52003DC0265

Relazione della Commissione - Prima relazione sull'applicazione della direttiva sulla tutela dei dati (95/46/CE) /* COM/2003/0265 def. */


RELAZIONE DELLA COMMISSIONE - Prima relazione sull'applicazione della direttiva sulla tutela dei dati (95/46/CE)

INDICE

1. I motivi della relazione e la consultazione aperta sull'applicazione della direttiva 95/46/CE

2. Il processo di revisione aperto antecedente alla stesura della presente relazione

3. Principali risultati della revisione

4. I principali risultati della revisione più in dettaglio

5. Trattamento dei dati visivi e sonori

6. Programma di lavoro per una migliore applicazione della direttiva sulla tutela dei dati (2003-2004)

7. Conclusioni

1. I motivi della relazione e la consultazione aperta sull'applicazione della direttiva 95/46/CE

"La Commissione presenta periodicamente al Consiglio e al Parlamento europeo, per la prima volta entro tre anni dalla data di cui all'articolo 32, paragrafo 1, una relazione sull'applicazione della presente direttiva, accompagnata, se del caso, dalle opportune proposte di modifica." (articolo 33 della direttiva 95/46/CE)

La presente relazione rappresenta la risposta della Commissione alla richiesta di cui sopra. Il termine della sua presentazione è stato posticipato di 18 mesi in conseguenza della lentezza con cui gli Stati membri hanno attuato la direttiva nel proprio ordinamento giuridico nazionale [1].

[1] Nel dicembre 1999 la Commissione ha deciso di adire la Corte europea di giustizia nei confronti di Francia, Germania, Irlanda, Lussemburgo e Paesi Bassi a seguito della mancata notifica di tutte le misure necessarie all'attuazione della direttiva 95/46/CE. Nel 2001 i Paesi Bassi e la Germania hanno notificato le misure e la Commissione ha sospeso la procedura nei loro riguardi. La Francia ha notificato la legge sulla tutela dei dati del 1978, permettendo in tal modo la sospensione della procedura, e ha contemporaneamente annunciato l'intenzione di emanare una nuova legge che tuttavia non è stata ancora adottata. Nel caso del Lussemburgo, l'iniziativa della Commissione ha portato alla condanna di tale Stato membro da parte della Corte di giustizia per mancato adempimento dei propri obblighi. La direttiva è stata quindi attuata con una nuova legge entrata in vigore nel 2002. L'Irlanda ha notificato un'attuazione parziale nel 2001, mentre la legge completa è stata appena adottata. Informazioni relative allo stato di attuazione negli Stati membri sono disponibili al seguente indirizzo: http://europa.eu.int/comm/internal_market/ privacy/law/implementation_en.htm

Per redigere la presente relazione la Commissione non si è limitata a effettuare un semplice esame delle misure di attuazione degli Stati membri ma ha anche condotto un dibattito pubblico aperto, incoraggiando un'ampia partecipazione degli interessati. Tale impostazione non soltanto è conforme all'approccio adottato dalla Commissione in tema di governance europea, quale è presentato nel suo Libro bianco del luglio 2001 [2], ma è anche giustificata, in primo luogo, dalla natura specifica della direttiva 95/46/CE e, in secondo luogo, dalla rapidità dell'evoluzione delle tecnologie nella società dell'informazione e degli altri sviluppi internazionali che hanno determinato importanti cambiamenti successivamente all'adozione della direttiva nel 1995.

[2] COM(2001) 428 def. http://europa.eu.int/eur-lex/en/com/cnc/ 2001/com2001_0428en01.pdf

1.1. Una direttiva con una vastissima incidenza

La direttiva 95/46/CE si prefigge due dei più antichi obiettivi del progetto di integrazione europea: il completamento di un mercato interno (in questo caso, la libera circolazione delle informazioni personali) e la tutela dei diritti e delle libertà fondamentali dei cittadini. Nella direttiva entrambi gli obiettivi assumono pari importanza.

In termini giuridici tuttavia la direttiva trae origine da motivi di mercato interno. Una normativa a livello comunitario era giustificata perché il differente atteggiamento adottato dagli Stati membri in materia impediva la libera circolazione dei dati personali tra gli Stati membri [3]. La sua base giuridica era pertanto l'articolo 100A (ora articolo 95) del trattato. La proclamazione della Carta dei diritti fondamentali dell'Unione europea [4] da parte del Parlamento europeo, del Consiglio e della Commissione nel dicembre 2000, in particolare il suo articolo 8 relativo al diritto della tutela dei dati, ha messo maggiormente in luce l'angolazione della direttiva sotto il profilo del rispetto dei diritti fondamentali.

[3] Cfr. COM (90) 314 def.- SYN 287 e 288, 13 settembre 1990, pag. 4: "I differenti approcci nazionali e la mancanza di un sistema di tutela a livello comunitario rappresentano delle barriere al completamento del mercato interno. Se i diritti fondamentali delle persone interessate, in particolare il loro diritto al rispetto della vita privata, non sono tutelati a livello comunitario, i flussi transnazionali di dati potrebbero essere ostacolati".

[4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html

Inoltre, per sua natura, la direttiva ha una vasta incidenza: ogni cittadino è una "persona interessata" e in ogni settore dell'economia vi sono "responsabili del trattamento". Pertanto, quantunque la sua giustificazione giuridica sia assai specifica, i suoi effetti sono molto ampi e la sua applicazione deve essere valutata tenendo presente questo fatto.

1.2. Inasprimento del dibattito sulla tutela dei dati in conseguenza dello sviluppo delle tecnologie dell'informazione e degli accresciuti timori in materia di sicurezza

Dall'adozione della direttiva nel 1995 il numero di famiglie e di imprese collegate a Internet è cresciuto in maniera esponenziale come, di conseguenza, il numero di persone che lasciano una quantità sempre maggiore di informazioni personali di qualunque natura nel Web. Contemporaneamente gli strumenti per la raccolta di informazioni personali sono divenuti sempre più sofisticati e meno facili da rilevare: sistemi televisivi a circuito chiuso per la sorveglianza di luoghi pubblici; spyware installati nei PC da siti web cui questi si sono collegati, che raccolgono informazioni sulle abitudini di navigazione degli utenti, spesso per cederle a terzi; monitoraggio dei dipendenti, incluso l'uso di e-mail e Internet sul posto di lavoro.

Tale "esplosione di dati" solleva inevitabilmente la domanda se la legislazione possa far pienamente fronte ad alcune di tali sfide, in particolare la legislazione tradizionale che presenta un campo d'applicazione geografico limitato, con frontiere fisiche che Internet sta rapidamente rendendo sempre più inconsistenti [5].

[5] La relazione "Future Bottlenecks in the Information Society" del Centro comune di ricerca della Commissione e dell'Institute for Prospective Technological Studies conclude che esistono alcuni settori emergenti cui mal si attagliano le disposizioni della direttiva e che pertanto in futuro potrebbe essere necessaria una sua revisione. Contemporaneamente la relazione osserva che, sebbene la direttiva sia attuata in tutti gli Stati membri, sta crescendo l'ansia sociale riguardo all'abuso e a un uso scorretto dei dati personali nei sistemi d'informazione in linea. I dati raccolti nel corso della preparazione della presente relazione sembrano confermare tale conclusione.

In risposta agli sviluppi tecnologici la direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni [6] ha tradotto i principi esposti nella direttiva 95/46/CE in norme specifiche per il settore delle telecomunicazioni. La direttiva 2002/58/CE, del 12 luglio 2002, relativa alla vita privata e alle comunicazioni elettroniche [7] ha recentemente aggiornato la direttiva 97/66/CE onde riflettere gli sviluppi registrati nei mercati e nelle tecnologie per i servizi di comunicazione elettronica, quali Internet, al fine di fornire lo stesso livello di tutela dei dati personali e della vita privata, indipendentemente dalle tecnologie utilizzate.

[6] GU L 24 del 30.1.1998, pagg. 1-8.

[7] GU L 201 del 31 luglio 2002, pagg. 37-47. Gli Stati membri hanno tempo fino al 31 ottobre 2003 per recepire la nuova direttiva nel proprio ordinamento nazionale.

L'emergere di un'economia basata sulla conoscenza, unitamente al progresso tecnologico e al ruolo sempre più importante che si attribuisce al capitale umano hanno resa più intensa l'attività di raccolta di dati personali sui lavoratori nel contesto lavorativo. Questi eventi hanno destato forti preoccupazioni e hanno posto al centro dell'attenzione la questione della tutela efficace dei dati personali riguardanti i lavoratori. Nel suo documento di consultazione rivolto alle parti sociali europee nell'ottobre 2002 la Commissione aveva osservato che esiste lo spazio per un'azione legislativa da parte dell'UE secondo l'articolo 137 (2) del trattato, volta a migliorare la condizioni lavorative creando un quadro europeo di principi e regole in tale ambito. La Commissione sta attualmente elaborando il follow up a tale consultazione e intende decidere entro la fine del 2003. Un quadro normativo europeo dovrebbe fondarsi sui principi generali esistenti della direttiva 95/46/CE, completarli e chiarirli nel contesto lavorativo.

Per quanto riguarda il credito al consumo, nella sua proposta di direttiva del Parlamento europeo e del Consiglio sull'armonizzazione delle disposizioni legislative, regolamentari e amministrative degli Stati membri riguardanti il credito al consumo [8] la Commissione ha previsto disposizioni specifiche sulla tutela dei dati volte a rafforzare maggiormente la protezione del consumatore.

