2.3.2018   

IT

Gazzetta ufficiale dell’Unione europea

C 81/209

Relatore:

Cristian PÎRVULESCU

1.1.

Tenuto conto dei suoi valori di base e testi fondativi, sull’UE incombe la responsabilità di diventare protagonista su scala mondiale nel promuovere il rispetto dei diritti fondamentali e un livello adeguato di protezione della vita privata e dei dati personali. Al riguardo, il Comitato economico e sociale europeo (CESE) esorta la Commissione europea a prendere l’iniziativa, a livello sia bilaterale che multilaterale, per la diffusione delle norme più stringenti in materia di protezione dei dati personali.

1.2.

Il CESE giudica ben equilibrati e ragionevoli i quattro criteri fondamentali che la Commissione propone di prendere in considerazione nel valutare con quali paesi sia opportuno instaurare un dialogo in materia di adeguatezza. È tuttavia importante che questi criteri vengano interpretati alla luce di un impegno concreto, da parte dei governi, dei parlamenti e degli organi giurisdizionali di tali paesi, a conseguire un livello equivalente (a quello dell’UE) e funzionale di protezione dei dati personali.

1.3.

Il CESE chiede maggiore trasparenza e partecipazione al processo che si conclude con la concessione delle «decisioni di adeguatezza», mediante il coinvolgimento e la consultazione obbligatori di rappresentanti del mondo imprenditoriale, in particolare delle PMI, nonché di associazioni di tutela dei consumatori, di gruppi civici e di altre organizzazioni della società civile. Il CESE è disponibile ad agevolare questo processo di consultazione.

1.4.

Il CESE accoglie con favore il dialogo avviato dalla Commissione europea con i principali partner commerciali dell’UE nell’Asia orientale e sudorientale, in particolare il Giappone e la Corea (ed eventualmente l’India), oltre che con alcuni paesi dell’America latina e con i paesi della politica europea di vicinato — tutti soggetti che si sono dichiarati interessati a sottoporsi ad un «accertamento di adeguatezza».

1.5.

Il CESE auspica che la Commissione, il Consiglio, i governi e i parlamenti degli Stati membri nonché il governo e il Congresso degli Stati Uniti accoglieranno con favore le proposte avanzate nella «Risoluzione del Parlamento europeo del 6 aprile 2017 sull’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy». Nella risoluzione il Parlamento europeo elenca una serie di motivi di grave preoccupazione, molti dei quali sottolineano che l’accordo e il quadro normativo attualmente in vigore negli Stati Uniti non tutelano, di fatto, i diritti dei cittadini dell’UE.

1.6.

Tenuto conto della velocità dei progressi tecnologici e del costante sviluppo delle infrastrutture delle TIC, i poteri pubblici devono esercitare una vigilanza e un monitoraggio accurati. Sebbene le decisioni di adeguatezza debbano essere riesaminate ogni quattro anni (cfr. l’articolo 45, paragrafo 3, del regolamento generale sulla protezione dei dati), il CESE raccomanda che la Commissione, le autorità di protezione dei dati degli Stati membri e le autorità governative del paese terzo interessato si tengano costantemente in contatto per poter individuare le nuove sfide che si profilano in un contesto tecnologico ed economico in continua evoluzione.

1.7.

Il CESE ritiene che la Commissione europea debba considerare una priorità la promozione delle norme in materia di protezione dei dati tramite strumenti multilaterali, e che servano risorse per sostenere questo impegno, affinché sia possibile conseguire, a priori, un’effettiva protezione dei diritti umani e garantire, a posteriori, un ricorso giuridico efficace per i danni subiti.

1.8.

Il Comitato sottolinea che nella comunicazione in esame la Commissione non distingue tra le diverse categorie e i vari utilizzi dei dati personali, tranne per quanto riguarda la materia penale.

1.9.

La convenzione del Consiglio d’Europa n. 108 del 1981, con il protocollo addizionale del 1999, rappresenta l’unico strumento multilaterale vincolante in materia di protezione dei dati — uno strumento che andrebbe ulteriormente sviluppato promuovendo l’adesione di nuovi paesi terzi.

