18.12.2012 |
IT |
Gazzetta ufficiale dell'Unione europea |
C 391/127 |
Parere del Comitato delle regioni «Pacchetto sulla protezione dei dati»
2012/C 391/13
IL COMITATO DELLE REGIONI
— |
accoglie con favore le proposte di riforma del quadro giuridico dell'UE in materia di protezione dei dati, in cui ravvisa un contributo dell'Unione europea al dibattito globale sul modo adeguato di tutelare la sfera privata nel mondo digitale; |
— |
ritiene imperativo che le questioni fondamentali della protezione dei dati personali vengano risolte nel quadro della procedura legislativa ordinaria, l'unica in grado di garantire trasparenza e legittimità democratica attraverso la piena partecipazione del Consiglio e del Parlamento europeo nonché il coinvolgimento dei rappresentanti degli enti regionali e locali dell'UE; |
— |
fa osservare che, al di là dei dubbi sulla compatibilità dell'impianto generale del regolamento coi principi di sussidiarietà e proporzionalità, anche nelle disposizioni specifiche si riscontrano delle inadeguatezze, in particolare quanto ai limiti fissati alla normativa dei singoli Stati membri in materia di trattamento dei dati da parte della pubblica amministrazione; |
— |
considera opportuno che la normativa proposta conceda un margine decisionale più ampio agli Stati membri e, se del caso, alle regioni, così da permettere loro di stabilire, in conformità alle norme di diritto interno, le condizioni generali applicabili ai membri dell'autorità di controllo al fine di garantirne l'indipendenza nell'esercizio delle loro funzioni. |
Relatrice |
Ursula MÄNNLE (DE/PPE), membro del parlamento del Land Baviera |
Testi di riferimento |
Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni - Salvaguardare la privacy in un mondo interconnesso - Un quadro europeo della protezione dei dati per il XXI secolo COM(2012) 9 final Proposta di direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati COM(2012) 10 final Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) COM(2012) 11 final |
I. RACCOMANDAZIONI POLITICHE
Data l'onnipresenza dell'elaborazione dei dati nella moderna società dell'informazione, la normativa in materia di protezione dei dati riveste un'importanza centrale per lo sviluppo economico, la funzionalità e l'efficienza dell'azione statale e per i diritti di libertà personale dei cittadini europei. L'adeguamento della protezione dei dati alle mutate esigenze di un mondo ormai digitalizzato e, grazie ad Internet, sempre più interconnesso in tante sfere della vita, è diventato pertanto uno degli ambiti di riforma fondamentali non solo per l'Unione europea, ma anche per altre organizzazioni internazionali come il Consiglio d'Europa o paesi extraeuropei come gli Stati Uniti d'America. La protezione dei dati personali solleva problemi in tutti i settori politici d'intervento. Si tratta di una questione trasversale, che riguarda i settori della sicurezza e della giustizia così come quelli dell'economia, delle comunicazioni, dell'istruzione, della salute, dell'amministrazione e della tutela dei consumatori. Anche per le regioni e città d'Europa, quindi, lo sviluppo della protezione dei dati europea è di fondamentale importanza per mantenere e potenziare ulteriormente la loro capacità di entrare nel futuro, in quest'epoca di mutamenti tecnologici radicali e di concorrenza globale.