[8] COM (2002) 443 def. dell'11.09.2002

Contemporaneamente i crescenti timori in merito alla sicurezza, in particolare dopo gli avvenimenti dell'11 settembre 2001, spingono verso una limitazione delle libertà civili in generale e del diritto alla tutela della vita privata e dei dati personali in particolare. Questo non è né nuovo né sorprendente. La Corte europea dei diritti dell'uomo ha ritenuto necessario lanciare nel 1978 il seguente ammonimento: "Gli Stati non possono, a motivo della lotta contro lo spionaggio e il terrorismo, adottare qualsiasi misura che essi ritengono appropriata ... il pericolo è quello di minare o persino di distruggere la democrazia perseguendo l'obiettivo di difenderla" [9].

[9] Klass e altri contro Germania, sentenza del 6 settembre 1978, Serie A volume 28.

Naturalmente la direttiva non si applica al trattamento di dati personali nell'ambito delle attività definite "del terzo pilastro" [10]e la tutela dei dati in tali settori non è quindi oggetto della presente relazione. Tuttavia nella legislazione degli Stati membri spesso tale distinzione non viene effettuata, provocando una serie di interrogativi e problemi sottolineati dal Parlamento europeo e che vanno ulteriormente discussi.

[10] L'articolo 3, paragrafo 2, primo trattino esclude dal campo d'applicazione della direttiva "le attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull'Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale".

2. Il processo di revisione aperto antecedente alla stesura della presente relazione

Considerato quanto precede la Commissione ha voluto organizzare un dibattito aperto, con la più ampia partecipazione possibile, per accompagnare la sua revisione dell'applicazione della direttiva. A tutte le parti interessate - amministrazioni pubbliche centrali, istituzioni, associazioni di imprese e dei consumatori, persino singole imprese e cittadini - è stata data l'opportunità di partecipare e di esprimere le proprie opinioni [11]. La Commissione considera positivamente tale processo che ha arricchito le fonti d'informazione cui ha attinto per la stesura della relazione e per le sue raccomandazioni per l'attività futura. È stato confermato anche il cambiamento di atteggiamento già osservato tra i responsabili del trattamento in generale [12] e i rappresentanti delle imprese in particolare: i responsabili del trattamento partecipano ora attivamente al dialogo sulle modalità per garantire un'efficace tutela dei dati personali anziché opporsi in toto a una regolamentazione del settore.

[11] La Commissione ha rivolto domande separatamente alle amministrazioni degli Stati membri e alle autorità di controllo; ha commissionato due studi a esperti universitari; ha lanciato un invito generale alla presentazione di osservazioni, pubblicato nella Gazzetta ufficiale e nel sito Web della Commissione; ha introdotto sul suo sito Web per più di due mesi due questionari, uno destinato ai responsabili del trattamento e l'altro alle persone interessate; ha organizzato una conferenza internazionale nell'ambito della quale, in sei workshop distinti, è stata discussa un'ampia serie di tematiche.

[12] Sebbene la presente relazione faccia normalmente riferimento ai responsabili del trattamento come "imprese" o "rappresentanti delle imprese" (trattandosi di coloro che più hanno contribuito al dibattito), anche le autorità pubbliche che svolgono attività che rientrano nel campo d'applicazione della legislazione comunitaria sono anche responsabili del trattamento e ovviamente le raccomandazioni e le osservazioni contenute nella presente relazione si riferiscono anche ad esse.

La Commissione si rammarica al contrario per la limitata partecipazione delle organizzazioni dei consumatori al processo di consultazione [13].

[13] Soltanto il BEUC, l'organizzazione europea dei consumatori, ha presentato un documento in cui afferma tra l'altro che in risposta a coloro che hanno sostenuto la necessità della direttiva di adeguarsi agli imperativi del contesto in linea, a suo parere, è il contesto in linea che deve essere adeguato per garantire il pieno rispetto dei principi della direttiva.

La presente relazione sintetizza le conclusioni cui è giunta la Commissione alla luce degli input ricevuti e le sue raccomandazioni per un'iniziativa. La Commissione ritiene tuttavia che questa possa essere considerata soltanto una prima fase di un processo più lungo.

3. Principali risultati della revisione

3.1. I pro e i contro di una modifica della direttiva

L'analisi dei risultati della revisione fa ritenere alla Commissione che nel complesso una modifica della direttiva a questo stadio non sia opportuna.

Nel corso delle consultazioni pochi degli intervenuti hanno esplicitamente sostenuto la necessità di una modifica della direttiva. La principale eccezione è costituita dalla proposta dettagliata di emendamenti sottoposta congiuntamente da Austria, Svezia, Finlandia e Regno Unito [14]. Le proposte di emendamento riguardano soltanto un numero ristretto di disposizioni (segnatamente l'articolo 4 relativo al diritto applicabile, l'articolo 8 riguardante i dati sensibili, l'articolo 12 sul diritto di accesso, l'articolo 18 sulla notificazione e gli articoli 25 e 26 relativi al trasferimento di dati verso paesi terzi), lasciando inalterati la maggior parte delle disposizioni e tutti i principi della direttiva. Le difficoltà specifiche connesse a queste e ad altre disposizioni saranno esaminate più dettagliatamente nel prosieguo della presente relazione.

[14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm I Paesi Bassi hanno aderito alla proposta in un secondo momento.

La Commissione ritiene che le considerazioni generali di seguito elencate rendano inopportuna la presentazione di proposte di emendamento della direttiva nell'immediato futuro :

- L'esperienza acquisita finora con l'applicazione della direttiva è molto limitata. Solo pochi paesi hanno recepito la direttiva entro i termini previsti. La maggior parte degli Stati membri ha notificato negli anni 2000 e 2001 alla Commissione esclusivamente le misure di attuazione e l'Irlanda non ha ancora notificato le recenti misure di attuazione. In alcuni paesi manca ancora l'importante legislazione di attuazione. Ciò costituisce una base di esperienza inadeguata per una proposta di revisione della direttiva.

- Molte delle difficoltà individuate nel corso della revisione possono essere affrontate e risolte senza modificare la direttiva. In alcuni casi, allorché sono dovuti a una inadeguata attuazione della direttiva, i problemi devono essere risolti mediante emendamenti specifici della legislazione degli Stati membri. In altri casi i margini di manovra concessi dalla direttiva permettono una più stretta collaborazione tra le autorità di controllo al fine di raggiungere la convergenza necessaria per superare le difficoltà derivanti da prassi eccessivamente divergenti da un paese all'altro. Tali strumenti sono sempre in grado di produrre effetti più rapidamente di un emendamento della direttiva e di essere pertanto pienamente utilizzabili in tempi più brevi.

- Laddove gli emendamenti sono proposti dagli interessati, lo scopo è spesso una riduzione degli oneri che l'obbligo di conformarsi alle disposizioni comporta per i responsabili del trattamento. Sebbene ciò costituisca uno scopo legittimo di per sé, pienamente approvato dalla Commissione, quest'ultima considera che molte delle proposte comporterebbero anche una riduzione del livello di protezione garantito. La Commissione ritiene che qualsiasi modifica che potrebbe essere considerata in futuro dovrebbe mirare a salvaguardare lo stesso livello di protezione ed essere coerente con il quadro globale predisposto dagli strumenti internazionali esistenti [15].

[15] Come ha affermato il commissario Bolkestein alla sessione finale della conferenza sull'applicazione della direttiva: "Sicuramente nulla sarebbe meglio di un foglio bianco quando si tratta di formulare una politica nel settore della tutela dei dati (...). Nel redigere la sua relazione la Commissione dovrà tenere presente il più ampio contesto giuridico e politico, in particolare i principi della convenzione 108 del Consiglio d'Europa".

Dopo le discussioni con gli Stati membri la Commissione può constatare che la propria opinione secondo la quale una modifica della direttiva non è al momento necessaria né auspicabile è condivisa da una consistente maggioranza di Stati membri nonché di autorità di controllo nazionali.

La Commissione giudica che alcune delle questioni emerse e che sono qui oggetto soltanto di un'analisi preliminare devono essere ulteriormente approfondite e potrebbero a tempo debito formare l'oggetto di una proposta di revisione della direttiva. Una siffatta proposta potrebbe avvalersi della maggiore esperienza acquisita nel frattempo con riguardo all'applicazione della direttiva.

Inoltre, come già affermato sopra, esistono ampi margini per un miglioramento dell'applicazione dell'attuale direttiva, ciò che permetterebbe di risolvere numerose difficoltà individuate nel corso della revisione, alcune delle quali erroneamente attribuite alla direttiva stessa. L'attenzione della Commissione si è focalizzata e continuerà a essere incentrata in particolare sui casi di patente violazione della legge comunitaria e di interpretazioni e/o prassi divergenti che sono fonte di difficoltà sul mercato interno.

La Commissione ritiene anche prioritaria l'applicazione armoniosa delle norme relative al trasferimento di dati verso paesi terzi, nell'intento di facilitare i trasferimenti legittimi e di evitare ostacoli o complicazioni inutili.

3.2. Valutazione globale dell'applicazione della direttiva negli Stati membri - Il problema delle divergenze tra le legislazioni degli Stati membri

I servizi della Commissione hanno condotto un'approfondita analisi dell'attuazione della direttiva nei quindici Stati membri sulla base delle informazioni raccolte. La collaborazione degli Stati membri e delle autorità nazionali di controllo a questo proposito è stata di grande aiuto. I risultati iniziali di tale analisi sono contenuti nella presente relazione e in un allegato tecnico che verrà pubblicato separatamente, ma il processo di raccolta delle informazioni e di analisi dell'attuazione della direttiva negli Stati membri dovrà continuare nel corso del 2003.

