31.8.2017

Gazzetta ufficiale dell’Unione europea

C 288/107

Parere del Comitato economico e sociale europeo sulla «Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione, nonché la libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE»

[COM(2017) 8 final — 2017/0002 (COD)]

(2017/C 288/15)

Relatore:

Jorge PEGADO LIZ

Consultazione	Commissione europea, 26.4.2017
Base giuridica	Articolo 16, paragrafo 2, del Trattato sul funzionamento dell’Unione europea

Sezione competente	Trasporti, energia, infrastrutture, società dell’informazione
Adozione in sezione	16.5.2017
Adozione in sessione plenaria	31.5.2017
Sessione plenaria n.	526
Esito della votazione (favorevoli/contrari/astenuti)	161/0/2

1. Conclusioni e raccomandazioni

1.1

Con la proposta in oggetto, la Commissione provvede, in modo generalmente corretto e adeguato da un punto di vista strettamente tecnico e giuridico, al necessario adeguamento dell’attuale regime, stabilito con il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (1) e la decisione n. 1247/2002/CE del Parlamento europeo, del Consiglio e della Commissione (2) , relativi alla protezione dei dati personali da parte delle istituzioni, degli organi e degli uffici dell’Unione, al nuovo regolamento generale sulla protezione dei dati (RGPD) (3), che sarà di applicazione in tutta l’UE a partire dal 25 maggio 2018.

1.2

Il CESE ricorda tuttavia il contenuto delle osservazioni e raccomandazioni a suo tempo formulate in merito alla proposta di RGPD, ora adottata, e si rammarica che la versione definitiva non ne abbia tenuto pienamente conto; il CESE teme altresì che i ritardi verificatisi nella sua adozione ed entrata in vigore, alla luce della rapida evoluzione tecnologica in questo settore, aumentino il rischio di appropriazione indebita e di abuso del loro trattamento e commercializzazione, e che il regolamento stesso diventi obsoleto ancor prima della sua attuazione. Poiché la proposta in oggetto costituisce un adattamento del RGPD al funzionamento delle istituzioni europee, questi timori valgono, mutatis mutandis, anche per il testo in esame, in particolare per quanto riguarda la mancanza di trasparenza del suo linguaggio, di difficile comprensione per il cittadino medio.

1.3

D’altro canto, il CESE ritiene che quanto avviene nelle istituzioni europee debba essere preso come esempio per le procedure a livello nazionale, e pertanto considera necessario prestare un’attenzione particolare nell’elaborazione della proposta.

1.4

A questo proposito, il CESE è dell’avviso che sarebbe stato opportuno trattare in modo esplicito aspetti quali il legame della proposta con lo statuto dei funzionari dell’Unione europea, il trattamento dei casi di molestie e cyberbullismo e delle denunce di irregolarità all’interno delle istituzioni dell’UE, la sua applicazione — per quanto riguarda l’internet degli oggetti — ai megadati e all’utilizzo di motori di ricerca a fini di accesso, creazione o utilizzo di dati personali, nonché le informazioni personali pubblicate sulle pagine delle singole istituzioni nelle reti sociali (Facebook, Twitter, Instagram, Linkedin, ecc.).

1.5

Allo stesso modo, il CESE avrebbe apprezzato che la proposta si fosse premurata di enunciare le condizioni della sicurezza dei sistemi informatici che saranno di sostegno al trattamento dei dati e le garanzie contro gli attacchi informatici e le violazioni o la fuga di tali dati, assicurandone la neutralità tecnologica, e non le avesse relegate tra le norme interne specifiche di ciascun servizio; sarebbe stato inoltre opportuno chiarire meglio il rapporto tra la protezione dei dati e la lotta alla criminalità e al terrorismo, che non deve comportare l’adozione di misure sproporzionate o eccessive di sorveglianza, misure che in ogni caso devono essere sempre soggette al controllo del Garante europeo della protezione dei dati (GEPD).

