1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/20

1.

Il 30 settembre 2010 la Commissione ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio relativo all’ENISA, l’Agenzia europea per la sicurezza delle reti e dell’informazione (3).

2.

L’ENISA è stata istituita nel marzo 2004 per un periodo iniziale di cinque anni a norma del regolamento (CE) n. 460/2004 (4). Nel 2008 il regolamento (CE) n. 1007/2008 (5) ne ha prolungato il mandato fino al marzo 2012.

3.

Come risulta dall’articolo 1, paragrafo 1, del regolamento (CE) n. 460/2004, l’Agenzia è stata istituita al fine di assicurare un alto ed efficace livello di sicurezza delle reti e dell’informazione nell’Unione europea e di contribuire al corretto funzionamento del mercato interno.

4.

La proposta della Commissione è intesa a modernizzare l’Agenzia, a rafforzarne le competenze e a stabilire un nuovo mandato della durata di cinque anni, onde garantire la continuità dell’Agenzia anche dopo il marzo 2012 (6).

5.

La proposta di regolamento trova la sua base giuridica nell’articolo 114 del TFUE (7), che attribuisce all’Unione europea la competenza di adottare misure che hanno per oggetto l’instaurazione ed il funzionamento del mercato interno. L’articolo 114 del TFUE è il successore dell’ex articolo 95 del TCE, sul quale erano basati i precedenti regolamenti relativi all’ENISA (8).

6.

Nelle motivazioni che accompagnano la proposta si fa riferimento al fatto che, con l’entrata in vigore del trattato di Lisbona, la prevenzione e la lotta contro la criminalità sono diventate competenze condivise. Pertanto, l’ENISA ha la possibilità di svolgere un ruolo di piattaforma per gli aspetti della lotta alla criminalità informatica legati alla sicurezza delle reti e dell’informazione, nonché di condividere opinioni e buone pratiche con le autorità incaricate della difesa dagli attacchi informatici, del rispetto delle norme e della protezione dei dati.

7.

Tra una pluralità di opzioni, la Commissione ha scelto di proporre un ampliamento dei compiti dell’ENISA e di aggiungere le autorità incaricate del rispetto delle norme e quelle preposte alla protezione dei dati come membri a pieno titolo del suo gruppo permanente di parti interessate. Il nuovo elenco dei compiti non comprende compiti operativi, ma aggiorna e riformula quelli attuali.

8.

Il 1o ottobre 2010 la proposta è stata inviata per consultazione al GEPD a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001. Il GEPD si compiace di essere stato consultato in materia e raccomanda di inserire nei considerando della proposta un riferimento a tale consultazione, com’è consuetudine fare nei testi legislativi sui quali il GEPD è stato consultato a norma del regolamento (CE) n. 45/2001.

9.

Prima dell’adozione della proposta, il GEPD era stato consultato in via informale e aveva formulato numerose osservazioni informali, nessuna delle quali, però, è stata presa in considerazione nella versione definitiva della proposta.

10.

Il GEPD sottolinea che la sicurezza del trattamento dei dati è un elemento cruciale della protezione dei dati (9). A tale proposito, il GEPD valuta positivamente l’obiettivo della proposta di rafforzare le competenze dell’Agenzia onde consentirle di svolgere più efficacemente i suoi compiti e le sue responsabilità attuali e, nel contempo, di estendere il suo ambito di attività. Il GEPD si compiace altresì che le autorità preposte alla protezione dei dati e quelle incaricate del rispetto delle norme siano state aggiunte quali parti interessate a pieno titolo. Il GEPD ritiene che la proroga del mandato dell’ENISA possa incoraggiare a livello europeo una gestione professionale ed efficiente delle misure di sicurezza relative ai sistemi informatici.

11.

La valutazione complessiva della proposta è positiva. In diversi punti, però, la proposta di regolamento è poco chiara o incompleta, la qual cosa solleva timori sotto il profilo della protezione dei dati. Tali punti sono illustrati ed esaminati nel capitolo seguente del presente parere.

12.