IL COMITATO DELLE REGIONI
1. |
accoglie con favore le proposte di riforma del quadro giuridico dell'UE in materia di protezione dei dati, in cui ravvisa un contributo dell'Unione europea al dibattito globale sul modo adeguato di tutelare la sfera privata nel mondo digitale; |
2. |
sottolinea il ruolo decisivo degli enti locali e regionali nell'attuazione delle raccomandazioni contenute nell'agenda digitale per l'Europa: tali enti sono il motore della crescita economica a livello locale e regionale, e creano, utilizzano e gestiscono numerosi prodotti e servizi informatici basati su banche dati contenenti informazioni del settore pubblico. Per questo, tali enti devono recare un contributo sostanziale ed effettivo alle normative destinate a incidere sulle loro competenze in materia di protezione dei dati. Il regolamento proposto comporterà nuovi costi e adempimenti amministrativi aggiuntivi per i comuni e le regioni, costi e adempimenti che, secondo il Comitato, non sono assolutamente proporzionati ai benefici che ne deriveranno per i cittadini; |
3. |
condivide le finalità generali del pacchetto di riforma, consistenti nel garantire l'armonizzazione a livello europeo della tutela delle persone fisiche con riguardo al trattamento dei dati personali, conformemente all'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea e all'articolo 16, paragrafo 1, del Trattato sul funzionamento dell'Unione europea; |
4. |
fa osservare che l'armonizzazione delle norme in materia di protezione dei dati, con l'obiettivo di addivenire a disposizioni generali vincolanti, farà sì che le procedure di trattamento dati di imprese, organismi pubblici e singoli cittadini siano soggette agli stessi requisiti malgrado la fondamentale diversità dei rispettivi livelli di rischio ed ambienti operativi. Secondo il Comitato il regolamento proposto avrà ripercussioni ingiustamente negative per gli organismi pubblici, oltre a contenere alcune ambiguità riguardo alle loro competenze nonché in relazione al diritto del lavoro. Inoltre, il regolamento stabilisce una serie di obblighi per gli organismi pubblici di livello locale e regionale (ad esempio di fornire una documentazione più ampia e di garantire la portabilità dei dati), a fronte dei quali non apporta miglioramenti significativi quanto ai diritti degli interessati. Il Comitato fa osservare che la scelta di proporre un atto normativo di notevole astrattezza come quello in esame nella forma del regolamento può portare a utilizzare indebitamente l'articolo 290 del TFUE - che dà alla Commissione la facoltà di emanare norme ulteriori - come base giuridica per disciplinare elementi essenziali, ed è quindi incompatibile con i principi di sussidiarietà e proporzionalità. Il Comitato chiede quindi che il trattamento di dati personali da parte degli organismi pubblici e nel campo del diritto del lavoro sia escluso dall'ambito di applicazione del regolamento proposto e continui ad essere disciplinato da una direttiva; |
5. |
sottolinea la responsabilità cruciale che incombe alle autorità di controllo indipendenti per quanto riguarda la protezione dei dati personali; ma avverte che, per garantire un elevato livello di protezione dei dati in un mondo interconnesso e caratterizzato dalla quasi onnipresenza delle attività di trattamento dati, non saranno sufficienti i tentativi di rafforzare gli obblighi formali, ma saranno necessari anche incentivi supplementari che premino gli sforzi compiuti dai responsabili del trattamento per rafforzare la protezione dei dati trattati: per esempio si potrebbe semplificare l'onere della prova per i responsabili del trattamento che si sottopongono a norme severe di autoregolamentazione o a rigorosi codici di condotta oppure effettuano volontariamente valutazioni dell'impatto di tale protezione; |
6. |
ritiene imperativo che le questioni fondamentali della protezione dei dati personali vengano risolte nel quadro della procedura legislativa ordinaria, l'unica in grado di garantire trasparenza e legittimità democratica attraverso la piena partecipazione del Consiglio e del Parlamento europeo nonché il coinvolgimento dei rappresentanti degli enti regionali e locali dell'UE; |
7. |
riconosce la necessità di principio di adottare norme vincolanti per la protezione dei dati personali che formano oggetto di scambi transfrontalieri nell'ambito della cooperazione giudiziaria e di polizia; |
8. |
mette in guardia contro il rischio che lo sforzo di accrescere la protezione dei dati personali si risolva in un'eccessiva restrizione dell'esercizio, da parte dei cittadini, del diritto a disporne liberamente, privando i cittadini stessi della facoltà di prestare il consenso al trattamento, in particolare da parte di organismi pubblici, sia nel quadro del regolamento generale sulla protezione dei dati che in quello della direttiva sulla tutela delle persone fisiche riguardo al trattamento dei dati personali; |
