni personali dodici mesi dopo l’invio dei messaggi (per maggiori informazioni, cfr. sezione 11 sulla conservazione dei dati),

—

il sistema è dotato di una funzione che consente agli utenti di modificare o cancellare direttamente in qualsiasi momento i messaggi selettivi contenenti informazioni personali inesatte, non aggiornate, non più necessarie o altrimenti non conformi ai requisiti di protezione dei dati. Il sistema notifica automaticamente agli altri utenti dell’EWRS coinvolti in uno specifico scambio di informazioni selettive che il messaggio è stato cancellato, o che ne è stato modificato il contenuto, per garantire la conformità alle norme in materia di protezione dei dati,

—

nel canale di messaggistica selettiva è stato predisposto un meccanismo specifico per consentire alle autorità nazionali interessate da un determinato scambio di informazioni di comunicare e cooperare riguardo all’accesso, alla modifica, al congelamento o alla cancellazione di richieste degli interessati.

Inoltre, nel medio termine è previsto che il modulo di formazione disponibile nell’applicazione EWRS sia integrato per fornire agli utenti dell’EWRS ampie spiegazioni sul funzionamento del sistema dal punto di vista della protezione dei dati. L’uso dei vari elementi e delle funzioni intesi a rafforzare la conformità alle norme in materia di protezione dei dati sarà illustrato con esempi pratici.

La Commissione intende collaborare con gli Stati membri per far sì che questi e altri eventuali sviluppi futuri dell’EWRS si ispirino al principio «privacy by design» fin dall’inizio (30), e che siano tenuti in considerazione i principi di necessità, proporzionalità, limitazione delle finalità e minimizzazione dei dati quando si adottano decisioni sulle informazioni che possono essere scambiate attraverso l’EWRS, con chi e a quali condizioni.

8.   L’INFORMAZIONE DEGLI INTERESSATI

La legislazione dell’Unione europea in materia di protezione dei dati prevede l’obbligo per il responsabile del trattamento dei dati di fornire agli interessati chiare informazioni sulle operazioni di trattamento che intende effettuare sui loro dati personali.

In linea con il suo ruolo di coordinamento nell’ambito dell’EWRS e per adempiere a quest’obbligo (31), la Commissione ha messo a disposizione una dichiarazione sulla riservatezza chiara e completa sulla pagina del suo sito Internet dedicata all’EWRS, per quanto riguarda i trattamenti effettuati sotto la responsabilità della Commissione e quelli effettuati dalle autorità competenti in particolare nel contesto delle attività di ricerca di contatti.

Tuttavia, la responsabilità dell’informazione degli interessati spetta anche alle autorità competenti degli Stati membri nella loro qualità di responsabili del trattamento, per le rispettive operazioni di trattamento nell’ambito dell’EWRS.

Quali «informazioni» devono fornire agli interessati le autorità nazionali competenti per l’EWRS?

Nei casi di raccolta di dati direttamente presso gli interessati, l’articolo 10 della direttiva 95/46/CE stabilisce che il responsabile del trattamento, o il suo rappresentante, deve fornire, al momento della raccolta, alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:

a)	l’identità del responsabile del trattamento ed eventualmente del suo rappresentante;

b)	le finalità del trattamento cui sono destinati i dati;

c)

ulteriori informazioni riguardanti quanto segue: — i destinatari o le categorie di destinatari dei dati, — se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta, — se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano,

qualora, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per garantire un trattamento leale nei confronti della persona interessata.

L’articolo 11 della direttiva 95/46/CE elenca le informazioni minime che il responsabile del trattamento deve fornire in caso di dati non raccolti presso la persona interessata. Tali informazioni devono essere fornite al momento della registrazione dei dati personali o, qualora sia prevista una comunicazione dei dati a un terzo, al più tardi all’atto della prima comunicazione dei medesimi (32).