Nell’articolo 3 della proposta, i compiti ampliati dell’Agenzia che riguardano il coinvolgimento delle autorità incaricate del rispetto delle norme e di quelle preposte alla protezione dei dati sono formulati in termini molto generici, mentre le motivazioni sono più esplicite in proposito e prevedono che l’ENISA funga da interfaccia con le autorità incaricate del rispetto delle norme e svolga compiti non operativi nella lotta contro la criminalità informatica. Nell’articolo 3, però, tali compiti non sono contemplati o sono menzionati soltanto in termini molto generici.

13.

Al fine di evitare qualsiasi incertezza del diritto, il regolamento proposto dev’essere chiaro e non ambiguo in riferimento ai compiti dell’ENISA. Come affermato, la sicurezza del trattamento dei dati è un elemento cruciale della loro protezione. In tale ambito, l’ENISA avrà un ruolo sempre più importante. Per i cittadini, le istituzioni e gli organi dev’essere chiaro quali attività l’ENISA potrebbe trovarsi a svolgere. Questa dimensione diventa ancora più rilevante qualora i compiti ampliati dell’ENISA comprendano anche il trattamento dei dati personali (cfr. punti 17-20).

14.

L’articolo 3, paragrafo 1, lettera k), della proposta stabilisce che l’Agenzia svolge ogni altro compito affidatole da altri atti legislativi dell’Unione. Il GEPD nutre timori riguardo a questa clausola non specifica, posto che essa crea potenzialmente una scappatoia giuridica che potrebbe compromettere la coerenza dello strumento giuridico e determinare una «funzione di scorrimento» (function creep) dell’Agenzia.

15.

Uno dei compiti cui fa riferimento l’articolo 3, paragrafo 1, lettera k), della proposta è previsto dalla direttiva 2002/58/CE (10) laddove stabilisce che la Commissione debba consultare l’Agenzia su tutte le misure tecniche di attuazione applicabili alle notifiche nel contesto delle violazioni di dati. Il GEPD raccomanda che questa attività dell’Agenzia sia descritta più dettagliatamente e circoscritta alla sola area di sicurezza. Considerato il potenziale impatto dell’ENISA sulla definizione della politica in questo campo, a tale attività va assegnata una posizione più chiara e più rilevante nella proposta di regolamento.

16.

Il GEPD raccomanda altresì l’inserimento nel considerando 21 di un riferimento alla direttiva 1999/5/CE (11), posto che l’articolo 3, paragrafo 1, lettera c), dell’attuale proposta affida all’Agenzia il compito particolare di assistere gli Stati membri e le istituzioni e gli organi europei nel loro impegno a raccogliere, analizzare e divulgare i dati relativi alla sicurezza delle reti e dell’informazione. Tale disposizione dovrebbe stimolare l’attività di promozione dell’ENISA a favore delle migliori pratiche e tecniche relative alla sicurezza delle reti e dell’informazione, perché evidenzierà maggiormente possibili interazioni costruttive tra l’Agenzia e gli organi di normalizzazione.

17.

La proposta non specifica se tra i compiti attribuiti all’Agenzia vi possa essere il trattamento dei dati personali. Pertanto, la proposta non contiene una base giuridica specifica per il trattamento dei dati personali nell’accezione dell’articolo 5 del regolamento (CE) n. 45/2001.

18.

Tuttavia, alcuni dei compiti attribuiti all’Agenzia possono comprendere (quanto meno in una certa misura) il trattamento di dati personali. Non è escluso, per esempio, che l’analisi di incidenti alla sicurezza e violazioni di dati o lo svolgimento di funzioni non operative nella lotta contro la criminalità informatica possano comportare la raccolta e l’analisi di dati personali.

19.

Il considerando 9 della proposta fa riferimento alle disposizioni della direttiva 2002/21/CE (12) secondo le quali le autorità nazionali di regolamentazione devono notificare all’Agenzia eventuali violazioni della sicurezza. Il GEPD raccomanda una formulazione più dettagliata della proposta per specificare meglio quali notifiche debbano essere inviate all’ENISA e come l’ENISA vi debba rispondere. Allo stesso modo, la proposta dovrebbe considerare le implicazioni del trattamento di dati personali che possono derivare dall’analisi di tali notifiche (ove ve ne siano).

20.

Il GEPD invita il legislatore a chiarire se e, in caso positivo, quali delle attività dell’ENISA riportate nell’articolo 3 comprenderanno il trattamento di dati personali.

21.