1.6

Apprezzerebbe inoltre che la proposta definisse le competenze e le caratteristiche di formazione e di idoneità necessarie per essere designato come responsabile della protezione dei dati, titolare del trattamento dei dati e responsabile del trattamento dei dati presso le istituzioni dell’UE, sempre sotto il controllo e il monitoraggio del GEPD.

1.7

Inoltre, secondo il CESE — data la specificità dei dati raccolti, che incidono direttamente sulla vita privata dei titolari in particolare in termini di salute — i dati fiscali e sociali dovrebbero essere limitati a quanto è strettamente necessario per le finalità a cui sono destinati; nel trattamento di tali dati personali particolarmente sensibili dovrebbero inoltre essere assicurate la massima protezione e le massime garanzie, sulla base delle norme internazionali e delle legislazioni nazionali più avanzate, nonché delle migliori pratiche di taluni Stati membri.

1.8

Il CESE sottolinea la necessità che la proposta preveda esplicitamente il rafforzamento dei mezzi del GEPD e l’assegnazione allo stesso di personale sufficiente e dotato di elevate conoscenze e competenze tecniche nel settore della protezione dei dati.

1.9

Il CESE sottolinea una volta di più la necessità che anche i dati delle persone giuridiche (imprese, ONG, società commerciali, ecc.) legalmente costituite siano oggetto di protezione nel quadro della loro raccolta e del loro trattamento.

1.10

Infine, il CESE segnala nelle sue osservazioni particolari una serie di modifiche a diverse disposizioni le quali, se adottate, contribuiranno a rendere più efficace la protezione dei dati personali all’interno delle istituzioni dell’UE, a beneficio non solo dei loro funzionari ma anche di migliaia di cittadini europei che entrano in contatto con esse, e pertanto esorta la Commissione, oltre che il Parlamento europeo e il Consiglio, a prenderle in considerazione per la stesura definitiva della proposta.

2. Oggetto e contesto della proposta

2.1

Come indicato dalla Commissione nella relazione allegata, l’obiettivo della proposta è quello di abrogare il regolamento (CE) n. 45/2001 (4) e la decisione n. 1247/2002/CE relativi alla protezione dei dati personali da parte delle istituzioni, degli organi e degli uffici dell’Unione, con due finalità:

—	salvaguardare il diritto fondamentale alla protezione dei dati,

—	garantire la libera circolazione dei dati personali all’interno dell’UE.

2.2

Dopo una lunga e travagliata gestazione, il Consiglio e il Parlamento europeo hanno infine adottato il regolamento generale sulla protezione dei dati (5) (RGPD), che sarà di applicazione in tutta l’UE a partire dal 25 maggio 2018; il regolamento richiede un adattamento di vari strumenti legislativi (6), in particolare il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE.

2.3

Tenendo conto dei risultati delle inchieste e delle consultazioni delle parti interessate, nonché dello studio di valutazione sull’applicazione negli ultimi 15 anni, risultati che sono illustrati nel dettaglio, la Commissione ha concluso in particolare che:

—	il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio potrebbe essere applicato in modo più rigoroso conferendo al Garante europeo della protezione dei dati (GEPD) il potere di irrogare sanzioni,

—	un utilizzo più deciso dei suoi poteri di autorità di controllo potrebbe portare a una migliore attuazione delle norme in materia di protezione dei dati,

—	è necessario semplificare il sistema delle notifiche e dei controlli preventivi per accrescere l’efficacia e ridurre gli oneri amministrativi,

—	i titolari del trattamento dei dati devono adottare una procedura di gestione del rischio ed effettuare valutazioni del rischio prima di intraprendere il trattamento, al fine di migliorare l’attuazione dei requisiti in materia di conservazione e sicurezza dei dati,

—	le norme relative al settore delle telecomunicazioni sono obsolete ed è necessario allineare questo capo con la direttiva relativa alla vita privata e alle comunicazioni elettroniche,

—

è necessario chiarire alcune definizioni essenziali contenute nel regolamento, come quelle relative all’identificazione dei titolari del trattamento dei dati in seno alle istituzioni, agli organi, agli uffici e alle agenzie dell’Unione, la definizione dei destinatari e l’estensione dell’obbligo di riservatezza ai responsabili del trattamento esterni.

