18.2.2012   

IT

Gazzetta ufficiale dell'Unione europea

C 48/2

1.

Il 29 agosto 2011 la Commissione ha adottato una proposta di regolamento («la proposta» o «la proposta di regolamento») del Parlamento europeo e del Consiglio relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno («regolamento IMI») (3). La proposta è stata trasmessa al GEPD per consultazione il giorno stesso.

2.

Prima che fosse adottata la proposta, al GEPD è stata data la possibilità di fornire osservazioni informali sulla proposta e, preliminarmente, sulla comunicazione della Commissione «Migliorare la governance del mercato interno attraverso una più stretta cooperazione amministrativa — Una strategia per estendere e sviluppare il sistema di informazione del mercato interno (IMI)» («comunicazione su una strategia per l’IMI») (4) che ha preceduto la proposta. La proposta ha preso in considerazione molte di queste osservazioni e, di conseguenza, ha intensificato le salvaguardie per la protezione dei dati.

3.

Il GEPD si compiace di essere stato consultato formalmente dalla Commissione e che nel preambolo della proposta si faccia riferimento al presente parere.

4.

L’IMI è uno strumento informatico che consente alle autorità competenti degli Stati membri di scambiarsi informazioni nell’ambito dell’applicazione della legislazione sul mercato interno. L’IMI consente alle autorità nazionali, regionali e locali degli Stati membri dell’UE di comunicare in modo rapido e semplice con le rispettive controparti di altri paesi europei. Ciò comporta anche l’elaborazione dei dati personali pertinenti, compresi dati sensibili.

5.

Inizialmente sviluppato come strumento di comunicazione per scambi biunivoci ai sensi della direttiva sulle qualifiche professionali (5) e della direttiva sui servizi (6), l’IMI aiuta gli utenti a trovare l’autorità giusta da contattare in un altro paese e a comunicare con essa servendosi di un repertorio di domande e risposte standard pretradotte (7).

6.

Tuttavia, l’IMI intende essere un sistema flessibile e orizzontale in grado di supportare molteplici settori della legislazione sul mercato interno. In futuro, il suo uso dovrebbe essere gradualmente esteso a sostegno di ulteriori settori legislativi.

7.

Inoltre, è in programma l’espansione delle funzioni dell’IMI. Oltre agli scambi biunivoci di informazioni, sono ugualmente previste, o già attuate, altre funzioni come «le procedure di notifica, i meccanismi di allerta, le disposizioni in materia di mutua assistenza e la risoluzione dei problemi» (8) e «un repertorio di informazioni per futuro riferimento da parte dei partecipanti all’IMI» (9). Molte di queste funzioni, ma non tutte, possono anche prevedere il trattamento di dati personali.

8.

La proposta intende dotare l’IMI di una base giuridica chiara e di un quadro completo di protezione dei dati.

9.

Durante la primavera del 2007, la Commissione ha chiesto il parere del gruppo di lavoro «articolo 29» per la tutela dei dati personali («WP29») allo scopo di esaminare le conseguenze dell’IMI in termini di protezione dei dati. Il 20 settembre 2007 il WP29 ha emesso il suo parere (10) in cui raccomandava alla Commissione di fornire una base giuridica più chiara e salvaguardie specifiche per la protezione dei dati in relazione allo scambio di dati all’interno dell’IMI. Il GEPD ha partecipato attivamente ai lavori del sottogruppo che si occupa dell’IMI e ha condiviso le conclusioni contenute nel parere del WP29.

10.

Successivamente, il GEPD ha continuato a fornire alla Commissione ulteriori indicazioni su come assegnare all’IMI, in maniera graduale, un quadro per la protezione dei dati più completo (11). Nell’ambito di tale cooperazione, e sin dalla pubblicazione del 22 febbraio 2008 del suo parere sull’attuazione dell’IMI (12), il GEPD sostiene costantemente la necessità di un nuovo strumento giuridico nell’ambito della procedura legislativa ordinaria, al fine di istituire per l’IMI un quadro per la protezione dei dati più completo e garantire la certezza del diritto. La proposta per tale strumento giuridico è già stata presentata (13).

11.

Il parere generale del GEPD sull’IMI è positivo. Il GEPD è favorevole allo scopo perseguito dalla Commissione nell’istituire un sistema elettronico per lo scambio di informazioni e nel disciplinarne gli aspetti inerenti alla protezione dei dati. Tale sistema semplificato non solo migliorerà l’efficacia della cooperazione, ma potrebbe anche contribuire a garantire il rispetto delle leggi vigenti in materia di protezione dei dati, approntando un quadro chiaro per stabilire quali informazioni possono essere scambiate, con chi e a quali condizioni.

12.

Il GEPD accoglie inoltre con soddisfazione il fatto che la Commissione proponga per l’IMI uno strumento giuridico orizzontale, nella forma di un regolamento del Parlamento e del Consiglio. È lieto che la proposta metta in luce in modo esauriente le questioni più pertinenti della protezione dei dati che riguardano l’IMI. Le sue osservazioni vanno lette a fronte di questo contesto positivo.

13.