Le disposizioni citate implicano che, al momento della raccolta di dati personali di persone fisiche (o, al più tardi, quando i dati vengono comunicati per la prima volta attraverso l’EWRS), ai fini dell’adozione delle misure necessarie per proteggere la sanità pubblica in relazione a casi da riferire ai sensi della decisione n. 2119/98/CE e delle misure di esecuzione, le autorità nazionali competenti debbano trasmettere direttamente agli interessati un avviso legale contenente le informazioni di cui agli articoli 10 e 11 della direttiva 95/46/CE. L’avviso deve includere anche un breve riferimento all’EWRS e link ai documenti pertinenti e alle dichiarazioni sulla riservatezza sui siti Internet nazionali delle autorità competenti e al sito Internet della Commissione dedicato all’EWRS.

Le informazioni che devono essere riportate nell’avviso legale possono variare notevolmente da uno Stato membro all’altro. Alcune normative nazionali prevedono per i responsabili del trattamento dei dati maggiori obblighi, comprendenti la fornitura di ulteriori informazioni, ad esempio sul diritto degli interessati di essere risarciti, sull’archiviazione e sui periodi di conservazione dei dati, sulle misure di sicurezza dei dati e così via.

È vero che la necessità di intervenire in maniera tempestiva in situazioni di emergenza sanitaria può rendere impossibile, quando i dati non sono ottenuti presso gli interessati, avvisare questi ultimi per informarli delle finalità del trattamento dei loro dati personali. A questo proposito, l’articolo 11, paragrafo 2, della direttiva 95/46/CE stabilisce che il diritto di informazione degli interessati può essere limitato nel caso in cui «l’informazione della persona interessata si rivela impossibile o richiede sforzi sproporzionati o la registrazione o la comunicazione è prescritta per legge. In questi casi gli Stati membri prevedono garanzie appropriate».

Più in generale, va sottolineato che possono essere applicate limitazioni o restrizioni del diritto di informazione degli interessati in base alle normative nazionali in materia di protezione dei dati che recepiscono la direttiva 95/46/CE (33). Tali limitazioni o restrizioni specifiche a livello nazionale devono essere menzionate in maniera inequivocabile nelle avvertenze sulla riservatezza fornite agli interessati o nelle dichiarazioni sulla riservatezza pubblicate sui siti Internet nazionali delle autorità competenti.

Spetta alle autorità nazionali competenti degli Stati membri decidere la forma e il modo per comunicare tali informazioni agli interessati. Poiché la maggior parte delle autorità competenti effettueranno operazioni diverse dallo scambio di informazioni nell’ambito dell’EWRS, il modo in cui informeranno gli interessati potrà eventualmente essere identico a quello scelto per comunicare informazioni simili per altre operazioni effettuate in base alla normativa nazionale. Inoltre, si raccomanda alle autorità competenti di aggiornare o integrare le politiche o le dichiarazioni sulla riservatezza — se ve ne sono già sui loro siti Internet nazionali — con un riferimento specifico allo scambio di dati personali nell’ambito dell’EWRS.

Per tutti i motivi suesposti, è della massima importanza che le autorità competenti degli Stati membri consultino le rispettive autorità garanti della protezione dei dati quando definiscono modelli di avvertenze legali e di dichiarazioni sulla riservatezza ai sensi degli articoli 10 e 11 della direttiva 95/46/CE.

9.   ACCESSO AI DATI PERSONALI E ALTRI DIRITTI DEGLI INTERESSATI

I requisiti di protezione dei dati in relazione all’informazione degli interessati esaminati nella precedente sezione 8 hanno in definitiva lo scopo di garantire la trasparenza delle operazioni di trattamento dei dati personali. La trasparenza è anche l’obiettivo alla base delle disposizioni sui diritti di accesso degli interessati stabilite dagli strumenti giuridici dell’UE in materia di protezione dei dati (34).

Che cos’è il «diritto di accesso ai dati» dell’interessato?

I responsabili del trattamento dei dati devono garantire a qualsiasi persona interessata il diritto di ottenere, senza ritardi o spese eccessivi, la conferma dell’esistenza o meno di trattamenti di dati che la riguardano, e l’informazione sulle finalità dei trattamenti e sui destinatari cui possono essere comunicati i dati.