2.4

Considerando la natura e la portata delle modifiche da apportare ai precedenti strumenti giuridici, la Commissione ha deciso di abrogarli in toto e di sostituirli con il regolamento in esame, che è in linea con le altre disposizioni citate, le quali entreranno in vigore contemporaneamente al regolamento (UE) 2016/679, come previsto all’articolo 98 di quest’ultimo.

3. Osservazioni generali

3.1

Da un punto di vista strettamente tecnico-giuridico, il CESE è d’accordo in linea di principio per quanto riguarda:

—	la necessità e l’opportunità dell’iniziativa in esame,

—	la scelta dello strumento giuridico, ossia il regolamento,

—	l’opzione di abrogare in toto gli strumenti esistenti,

—	la base giuridica scelta per la sua adozione,

—	il rispetto evidente dei criteri di proporzionalità, di sussidiarietà e di responsabilità («accountability»),

—	la chiarezza e la struttura del testo,

—	una migliore definizione di taluni concetti, come quello di valido consenso,

—	la coerenza dimostrata con gli altri strumenti giuridici con cui è connessa, in particolare il regolamento (UE) 2016/679, la proposta di regolamento COM(2017) 10 final e la stessa comunicazione della Commissione — Costruire un’economia dei dati europea (7),

—	la possibilità, introdotta per la prima volta, di irrogare espressamente delle sanzioni pecuniarie per le eventuali inadempienze e violazioni,

—	il rafforzamento dei poteri del GEPD,

—	l’esclusione di questa iniziativa dal programma REFIT,

—

lo sforzo di allineamento con altri diritti fondamentali, in particolare, quelli sanciti dalla Carta dei diritti fondamentali dell’Unione europea relativi alla libertà di espressione (articolo 11), alla tutela della proprietà intellettuale (articolo 17, paragrafo 2), al divieto di discriminazione fondata sulla razza, l’origine etnica, le caratteristiche genetiche, la religione o le convinzioni personali, l’opinione politica o di qualunque altro genere, la disabilità o l’orientamento sessuale (articolo 21), ai diritti dei minori (articolo 24), al diritto a un livello elevato di protezione della salute umana (articolo 35), al diritto di accesso ai documenti (articolo 42) e al diritto a un ricorso effettivo e a un giudice imparziale (articolo 47).

3.2

Questo accordo di principio non pregiudica il contenuto delle proprie osservazioni e raccomandazioni in merito alla proposta di RGPD (8), ora trasformata nell’attuale RGPD (9), che non sono riprese nello loro integralità in questa versione finale, la cui adozione ed entrata in vigore tardive compromettono ulteriormente, tenuto conto della rapida evoluzione tecnologica in questo settore, che incrementa i rischi di appropriazione indebita dei dati e di abuso del loro trattamento e della loro commercializzazione, facendo sorgere il timore che diventi obsoleta ancor prima di essere attuata. Nella misura in cui la proposta in oggetto costituisce un adattamento del RGPD al funzionamento delle istituzioni europee, questi timori valgono, mutatis mutandis, anche per il testo in esame — in particolare per quanto riguarda la mancanza di trasparenza del suo linguaggio, di difficile comprensione per il cittadino medio — che sarebbe stato meglio presentare e discutere contemporaneamente a quella proposta.

3.3

D’altro canto, dato che quanto avviene nelle istituzioni europee deve valere come esempio per le procedure a livello nazionale, il CESE avrebbe apprezzato che alcuni temi fossero affrontati nella proposta in esame.