Tuttavia, il GEPD avverte che la creazione di un sistema elettronico centralizzato per più aree di cooperazione amministrativa comporta anche certi rischi. In primo luogo, per esempio, potrebbe essere scambiata una maggiore quantità di dati e in modo più ampio di quanto strettamente necessario ai fini di una cooperazione efficace; esiste poi il rischio che i dati, compresi i dati potenzialmente non aggiornati e imprecisi, possano rimanere nel sistema elettronico più a lungo di quanto necessario. La sicurezza di un sistema informativo accessibile in 27 Stati membri è anch’essa una questione sensibile poiché l’intero sistema è sicuro solo nella misura consentita dall’elemento più debole.

14.

Per quanto riguarda il quadro giuridico dell’IMI da stabilire nella proposta di regolamento, il GEPD richiama l’attenzione su due sfide principali:

15.

Queste sfide principali costituiscono importanti punti di riferimento e determinano, in larga misura, l’approccio adottato dal GEPD nel presente parere.

16.

Innanzitutto, l’IMI è un sistema utilizzato da 27 Stati membri. Allo stato attuale dell’armonizzazione delle leggi europee, esistono notevoli differenze tra le procedure amministrative nazionali e tra le leggi nazionali sulla protezione dei dati. L’IMI deve essere sviluppato in modo tale che gli utenti di ciascuno di questi 27 Stati membri siano messi nella condizione di rispettare le loro leggi nazionali, comprese le leggi nazionali sulla protezione dei dati, durante lo scambio dei dati personali attraverso l’IMI. Al contempo, gli interessati devono anche essere rassicurati sul fatto che i loro dati saranno costantemente protetti, indipendentemente dal trasferimento dei dati verso un altro Stato membro tramite l’IMI. La coerenza, nel rispetto della diversità, è una sfida fondamentale per lo sviluppo dell’infrastruttura tecnica e giuridica dell’IMI. È necessario evitare complessità e frammentazioni inutili. Le operazioni di trattamento dei dati all’interno dell’IMI devono essere trasparenti e le responsabilità delle decisioni riguardanti la progettazione del sistema, la manutenzione e l’uso giornalieri, nonché della sorveglianza, devono essere chiaramente attribuite.

17.

In secondo luogo, a differenza di alcuni altri sistemi informatizzati su larga scala, come per esempio il sistema d’informazione Schengen, il sistema di informazione visti, il sistema informativo doganale, o Eurodac, che sono tutti incentrati sulla cooperazione in specifiche aree ben definite, l’IMI è uno strumento orizzontale per lo scambio di informazioni e può essere utilizzato per agevolare lo scambio di informazioni in svariati settori politici. È inoltre previsto che il campo di applicazione dell’IMI venga esteso gradualmente ad aree politiche supplementari e che le relative funzioni possano essere modificate per integrare tipologie di cooperazione amministrativa finora non specificate. Tali caratteristiche distintive dell’IMI rendono più difficile definire con chiarezza le funzioni del sistema e gli scambi di dati che possono aver luogo nel sistema. Di conseguenza, risulta ancor più difficile definire in modo chiaro le adeguate salvaguardie per la protezione dei dati.

18.

Il GEPD riconosce che è necessaria una certa flessibilità e prende atto della volontà della Commissione di rendere il regolamento «a prova di futuro». Tuttavia, tale scelta non dovrebbe determinare una situazione in cui le funzioni del sistema e le salvaguardie per la protezione dei dati che dovranno essere attuate manchino di chiarezza o certezza del diritto. Per questo motivo, ove possibile, la proposta dovrebbe essere più specifica e non limitarsi a ribadire i principi fondamentali della protezione dei dati stabiliti dalla direttiva 95/46/CE e dal regolamento (CE) n. 45/2001 (14).

19.

Il GEPD si compiace della chiara definizione dell’attuale campo d’applicazione dell’IMI contenuta nell’allegato I, che enumera gli atti dell’Unione pertinenti in base ai quali lo scambio di informazioni può essere effettuato. Fra questi vi è la cooperazione disciplinata dalle specifiche disposizioni della direttiva sulle qualifiche professionali, della direttiva sui servizi e della direttiva concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (15).

20.

Poiché è prevista l’estensione del campo di applicazione dell’IMI, gli obiettivi potenziali di tale azione sono elencati nell’allegato II. Gli elementi dell’allegato II possono essere spostati all’allegato I mediante un atto delegato adottato dalla Commissione a seguito di una valutazione d’impatto (16).

21.

Il GEPD è favorevole a questa tecnica poiché i) delimita chiaramente il campo di applicazione dell’IMI; e ii) assicura la trasparenza; pur iii) offrendo nel contempo flessibilità nel caso in cui l’IMI sia usato in futuro per altri scambi di informazioni. Consente inoltre di escludere qualsiasi scambio di informazioni attraverso l’IMI in mancanza di i) una base giuridica adeguata nella legislazione specifica sul mercato interno che autorizzi o prescriva lo scambio di informazioni (17), e ii) un riferimento a tale base giuridica di cui all’allegato I del regolamento.

22.