9. |
alla luce di queste considerazioni, reputa necessario che, nel prosieguo dell'iter legislativo, si affrontino le questioni in appresso sollevate. |
Sussidiarietà e proporzionalità
10. |
è dell'avviso che, per quanto riguarda il settore privato, il tentativo di allineare completamente talune parti del quadro normativo europeo in materia di protezione dei dati, passando a una disciplina mediante regolamento, debba essere giustificato da validi motivi; |
11. |
fa peraltro osservare che il pacchetto di misure proposto, che è costituito dal regolamento generale sulla protezione dei dati e dalla direttiva per il settore giudiziario e di polizia e lascia in vigore numerose normative europee e nazionali sulla protezione dei dati nel settore delle telecomunicazioni, incontra continue obiezioni di fondo nel corso del processo di consultazione per quanto riguarda la sua compatibilità coi principi di sussidiarietà e di proporzionalità. Le obiezioni formulate riguardano:
|
12. |
sottolinea che queste osservazioni rispecchiano le riserve di numerosi enti regionali e locali europei nei confronti delle norme proposte, che ad esempio rendono impossibile mantenere le specificità nazionali in materia di protezione dei dati nel settore dei servizi sociali, oppure appesantiscono il lavoro delle amministrazioni pubbliche obbligandole a soddisfare requisiti, come quello di assicurare il diritto alla portabilità, che sembrano necessari solo per il trattamento dati effettuato da soggetti privati, oppure ancora prevedono sanzioni amministrative assai onerose rispetto alle risorse finanziarie degli enti locali; |
13. |
ritiene che la proposta di regolamento sulla protezione dei dati debba chiarire che le restrizioni previste dal suo articolo 83 in materia di trattamento dei dati personali per finalità storiche, statistiche e scientifiche non devono limitare le possibilità degli organismi pubblici di conservare documenti in virtù della normativa nazionale in materia di archivi e di accesso ai documenti dell'amministrazione pubblica; |
14. |
ritiene pertanto necessario, nel prosieguo dell'iter legislativo, riflettere nuovamente e in modo più approfondito sulla forma giuridica da adottare per le misure del pacchetto in esame e sulla delimitazione da tracciare tra gli ambiti d'applicazione del regolamento e della direttiva proposti, per stabilire se siano percorribili soluzioni che risultino più conformi di quelle attuali ai principi di sussidiarietà e proporzionalità; tra le eventuali opzioni alternative figura la possibilità che il trattamento dei dati personali da parte degli enti pubblici e nei rapporti di lavoro continui ad essere disciplinato da una direttiva, in modo da escludere tale trattamento dal campo di applicazione del regolamento generale sulla protezione dei dati. |
Coerenza a livello internazionale anziché principio del mercato locale
15. |
sostiene l'obiettivo di applicare gli standard europei in materia di protezione dei dati anche ai servizi forniti da operatori internazionali; |
16. |
è dell'avviso che l'iniziativa presentata dal governo degli Stati Uniti d'America relativa a un quadro giuridico per la protezione della sfera privata nel settore mondiale delle tecnologie dell'informazione rappresenti l'occasione per canalizzare gli sforzi di riforma verso standard di tutela comuni in settori fondamentali del trasferimento internazionale di dati. Ciò al fine di applicare normative efficaci in materia di protezione dei dati, ma anche di evitare l'insorgere di condizioni di concorrenza difformi in modo più efficace del principio del mercato locale, la cui applicabilità pratica appare limitata. |
Applicabilità futura dell'impianto della riforma
17. |
fa osservare che la proposta di regolamento generale sulla protezione dei dati si basa essenzialmente sui principi della direttiva 95/46/CE relativa alla tutela dei dati, che vengono sviluppati solo in determinati casi, come il principio di "protezione dei dati fin dalla progettazione" (privacy by design), e per il resto vengono semmai modificati. Diversamente da quanto accadeva al momento in cui fu concepita la direttiva sulla protezione dei dati, nella società dell'informazione i rischi per il trattamento dei dati personali, sia da parte di privati che di organismi pubblici, non sono più caratterizzati da rapporti uno a uno: la digitalizzazione e la messa in rete creano piuttosto dei sistemi in cui diversi enti partecipano al trattamento dei dati: si pensi ad esempio al confronto dei dati o allo scambio di informazioni tra organismi pubblici; |
18. |