3.4

Non è poi chiaro se essa sia stata opportunamente messa in rapporto con lo statuto dei funzionari dell’Unione europea (regolamento n. 31 CEE (10)), data l’assenza di disposizioni normative specifiche volte a garantire che i dati personali dei funzionari e dei collaboratori delle istituzioni siano coperti da una garanzia di protezione più efficace per quanto riguarda la loro assunzione, la carriera, la durata del contratto e gli eventuali rinnovi, oltre che la relativa valutazione.

3.4.1

Anche se non nel testo in esame, dovrebbero essere previste disposizioni generali comprendenti norme riguardanti la documentazione sanitaria dei funzionari e dei loro familiari, la protezione dei dati creati o utilizzati dai funzionari e i rispettivi dati genetici, il trattamento e la protezione dei messaggi di posta elettronica (sia quelli inviati dai cittadini agli uffici dell’UE che quelli inviati o scambiati tra i funzionari di tali uffici e con l’esterno), il loro contenuto e le pagine Internet visitate (11).

3.4.2

Analogamente, avrebbero meritato un trattamento speciale i casi di molestie e cyberbullismo e le denunce di irregolarità all’interno delle istituzioni dell’UE, indipendentemente da quanto disposto all’articolo 68.

3.4.3

Il CESE si interroga inoltre sulle condizioni di applicazione della proposta in esame e del regolamento (UE) 2016/679 per quanto riguarda l’Internet degli oggetti, i megadati e l’utilizzo dei motori di ricerca a fini di accesso, creazione o utilizzo di dati personali, nonché le informazioni personali pubblicate sulle pagine delle singole istituzioni nelle reti sociali (Facebook, Twitter, Instagram, Linkedin, ecc.) anche senza l’esplicito consenso dell’interessato.

3.5

Il CESE avrebbe apprezzato che la proposta della Commissione, oltre al riferimento alla riservatezza delle comunicazioni elettroniche di cui all’articolo 34 della proposta di regolamento, si fosse premurata di enunciare le condizioni della sicurezza dei sistemi informatici che saranno di sostegno al trattamento e le garanzie contro gli attacchi informatici e le violazioni o le fughe di tali dati (12), assicurandone la neutralità tecnologica, e non le avesse relegate tra le norme interne specifiche di ciascun servizio; sarebbe stato inoltre opportuno chiarire meglio il rapporto tra la protezione dei dati e la lotta alla criminalità e al terrorismo, che non deve comportare l’adozione di misure sproporzionate o eccessive di sorveglianza, misure che, in ogni caso, devono essere sempre soggette al controllo del GEPD.

3.6

Il CESE sottolinea che l’interconnessione dei dati personali all’interno delle istituzioni dell’UE non può essere disciplinata solo dal principio della responsabilità di cui al considerando 16, e a tale proposito esorta la Commissione a introdurre una norma specifica secondo la quale l’interconnessione può essere effettuata solo una volta ottenuta l’autorizzazione del GEPD su richiesta de titolare del trattamento e/o del responsabile del trattamento.

3.7

Il Comitato preferirebbe inoltre che — fatte salve le disposizioni di cui al punto 51 del preambolo e all’articolo 44, paragrafo 3, della proposta — fossero state definite le competenze e le caratteristiche di formazione e idoneità necessarie per essere designato come responsabile della protezione dei dati, titolare del trattamento dei dati e responsabile del trattamento dei dati presso le istituzioni dell’UE (13); le eventuali violazioni dei loro obblighi operativi dovrebbero essere oggetto di sanzioni realmente dissuasive a livello disciplinare, civile e penale, enunciate nella proposta e sempre soggette al controllo e al monitoraggio del GEPD.

3.8

Pur riconoscendo che la proposta in esame rappresenta un miglioramento nel livello di protezione rispetto all’attuale regolamento (CE) n. 45/2001, il CESE ritiene che — data la specificità dei dati raccolti e il loro impatto diretto sulla vita privata degli interessati, in particolare in termini di salute e di dati fiscali e sociali — la proposta debba limitare tali dati a quanto strettamente necessario per le finalità a cui sono destinati e offrire la massima protezione e le massime garanzie nel trattamento dei dati personali, sulla base delle norme internazionali e delle legislazioni nazionali più avanzate, nonché delle migliori pratiche di taluni Stati membri (14).