I responsabili del trattamento dei dati devono anche garantire agli interessati il diritto a ottenere la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni applicabili in materia di protezione dei dati, per esempio a causa del carattere incompleto o inesatto dei dati.

Infine, i responsabili del trattamento dei dati devono notificare ai terzi ai quali sono stati comunicati i dati qualsiasi rettifica, cancellazione o congelamento effettuati su legittima richiesta dell’interessato, a meno che questo sia impossibile o richieda uno sforzo sproporzionato.

Nella loro qualità di responsabili del trattamento, la Commissione e gli Stati membri condividono la responsabilità riguardo alla concessione di diritti di accesso, alla rettifica, alla cancellazione e al congelamento dei dati personali trattati nell’ambito dell’EWRS alle condizioni di seguito descritte.

Spetta alla Commissione il compito di concedere l’accesso ai dati personali dei punti focali nazionali dell’EWRS e di gestire le relative richieste di rettifica, di cancellazione e di congelamento. I punti focali nazionali sono invitati a far riferimento alla clausola specifica contenuta nella dichiarazione sulla riservatezza disponibile sulla pagina del sito Internet della Commissione dedicata all’EWRS (35) per avere maggiori informazioni sul modo di esercitare i loro diritti in qualità di interessati.

Si informano inoltre gli utenti dell’EWRS che nel sistema è già stata integrata una funzione che consente loro di modificare direttamente i propri dati personali. Gli utenti non possono tuttavia modificare i campi di dati sulla cui base si identifica un determinato account dell’EWRS (indirizzo di posta elettronica accreditata dell’utente, tipo di account e così via) per evitare che utenti non autorizzati possano accedere al sistema. Pertanto, qualsiasi richiesta di modifica di questi campi di dati deve essere rivolta al responsabile del trattamento dei dati presso la Commissione, come indicato nella dichiarazione sulla riservatezza disponibile sulla pagina del sito Internet della Commissione dedicata all’EWRS.

Il compito di esaminare le richieste degli interessati riguardanti i dati di ricerca di contatti, i dati sanitari e altri dati personali scambiati tra gli Stati membri attraverso l’EWRS spetta alle rispettive autorità competenti coinvolte in un determinato scambio di informazioni selettive. Detto compito è disciplinato dalle disposizioni pertinenti della normativa nazionale in materia di protezione dei dati che recepisce la direttiva 95/46/CE.

Va tuttavia sottolineato che le normative nazionali in materia di protezione dei dati che recepiscono la direttiva 95/46/CE possono prevedere restrizioni o limitazioni specifiche dei diritti di accesso, rettifica, cancellazione o congelamento dei dati degli interessati (36). Tali limitazioni o restrizioni devono essere menzionate in maniera inequivocabile nelle avvertenze sulla riservatezza fornite agli interessati o nelle dichiarazioni sulla riservatezza pubblicate sui siti Internet nazionali delle autorità competenti. Si raccomanda quindi ai punti di contatto EWRS di rivolgersi alle autorità nazionali garanti della protezione dei dati per ottenere maggiori informazioni al riguardo.

La complessità dell’EWRS, con una molteplicità di utenti coinvolti in operazioni di trattamento congiunte, richiede un approccio chiaro e semplice riguardo al diritto di accesso degli interessati, in quanto questi ultimi non hanno una conoscenza adeguata del funzionamento del sistema e devono essere messi in condizione di esercitare effettivamente i loro diritti.

Se un interessato ritiene che i suoi dati personali siano trattati nell’ambito dell’EWRS e desidera avere accesso a tali dati o richiederne la cancellazione o la rettifica, l’interessato dovrebbe avere la possibilità di rivolgersi a qualsiasi autorità nazionale competente con cui ha avuto contatti e/o che ha raccolto i suoi dati in relazione a un caso specifico che rappresenti un rischio per la sanità pubblica (per esempio, l’autorità del paese di cui l’interessato è cittadino e l’autorità del paese di soggiorno della persona nel momento in cui si verifica il caso), e a qualsiasi altra autorità coinvolta nello scambio di informazioni in relazione all’attuazione di misure di ricerca di contatti.