Sebbene l’ENISA svolga un ruolo importante nella discussione sulla sicurezza delle reti e dell’informazione in Europa, la proposta in esame quasi nulla dice riguardo all’adozione di misure di sicurezza per l’Agenzia stessa (siano esse correlate o meno al trattamento di dati personali).

22.

Il GEPD è del parere che l’Agenzia potrà promuovere ancora meglio le buone pratiche nel campo della sicurezza del trattamento dei dati se tali misure di sicurezza saranno applicate dall’Agenzia stessa al proprio interno. In tal modo si favorirà il riconoscimento dell’Agenzia non solo come centro di competenze ma anche come punto di riferimento per l’applicazione pratica delle migliori tecniche disponibili (MTD) in materia di sicurezza. L’impegno a mirare all’eccellenza nell’applicazione delle pratiche di sicurezza deve pertanto essere sancito dal regolamento che disciplina le procedure operative dell’Agenzia. Il GEPD suggerisce quindi di aggiungere alla proposta una disposizione in tal senso, ad esempio richiedendo che l’Agenzia applichi le migliori tecniche disponibili, cioè le procedure di sicurezza più efficaci e più avanzate e le loro modalità operative.

23.

Tale approccio consentirà all’Agenzia di esprimere pareri sull’effettiva idoneità di determinate tecniche ai fini della necessaria salvaguardia della sicurezza. Inoltre, nell’applicazione delle MTD dovrebbe essere riconosciuta priorità a quelle che consentono di garantire la sicurezza e allo stesso tempo di ridurre quanto più possibile l’impatto sulla privacy. Vanno scelte le tecniche più conformi al principio di tutela della vita privata fin dalla progettazione («privacy by design»).

24.

Anche con un approccio meno ambizioso, il GEPD raccomanda che il regolamento preveda, come minimo, i requisiti seguenti: i) definizione di una politica per la sicurezza interna, sulla base di un’esaustiva analisi dei rischi e tenendo conto degli standard internazionali e delle migliori pratiche negli Stati membri; ii) nomina di un responsabile della sicurezza, incaricato di attuare tale politica e dotato di risorse e poteri adeguati; iii) approvazione di tale politica dopo un’attenta valutazione del rischio residuo e i controlli proposti dal consiglio di amministrazione; iv) riesame periodico della politica, con una chiara indicazione della frequenza e degli obiettivi del riesame stesso.

25.

Come già dichiarato, il GEPD accoglie con favore la proroga del mandato dell’Agenzia e ritiene che le autorità preposte alla protezione dei dati possano beneficiare in gran misura dell’esistenza dell’Agenzia (e l’Agenzia, a sua volta, delle competenze di quelle autorità). Data la convergenza logica e naturale tra sicurezza e protezione dei dati, l’Agenzia e le autorità preposte alla protezione dei dati sono di fatto chiamate a una stretta collaborazione.

26.

I considerando 24 e 25 contengono un riferimento alla proposta di direttiva dell’Unione europea sulla criminalità informatica e prevedono che l’Agenzia instauri rapporti con gli organi incaricati del rispetto delle norme e anche con le autorità preposte alla protezione dei dati per quanto concerne gli aspetti della sicurezza dell’informazione nella lotta contro la criminalità informatica (13).

27.

La proposta dovrebbe altresì indicare concretamente canali e meccanismi di collaborazione atti a i) garantire la coerenza delle attività dell’Agenzia con quelle delle autorità preposte alla protezione dei dati e ii) permettere una stretta collaborazione tra l’Agenzia e dette autorità.

28.

Per quanto riguarda la coerenza, il considerando 27 fa esplicito riferimento al fatto che i compiti dell’Agenzia non devono entrare in conflitto con le autorità preposte alla protezione dei dati negli Stati membri. Il GEPD accoglie con favore tale riferimento, rileva tuttavia che non c’è alcun riferimento né al GEPD né al gruppo di lavoro dell’articolo 29. Il GEPD raccomanda al legislatore di inserire nella proposta un’analoga disposizione per garantire la non interferenza anche con queste due autorità. In tal modo si definirebbe più chiaramente il quadro operativo per tutti i soggetti e si individuerebbero i canali e i meccanismi di collaborazione attraverso i quali l’Agenzia potrà assistere le varie autorità preposte alla protezione dei dati e il gruppo di lavoro dell’articolo 29.