3.9

Pur consapevole del fatto che il regolamento (UE) 2016/679 e la proposta in esame si applicano soltanto ai dati riguardanti le persone fisiche, il CESE sottolinea una volta di più la necessità che anche i dati delle persone giuridiche (imprese, ONG, società commerciali, ecc.) legalmente costituite siano oggetto di protezione nel quadro della loro raccolta e del loro trattamento.

4. Osservazioni particolari

4.1

L’esame particolareggiato del testo della proposta fa sorgere una serie di dubbi e riserve, in considerazione dei principi fondamentali di protezione della vita privata stabiliti nella Carta dei diritti fondamentali dell’UE e dei principi di proporzionalità e di precauzione.

4.2 Articolo 3

Le istituzioni e gli uffici dell’Unione sono definiti al paragrafo 2, lettera a), come le istituzioni, gli organi, gli uffici e le agenzie dell’Unione istituiti dal Trattato sull’Unione europea, dal Trattato sul funzionamento dell’Unione europea o dal Trattato Euratom, oppure sulla base di tali trattati. Il CESE si chiede se tale definizione comprenda anche i gruppi di lavoro, i consigli consultivi, i comitati, le piattaforme, i gruppi ad hoc, ecc., nonché le reti informatiche internazionali delle quali le istituzioni fanno parte senza esserne proprietarie.

4.3 Articolo 4

4.3.1

Dato che il regolamento proposto si applica ai dati trattati all’interno delle istituzioni dell’UE, il CESE auspicherebbe un’introduzione esplicita del principio di non discriminazione, in considerazione della natura dei dati trattati.

4.3.2

Per quanto riguarda l’articolo 4, 1, lettera b), il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici deve essere soggetto a un’autorizzazione previa del Garante europeo della protezione dei dati, attualmente non prevista dall’articolo 58.

4.3.3

Il CESE ritiene infine che occorra inserire una disposizione esplicita, equivalente all’attuale articolo 7 del regolamento (CE) n. 45/2001, riguardante il trasferimento di dati tra le istituzioni dell’UE.

4.4 Articolo 5

4.4.1

Non si capisce per quale motivo la lettera b) del paragrafo 1 dell’articolo 5 della proposta di regolamento non sia soggetta alle disposizioni di cui al paragrafo 2 dello stesso articolo, a differenza delle lettere c) ed e) dell’articolo 6, entrambe soggette alle disposizioni del paragrafo 3 del regolamento generale sulla protezione dei dati (RGPD).

4.4.2

Il CESE ritiene opportuno aggiungere alla lettera d) che il consenso deve essere soggetto a un principio di buona fede.

4.5 Articolo 6

4.5.1

L’applicazione di questo articolo deve essere sempre soggetta a un’autorizzazione del Garante europeo della protezione dei dati.

4.5.2

In questi casi, l’interessato deve sempre essere informato in anticipo di tale eventualità nel momento in cui i dati sono raccolti o è adottata una nuova decisione, e deve avere la facoltà di chiedere la rettifica o la cancellazione dei dati, di opporsi a loro trattamento o di chiederne una limitazione.

4.6 Articolo 8

4.6.1

Il CESE ritiene che l’eccezione alla regola sulla validità del consenso da parte dei minori di 16 anni (tra 13 e 16), già di per sé aberrante, sia ammissibile soltanto per gli Stati membri, per motivi culturali di diritto nazionale (articolo 8 del RGPD), ma questa non deve essere ammessa come regola per le istituzioni dell’UE (articolo 8, paragrafo 1), che stabilisce il limite a 13 anni.