Le autorità competenti coinvolte nello scambio di informazioni in questione non dovrebbero rifiutare l’accesso, la rettifica o la cancellazione adducendo come motivo il fatto di non aver inserito i dati nell’EWRS, o invitando l’interessato a rivolgersi a un’altra autorità competente. In particolare, se la richiesta dell’interessato viene ricevuta da un’autorità competente diversa da quella che ha comunicato le informazioni originali attraverso il canale di scambio selettivo, l’autorità ricevente deve trasmettere la richiesta, attraverso il meccanismo specifico menzionato nella sezione 7, all’autorità competente che ha trasmesso il messaggio originale, che deciderà in merito alla richiesta.

Se del caso, prima di adottare una decisione, l’autorità competente che ha inserito le informazioni nel sistema può contattare altre autorità competenti coinvolte nello scambio di informazioni o altrimenti interessate dalla richiesta dell’interessato attraverso il meccanismo specifico menzionato nella sezione 7.

Gli interessati devono anche essere informati del fatto che, se non sono soddisfatti della risposta ricevuta, possono rivolgersi a un’altra autorità competente coinvolta nello scambio di informazioni. In ogni caso, gli interessati hanno il diritto di presentare ricorso all’autorità nazionale garante della protezione dei dati del paese di una delle autorità competenti che ritiene più opportuno. Se necessario e appropriato, le autorità nazionali garanti della protezione dei dati collaborano tra loro per esaminare il ricorso (articolo 28 della direttiva 95/46/CE).

Infine, oltre a una specifica raccomandazione formulata dal GEPD nel suo parere, la Commissione ha introdotto una nuova funzione nell’EWRS per consentire la rettifica e la cancellazione online, ai fini della conformità all’obbligo di protezione dei dati, di messaggi selettivi contenenti informazioni personali inesatte, non aggiornate, non più necessarie o non conformi ai requisiti di protezione dei dati.

10.   SICUREZZA DEI DATI

L’accesso al sistema è limitato agli utenti autorizzati dalla Commissione e dall’ECDC e a punti focali nazionali dell’EWRS formalmente designati. L’accesso è protetto tramite account e password dell’utente sicuri e personalizzati.

Le procedure per il trattamento delle informazioni personali nell’EWRS sono stabilite in riferimento alle disposizioni degli articoli 21 e 22 del regolamento (CE) n. 45/2001.

11.   CONSERVAZIONE DEI DATI

Come prescritto dalle disposizioni in materia di protezione dei dati di cui all’articolo 4, paragrafo 1, lettera e), del regolamento (CE) n. 45/2001 e all’articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE, il sistema cancella automaticamente tutti i messaggi selettivi contenenti informazioni personali dopo dodici mesi dalla data dell’inserimento dei messaggi.

Questa garanzia, che fa parte integrante del sistema, non esime tuttavia gli utenti dell’EWRS — in quanto responsabili unici e individuali delle proprie operazioni di trattamento nell’ambito del canale di messaggistica selettiva — dall’adottare le misure necessarie per eliminare dal sistema i dati personali che diventano non più necessari prima della scadenza del periodo predefinito di un anno.

A tale scopo, la Commissione ha introdotto una nuova funzione nell’EWRS per consentire agli utenti di cancellare direttamente, in qualsiasi momento, i messaggi selettivi contenenti informazioni personali non più necessarie.

Infine, va rammentato che le autorità nazionali competenti sono tenute a rispettare le disposizioni relative alla conservazione di dati personali delle legislazioni nazionali che recepiscono la direttiva 95/46/CE. La cancellazione automatica delle informazioni personali archiviate nel sistema dopo un anno non impedisce agli utenti dell’EWRS di archiviare le stesse informazioni al di fuori dell’EWRS per periodi diversi (per esempio, più lunghi), a condizione che ciò avvenga nel rispetto degli obblighi derivanti dalle disposizioni nazionali in materia di protezione dei dati e che i periodi previsti dalla normativa nazionale siano compatibili con le prescrizioni dell’articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE.