1.10.

Si dovrebbero intensificare gli sforzi multilaterali nell’ambito dell’OCSE (Organizzazione per la cooperazione e lo sviluppo economici), del G20 e dell’APEC (Cooperazione economica Asia-Pacifico) tesi a realizzare un sistema globale di protezione dei dati autenticamente multilaterale. I rapporti di cooperazione con il relatore speciale delle Nazioni Unite sul diritto alla vita privata dovrebbero essere solidi e funzionali.

1.11.

Per quanto riguarda gli scambi di dati personali nel quadro della prevenzione, dell’indagine e del perseguimento dei reati penali, il CESE è uno strenuo sostenitore dell’introduzione di solide garanzie in materia di protezione dei dati, ma è anche disposto ad accettare l’applicazione di «accertamenti di adeguatezza» nel settore dell’attività di contrasto in campo penale. La protezione dei dati e la prevenzione, l’indagine e il perseguimento dei reati penali, tra cui la criminalità informatica e il terrorismo, devono procedere in parallelo.

1.12.

Il CESE rammenta l’importanza della protezione dei dati personali e di quelli relativi alla salute e alla riabilitazione delle persone con disabilità, come sancito dall’articolo 22 della Convenzione delle Nazioni Unite sui diritti delle persone con disabilità.

2.1.

La protezione dei dati di carattere personale è parte integrante del tessuto costituzionale comune dell’Europa ed è sancita dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea. Da più di 20 anni tale protezione riveste un ruolo fondamentale per il diritto dell’UE, dalla direttiva sulla protezione dei dati del 1995 («la direttiva del 1995») all’adozione del regolamento generale sulla protezione dei dati e della direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia nel 2016.

2.2.

La riforma della normativa dell’UE sulla protezione dei dati adottata nell’aprile 2016 istituisce un sistema che garantisce un livello elevato di protezione sia all’interno dell’UE che nel quadro dello scambio a livello internazionale di dati personali a fini commerciali e di attività di contrasto dei reati. Le nuove norme entreranno in vigore nel maggio 2018.

2.3.

Dopo aver completato il quadro normativo sulla protezione dei dati nell’UE, la Commissione ora provvede a definire una strategia tesa a promuovere norme internazionali in materia. La comunicazione in esame presenta i diversi strumenti utilizzati per lo scambio di dati personali a livello internazionale, alla luce della riforma della normativa sulla protezione dei dati, nonché la strategia della Commissione per collaborare con un gruppo selezionato di paesi terzi in futuro al fine di pervenire a decisioni di adeguatezza e per promuovere norme in materia di protezione dei dati tramite strumenti multilaterali.

2.4.

Il regolamento generale sulla protezione dei dati del 2016 offre un armamentario di dispositivi per il trasferimento dei dati personali dall’UE a paesi terzi: decisioni di adeguatezza, clausole contrattuali tipo, norme vincolanti di impresa, meccanismi di certificazione e codici di condotta. L’obiettivo principale di tali dispositivi è garantire che, quando i dati personali dei cittadini europei vengono trasferiti all’estero, siano accompagnati dalla relativa protezione. Se l’architettura relativa ai trasferimenti internazionali di dati personali resta simile a quella prevista dalla direttiva sulla protezione dei dati del 1995, la riforma semplifica ed estende il loro uso e introduce nuovi strumenti per i trasferimenti internazionali (ad esempio, codici di condotta e meccanismi di certificazione).

3.1.

Il CESE plaude agli sforzi dell’UE rivolti alla protezione dei dati personali dei cittadini europei, pur mantenendo al tempo stesso la propria apertura e integrazione in un mondo sempre più interconnesso.

3.2.

Tenuto conto dei suoi valori di base e testi fondativi, sull’UE incombe la responsabilità di diventare protagonista su scala mondiale nel promuovere il rispetto dei diritti fondamentali e un elevato livello di protezione della vita privata e dei dati personali. Al riguardo, il CESE esorta la Commissione europea a prendere l’iniziativa, a livello sia bilaterale che multilaterale, per la diffusione delle norme più stringenti in materia di protezione dei dati personali sia per i cittadini europei che per quelli dei paesi terzi.