RISULTATI EMERSI DAI QUESTIONARI IN LINEA

Facendo ricorso allo strumento di consultazione in linea per la realizzazione delle politiche la Commissione ha inserito in giugno due questionari sul suo sito Web, invitando le persone interessate (consultazione pubblica) e i responsabili del trattamento (gruppo target) a esprimere la propria opinione su diversi aspetti della tutela dei dati. In totale sono state raccolte le risposte di 9.156 persone e di 982 responsabili del trattamento. I risultati completi delle consultazioni sono disponibili al sito: http://europa.eu.int/comm/internal_market/ en/dataprot/lawreport/consultation_en.hm

La Commissione ritiene particolarmente interessanti i seguenti risultati:

. sebbene la direttiva sulla tutela dei dati personali inglobi elevati standard di protezione, la maggior parte delle persone che hanno risposto (4.113 su 9.156, ossia il 44,9%) ritiene che la tutela sia a un livello minimo;

. l'81% delle persone giudica la sensibilizzazione dei cittadini sulla protezione dei dati insufficiente, cattiva o pessima, mentre soltanto il 10,3% la ritiene sufficiente e appena il 3,46% la considera buona o ottima; quasi altrettanto negativo è il parere al riguardo dei responsabili del trattamento: la maggior parte dei rispondenti (30%) giudica insufficiente la sensibilizzazione dei cittadini in materia di tutela dei dati, mentre soltanto il 2,95% la ritiene ottima;

. vi è una maggiore accettazione da parte delle imprese delle norme di tutela dei dati: ad esempio, il 69,1% dei rispondenti (responsabili del trattamento) considera necessarie le disposizioni in tema di tutela dei dati nella nostra società, mentre appena il 2,64% le ritiene assolutamente inutili e da sopprimere;

. la grande maggioranza dei responsabili del trattamento che hanno risposto al questionario (62,1%) ritiene che l'accoglimento delle richieste delle singole persone di accedere ai propri dati personali non comporta uno sforzo impegnativo per la propria organizzazione. La maggior parte dei responsabili del trattamento che hanno risposto al questionario, infatti, o non disponeva di dati o ha ricevuto meno di 10 richieste nel corso del 2001.

La Commissione riconosce che tali risultati non possono essere considerati rappresentativi quanto lo potrebbero essere i risultati di un'indagine basata su un campione selezionato scientificamente. La Commissione propone l'organizzazione nel 2003 di un'altra indagine intesa sia a verificare l'attendibilità dei risultati del questionario aperto, sia a fissare un parametro con cui misurare l'evoluzione dei diversi indicatori o delle varie opinioni in futuro.

Attuazione ritardata

L'attuazione di una direttiva di questo tipo, ossia di una direttiva che lascia un considerevole margine agli Stati membri ma che li obbliga nel contempo a un lungo e dettagliato lavoro, rappresenta indubbiamente un compito complesso. Tuttavia il cospicuo ritardo con cui la direttiva è stata attuata nella maggior parte degli Stati membri è la prima e principale manchevolezza che la Commissione è obbligata a registrare con riguardo all'applicazione della direttiva e che non può che condannare. Ovviamente essa ha adottato le iniziative appropriate in forza dell'articolo 226 del trattato, come descritto sopra.

Libera circolazione di informazioni sicure

Nonostante tali ritardi e tali lacune nell'attuazione, la direttiva ha conseguito il suo principale obiettivo di sopprimere gli ostacoli alla libera circolazione dei dati personali tra gli Stati membri. In effetti la principale difficoltà prima dell'adozione della direttiva derivava dal fatto che mentre la maggior parte degli Stati membri aveva adottato una normativa in materia di tutela dei dati, un numero ristretto di paesi non vi aveva provveduto. Entro il 1995 soltanto l'Italia e la Grecia non disponevano di una normativa simile, ma tali due paesi sono stati tra i primi Stati membri a recepire la direttiva, eliminando in tal modo la principale difficoltà. Dopo l'adozione della direttiva non è stato portato all'attenzione della Commissione alcun caso in cui il trasferimento di dati personali tra gli Stati membri sia stato bloccato o rifiutato per motivi di protezione dei dati.

Ovviamente gli ostacoli alla libera circolazione dei dati personali possono essere più impercettibili di patenti divieti contenuti nelle normative nazionali o di decisioni di proibizione adottate dalle autorità nazionali di controllo: possono esserci ad esempio dei casi in cui una norma inutilmente restrittiva in uno Stato membro limita il trattamento interno dei dati personali in primo luogo in quello Stato membro, nonché l'esportazione degli stessi dati verso altri Stati membri. In altre parole, se la Commissione è soddisfatta in generale dell'impatto della direttiva per quanto riguarda la libera circolazione delle informazioni realizzata all'interno della Comunità, l'ulteriore esperienza acquisita con riguardo alla sua applicazione può mettere in luce l'esistenza di problemi che è necessario affrontare [16].

[16] Ad es. differenze nella tutela dei dati delle persone giuridiche.

Alto livello di protezione

Come esposto nel considerando 10, il ravvicinamento delle leggi nazionali perseguito dalla direttiva deve cercare di garantire un alto livello di protezione nella Comunità. La Commissione ritiene che ciò sia stato ottenuto. La direttiva stabilisce infatti alcuni tra gli standard mondialmente più elevati di tutela dei dati. Tuttavia i risultati dell'indagine online suggeriscono che i cittadini considerano la questione in modo diverso. Si tratta di una situazione paradossale, sulla quale è opportuno riflettere ulteriormente. Un'analisi preliminare attribuirebbe almeno una parte del problema ad un'applicazione incompleta delle regole (cfr. la parte seguente riguardante l'applicazione, la conformità e la sensibilizzazione).

Altri obiettivi della politica del mercato interno conseguiti in maniera non altrettanto buona

La Commissione considera tuttavia gli obiettivi generali che devono essere perseguiti dalla legislazione sul mercato interno in un contesto che supera la libera circolazione. Così si dovrebbe promuovere la realizzazione di un contesto competitivo uniforme per gli operatori economici nei diversi Stati membri, contribuire a semplificare il contesto normativo nell'interesse sia della governance sia della concorrenzialità e contribuire ad incoraggiare anziché ostacolare le attività transnazionali all'interno dell'UE.

Tenuto conto di tali criteri le divergenze che tuttora contrassegnano la normativa in materia di tutela dei dati degli Stati membri sono eccessive. Questo è stato il messaggio prevalentemente ricevuto da quanti hanno risposto all'indagine, in particolare da coloro che rappresentano gli interessi delle imprese, i quali hanno lamentato che le attuali disparità impediscono alle organizzazioni multinazionali di sviluppare politiche paneuropee in materia di tutela dei dati. La Commissione ricorda che la direttiva si propone il ravvicinamento delle legislazioni e non una completa uniformità e che, nel rispetto del principio della sussidiarietà, il processo di approssimazione non dovrebbe andare al di là di quanto necessario. Essa ritiene tuttavia che gli interessati abbiano ragione a chiedere una maggiore convergenza delle legislazioni e delle modalità della loro applicazione da parte degli Stati membri e delle autorità nazionali di controllo in particolare.

Alcuni dei rispondenti hanno proposto una modifica della direttiva per renderla più dettagliata, nell'intento di pervenire a tale convergenza. La Commissione preferisce procedere almeno inizialmente facendo ricorso ad altri strumenti. Inoltre la natura generica della direttiva, ovvero il fatto che si applica a molti settori e contesti, non si presta all'aggiunta di ulteriori dettagli o specifiche.

Le differenze fra le normative degli Stati membri richiedono varie soluzioni

Presentando cause e conseguenze differenti, le divergenze tra le normative degli Stati membri richiedono anche una serie di soluzioni differenti.

È evidente che allorché ha travalicato i limiti della direttiva o ha mancato ai suoi obblighi, uno Stato membro crea una discordanza cui occorre porre rimedio mediante la modifica della normativa del paese in questione. Vi sono alcune disposizioni per le quali, benché esse lascino poco margine - oppure non ne lascino affatto - agli Stati membri, si sono osservate comunque delle divergenze: si vedano, ad esempio, le "definizioni" o gli elenchi chiusi contenuti nella direttiva come agli articoli 7 (principi relativi alla legittimazione del trattamento dei dati), 8.1 (dati sensibili), 10 (informazione della persona interessata), 13 (deroghe), 26 (deroghe in merito ai trasferimenti verso paesi terzi), ecc. Ciò implica una non conformità alla normativa comunitaria. Anche l'articolo 4 (diritto applicabile) non è stato recepito correttamente in molti casi.

La Commissione è ovviamente preparata a far uso dei poteri che le derivano in forza dell'articolo 226 del trattato per far apportare tali modifiche, ma si augura che non sia necessario ricorrere a un'azione formale. Discussioni bilaterali e multilaterali saranno tenute con gli Stati membri nell'intento di concordare soluzioni conformi alla direttiva.

Altre divergenze possono costituire il legittimo risultato di una corretta attuazione da parte di uno Stato membro che ha operato una scelta diversa entro il margine di manovra consentito dalla direttiva. Ai fini della presente relazione la Commissione prende in considerazione l'esistenza di siffatte differenze soltanto nella misura in cui esse hanno ripercussioni negative significative sul mercato interno o sotto il profilo della "migliore regolamentazione", ad esempio creando oneri amministrativi ingiustificati per gli operatori.