29.

Analogamente, per quanto riguarda la stretta collaborazione il GEPD valuta con favore l’inserimento di una rappresentanza delle autorità preposte alla protezione dei dati nel gruppo permanente di parti interessate, che funge da organo consultivo dell’Agenzia nell’espletamento delle sue attività. Il GEPD raccomanda di prevedere esplicitamente che i rappresentanti delle autorità nazionali preposte alla protezione dei dati siano nominati dall’Agenzia sulla base di una proposta del gruppo di lavoro dell’articolo 29. Inoltre, il GEPD apprezzerebbe l’inserimento di un riferimento che preveda la partecipazione del GEPD, in quanto tale, alle riunioni in cui si discutono questioni rilevanti per la collaborazione con il GEPD stesso. Il GEPD raccomanda altresì che l’Agenzia (con la consulenza del gruppo permanente di parti interessate e l’approvazione del consiglio di amministrazione) istituisca gruppi di lavoro ad hoc per i diversi argomenti laddove vi sia coincidenza tra protezione dei dati e sicurezza, al fine di delineare il contesto di questo impegno di stretta collaborazione.

30.

Infine, onde evitare qualsiasi malinteso, il GEPD raccomanda di utilizzare l’espressione «autorità preposte alla protezione dei dati» in luogo di «autorità preposte alla tutela della privacy» e di specificare quali siano tali autorità inserendo un riferimento all’articolo 28 della direttiva 95/46/CE e al GEPD come previsto dal capo V del regolamento (CE) n. 45/2001.

31.

Il GEPD rileva un’incongruenza nella proposta di regolamento per quanto attiene ai soggetti che possono richiedere l’assistenza dell’ENISA. Dai considerando 7, 15, 16, 18 e 36 della proposta si evince che l’ENISA può fornire assistenza agli organi degli Stati membri e all’Unione nel suo complesso. Tuttavia, l’articolo 2, paragrafo 1, cita soltanto la Commissione e gli Stati membri, mentre l’articolo 14 restringe la capacità di richiedere assistenza ai seguenti soggetti: i) il Parlamento europeo, ii) il Consiglio, iii) la Commissione e iv) un qualsiasi organo competente designato da uno Stato membro, escludendo così alcune delle istituzioni, degli organi, delle agenzie e degli uffici dell’Unione.

32.

L’articolo 3 della proposta è più specifico e definisce diversi tipi di assistenza a seconda del soggetto richiedente: i) raccolta e analisi di dati sulla sicurezza dell’informazione (nel caso degli Stati membri e delle istituzioni e degli organi europei); ii) valutazione dello stato della sicurezza delle reti e dell’informazione in Europa (nel caso degli Stati membri e delle istituzioni europee); iii) promozione del ricorso a norme di gestione del rischio e buone pratiche di sicurezza (nel caso dell’Unione e degli Stati membri); iv) messa a punto di capacità di rilevazione nel campo della sicurezza delle reti e dell’informazione (nel caso delle istituzioni e degli organi europei); v) collaborazione al dialogo e alla cooperazione con paesi terzi (nel caso dell’Unione).

33.

Il GEPD invita il legislatore a porre rimedio a questa incongruenza e armonizzare le succitate disposizioni. A tale proposito, il GEPD raccomanda di modificare l’articolo 14 in modo tale da includere tutte le istituzioni, gli organi, gli uffici e le agenzie dell’Unione e indicare con chiarezza il tipo di assistenza che può essere richiesta dai diversi soggetti presenti nell’Unione (ove il legislatore preveda una simile differenziazione). Nello stesso spirito, il GEPD raccomanda che taluni soggetti pubblici e privati possano chiedere l’assistenza dell’Agenzia qualora l’aiuto richiesto abbia un evidente potenziale dal punto di vista europeo e sia coerente con gli obiettivi dell’Agenzia.

34.