3.3.

L’UE dovrebbe offrire il proprio sostegno all’agenda globale sulla protezione dei dati personali e ai suoi principi essenziali: il riconoscimento della protezione dei dati quale diritto fondamentale, protezione realizzata con l’adozione di una normativa generale in materia che introduce una serie di diritti alla tutela della vita privata individuali e azionabili e istituisce autorità di vigilanza indipendenti.

3.4.

Assicurare la massima protezione dei dati personali possibile non costituisce soltanto una responsabilità giuridica, ma anche una grande opportunità. L’economia digitale, i flussi internazionali di beni e servizi e la pubblica amministrazione online (e-government) sono tutti settori che traggono vantaggio dalla fiducia che i cittadini ripongono nella protezione esistente sul piano istituzionale e normativo. Tanto la protezione dei dati quanto un equo commercio internazionale sono essenziali per i cittadini e non dovrebbero essere considerati come valori contrastanti.

3.5.

Come ha già avuto modo di sottolineare in precedenti pareri, il CESE continua a sostenere l’orientamento generale della politica europea in materia di protezione dei dati, pur insistendo sulla necessità di livelli di protezione più elevati. Nel parere sul regolamento generale sulla protezione dei dati (SOC/455), il CESE fornisce esempi precisi riguardanti numerosi articoli, che vanno verso una migliore definizione dei diritti, del rafforzamento della tutela dei cittadini in generale e dei lavoratori in particolare, della natura del consenso, della liceità del trattamento dei dati e, in particolare, delle funzioni dei responsabili della protezione dei dati e del trattamento dati nell’ambito dei rapporti di lavoro (1).

3.6.

Inoltre, il CESE ha sottolineato il diritto delle persone, sia fisiche che giuridiche, di dare il loro consenso in merito ai propri dati. Nel parere sulla protezione dei dati personali (TEN/631), il CESE afferma che «gli utenti, oltre a dover essere informati e formati, devono restare prudenti, poiché, una volta dato il loro consenso, il fornitore potrà trattare ulteriormente i contenuti e i metadati per creare le condizioni per quante più attività e quanti più guadagni possibile. […] L’educazione degli utenti ad avvalersi dei loro diritti, come l’anonimato o la cifratura, dovrebbe essere una delle priorità legate a questo regolamento [regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche]» (2).

3.7.

Il CESE è favorevole all’adozione, a partire da maggio 2018, di un unico corpus paneuropeo di norme a fronte delle 28 normative nazionali oggi in vigore. Il meccanismo di «sportello unico» di nuova istituzione garantirà che un’unica autorità per la protezione dei dati sia responsabile della supervisione delle operazioni di trattamento dei dati a carattere transfrontaliero effettuate da un’impresa nell’UE, assicurando quindi un’interpretazione coerente delle nuove norme. In particolare, nei casi a carattere transfrontaliero in cui sono coinvolte diverse autorità nazionali per la protezione dei dati, sarà adottata una decisione unica per far sì che a problemi comuni corrispondano soluzioni comuni. L’auspicio del CESE è che le nuove procedure assicurino non solo un’interpretazione coerente delle norme, ma anche il livello più elevato possibile di protezione dei dati.

3.8.

Il CESE osserva che la comunicazione e le principali proposte che vi vengono avanzate sono accolte con favore da Digital Europe, l’organizzazione che rappresenta il settore europeo delle tecnologie digitali (3).

La sempre maggiore diffusione della tecnologia del cloud computing pone sfide nuove e complesse, che sono destinate ad evolvere per via del rapido ritmo dei cambiamenti tecnologici. La legislazione deve essere flessibile per poter tenere il passo degli sviluppi tecnologici e del mercato.

4.1.