12.   COOPERAZIONE CON LE AUTORITÀ NAZIONALI GARANTI DELLA PROTEZIONE DEI DATI

Le autorità competenti sono invitate a consultare le rispettive autorità nazionali garanti della protezione dei dati, in particolare in relazione a questioni attinenti alla protezione dei dati non trattate nei presenti orientamenti.

Le autorità competenti devono anche tenere presente il fatto che le leggi nazionali che recepiscono la direttiva 95/46/CE possono imporre loro l’obbligo di notificare alle rispettive autorità nazionali garanti della protezione dei dati le proprie attività di trattamento dei dati nell’ambito dell’EWRS. La legislazione di certi Stati membri può anche prevedere un obbligo di autorizzazione preventiva da parte delle autorità nazionali garanti della protezione dei dati.

---

(1)  L’ECDC fornisce anche sostegno e assistenza alla Commissione nella gestione dell’applicazione EWRS. Questo compito è stato assegnato all’ECDC dal regolamento (CE) n. 851/2004 del Parlamento europeo e del Consiglio, del 21 aprile 2004, con il quale si crea un Centro europeo per la prevenzione e il controllo delle malattie, in particolare l’articolo 8 (GU L 142 del 30.4.2004, pag. 1).

(2)  http://www.edps.europa.eu/EDPSWEB/edps/EDPS

(3)  Le categorie di malattie trasmissibili rientranti nell’ambito della rete sono quelle elencate nell’allegato della decisione n. 2119/98/CE.

(4)  Articolo 2, lettera a), della direttiva 95/46/CE e articolo 2, lettera a), del regolamento (CE) n. 45/2001.

(5)  Articolo 4 della decisione n. 2119/98/CE.

(6)  Allegato I della decisione 2000/57/CE sulla definizione di «casi» da riferire nel quadro dell’EWRS.

(7)  Articolo 6 della decisione n. 2119/98/CE.

(8)  Il chiarimento sugli scopi legittimi del trattamento di dati personali nell’ambito dell’EWRS per includere i dati di «ricerca dei contatti» è il risultato delle modifiche apportate alla decisione 2000/57/CE della Commissione dalla decisione 2009/547/CE.

(9)  Articolo 2, lettera b), della direttiva 95/46/CE e articolo 2, lettera b), del regolamento (CE) n. 45/2001.

(10)  Per quanto riguarda la definizione di «responsabile del trattamento», cfr. sezione 5.

(11)  Un elenco indicativo dei dati personali che possono essere scambiati ai fini della ricerca di contatti è allegato alla decisione 2009/547/CE.

(12)  Articolo 1 e allegato I della decisione 2000/57/CE sulla definizione di «casi» da riferire nel quadro dell’EWRS.

(13)  Articolo 2 bis della decisione 2000/57/CE introdotto dalla decisione 2009/547/CE.

(14)  Come previsto dall’articolo 8, paragrafo 4, della direttiva 95/46/CE.

(15)  Cfr., in particolare, articoli 4, 5 e 6.

(16)  Articolo 2 bis della decisione 2000/57/CE introdotto dalla decisione 2009/547/CE.

(17)  Definizione dell’articolo 2, lettera d), della direttiva 95/46/CE.

(18)  In casi eccezionali, la Commissione può essere coinvolta nello scambio di dati personali attraverso il canale selettivo dell’EWRS qualora tale coinvolgimento sia assolutamente necessario per coordinare, o consentire, l’attuazione efficace e tempestiva di misure di sanità pubblica previste dalla decisione n. 2119/98/CE e dalle relative misure di esecuzione. In tali casi, la Commissione si assicura della legittimità del trattamento e del rispetto delle disposizioni del regolamento (CE) n. 45/2001

(19)  Definizione stabilita dall’articolo 2, lettera e), del regolamento (CE) n. 45/2001.

(20)  Tali principi sono sanciti dall’articolo 23, paragrafo 1, del regolamento (CE) n. 45/2001 relativo al trattamento di dati personali per conto dei responsabili del trattamento.