Le motivazioni della proposta prevedono competenze rafforzate per il consiglio di amministrazione per quanto riguarda le sue funzioni di supervisione. Il GEPD valuta favorevolmente il potenziamento di tale ruolo e raccomanda l’inserimento tra le funzioni del consiglio di amministrazione di numerosi compiti correlati alla protezione dei dati. Inoltre, il GEPD raccomanda che il regolamento specifichi in maniera non ambigua quali soggetti siano competenti a: i) stabilire le norme per l’applicazione del regolamento (CE) n. 45/2001 da parte dell’Agenzia, comprese quelle relative alla nomina di un responsabile della protezione dei dati; ii) approvare la politica per la sicurezza e le successive revisioni periodiche; iii) definire il protocollo per la collaborazione con le autorità preposte alla protezione dei dati e quelle incaricate del rispetto delle norme.

35.

Sebbene ciò sia previsto già dal regolamento (CE) n. 45/2001, il GEPD suggerisce di inserire nell’articolo 27 la nomina del responsabile della protezione dei dati, considerato che essa è di particolare importanza e dovrebbe essere accompagnata dall’immediata definizione delle norme di applicazione relative all’ambito di competenza e ai compiti da affidare al suddetto responsabile a norma dell’articolo 24, paragrafo 8, del regolamento (CE) n. 45/2001. Più in concreto, l’articolo 27 potrebbe essere formulato come segue:

36.

Ove fosse richiesta una base giuridica specifica per il trattamento dei dati personali, come argomentato nei punti 17-20, la proposta dovrebbe specificare le tutele, limitazioni e condizioni necessarie e adeguate per l’esecuzione di tale trattamento.

37.

La valutazione complessiva della proposta è positiva e il GEPD accoglie con favore la proroga del mandato dell’Agenzia e l’ampliamento dei suoi compiti con l’inserimento delle autorità preposte alla protezione dei dati e di quelle incaricate del rispetto delle norme come soggetti a pieno titolo. Il GEPD ritiene che la continuità dell’Agenzia incoraggerà a livello europeo una gestione professionale ed efficiente delle misure di sicurezza relative ai sistemi informatici.

38.

Al fine di evitare qualsiasi incertezza giuridica, il GEPD raccomanda di chiarire meglio la proposta per quanto concerne l’ampliamento dei compiti dell’Agenzia, in particolare dei compiti riguardanti il coinvolgimento delle autorità incaricate del rispetto delle norme e di quelle preposte alla protezione dei dati. Il GEPD richiama altresì l’attenzione sulla scappatoia che potrebbe potenzialmente crearsi con l’inserimento nella proposta di una disposizione che consente di integrare i compiti dell’Agenzia per mezzo di altri atti legislativi dell’Unione senza alcuna ulteriore restrizione.

39.

Il GEPD invita il legislatore a specificare se e, in caso positivo, quali delle attività dell’ENISA comprenderanno il trattamento di dati personali.

40.

Il GEPD raccomanda di inserire nella proposta disposizioni relative alla definizione di una politica di sicurezza per l’Agenzia stessa, al fine di potenziarne il ruolo di garante dell’eccellenza nelle pratiche di sicurezza e di sostenitore della tutela della vita privata fin dalla progettazione attraverso l’integrazione nella sicurezza del ricorso alle migliori tecniche disponibili, nel rispetto dei diritti alla protezione dei dati personali.

41.

È opportuno precisare meglio i canali di collaborazione con le autorità preposte alla protezione dei dati, compresi il GEPD e il gruppo di lavoro dell’articolo 29, allo scopo di garantire coerenza e una stretta collaborazione.

42.

Il GEPD invita il legislatore a ovviare a talune incongruenze relative alle restrizioni previste dall’articolo 14 in merito alla facoltà di chiedere l’assistenza dell’Agenzia. In particolare, il GEPD raccomanda la cancellazione di tali restrizioni e la concessione a tutte le istituzioni, gli organi, le agenzie e gli uffici dell’Unione della facoltà di chiedere l’assistenza dell’Agenzia.

43.

Infine, il GEPD raccomanda che le competenze ampliate del consiglio di amministrazione comprendano alcuni aspetti concreti, tali da fornire maggiori garanzie quanto al rispetto delle buone pratiche all’interno dell’Agenzia in relazione alla sicurezza e alla protezione dei dati. Il GEPD propone, tra l’altro, di aggiungere la nomina di un responsabile della protezione dei dati e l’adozione di misure volte alla corretta applicazione del regolamento (CE) n. 45/2001.