Le decisioni di adeguatezza adottate dalla Commissione sono attualmente lo strumento appropriato per garantire la protezione dei dati dei cittadini dell’UE in relazione ad altri paesi e organismi, sia pubblici che privati. Esse costituiscono inoltre un utile strumento per incentivare i paesi terzi a prefiggersi di raggiungere un livello di protezione analogo per i loro cittadini, e dovrebbero rappresentare lo strumento preferenziale a cui ricorrere per tutelare lo scambio di dati personali.

4.2.

Il CESE giudica ben equilibrati e ragionevoli i quattro criteri fondamentali (4) che la Commissione propone di prendere in considerazione nel valutare con quali paesi sia opportuno instaurare un dialogo in materia di adeguatezza. È tuttavia importante che questi criteri vengano interpretati alla luce dell’impegno concreto, da parte dei governi, dei parlamenti e degli organi giurisdizionali di tali paesi, a conseguire un livello equivalente (a quello dell’UE) e funzionale di protezione dei dati personali.

4.3.

Il CESE chiede maggiore trasparenza e partecipazione al processo che si conclude con la concessione delle «decisioni di adeguatezza», mediante il coinvolgimento e la consultazione obbligatori di rappresentanti del mondo imprenditoriale, in particolare delle PMI, nonché di associazioni di tutela dei consumatori e di organizzazioni della società civile. Il CESE è disponibile ad agevolare questo processo di consultazione.

4.4.

Il CESE accoglie con favore il dialogo avviato dalla Commissione europea con i principali partner commerciali dell’UE nell’Asia orientale e sudorientale, in particolare il Giappone e la Corea (ed eventualmente l’India), oltre che con alcuni paesi dell’America latina e con i paesi della politica europea di vicinato — tutti soggetti che si sono dichiarati interessati a sottoporsi ad un «accertamento di adeguatezza».

4.5.

Il CESE ritiene che lo status di adeguatezza «parziale» per taluni paesi, riferito ad alcuni settori o territori all’interno di un dato paese, sia problematico in quanto non assicura garanzie sufficienti e omogenee di ordine costituzionale, procedurale e istituzionale circa l’effettiva protezione dei dati personali. L’adeguatezza parziale potrebbe costituire una fase intermedia utile per consentire all’UE e ai paesi in questione di trovare un terreno d’intesa e di coordinare gli sforzi. L’obiettivo più a lungo termine consiste nel pervenire ad un accordo più robusto e globale sulla base dei quadri esistenti in tutti i paesi interessati (5).

4.6.

Il CESE accoglie con favore gli sforzi per creare un quadro bilaterale solido e funzionale con gli Stati Uniti d’America. Un passo avanti in questo senso è la decisione, adottata di recente, sullo scudo UE-USA per la privacy che sostituisce il quadro UE-USA sull’approdo sicuro. La portata dello scudo per la privacy è tuttavia limitata, dato che il sistema si basa su un’adesione volontaria ed esclude quindi un gran numero di organizzazioni statunitensi.

4.7.

Il CESE auspica che la Commissione, il Consiglio, i governi e i parlamenti degli Stati membri nonché il governo e il Congresso degli Stati Uniti accoglieranno con favore le proposte avanzate nella «Risoluzione del Parlamento europeo del 6 aprile 2017 sull’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy». Nella risoluzione il Parlamento europeo elenca una serie di motivi di grave preoccupazione, molti dei quali sottolineano che l’accordo e il quadro normativo attualmente in vigore negli Stati Uniti non tutelano, di fatto, i diritti dei cittadini dell’UE (6).

4.8.

Analoghe preoccupazioni sono state espresse da diverse associazioni della società civile dell’Unione europea e degli Stati Uniti (7). Il CESE invita tutte le istituzioni dell’UE a prendere atto di queste preoccupazioni.

4.9.

Il Comitato, pur riconoscendo che la Commissione intende creare una nuova dinamica, osserva che le proposte avanzate nella comunicazione non eliminano le incertezze giuridiche per le persone i cui diritti sono stati violati. Vi sono diversi elementi che contribuiscono a mantenere tali incertezze:

4.10.