(21)  Il principio di liceità del trattamento deriva dal combinato disposto dell’articolo 6, paragrafo 1, lettera a), dell’articolo 7 e dell’articolo 8 della direttiva 95/46/CE. Cfr. anche le disposizioni corrispondenti del regolamento (CE) n. 45/2001.

(22)  Il principio di limitazione delle finalità è sancito dall’articolo 6, paragrafo 1, lettera b), della direttiva 95/46/CE e dalla disposizione corrispondente dell’articolo 4, paragrafo 1, lettera b), del regolamento (CE) n. 45/2001.

(23)  Articolo 6, paragrafo 1, lettere c) e d), della direttiva 95/46/CE e articolo 4, paragrafo 1, lettere c) e d), del regolamento (CE) n. 45/2001.

(24)  Articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE e articolo 4, paragrafo 1, lettera e), del regolamento (CE) n. 45/2001.

(25)  Il principio di riservatezza è stabilito dall’articolo 16 della direttiva 95/46/CE e dalla corrispondente disposizione dell’articolo 21 del regolamento (CE) n. 45/2001.

(26)  Il principio di sicurezza dei dati è stabilito dall’articolo 17 della direttiva 95/46/CE e dalla corrispondente disposizione dell’articolo 22 del regolamento (CE) n. 45/2001.

(27)  Per l’elenco completo delle esenzioni al divieto di trattamento di specifiche categorie di dati, compresi i dati sanitari, cfr. articolo 8, paragrafi 2, 3, 4 e 5 della direttiva 95/46/CE.

(28)  Articolo 8, paragrafo 4, della direttiva 95/46/CE.

(29)  Ciononostante, agli utenti dell’EWRS viene anche fornita l’opzione alternativa di utilizzare questo canale per la condivisione selettiva di informazioni relative a questioni tecniche che non comporta la trasmissione di dati personali. Quando si sceglie l’opzione alternativa anziché quella predefinita, la Commissione e l’ECDC possono essere selezionati come destinatari dall’autorità che inserisce il messaggio. Questa funzione è stata attivata nel sistema per tenere conto del ruolo istituzionale della Commissione nel coordinamento delle questioni relative alla gestione dei rischi e dei casi e dell’ECDC nello svolgimento dei compiti di valutazione dei rischi.

(30)  In base al principio di «privacy by design», le tecnologie della comunicazione e dell’informazione (TIC) devono essere concepite e realizzate tenendo conto dei requisiti di riservatezza e di protezione dei dati dalle fasi iniziali della tecnologia e in tutte le fasi del suo sviluppo.

(31)  L’obbligo di informazione spettante alla Commissione è basato sugli articoli 11 e 12 del regolamento (CE) n. 45/2001.

(32)  Le informazioni da fornire sono quelle di cui al citato articolo 10, con l’aggiunta delle categorie di dati interessate. È ovvio che tali informazioni non sono necessarie in caso di raccolta diretta presso l’interessato, che viene informato delle categorie di dati interessate al momento della raccolta dei dati.

(33)  L’articolo 13, paragrafo 1, della direttiva 95/46/CE sulle deroghe e le restrizioni stabilisce che: «Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 6, paragrafo 1, dell’articolo 10, dell’articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia: a) della sicurezza dello Stato; b) della difesa; c) della pubblica sicurezza; d) della prevenzione, della ricerca, dell’accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate; e) di un rilevante interesse economico o finanziario di uno Stato membro o dell’Unione europea, anche in materia monetaria, di bilancio e tributaria; f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l’esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e); g) della protezione della persona interessata o dei diritti e delle libertà altrui».

(34)  Articolo 12 della direttiva 95/46/CE e articoli da 13 a 18 del regolamento (CE) n. 45/2001.

(35)  La dichiarazione sulla riservatezza è disponibile anche a tutti gli utenti dell’EWRS dalla sezione sicura dell’applicazione EWRS.

(36)  Articolo 13, paragrafo 1, della direttiva 95/46/CE già menzionato.