sottolinea che i problemi di protezione dei dati personali che ne derivano possono difficilmente essere risolti in modo adeguato con strumenti giuridici concepiti per il tradizionale rapporto bipolare, come la figura del "responsabile del trattamento", l'istituto del "diritto all'oblio" o il principio del divieto per quanto riguarda il rapporto fra Stato e cittadino (articoli 6 e 9 del regolamento proposto). Talune modifiche rispetto alle norme della direttiva, poi, come ad esempio le nuove definizioni di "dati di carattere personale" o di "consenso", più che fugare le incertezze giuridiche già esistenti finiscono per accrescerle; |
19. |
ritiene pertanto che, se la Commissione conferma la sua preferenza per un regolamento, questo dovrà precisare che un datore di lavoro può procedere al trattamento dei dati previo consenso del lavoratore, e che ciò vale altresì per gli organismi pubblici, sia nel quadro del regolamento generale sulla protezione dei dati che in quello della direttiva sulla tutela delle persone fisiche riguardo al trattamento dei dati personali. Inoltre, gli Stati membri dovrebbero poter adottare, nel rispetto di tale regolamento, norme specifiche volte a disciplinare il trattamento dei dati personali dei lavoratori nell'ambito dei rapporti di lavoro; |
20. |
ritiene pertanto che, dato che in questa fase del processo legislativo non è più possibile migliorare in modo radicale la concezione delle norme proposte, occorra ripensare i meccanismi della loro attuazione, che finora si basano troppo su strumenti obbligatori, anch'essi pensati per i rapporti bipolari, come precetti e sanzioni. Secondo gli enti locali e regionali, che sono quelli più vicini ai diretti interessati dal trattamento dei dati, potrebbe essere particolarmente opportuno realizzare le seguenti misure:
|
21. |
al riguardo sottolinea che la proposta di regolamento generale sulla protezione dei dati attribuisce a questi compiti, che essenzialmente spettano alle autorità di controllo, un'importanza secondaria, ad esempio nel quadro degli obblighi generali d'informazione di cui all'articolo 52, paragrafo 2, o delle norme di comportamento di cui all'articolo 38. |
Mantenere i margini di autonomia della normativa nazionale
22. |
fa osservare che, al di là dei dubbi sulla compatibilità dell'impianto generale del regolamento coi principi di sussidiarietà e proporzionalità, anche nelle disposizioni specifiche si riscontrano delle inadeguatezze, in particolare quanto ai limiti fissati alla normativa dei singoli Stati membri in materia di trattamento dei dati da parte della pubblica amministrazione; |
23. |
ritiene pertanto che il trattamento dei dati personali da parte degli organismi pubblici e le questioni inerenti al diritto del lavoro dovrebbero continuare ad essere disciplinati da una direttiva; |
24. |
reputa quindi che, se la Commissione dovesse mantenere la sua preferenza per un regolamento, applicabile anche agli organismi pubblici e ai rapporti di lavoro,
|
Rafforzare la responsabilità democratica
25. |
è molto preoccupato che, con l'entrata in vigore del regolamento proposto, la concretizzazione e lo sviluppo dei requisiti riguardanti la protezione dei dati si traducano in procedure che, diversamente dalle normative degli Stati membri e dell'Unione europea o dall'applicazione di esse da parte di amministrazioni nazionali controllate dal potere legislativo, non offrano garanzie di trasparenza o di sufficiente legittimità democratica; |
26. |
motiva questa preoccupazione col fatto che il regolamento proposto impone, con norme decisamente astratte, obblighi vincolanti, nonché uniformi e corredati di sanzioni, in un settore di capitale importanza per l'attuazione di vari diritti fondamentali, settore contraddistinto già oggi da una congerie quasi ingestibile di casi applicativi diversi, che vanno dagli indirizzari privati alle anagrafi pubbliche fino agli archivi di dati delle reti sociali e dei motori di ricerca. In questo contesto, le lacune praticamente inevitabili in aspetti come la determinatezza delle norme, la certezza del diritto e l'applicabilità devono essere compensate da un gran numero di autorizzazioni a emanare atti delegati che in molti casi riguardano elementi essenziali dell'impianto normativo, com'è il caso, ad esempio, dell'autorizzazione di cui all'articolo 6, paragrafo 5, del regolamento proposto. D'altra parte, le autorità di controllo indipendenti si vedono conferire competenze che eccedono di gran lunga i tradizionali compiti di esecuzione, e consentono loro di adottare disposizioni che, a conti fatti, risultano altrettanto generali e astratte degli orientamenti generali d'interpretazione del regolamento sulla protezione dei dati. Tali autorità, inoltre, sono assoggettate, nel quadro del cosiddetto meccanismo di coerenza, a indebiti poteri d'intervento da parte della Commissione, che mettono in forse l'indipendenza loro conferita dall'articolo 16, paragrafo 2, seconda frase, del TFUE; |
27. |