Monitorare l’applicazione di una decisione di adeguatezza dopo averla adottata è essenziale per garantire il funzionamento effettivo degli accordi. Tenuto conto della velocità dei progressi tecnologici e del costante sviluppo delle infrastrutture delle TIC, i poteri pubblici devono esercitare una vigilanza e un monitoraggio accurati. Sebbene le decisioni di adeguatezza debbano essere riesaminate ogni quattro anni (cfr. l’articolo 45, paragrafo 3, del regolamento generale sulla protezione dei dati), il CESE raccomanda che la Commissione, le autorità di protezione dei dati degli Stati membri e le autorità governative del paese terzo interessato si tengano costantemente in contatto per poter individuare le nuove sfide che si profilano in un contesto tecnologico ed economico in continua evoluzione.

4.11.

Il CESE invita la Commissione a collaborare con le parti interessate per sviluppare meccanismi alternativi di trasferimento dei dati personali adeguati alle particolari esigenze o condizioni di specifici settori, modelli aziendali e/o operatori commerciali.

4.12.

Il CESE ritiene che la Commissione debba considerare una priorità la promozione delle norme in materia di protezione dei dati tramite strumenti multilaterali, e che servano risorse per sostenere questo impegno.

4.13.

La convenzione del Consiglio d’Europa n. 108, con il relativo protocollo addizionale, rappresenta l’unico strumento multilaterale vincolante in materia di protezione dei dati — uno strumento che andrebbe ulteriormente sviluppato promuovendo l’adesione di nuovi paesi terzi.

4.14.

Si dovrebbero intensificare gli sforzi multilaterali nell’ambito dell’OCSE, del G20 e dell’APEC tesi a realizzare un sistema globale di protezione dei dati autenticamente multilaterale. I rapporti di cooperazione con il relatore speciale delle Nazioni Unite sul diritto alla vita privata dovrebbero essere solidi e funzionali.

4.15.

Rafforzare la cooperazione con le autorità nazionali dei paesi terzi preposte al controllo e all’applicazione della legge in materia di tutela della vita privata dovrebbe costituire un obiettivo prioritario. Anche se non è fonte di obblighi giuridicamente vincolanti, la rete globale dell’OCSE per l’applicazione della legge in materia di privacy (Global Privacy Enforcement Network — GPEN) può promuovere la cooperazione nelle attività di contrasto tramite la condivisione di buone pratiche nell’affrontare le sfide transfrontaliere e il sostegno a iniziative congiunte per far applicare la legge, come pure a campagne di sensibilizzazione (8).

4.16.

Per quanto riguarda gli scambi di dati personali nel quadro della prevenzione, dell’indagine e del perseguimento dei reati penali, il CESE è uno strenuo sostenitore dell’introduzione di solide garanzie in materia di protezione dei dati, ma è anche disposto ad accettare l’applicazione di «accertamenti di adeguatezza» nel settore dell’attività di contrasto in campo penale. La protezione dei dati e la prevenzione, l’indagine e il perseguimento dei reati penali, tra cui la criminalità informatica e il terrorismo, devono procedere in parallelo.

4.17.

L’accordo quadro UE-USA sulla protezione dei dati concluso nel dicembre 2016 è un buon esempio di come diritti e doveri in materia di protezione dei dati in linea con l’acquis dell’UE possano essere integrati in accordi bilaterali. Lo stesso metodo può funzionare anche in tutta una serie di settori strategici, come le politiche in materia di concorrenza o di tutela dei consumatori. Il CESE invita la Commissione a valutare la possibilità di concludere analoghi accordi quadro con i suoi principali partner incaricati dell’applicazione della legge.

4.18.

Il Comitato attende con interesse i risultati del primo riesame annuale dello scudo UE-USA per la privacy, e si augura che tale esercizio di valutazione sarà esauriente e di tipo partecipativo. Il CESE auspica che tanto l’Unione europea quanto gli Stati Uniti rimangano impegnati a cooperare in vista del conseguimento di un livello più elevato di protezione dei dati personali.