Riassumendo :

a) In generale si può considerare che gran parte delle divergenze rilevate dai servizi della Commissione non costituisca una violazione della normativa comunitaria, né abbia un'incidenza negativa significativa sul mercato interno; tuttavia, se ciò dovesse accadere, la Commissione farà il necessario per ovviare alla situazione;

b) molte delle divergenze osservate rappresentano tuttavia un ostacolo a un sistema flessibile e semplificato di regolamentazione e costituiscono pertanto motivo di preoccupazione (ad esempio le differenze per quanto riguarda gli obblighi di notifica o le condizioni dei trasferimenti internazionali).

Le azioni che possono essere adottate al loro riguardo sono molto varie, come indicato nella sezione 6 del programma di lavoro. L'adozione nell'immediato futuro di tali soluzioni non significa tuttavia che la Commissione escluda la possibilità di un appropriato emendamento della direttiva in un momento successivo se le difficoltà dovessero persistere. Una più stretta collaborazione tra le autorità di controllo degli Stati membri e una generale disponibilità a ridurre l'incidenza negativa delle divergenze devono pertanto essere considerate come un'alternativa, mentre gli emendamenti alla direttiva volti a ridurre la libertà di scelta concessa al legislatore nazionale e alle autorità nazionali di controllo costituiscono l'altra alternativa. Senza dubbio gli Stati membri e le rispettive autorità di controllo preferiscono la prima opzione e spetta a loro dimostrare che può essere applicata con successo.

Applicazione, conformità e sensibilizzazione

Prima di passare a un esame più approfondito di alcune delle problematiche inerenti all'applicazione della direttiva è opportuno prestare attenzione a un'altra questione generale: il livello globale di ottemperanza alla normativa in materia di tutela dei dati nell'UE e il connesso problema della sua applicazione. Considerata (o nonostante) la vasta diffusione del trattamento dei dati personali è difficile ottenere informazioni accurate o complete sulla sua conformità alla normativa. Le indicazioni raccolte dalla Commissione in risposta alla sua richiesta di informazioni non hanno permesso di fare molta luce a questo riguardo. Tuttavia gli esempi riportati, unitamente ai diversi dati di cui dispone la Commissione [17], lasciano intravedere la presenza di tre fenomeni collegati fra loro:

[17] Ad esempio il numero relativamente ridotto di reclami pervenuti alla Commissione e il numero limitato di autorizzazioni concesse dalle autorità nazionali al trasferimento verso paesi terzi notificate alla Commissione conformemente all'articolo 26, paragrafo 3.

- uno sforzo di applicazione senza le necessarie risorse e l'assegnazione alle autorità di controllo di una vasta serie di compiti tra i quali le azioni di promozione dell'applicazione assumono una rilevanza alquanto scarsa;

- un'ottemperanza molto irregolare da parte dei responsabili del trattamento, indubbiamente riluttanti a introdurre modifiche alle loro prassi correnti per conformarsi a quelle che possono apparire come norme complesse e onerose quando il rischio di essere scoperti appare limitato;

- una conoscenza apparentemente scarsa dei propri diritti da parte delle persone interessate che può essere alla base del fenomeno precedente.

Le stesse autorità di controllo in molti Stati membri esprimono preoccupazione a questo riguardo, in particolare per la mancanza di risorse. La scarsità di risorse può incidere sull'indipendenza e l'autonomia nell'adottare decisioni è una condizione sine qua non per il corretto funzionamento del sistema.

Tale aspetto necessita di essere ulteriormente approfondito ma, se le tendenze dovessero trovare conferma, vi è ragione di essere seriamente preoccupati e occorrerà avviare tra la Commissione e gli Stati membri e le autorità di controllo una riflessione per determinarne la cause e individuare soluzioni fattibili.

Il fatto che i tre aspetti siano collegati tra loro significa che il trattamento con successo di uno di essi può avere effetti positivi sugli altri. Un'applicazione più vigorosa ed efficace della legislazione migliorerebbe la conformità. Una maggiore ottemperanza permetterebbe ai responsabili del trattamento di fornire informazioni maggiori e migliori alle persone interessate in merito all'esistenza del trattamento e ai loro diritti in forza della legge, con un effetto positivo sul grado di sensibilizzazione in tema di tutela dei dati dei cittadini in generale.

I paesi candidati

In linea con i criteri di Copenaghen tutti i paesi candidati sono impegnati a recepire la direttiva 95/46/CE entro la data della loro adesione. Attualmente tutti dispongono di una normativa in questo settore, fatta eccezione per la Turchia in cui una legge sulla tutela dei dati è in fase di avanzata preparazione. Nei dieci paesi che hanno firmato i trattati di adesione la legislazione esistente incorpora la maggior parte degli elementi chiave della direttiva. Saranno tuttavia necessari ulteriori sforzi per rendere tale legislazione pienamente conforme a tutte le disposizioni della direttiva.

A questo proposito l'istituzione di autorità indipendenti per il controllo della tutela dei dati assume la massima importanza. L'autonomia di talune autorità di controllo è esemplare, mentre in altri paesi è chiaramente insufficiente. Per contro tutte le autorità di controllo difettano delle necessarie risorse e alcune di esse anche dei poteri necessari per assicurare l'effettiva applicazione della normativa in materia di tutela dei dati.

4. I principali risultati della revisione più in dettaglio [18]

[18] Per un quadro più completo si rinvia all'allegato tecnico.

Nella presente sezione sono esaminate più in dettaglio le principali questioni che secondo la Commissione meritano attenzione alla luce della revisione e sono forniti esempi più concreti.

4.1. Necessità di completare l'applicazione della direttiva

Una piena applicazione della direttiva richiede normalmente (oltre all'applicazione delle misure di attuazione) una seconda fase consistente per lo più nella revisione delle normative che potrebbero contrastare con le disposizioni della direttiva e/o nella precisazione di talune norme generali e nell'adozione di appropriate garanzie laddove ci si è avvalsi delle deroghe previste dalla direttiva.

In generale questa seconda fase dell'applicazione non è nemmeno iniziata in alcuni Stati membri e, tra i paesi che l'hanno avviata, alcuni non l'hanno portata molto avanti. Numerose leggi nazionali fanno riferimento a ulteriori misure di chiarificazione, ad esempio per quanto riguarda l'applicazione dell'articolo 7, lettera f) (clausola dell'equilibrio degli interessi), che a tutt'oggi non sono state ancora adottate [19].

[19] Numerosi interventi - ad esempio quello di Clifford Chance - hanno messo in luce l'importanza di tale disposizione che aggiunge un importante elemento di flessibilità alle condizioni di "equità" del trattamento. Un'applicazione incompleta o poco chiara di tale disposizione provoca un'inutile rigidità del quadro regolamentare.

Un'altra disposizione la cui applicazione è spesso incompleta è quella di cui all'articolo 8, paragrafo 2, lettera b). Tale disposizione consente agli Stati membri di derogare alla norma generale che vieta il trattamento dei dati sensibili allorché il trattamento sia necessario per assolvere gli obblighi e i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, ma solo a condizione che siano previste adeguate garanzie. In alcuni Stati membri tali prescrizioni sono soddisfatte attraverso una specifica normativa di tutela dei dati nel contesto lavorativo, la quale può essere estremamente ampia (è il caso ad esempio della Finlandia) oppure disciplinare questioni particolari (ad esempio, la legislazione in campo sanitario in Danimarca e nei Paesi Bassi). In altri Stati membri la situazione è meno chiara. Le disposizioni contenenti garanzie non sono state adottate da tutti gli Stati membri e, laddove esistono, sono spesso insoddisfacenti. Analoga è la situazione per quanto riguarda i paragrafi 4 e 5 dell'articolo 8 - trattamento di dati sensibili per motivi di interesse pubblico o relativi a condanne penali. La mancanza di garanzie significa che non è stato raggiunto il livello richiesto di tutela delle persone, il che dovrebbe costituire motivo di preoccupazione per gli Stati membri così come lo è per la Commissione. Il tema sarà affrontato in particolare nel quadro dell'azione 1 del programma di lavoro e nel caso in cui i dati personali dovessero essere trattati in un particolare settore o contesto, come ad esempio in ambito lavorativo, attraverso un'azione comunitaria settoriale [20].

[20] Si veda in proposito il punto 1.2.

4.2. Necessità di un'interpretazione ragionevole e flessibile

In numerosi interventi è stata sollecitata un'interpretazione ragionevole e flessibile di talune disposizioni della direttiva [21]. Un buon esempio è rappresentato dai dati sensibili [22]. È indispensabile definire un'interpretazione coerente sia con la maggiore tutela prevista dalla direttiva per tale categoria di dati sia con la realtà delle attività quotidiane, delle operazioni di trattamento di routine e dei rischi effettivi che talune operazioni determinano per la protezione dei diritti e delle libertà fondamentali delle persone [23].

[21] Particolarmente interessante è al riguardo l'intervento dell'European Privacy Officers Forum (EPOF), ad esempio in merito alla necessità di un'interpretazione ragionevole di nozioni quali "dati anonimi" o "dati sensibili".

[22] L'intervento del FEDMA contiene alcuni esempi pratici circa le diverse interpretazioni di tale nozione in paesi quali il Regno Unito, la Francia o il Portogallo.

[23] Un invito a un'interpretazione ragionevole è contenuto anche nell'emendamento al trentatreesimo considerando proposto da Austria, Finlandia, Svezia e Regno Unito.