giudica quindi appropriato modificare radicalmente i meccanismi di partecipazione della Commissione nel quadro del meccanismo di coerenza, onde salvaguardare l'indipendenza delle autorità di controllo della protezione dei dati e in particolare le competenze loro conferite dagli articoli 60 e 62, paragrafo 1, lettera a), del regolamento proposto, nonché definire, ai fini degli stessi articoli, i "seri dubbi" alla cui sussistenza è condizionato l'intervento della Commissione; |
28. |
considera opportuno che la normativa proposta conceda un margine decisionale più ampio agli Stati membri e, se del caso, alle regioni, così da permettere loro di stabilire, in conformità alle norme di diritto interno, le condizioni generali applicabili ai membri dell'autorità di controllo al fine di garantirne l'indipendenza nell'esercizio delle loro funzioni; |
29. |
ritiene inoltre che gli strumenti di gestione delle autorità di controllo indipendenti dovrebbero, come riconosciuto anche dalla Corte di giustizia europea, essere sviluppati maggiormente, ad esempio nel quadro di relazioni e altre procedure di consultazione regolare con gli organi legislativi, onde offrire periodicamente al Parlamento e al Consiglio, nonché al Comitato delle regioni nel quadro dei suoi diritti di partecipazione, una visione d'insieme quanto all'esecuzione della normativa europea in materia di protezione dei dati, e dar loro la possibilità di avviare iniziative volte al suo sviluppo. Inoltre, in attuazione del diritto fondamentale ad essere uditi, norme di procedura supplementari dovrebbero obbligare le autorità di controllo e il comitato europeo per la protezione dei dati a coinvolgere associazioni e altri rappresentanti dei soggetti interessati dalle decisioni fondamentali - come ad esempio quelle di cui all'articolo 58, paragrafo 2, del regolamento - in un processo trasparente di concretizzazione e sviluppo della normativa sulla protezione dei dati, ad esempio mediante procedure di audizione o consultazione. |
Limiti all'armonizzazione della protezione dei dati nel settore della polizia e della giustizia
30. |
nutre dubbi quanto al fatto che disciplinare anche il trattamento dati esclusivamente nazionale nel quadro della direttiva proposta in materia di polizia e giustizia sia compatibile con le competenze legislative dell'Unione europea nonché conforme ai principi di sussidiarietà e proporzionalità. Al di fuori dei compiti di lotta al terrorismo, alla criminalità organizzata e alla criminalità informatica, esistono importanti banche dati della polizia, e delle autorità di contrasto in genere, che trattano dati a livello esclusivamente nazionale e quindi non necessitano di una normativa europea in materia di protezione dei dati. Va peraltro considerato che le norme sulla protezione dei dati incidono direttamente sul diritto processuale penale e di polizia e obbligano indirettamente a un'armonizzazione anche di questi settori, nonostante l'Unione europea non disponga di competenze sufficienti in materia; |
31. |
manifesta sorpresa per il fatto che dal campo di applicazione della direttiva proposta siano esclusi le istituzioni e gli altri organi dell'Unione, a cominciare da Eurojust ed Europol; |
32. |
chiede, al di là di queste riserve di principio, che nel prosieguo dell'iter legislativo siano esaminate le seguenti questioni:
|
33. |
si riserva di presentare un altro parere in materia, contenente in particolare delle proposte concrete di modifica, non appena saranno state chiaramente definite le posizioni del Consiglio e del Parlamento europeo in merito alle questioni sollevate nel prosieguo dell'iter legislativo. |
II. PROPOSTE DI EMENDAMENTO
Emendamento 1
Articolo 36 della direttiva proposta
Testo proposto dalla Commissione |
Emendamento del CdR |
||||
In deroga agli articoli 34 e 35, gli Stati membri dispongono che sia ammesso il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale soltanto a condizione che: |
In deroga agli articoli 34 e 35, gli Stati membri dispongono che sia ammesso il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale soltanto a condizione che: |
||||
|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
Motivazione
L'espressione "sia necessario" è troppo vaga e lascia aperta la possibilità di utilizzare in maniera non restrittiva le deroghe, in contrasto con lo spirito dell'articolo in questione.
Emendamento 2
Articolo 86, paragrafo 6, del regolamento proposto
Testo proposto dalla Commissione |
Emendamento del CdR |
|
Articolo 86 Esercizio della delega |
|
[…] |
|
|
Motivazione
L'obbligo della Commissione europea di consultare il comitato europeo per la protezione dei dati in merito a tutti gli atti delegati e di esecuzione costituisce una garanzia essenziale.
Bruxelles, 10 ottobre 2012
Il presidente del Comitato delle regioni
Ramón Luis VALCÁRCEL SISO