4.6.2

D’altro canto non vengono specificate le modalità con cui il GEPD dovrebbe sviluppare l’«attenzione particolare» nei confronti dei minori di cui all’articolo 58, 1, lettera b), in particolare nel caso degli elenchi di utenti di cui all’articolo 36, quando i loro dati sono accessibili al pubblico.

4.7 Articolo 10

4.7.1

Al paragrafo 1 devono essere incluse anche l’appartenenza a un partito (che non è sinonimo di opinione politica) e la vita privata.

4.7.2

Al paragrafo 2, lettera b), ai fini della conformità con gli obblighi e l’esercizio dei diritti specifici dell’interessato, occorre precisare che quest’ultimo deve essere sempre precedentemente informato.

4.7.3

Al paragrafo 2, lettera d), il trattamento deve essere possibile solo se vi è il consenso dell’interessato.

4.7.4

La lettera e) dovrà costituire un’eccezione solo qualora si possa ragionevolmente desumere dalle sue dichiarazioni il consenso al trattamento dei dati.

4.8 Articolo 14

Dato che le istituzioni dell’UE non sono autorizzate ad addebitare compensi per i servizi prestati, il rifiuto di soddisfare una richiesta dev’essere applicato solo in ultima istanza.

4.9 Articoli 15, 16 e 17

4.9.1

Per quanto concerne le informazioni complementari di cui all’articolo 15, paragrafo 2, si dovrà aggiungere il requisito che l’interessato sia informato della natura obbligatoria o facoltativa della risposta del titolare del trattamento, nonché delle possibili conseguenze di una mancata risposta.

4.9.2

Se i dati sono raccolti in reti aperte, l’interessato deve sempre essere informato della possibilità che i suoi dati personali circolino nelle reti senza sicurezza, con il rischio che siano visti e utilizzati da parte di terzi non autorizzati.

4.9.3

Il diritto di cui all’articolo 17, paragrafo 1, deve poter essere esercitato liberamente e senza limitazioni, a intervalli ragionevoli, in modo rapido o immediato e a titolo gratuito.

4.9.4

Secondo il CESE, l’interessato dovrebbe inoltre avere il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati che lo riguardano.

4.9.5

Le informazioni fornite a norma dell’articolo 17, paragrafo 1, devono essere presentate in modo intellegibile, chiaro e comprensibile, in particolare quando riguardano i dati oggetto di trattamento e qualsiasi informazione sulla loro origine.

4.10 Articolo 21

A giudizio del CESE, l’esclusione dalla proposta di regolamento di disposizioni identiche ai paragrafi 2 e 3 dell’articolo 21 del RGPD significherà che i dati non potranno mai essere trattati per finalità di marketing diretto, il che è senz’altro positivo, ma tale interpretazione, dato che è incerta, dovrebbe essere chiarita in maniera esplicita nel testo della disposizione.

4.11 Articolo 24

4.11.1

Il CESE raccomanda di aggiungere alla lettera c) del paragrafo 2 che tale consenso potrà essere dato soltanto dopo la fornitura di informazioni esplicite circa l’impatto delle decisioni sulla sfera giuridica dell’interessato, poiché solo in tal modo il consenso potrà dirsi debitamente informato.

4.11.2

Per quanto riguarda il paragrafo 3, il CESE ritiene che le misure adeguate debbano essere definite dal Garante europeo per la protezione dei dati anziché dal titolare del trattamento.

4.12 Articolo 25

4.12.1

Il CESE teme che la formulazione dell’articolo 25 della proposta di regolamento costituisca un’interpretazione troppo ampia dell’articolo 23 del RGPD quanto alla portata delle limitazioni all’applicazione delle disposizioni che stabiliscono i diritti fondamentali degli interessati, e raccomanda di rivederla, con spirito critico, sulla base di un’analisi attenta ed eventualmente limitativa dei vari punti, in particolare per quanto riguarda la limitazione del diritto al rispetto della vita privata nelle reti di comunicazioni elettroniche prevista dall’articolo 7 della Carta dei diritti fondamentali dell’Unione europea, contemplata nell’attuale direttiva e-privacy e mantenuta nella proposta di regolamento oggetto di un altro parere del CESE.