L'articolo 12 della direttiva (diritto di accesso ai dati da parte della persona interessata) è un'altra disposizione che ha dato origine a richieste di un'interpretazione flessibile in merito all'esercizio del diritto di accesso e alla possibilità di opporre un rifiuto. È stato sostenuto che l'accoglimento delle richieste di accesso ai dati trattati in reti di informazione enormi e complesse potrebbe risultare estremamente difficile e costoso per il responsabile del trattamento dei dati.

L'Austria, la Svezia, la Finlandia e il Regno Unito hanno proposto una modifica della direttiva al fine di chiarire che se la richiesta di accesso ai dati riguarda informazioni estremamente difficili da recuperare e chiaramente escluse dalle normali attività del responsabile del trattamento, quest'ultimo possa chiedere alla persona interessata di assistere l'organizzazione nella ricerca dei propri dati [24]. La Commissione ricorda che la possibilità di chiedere tale assistenza è già conforme alla direttiva nella forma che essa ha attualmente. La Commissione non ritiene che l'applicazione di tale disposizione della direttiva comporti effettivamente seri problemi pratici. Ad ogni modo il numero di richieste di accesso sembra essere contenuto [25]. La Commissione giudica perfettamente ragionevoli le interpretazioni e gli orientamenti forniti finora dalle autorità nazionali di controllo.

[24] Tale assistenza è già prevista nella normativa del Regno Unito e dell'Austria.

[25] Si vedano, a questo riguardo, i dati e le risposte dei responsabili del trattamento al questionario in linea.

L'articolo 5 della direttiva stabilisce che gli Stati membri precisano, nei limiti delle disposizioni del capo II (articoli 6 - 21), le condizioni alle quali i trattamenti di dati personali sono leciti. A questo riguardo la Commissione prende atto dei timori espressi dalla Svezia nel quadro della revisione attualmente in corso della sua legislazione per quanto riguarda l'applicazione dei principi della tutela dei dati ai dati testuali, sonori e visivi continui. La Commissone ritiene che la semplificazione delle condizioni per il trattamento dei dati, qualora non sussistano rischi sostanziali per i diritti personali, si possa ottenere meglio usufruendo delle possibilità concesse dagli articoli 7, lettera f), 9 e 13 e rispettando i margini di manovra previsti.

4.3. Promozione e incoraggiamento di sistemi tecnologici a difesa della vita privata

Le tecnologie PET (Privacy Enhancing Technologies) sono finalizzate alla concezione di sistemi e tecnologie di informazione e di comunicazione tali da ridurre al minimo la raccolta e l'uso dei dati personali e da contrastare forme illecite di trattamento. La Commissione ritiene che l'utilizzo di misure tecnologiche appropriate costituisca un complemento essenziale agli strumenti giuridici e dovrebbe costituire parte integrante di qualunque sforzo volto a conseguire un livello sufficiente di tutela della privacy.

I prodotti tecnologici dovrebbero essere sempre sviluppati in conformità alle norme applicabili in materia di tutela dei dati. L'ottemperanza a tali norme è tuttavia soltanto il primo passo. L'obiettivo dovrebbe essere quello di realizzare prodotti che non solo siano conformi e rispettosi dei principi di tutela della vita privata ma, se possibile, anche li garantiscano [26].

[26] Si vedano al riguardo le conclusioni del documento WP 37 del gruppo "Articolo 29" del novembre 2000: "Tutela della vita privata su Internet - Un approccio integrato dell'UE alla protezione dei dati on-line". I prodotti ottemperanti ai principi di tutela della vita privata sono i prodotti sviluppati in piena conformità alla direttiva. I prodotti rispettosi della vita privata compiono un passo avanti grazie all'introduzione di alcuni elementi che rendono gli aspetti della tutela della vita privata più facilmente accessibili agli utenti, ad esempio fornendo informazioni alla persona interessata o soluzioni molto semplici per far valere i propri diritti. I prodotti che garantiscono la tutela della vita privata sono quelli che sono stati concepiti in modo tale da consentire il più ampio uso possibile di dati realmente anonimi. http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_en.htm

In sede di dibattito su tali tecnologie nel corso della conferenza della Commissione del 2002 sull'applicazione della direttiva è stato affermato che l'utilizzo di taluni strumenti tecnici rende impossibile per i responsabili del trattamento ottemperare alla legge. Un altro problema che è emerso riguarda la difficoltà di riconoscere quali prodotti contengono realmente tecnologie PET. Alcuni partecipanti hanno chiesto una qualche forma di certificazione o di marchio sulla base di una verifica indipendente del prodotto. Attualmente alcuni sistemi che si presentano come tecnologie a garanzia della tutela della vita privata non sono neppure conformi alle norme di protezione della privacy.

La questione chiave è pertanto non soltanto il modo in cui creare tecnologie realmente capaci di promuovere la tutela della vita privata, ma anche in cui assicurarsi che tali tecnologie siano individuate e riconosciute come tali dagli utenti. La certificazione assumerà un'importanza capitale e la Commissione continuerà a seguire gli sviluppi in tale settore [27].

[27] Ad esempio in Canada, dove il governo federale è stata la prima amministrazione pubblica nazionale a rendere obbligatorie, per tutti i dipartimenti e le agenzie federali, le valutazioni dell'impatto sulla vita privata (Privacy Impact Assessment - PIA) per tutti i programmi e i servizi che interessano la privacy. Le agenzie sono tenute ad avviare tali valutazioni fin dalle prime fasi di concezione o di ristrutturazione di un programma o di un servizio, in modo da influenzare il processo di sviluppo e assicurarsi che la tutela della vita privata sia al centro delle preoccupazioni. Il Land dello Schleswig-Holstein ha introdotto un analogo sistema di certificazione esteso sia al settore pubblico sia al settore privato.

La Commissione ritiene che tali iniziative debbano essere incoraggiate e ulteriormente sviluppate. Lo scopo non è solo di concepire prassi migliori per la tutela della vita privata, ma anche di accrescere la trasparenza e quindi la fiducia degli utilizzatori e di fornire a quanti investono nella conformità alle norme o meglio ancora nella difesa della tutela della vita privata un'occasione per dimostrare i risultati dei loro sforzi a questo riguardo e di sfruttarli a loro vantaggio sotto il profilo della concorrenzialità.

4.4. Osservazioni su alcune disposizioni specifiche

La presente relazione richiama in ciascun caso soltanto gli elementi fondamentali. Maggiori dettagli saranno forniti nell'allegato tecnico che sarà pubblicato separatamente [28].

[28] www.europa.eu.int/comm/privacy

4.4.1. Articolo 4 - Diritto applicabile

Si tratta di una delle più importanti disposizioni della direttiva nell'ottica del mercato interno e la sua corretta applicazione è fondamentale per il funzionamento del sistema. In realtà l'applicazione di tale disposizione in molti casi è lacunosa, con la conseguenza che potrebbero insorgere tra le legislazioni conflitti di quel tipo che l'articolo intendeva evitare. Alcuni Stati membri dovranno modificare la propria legislazione a questo riguardo.

La disposizione in parola è stata una delle più criticate nel corso del processo di revisione. Alcuni hanno sostenuto la necessità dell'applicazione della norma del paese d'origine che consentirebbe alle organizzazioni multinazionali di operare rispettando una sola serie di norme in tutta l'Unione. Molti hanno anche affermato che il ricorso "a strumenti" non costituisce un criterio appropriato o pratico per determinare l'applicazione del diritto dell'UE ai responsabili del trattamento non stabiliti nel territorio della Comunità.

Per quanto riguarda la norma del paese d'origine la direttiva già consente l'organizzazione del trattamento facendo capo a un unico responsabile, il che comporta l'ottemperanza soltanto alla normativa in materia di tutela dei dati del paese in cui il responsabile è stabilito. Questa disposizione ovviamente non si applica qualora una ditta abbia scelto di esercitare i propri diritti di stabilimento in più di uno Stato membro.

Per quanto concerne il ricorso "a strumenti" la Commissione è consapevole che tale criterio potrebbe risultare di difficile applicazione nella pratica e che esso richiede un ulteriore chiarimento. Se tale chiarimento non dovesse essere sufficiente a garantire l'applicazione pratica del criterio indicato, potrebbe rendersi necessario in futuro proporre un emendamento onde creare un diverso fattore di connessione per determinare il diritto applicabile.

Per la Commissione è tuttavia prioritario garantire la corretta attuazione da parte degli Stati membri della disposizione esistente. Occorre acquisire una maggiore esperienza con la sua applicazione, così come è indispensabile un ulteriore approfondimento, tenuto conto degli sviluppi tecnologici, prima di presentare una proposta di modifica dell'articolo 4. Nonostante la necessità di un'ulteriore riflessione, sarebbe sbagliato fornire l'impressione che l'intero articolo 4 è contestato. Al contrario la sua applicazione non dà adito per la maggior parte a contestazioni ed è oggetto di approvazione unanime da parte di tutte le autorità di tutela dei dati e della Commissione.

4.4.2. Articoli 6 e 7 - Qualità dei dati e principi relativi alla legittimazione del trattamento dei dati

Dall'analisi delle normative nazionali emerge che l'attuazione di tali disposizioni risulta talvolta insoddisfacente. L'articolo 6, paragrafo 1, lettera b), consente il trattamento successivo dei dati per scopi storici, statistici o scientifici purché siano fornite garanzie appropriate. Non in tutti gli Stati membri tali garanzie sono fornite, benché il trattamento successivo sia generalmente autorizzato. L'elencazione dei casi di trattamento legittimo contenuta nella legislazione di alcuni paesi non coincide con quella di cui all'articolo 7, escludendo alcuni casi o prevedendone altri, e dovrà quindi essere modificata. Soprattutto la nozione di "consenso in maniera inequivocabile" (articolo 7, lettera a)), se paragonata alla nozione di "consenso esplicito" di cui all'articolo 8, richiede un ulteriore chiarimento e un'interpretazione più uniforme. È necessario che gli operatori sappiano che cosa si debba intendere per valido consenso in particolare nelle situazioni in linea.