4.12.2

Il CESE è fermamente contrario alla possibilità — prevista all’articolo 25, paragrafo 2 — di cui dispongono le istituzioni e gli uffici dell’Unione per limitare l’applicazione delle restrizioni ai diritti degli interessati che non siano autorizzate espressamente da atti giuridici. Lo stesso vale per l’articolo 34.

4.13 Articolo 26

È opportuno chiarire che i titolari e i responsabili del trattamento dei dati personali, così come le persone che, nell’esercizio delle loro funzioni, vengono a conoscenza dei dati personali trattati, sono vincolati dal segreto professionale, anche dopo la cessazione delle loro funzioni e per un arco di tempo ragionevole.

4.14 Articoli 29 e 39

Dato che le disposizioni degli articoli 24, paragrafo 3, e 40 e seguenti del RGPD non sono state riprese nel progetto di regolamento (codici di condotta), come espressamente menzionato nel preambolo nella parte relativa all’articolo 26, non appare opportuno che negli articoli 29, paragrafo 5, e 39, paragrafo 7, della proposta di regolamento si ammetta che la semplice adesione a un codice di condotta, di cui all’articolo 40 del RGPD, possa essere considerata una garanzia sufficiente per svolgere le funzioni di responsabile del trattamento quando esso non sia un’istituzione o un ufficio dell’Unione.

4.15 Articolo 31

Il CESE ritiene che la semplice «possibilità» di cui all’articolo 31, paragrafo 5, debba essere convertita in «obbligo» di conservare i registri delle attività di trattamento in un registro centrale, accessibile al pubblico.

4.16 Articolo 33

Il CESE propone inoltre che il titolare del trattamento e il responsabile del trattamento debbano esercitare il controllo dei supporti di dati e il controllo dell’inserimento, dell’utilizzazione e della trasmissione di dati e che, a tal fine, debbano:

—	impedire a qualsiasi persona non autorizzata di accedere alle installazioni utilizzate per l’elaborazione di tali dati,

—	impedire che i supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate,

—	impedire che siano inseriti, senza autorizzazione, dei dati di natura personale e che di tali dati sia presa visione, o che siano modificati o cancellati senza autorizzazione,

—	impedire che persone non autorizzate utilizzino i sistemi di elaborazione automatizzata di dati mediante apparecchiature per la trasmissione di dati,

—	garantire la verifica delle entità a cui i dati personali possono essere trasmessi,

—	garantire che le persone autorizzate possano accedere esclusivamente ai dati oggetto di autorizzazione preliminare.

4.17 Articolo 34

Il CESE auspica che questo articolo venga allineato alle disposizioni della proposta di regolamento in materia di e-privacy e che le istituzioni e gli uffici dell’UE siano soggetti al controllo del GEPD per quanto riguarda la riservatezza delle comunicazioni elettroniche.

4.18 Articolo 42

Il CESE esprime preoccupazione per il fatto che il termine «dopo» di cui al paragrafo 1 possa essere inteso nel senso che l’obbligo di consultazione scatta solo dopo l’adozione del provvedimento, escludendo quindi la possibilità di una consultazione anche informale, come avviene attualmente.

4.19 Articolo 44

Il CESE ritiene che, in linea di principio, soltanto i funzionari possano essere designati come responsabili della protezione dei dati. Se in via eccezionale questo non fosse possibile, tali responsabili dovranno essere nominati mediante un contratto disciplinato dalle norme sugli appalti pubblici per la prestazione di servizi ed essere soggetti alla valutazione del GEPD.

4.20 Articolo 45

4.20.1

Fatto salvo quanto suindicato, in virtù della natura delle sue funzioni, il responsabile della protezione dei dati, qualora non sia un funzionario, deve poter essere destituito in qualsiasi momento, essendo sufficiente a tal fine il parere favorevole del GEPD (articolo 45, paragrafo 8, del regolamento).

4.20.2

La durata del suo mandato deve essere fissata in 5 anni ed essere rinnovabile una sola volta.

4.21 Articolo 56

Avvenimenti recenti e ben noti, che hanno coinvolto i più alti funzionari delle istituzioni, rendono auspicabile l’introduzione di incompatibilità e impedimenti relativi allo svolgimento di talune funzioni, in particolare nelle imprese private, per un arco di tempo ragionevole dopo il termine del loro mandato.

4.22 Articolo 59

In alcune lingue, e in particolare in inglese, il termine «actions» utilizzato al paragrafo 5 è troppo restrittivo e dovrebbe essere sostituito dal termine «proceedings» (nella versione portoghese il concetto è correttamente espresso).

4.23 Articolo 63

Con riguardo al paragrafo 3, e in considerazione della delicatezza della questione oggetto della proposta, il CESE ritiene opportuno invertire il principio del tacito rigetto, obbligando così il Garante europeo della protezione dei dati a rispondere espressamente a tutti i reclami a esso proposti, altrimenti — in assenza di risposta — dovranno essere considerati accolti.

4.24 Articolo 65

Come affermato nel parere del CESE sulla proposta all’origine del regolamento (UE) 2016/679, si sottolinea la necessità che la proposta, oltre a quanto disposto all’articolo 67, preveda, in caso di violazione dei dati personali la possibilità di reagire per mezzo di ricorso collettivo, senza necessità di mandato individuale, poiché tali violazioni in generale non riguardano solo una persona ma una pluralità, a volte indeterminata, di persone.

4.25

La proposta di regolamento è viziata da una serie di espressioni o concetti di carattere ambiguo e soggettivo, che sarebbe opportuno rivedere e sostituire. È il caso, ad esempio, di espressioni quali «per quanto possibile», «se possibile», «senza ritardo», «rischio elevato», «tenere in debito conto», «termine ragionevole», «particolare importanza».

Bruxelles, 31 maggio 2017

Il presidente del Comitato economico e sociale europeo

Georges DASSIS

(1) GU L 8 del 12.1.2001, pag. 1.

(2) GU L 183 del 12.7.2002, pag. 1.

(3) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (GU L 119 del 4.5.2016, pag. 1).

(4) Il CESE ha elaborato un proprio parere al riguardo (GU C 51 del 23.2.2000, pag. 48).

(5) Regolamento (UE) 2016/679 del 27.4.2016 (GU L 119 del 4.5.2016, pag. 1).

(6) COM(2017) 10 final, COM(2017) 9 final.

(7) COM(2017) 9 final.

(8) GU C 229 del 31.7.2012, pag. 90.

(9) Regolamento (UE) 2016/679.

(10) GU 45 del 14.6.1962, pag. 1385/62 e successive modifiche.

(11) Quali risultano, ad esempio, nella raccolta Avis et Recommandations de la Commission de la Vie privé de la Belgique sur la vie privé sur le lieu de travail, 01.2013 («Pareri e raccomandazioni della commissione belga per la protezione della privacy in merito alla privacy sul luogo di lavoro, 01.2013»).

(12) Quali figurano, ad esempio, nella Recommandation d’initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données («Raccomandazione d’iniziativa relativa alle misure di sicurezza da rispettare al fine di prevenire le fughe di dati») della commissione belga per la protezione della vita privata, 1/2013 del 21 gennaio 2013.

(13) Come indicato, ad esempio, nei Guidelines on Data Protection Officers («Orientamenti sui responsabili della protezione dei dati»), WP 243 dell’articolo 29, del 13 dicembre 2016.

(14) Cfr., ad esempio, la legge portoghese sulla protezione dei dati (legge 67/98, del 26 ottobre 1998).