4.4.3. Articoli 10 e 11 - Informazione della persona interessata

L'applicazione degli articoli 10 e 11 della direttiva ha fatto emergere numerose disparità. In una certa misura ciò è la conseguenza di un'attuazione non corretta, ad esempio allorché una normativa stabilisce che devono essere sempre fornite alla persona interessata informazioni aggiuntive indipendentemente dalla verifica della necessità richiesta dalla direttiva, ma anche dell'adozione di interpretazioni e prassi differenti da parte delle autorità di controllo. Negli interventi sono state messe in evidenza le difficoltà che tali disparità occasionano alle multinazionali operanti a livello paneuropeo [29].

[29] Si vedano ad esempio le opinioni espresse dall'EPOF (European Privacy Officers Forum): http://europa.eu.int/comm/internal_market/ en/dataprot/lawreport/papers/epof_en.pdf o dal comitato UE della Camera di commercio americana: http://europa.eu.int/comm/internal_market/ en/dataprot/lawreport/papers/amcham_en.pdf

4.4.4. Articoli 18 e 19 - Notificazione

Da più parti è stata sostenuta la necessità di una semplificazione e di un ravvicinamento delle disposizioni adottate dagli Stati membri per quanto riguarda la notificazione delle attività di trattamento da parte dei responsabili del trattamento. La Commissione condivide tale opinione, ma ricorda che la direttiva già offre agli Stati membri la possibilità di prevedere ampie esenzioni all'obbligo di notificazione nel caso in cui il rischio sia limitato o il responsabile del trattamento abbia designato un incaricato della protezione dei dati. Tali deroghe consentono una sufficiente flessibilità pur senza inficiare il livello di protezione assicurata. Sfortunatamente alcuni Stati membri non si sono avvalsi di tali possibilità. La Commissione conviene tuttavia che, oltre a un uso più ampio delle deroghe esistenti, sarebbe opportuna un'ulteriore semplificazione, senza dover modificare gli articoli esistenti.

4.4.5. Articoli 25 e 26 - Trasferimenti verso paesi terzi

Le disparità tra le normative degli Stati membri in merito all'applicazione di tali due disposizioni sono eccessive. L'approccio adottato da alcuni Stati membri di supporre che la valutazione dell'adeguatezza del livello di protezione garantito dal destinatario dei dati sia operata dal responsabile del trattamento, con un controllo molto limitato dei flussi di dati da parte dello Stato o dell'autorità nazionale di controllo, non sembra soddisfare l'obbligo imposto agli Stati membri dal primo paragrafo dell'articolo 25 [30].

[30] "Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali (...) può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato (...)".

Anche l'approccio adottato da altri Stati membri di sottoporre tutti i trasferimenti verso paesi terzi a un'autorizzazione amministrativa [31] appare incoerente con le disposizioni del capo IV della direttiva volto a garantire sia una tutela adeguata, sia flussi di dati personali verso paesi terzi senza oneri inutili. Notificazioni alle autorità nazionali di controllo possono essere necessarie in forza dell'articolo 19, ma non possono essere trasformate in autorizzazioni de facto in quei casi in cui il trasferimento verso un paese terzo è chiaramente permesso, o perché la destinazione fornisce un'adeguata tutela come confermato da una decisione vincolante della Commissione, o perché il destinatario ha sottoscritto le clausole contrattuali tipo approvate dalla Commissione, oppure perché il responsabile del trattamento dichiara che al trasferimento si applica una delle deroghe elencate all'articolo 26 della direttiva. Se l'autorità di tutela dei dati può legittimamente richiedere la notificazione di tali trasferimenti [32], non esiste alcuna necessità di una loro autorizzazione in quanto essi sono già autorizzati dal diritto comunitario.

[31] In alcuni Stati membri è necessaria un'autorizzazione per i trasferimenti beneficianti delle deroghe di cui all'articolo 26, paragrafo 1, o persino diretti verso altri Stati membri o paesi terzi dichiarati adeguati dalla Commissione europea.

[32] Al fine di verificare, ad esempio, che il contratto tipo corrisponde pienamente a quello approvato dalla Commissione o che il destinatario rientra effettivamente nella decisione sul livello di protezione adeguato.

Un atteggiamento eccessivamente lassista in alcuni Stati membri, oltre a violare le prescrizioni della direttiva, rischia di indebolire la tutela dei dati nell'intera UE in quanto, per effetto della libera circolazione garantita dalla direttiva, i flussi di dati hanno la tendenza a trasferirsi verso il punto di esportazione "meno oneroso". Al contrario un atteggiamento eccessivamente rigido non rispetterebbe le esigenze legittime del commercio internazionale e la realtà delle reti globali di telecomunicazione e rischierebbe inoltre di creare una frattura fra diritto e prassi, perniciosa per la credibilità della direttiva e per il diritto comunitario in generale.

In effetti i trasferimenti internazionali sembrano essere un settore in cui la mancanza di iniziative in materia di applicazione genera una simile frattura. Le autorità nazionali dovrebbero notificare alla Commissione le autorizzazioni da esse concesse ai sensi dell'articolo 26, paragrafo 2, della direttiva. Da quando la direttiva è entrata in vigore nel 1998, la Commissione ha ricevuto soltanto un numero molto limitato di siffatte notifiche. Benché esistano altre strade legali di trasferimento dei dati diverse da quella di cui all'articolo 26, paragrafo 2, il numero di notificazioni è irrisorio rispetto a quanto ci si potrebbe ragionevolmente aspettare. Questo dato, unitamente ad altre informazioni che puntano nella stessa direzione [33], lascia intendere che molti trasferimenti non autorizzati e addirittura illegali sono effettuati verso destinazioni o destinatari che non garantiscono un livello di protezione adeguato. Nulli o quantomeno scarsi sono tuttavia i segnali di iniziative da parte delle autorità di controllo per contrastarli.

[33] La relazione approvata dalla conferenza primaverile delle autorità di tutela dei dati del maggio 2001 ha messo in evidenza l'incapacità della maggior parte delle autorità nazionali di controllo di indicare il numero di operazioni di trattamento riguardanti trasferimenti internazionali di dati. Allorché è disponibile, tale numero appare trascurabile (600 trasferimenti dalla Francia, 1.352 dalla Spagna e 150 dalla Danimarca).

I trasferimenti che richiedono un'autorizzazione e una notificazione sono ovviamente fonte di notevoli oneri amministrativi sia per gli esportatori di dati sia per le autorità di controllo. È auspicabile pertanto che venga fatto un uso maggiore delle "autorizzazioni in blocco" previste agli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva. Queste finora hanno prodotto soltanto quattro constatazioni di esistenza di un livello di protezione adeguato in paesi terzi (Ungheria, Svizzera, Canada e "Safe Harbor" per gli Stati Uniti [34]) e due serie di clausole contrattuali tipo, una per i trasferimenti verso responsabili del trattamento dei dati in paesi terzi e una per i trasferimenti verso incaricati del trattamento. È necessario un maggiore impegno in direzione di una semplificazione delle condizioni dei trasferimenti internazionali.

[34] Sta per essere ultimata una decisione della Commissione sulla protezione adeguata in Argentina.

5. Trattamento dei dati visivi e sonori

In sede di preparazione della direttiva erano state espresse preoccupazioni sul fatto che questa potesse non essere in grado di far fronte agli sviluppi tecnologici futuri. La portata di tali sviluppi della tecnologia era incerta, ma si temeva che un testo redatto tenendo principalmente presente il trattamento testuale avrebbe potuto incontrare difficoltà una volta applicato al trattamento dei dati visivi e sonori. Per tale motivo l'articolo 33 contiene uno specifico riferimento ai dati sotto forma di suoni o immagini.

La Commissione ha basato la revisione su uno studio condotto da una società esterna per analizzare la situazione negli Stati membri e sui contributi trasmessi dagli stessi paesi e dalle autorità nazionali di controllo. Dalle informazioni raccolte si evince che il trattamento dei dati visivi e sonori rientra nel campo d'applicazione di tutte le leggi nazionali di attuazione della direttiva e che l'applicazione della direttiva a tali categorie di trattamento non ha incontrato particolari problemi.

Nella maggior parte degli Stati membri si applicano al trattamento dei dati sotto forma di suoni o immagini le stesse disposizioni (generali) che si applicano agli altri dati personali. Soltanto due paesi (Germania e Lussemburgo) hanno contemplato disposizioni specifiche per il trattamento dei dati sonori e visivi nelle loro misure di attuazione della direttiva. Tre Stati membri (Danimarca, Svezia e Portogallo) hanno emanato disposizioni specifiche sulla videosorveglianza in leggi distinte. Nonostante i dubbi sollevati nel corso dell'elaborazione della direttiva, gli Stati membri sono quindi giunti alla conclusione che l'obiettivo di questa di essere neutra nei confronti della tecnologia è stato conseguito, per lo meno per quanto riguarda il trattamento dei dati visivi e sonori.

Nessuno Stato membro e nessuno dei rispondenti al questionario ha proposto modifiche alla direttiva sotto questo aspetto. Le proposte congiunte presentate da Austria, Finlandia, Svezia e Regno Unito esprimono alcuni timori in merito alla capacità della direttiva di far fronte ad alcuni sviluppi tecnologici, ma non contengono proposte concrete direttamente in relazione con tale problema.

Uno dei workshop della conferenza sull'applicazione della direttiva è stato interamente dedicato al dibattimento di tale questione. La videosorveglianza era l'argomento principale, ossia quello (seguito dalla biometria) che è stato oggetto finora della maggiore attenzione da parte delle autorità nazionali di controllo. I partecipanti hanno giudicato insufficiente il dibattito pubblico svoltosi fino ad allora circa i limiti che è necessario porre all'uso della videosorveglianza per tutelare taluni diritti e libertà in una società democratica. Il gruppo "Articolo 29" ha esaminato approfonditamente la questione e ha approvato una bozza di documento di lavoro pubblicato sul sito Web della Commissione sulla tutela dei dati, invitando gli interessati a presentare le loro osservazioni.

Vi è inoltre una serie di problematiche giuridiche e pratiche originate dall'applicazione della direttiva negli Stati membri con riguardo ai dati sonori e visivi che determinano qualche incertezza per gli operatori chiamati a conformarsi alla legislazione e per i soggetti che dovrebbero esercitare i propri diritti di tutela dei dati.

Esistono ad esempio incertezze in merito alle definizioni della direttiva: sulla misura in cui un'impronta digitale o un'immagine isolata possono essere ritenuti dati personali in quei casi in cui il responsabile del trattamento è incapace di individuare una persona o è estremamente improbabile che lo possa fare, se un semplice monitoraggio costituisce un'operazione di trattamento, oppure come pervenire a un'interpretazione ragionevole del concetto di dati sensibili.

La Commissione riconosce che tutte queste domande trovano risposta nella legislazione nazionale che recepisce la direttiva, ma ritiene necessario fornire ulteriori orientamenti. Tali indicazioni devono essere realistiche e pragmatiche se intendono migliorare l'ottemperanza alle disposizioni e, nella misura del possibile, dovrebbero essere coordinate tra gli Stati membri. La Commissione apprezza il lavoro svolto finora in questo settore dal gruppo "Articolo 29" e lo incoraggia a continuare a fornire indicazioni utili, con l'opportuna collaborazione delle parti interessate.

6. Programma di lavoro per una migliore applicazione della direttiva sulla tutela dei dati (2003-2004)

L'analisi dell'applicazione della direttiva negli Stati membri contenuta nella presente relazione fa emergere dei problemi che è necessario affrontare se si vuole che la direttiva consegua gli obiettivi che si era prefissa. Il programma di lavoro che segue comprende iniziative che saranno avviate tra la data di adozione della presente relazione e la fine del 2004 e richiederà uno sforzo comune da parte della Commissione europea, degli Stati membri (inclusi i paesi candidati) e le rispettive autorità nazionali di controllo e in alcuni casi anche dei rappresentanti dei responsabili del trattamento.

Una problematica seria e di portata generale menzionata sopra consiste nel fatto che il livello di confomità, di applicazione e di consapevolezza risulta non essere accettabile. Per tutte le iniziative elencate qui di seguito la Commissione agirà unitamente alle autorità di controllo e alle parti interessate degli Stati membri al fine di stabilire le cause di tali problemi e di individuare le soluzioni possibili.

Iniziative della Commissione

Azione 1.: Discussioni con gli Stati membri e con le autorità di tutela dei dati

Nel 2003 i servizi della Commissione organizzeranno degli incontri bilaterali con gli Stati membri principalmente allo scopo di discutere le modifiche necessarie per rendere la legislazione nazionale pienamente conforme alle disposizioni della direttiva. In alcuni casi può risultare necessaria la partecipazione delle competenti autorità di tutela dei dati. La necessità di un'applicazione più vigorosa può costituire anche un tema di tali discussioni bilaterali. Un altro punto da discutere è l'inadeguatezza delle risosre stanziate per le autorità di controllo.

Tali incontri possono essere integrati da discussioni in merito all'attuazione non corretta della direttiva nel corso delle "riunioni pacchetto" periodicamente tenute con gli Stati membri dal Segretariato generale della Commissione e/o dalla DG Mercato interno.

Le discussioni in seno al gruppo "Articolo 29" e al comitato "Articolo 31" permetteranno di esaminare su base multilaterale talune questioni riguardanti un gran numero di Stati membri, restando inteso che è escluso che tali discussioni portino a un emendamento di fatto della direttiva. Oltre a discussioni ad hoc su questioni specifiche, la Commissione propone che ciascun gruppo dedichi un'intera riunione a questo argomento nel corso del 2003.

Azione 2. : Associazione dei paesi candidati agli sforzi per ottenere un'applicazione migliore e più uniforme della direttiva

La presente relazione è quasi interamente incentrata sulla situazione nei 15 Stati membri. Prima del completamento del programma di lavoro, 10 nuovi Stati membri avranno aderito all'Unione. I rappresentanti delle autorità di controllo di numerosi paesi candidati partecipano dal 2002 alle riunioni del gruppo "Articolo 29". Dalla data di firma del trattato di adesione tali paesi saranno invitati a tutte le riunioni sia del gruppo sia del comitato "Articolo 31". Nella misura del possibile continueranno, fino all'adesione dei paesi candidati e oltre, le discussioni bilaterali ed eventualmente le revisioni peer review allo scopo di conseguire la massima ottemperanza possibile della legislazione dei nuovi Stati membri alla direttiva e di ridurre al minimo le procedure formali previste in caso di violazione.

Azione 3. : Miglioramento della notifica di tutti gli atti giuridici di attuazione della direttiva e delle autorizzazioni concesse ai sensi dell'articolo 26, paragrafo 2, della direttiva

I servizi della Commissione, in stretta collaborazione con le autorità di tutela dei dati e gli Stati membri, continueranno a raccogliere informazioni in merito all'applicazione della direttiva, sforzandosi in particolare di individuare i settori in cui esistono evidenti disparità tra le misure di attuazione notificate e cercando inoltre la collaborazione degli Stati membri per colmare al più presto tali divari. La Commissione faciliterà lo scambio delle migliori prassi quando ciò potrebbe risultare utile.

La Commissione dovrà far ricorso ai suoi poteri formali di cui all'articolo 226 del trattato nel caso in cui tale collaborazione (6.1, 6.2 e 6.3) non dovesse produrre i risultati auspicati.

Anche gli Stati membri e le rispettive autorità di controllo dovranno adottare le necessarie disposizioni per notificare (come richiesto dall'articolo 26, paragrafo 3, della direttiva) le autorizzazioni ai trasferimenti internazionali concesse a norma dell'articolo 26, paragrafo 2, della direttiva. La Commissione ne discuterà con gli Stati membri e le rispettive autorità di controllo e assicurerà lo scambio delle migliori prassi.

La Commissione creerà una nuova pagina sul suo sito Web [35] in cui presenterà in forma strutturata non soltanto tutte le informazioni raccolte per la preparazione della presente relazione, ma anche le informazioni sulle iniziative da intraprendere nel quadro del presente programma di lavoro. Inoltre, essa inviterà le autorità nazionali di controllo a rendere disponibili, per l'inclusione in tale sito, le decisioni e le raccomandazioni adottate dalle autorità di tutela dei dati e gli orientamenti significativi da esse emanati con particolare attenzione alle tematiche per le quali sono necessarie un'interpretazione e un'applicazione più uniformi.

[35] www.europa.eu.int/comm/privacy

Contributo del gruppo "Articolo 29" [36]

[36] Quest'elenco non pregiudica il programma di lavoro generale del gruppo "articolo 29", disponibile all'indirizzo http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf

La Commissione apprezza il contributo del gruppo per conseguire un'applicazione più uniforme della direttiva. Essa desidera ribadire l'importanza della trasparenza in tale processo e incoraggia il gruppo a continuare ad impegnarsi per migliorare ulteriormente la trasparenza della sua attività.

Azione 4. : Applicazione

La Commissione fa appello al gruppo "Articolo 29" affinché tenga discussioni periodiche sulla questione generale di una migliore applicazione. Tra l'altro ciò dovrebbe condurre allo scambio e all'adozione delle migliori prassi. Il gruppo dovrebbe anche valutare l'avvio di indagini settoriali a livello comunitario e il ravvicinamento degli standard al riguardo. Lo scopo di tali indagini congiunte dovrebbe essere quello di riflettere in modo più accurato l'applicazione della normativa in materia di tutela dei dati nella Comunità e di trasmettere ai settori interessati raccomandazioni e orientamenti pratici nell'intento di migliorare la conformità nella maniera meno onerosa possibile.

Azione 5. : Notificazione e pubblicità delle operazioni di trattamento

La Commissione europea condivide in larga misura le critiche espresse nel corso della revisione dai responsabili del trattamento in merito alle divergenze nei contenuti dei loro obblighi di notificazione. La Commissione raccomanda un ricorso più ampio alle deroghe e, in particolare, alla possibilità contemplata al paragrafo 2 dell'articolo 18 della direttiva, ossia la designazione di un incaricato della protezione dei dati che esonera dall'obbligo di notificazione.

La Commissione fa appello al gruppo "Articolo 29" affinché contribuisca a un'applicazione più uniforme della direttiva, avanzando proposte intese a semplificare in maniera sostanziale gli obblighi in materia di notificazione negli Stati membri e a istituire meccanismi di cooperazione per facilitare le notificazioni da parte delle multinazionali con stabilimenti in diversi Stati membri. Tali proposte potrebbero includere la richiesta di modifiche alla legislazione nazionale. La Commissione è disposta a presentare essa stessa delle proposte nel caso in cui il gruppo non dovesse provvedere entro un termine ragionevole (12 mesi).

Azione 6. : Maggiore armonizzazione della fornitura di informazioni

La Commissione condivide l'opinione che l'attuale congerie di disposizioni disomogenee e che si sovrappongono una all'altra per quanto riguarda le informazioni che i responsabili del trattamento sono tenuti a fornire alle persone interessate è inutilmente onerosa per gli operatori economici, senza che ciò comporti un miglioramento del livello di protezione.

Nella misura in cui gli obblighi di fornire informazioni imposti ai responsabili del trattamento non ottemperano alle disposizioni della direttiva è auspicabile che a ciò possa essere posto rimedio rapidamente attraverso il dialogo con gli Stati membri e tramite un'azione legislativa di correzione da parte di tali paesi. Inoltre la Commissione fa appello al gruppo "Articolo 29" affinché collabori alla ricerca di un'interpretazione più uniforme dell'articolo 10.

Azione 7. : Semplificazione delle disposizioni in materia di trasferimenti internazionali

Parallelamente alle discussioni finalizzate a introdurre i necessari cambiamenti nelle legislazioni degli Stati membri allo scopo di garantire la conformità con la direttiva, la Commissione invita il gruppo "Articolo 29" a utilizzare l'ultima relazione del workshop sul trattamento dei reclami internazionali come base per ulteriori discussioni, nell'intento di pervenire a un sostanziale ravvicinamento delle prassi esistenti negli Stati membri e a una semplificazione delle condizioni in cui sono effettuati i trasferimenti internazionali di dati.

Per parte sua la Commissione intende fare un uso più estensivo dei poteri di cui è investita in forza degli articoli 25, paragrafo 6, e 26, paragrafo 4, che forniscono i migliori strumenti per semplificare il quadro normativo per gli operatori economici pur garantendo un'adeguata tutela dei dati trasferiti al di fuori dell'UE.

Con la collaborazione del gruppo "Articolo 29" e del comitato "Articolo 31" la Commissione si attende che vengano compiuti progressi in quattro campi:

a) un uso più estensivo delle constatazioni di livello di protezione adeguato nei confronti dei paesi terzi a norma dell'articolo 25, paragrafo 6, pur mantenendo ovviamente un approccio uniforme nei confronti di tali paesi conformemente agli obblighi dell'UE nell'OMC;

b) ulteriori decisioni sulla base dell'articolo 26, paragrafo 4, affinché gli operatori economici possano disporre di una scelta più vasta di clausole contrattuali tipo, per quanto possibile basate sulle clausole presentate dai rappresentanti delle imprese, come ad esempio quelle proposte dalla Camera di commercio internazionale o da altre associazioni imprenditoriali;

c) il ruolo delle norme vincolanti a livello d'impresa (norme che vincolano gruppi di imprese in numerose giurisdizioni differenti, sia all'interno sia all'esterno dell'UE) ai fini della fornitura di adeguate garanzie per i trasferimenti di dati personali all'interno di un gruppo;

d) un'interpretazione più uniforme dell'articolo 26, paragrafo 1, della direttiva (deroghe alla garanzia di un livello di protezione adeguato per i trasferimenti verso paesi terzi) e le disposizioni nazionali relative alla sua applicazione.

Tutte queste iniziative dovrebbero essere condotte con un appropriato grado di trasparenza e con l'ausilio di un input periodico da parte degli interessati.

Altre iniziative

Azione 8. : Promozione delle PET

La Commissione è già attiva nella promozione di approcci tecnologici finalizzati a garantire la tutela della privacy (tecnologie PET) in particolare a livello di ricerca, ad esempio con i progetti RAPID [37] e PISA [38].

[37] Roadmap for Advanced Research in Privacy and Identity Management

[38] Privacy-Enhancing Intelligent Software Agents

Essa propone l'organizzazione di un workshop tecnico nel 2003 al fine di accrescere la sensibilizzazione in merito a tali tecnologie e di offrire la possibilità di discutere approfonditamente le misure che potrebbero essere adottate per promuovere lo sviluppo e l'utilizzo delle PET, quali ad esempio il ruolo che i marchi, i sistemi di certificazione o le PIA [39] potrebbero svolgere in Europa.

[39] Privacy Impact assessments

La Commissione invita il gruppo "Articolo 29" a continuare la discussione in merito alle tecnologie PET e a studiare le misure che potrebbero eventualmente essere adottate dalle autorità nazionali di controllo per promuovere l'uso di tali tecnologie a livello nazionale.

Una volta conclusosi il workshop tecnico, la Commissione, tenendo conto degli input ricevuti, avanzerà ulteriori proposte per la promozione delle tecnologie PET a livello europeo. Tali proposte presteranno particolare attenzione alla necessità di incoraggiare le amministrazioni pubbliche e le istituzioni del settore pubblico a dare il buon esempio utilizzando le PET nelle proprie attività di trattamento, ad esempio nelle applicazioni di e-government.

Azione 9. : Promozione dell'autoregolamentazione e di codici di condotta europei

La Commissione si rammarica per l'esiguità del numero di organizzazioni che hanno presentato codici di condotta settoriali per l'applicazione a livello comunitario. Essa continuerà ad incoraggiare (fornendo consulenza entro i limiti imposti dalle risorse disponibili) le bozze di codici di condotta sottoposte all'esame del gruppo "Articolo 29" [40]. La Commissione sollecita i settori e i gruppi di interesse a svolgere un ruolo più attivo in quanto ritiene che l'autoregolamentazione e, in particolare, i codici di condotta dovrebbero assumere una funzione importante nel futuro sviluppo della tutela dei dati nell'UE e al di fuori di questa, non da ultimo per evitare una legislazione eccessivamente dettagliata.

[40] Il gruppo "Articolo 29" sta valutando al momento i seguenti codici: codice di condotta sul marketing diretto presentato da FEDMA; codice di condotta sul trattamento dei dati personali da parte degli specialisti nella ricerca di personale direttivo (cacciatori di teste) presentato dall'AESC e codice di condotta sull'identificazione a livello paneuropeo della linea chiamante trasmesso da ETP. Inoltre una prassi della IATA, pur non potendo essere considerata un codice di condotta conformemente alle disposizioni dell'articolo 27 della direttiva, ha ricevuto una valutazione positiva da parte del gruppo "Articolo 29" (parere WP 49 adottato il 13 settembre 2001). http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2001/wp49en.pdf

Allo stesso fine la Commissione, nel documento di consultazione sulla tutela dei dati personali nel contesto lavorativo rivolto alle parti sociali europee, aveva auspicato che essi si negoziassero al fine di raggiungere un accordo europeo in tale settore. La Commissione si rammarica del fatto che le parti sociali non abbiano accettato di negoziare su tale argomento e spera che si prendano in considerazione altre possibilità di concludere accordi collettivi in tale settore.

Azione 10. : Sensibilizzazione

È intenzione della Commissione svolgere un'indagine Eurobarometro contenente all'incirca le stesse domande della consultazione in linea condotta nel 2002. La Commissione si augura che qualche autorità di tutela dei dati possa associarsi a tale iniziativa e che possano essere compiuti sforzi congiunti per portare le problematiche della tutela dei dati al centro del dibattito pubblico. Essa incoraggia gli Stati membri a destinare maggiori risorse alla sensibilizzazione, in particolare attingendo ai bilanci delle autorità nazionali di controllo.

7. Conclusioni

La presente relazione costituisce il primo stadio del processo di analisi delle informazioni in merito all'applicazione della direttiva 95/46/CE e all'individuazione delle misure necessarie per affrontare i principali problemi emersi. La Commissione si augura che tale analisi possa essere di ausilio alle amministrazioni pubbliche, alle autorità di tutela dei dati e agli operatori per chiarire cosa sia necessario fare per conseguire una migliore applicazione della direttiva nell'UE, una sua esecuzione più vigorosa, una migliore conformità e una maggiore sensibilizzazione dei responsabili del trattamento e delle persone interessate in merito ai propri doveri e ai propri diritti.

La Commissione si attende che, se necessario, gli Stati membri provvedano a modificare la propria normativa al fine di renderla conforme con le disposizioni della direttiva e a fornire alle autoriutà di controllo le risorse necessarie. La Commissione si attende anche che gli Stati membri e le rispettive autorità di controllo compiano ogni ragionevole sforzo per creare un contesto in cui i responsabili del trattamento - e non soltanto quelli operanti a livello paneuropeo e/o internazionale - possano ottemperare ai loro obblighi in un modo meno complesso e oneroso e per evitare l'imposizione di prescrizioni che potrebbero essere abolite senza effetti deleteri per l'elevato livello di tutela garantito dalla direttiva.

La Commissione incoraggia i cittadini ad avvalersi dei diritti conferiti dalla legislazione e i responsabili del trattamento ad adottare tutte le misure necessarie per garantire l'ottemperanza alla normativa. La Commissione seguirà da vicino gli ulteriori sviluppi della tecnica e i risultati del programma di lavoro contenuto nella presente relazione. Essa presenterà proposte per il futuro verso la fine del 2004, quando sia la Commissione sia gli Stati membri avranno acquisito un'esperienza molto maggiore rispetto a quella attuale nell'applicazione della direttiva.