Ciò premesso, esistono ancora incertezze per quanto riguarda il campo di applicazione dell’IMI in relazione ai settori verso cui estendere l’IMI e alle funzioni che sono o possono essere integrate nell’IMI.

23.

In primo luogo, non si può escludere che il campo di applicazione dell’IMI possa essere esteso oltre i settori di cui all’allegato I e all’allegato II. Questo potrebbe accadere se l’uso dell’IMI è previsto per alcune tipologie di scambi di informazioni non in un atto delegato della Commissione ma in un atto adottato dal Parlamento e dal Consiglio qualora non fosse contemplato dall’allegato II (18).

24.

In secondo luogo, mentre l’estensione del campo di applicazione a nuovi settori può richiedere, in alcuni casi, modifiche lievi o nulle alle funzioni esistenti del sistema (19), altre estensioni possono esigere nuove o diverse funzioni, oppure cambiamenti importanti delle funzioni esistenti:

25.

Per far fronte a queste incertezze, il GEPD raccomanda un duplice approccio. Innanzitutto, propone che le funzioni già prevedibili siano chiarite e affrontate in modo più specifico e, secondo, che siano applicate le salvaguardie procedurali del caso per garantire che la protezione dei dati sia scrupolosamente presa in considerazione durante il futuro sviluppo dell’IMI.

26.

Il GEPD raccomanda che il regolamento sia più specifico rispetto alle funzioni già note, come nel caso degli scambi di informazioni di cui agli allegati I e II.

27.

Per esempio, potrebbero essere previste misure più specifiche e chiare per l’integrazione di SOLVIT (22) nell’IMI (disposizioni per «soggetti esterni» e «risoluzione dei problemi») e per gli elenchi di professionisti e fornitori di servizi (disposizioni per «repertori»).

28.

Ulteriori chiarimenti sono necessari per le «allerta» che sono già in uso ai sensi della direttiva sui servizi e potrebbero essere anche introdotte in nuovi settori. In particolare, la funzione «allerta» dovrebbe essere chiaramente definita nell’articolo 5 (insieme ad altre funzioni, come gli scambi biunivoci di informazioni e i repertori). I diritti di accesso e i periodi di conservazione per le allerta devono essere chiariti (23).

29.

Se l’intenzione è quella di mantenere il regolamento «a prova di futuro» introducendo nuove funzioni che possono rivelarsi necessarie nel lungo termine e, quindi, consentire funzioni aggiuntive non ancora definite nel regolamento, sarebbe opportuno prevedere adeguate salvaguardie procedurali per garantire che siano sviluppate disposizioni pertinenti volte ad attuare le necessarie salvaguardie per la protezione dei dati prima dell’avvio della nuova funzione. Lo stesso dovrebbe valere per le estensioni verso nuovi settori suscettibili di avere un impatto sulla protezione dei dati.

30.

Il GEPD raccomanda di creare un meccanismo chiaro in grado di garantire che prima di ciascuna estensione delle funzioni o espansione verso nuovi settori, le questioni riguardanti la protezione dei dati siano valutate in modo attento e, se necessario, di attuare ulteriori misure di salvaguardia o misure tecniche nell’architettura dell’IMI. In particolare:

31.

Tali salvaguardie procedurali (valutazione d’impatto in termini di protezione dei dati e consultazione) dovrebbero essere applicate all’estensione, sia attraverso un atto delegato della Commissione (lo spostamento di un elemento dall’allegato II all’allegato I), sia attraverso un regolamento del Parlamento europeo e del Consiglio non elencato nell’allegato II.

32.

Infine, il GEPD raccomanda che il regolamento chiarisca se la portata degli atti delegati che la Commissione sarà autorizzata ad adottare ai sensi dell’articolo 23 comprende tutte le altre questioni al di là del trasferimento degli elementi dall’allegato II all’allegato I. Eventualmente, la Commissione dovrebbe essere autorizzata dal regolamento ad adottare specifici atti di esecuzione o delegati per definire ulteriormente le funzioni aggiuntive del sistema o risolvere eventuali problemi di protezione dei dati che potrebbero sorgere in futuro.

33.

Il GEPD accoglie con favore il fatto che l’intero capo II sia stato dedicato a chiarire le funzioni e i compiti dei diversi partecipanti all’IMI. Le disposizioni potrebbero essere rafforzate ulteriormente come segue.

34.

L’articolo 9 descrive le responsabilità che derivano dal ruolo della Commissione in veste di controllore. Il GEPD raccomanda ancora l’inserimento di una disposizione supplementare che faccia riferimento al ruolo della Commissione nel garantire che il sistema sia progettato applicando i principi della «privacy by design» nonché al suo ruolo di coordinamento in ordine alle questioni riguardanti la protezione dei dati.

35.

Il GEPD è lieto di prendere atto che fra i compiti dei coordinatori IMI di cui all’articolo 7 figurano nello specifico le attività di coordinamento in materia di protezione dei dati, compreso il ruolo di interlocutore della Commissione. Raccomanda inoltre di chiarire ulteriormente che le attività di coordinamento prevedono anche i contatti con le autorità nazionali per la protezione dei dati.

36.

L’articolo 10 prevede misure di salvaguardia in relazione ai diritti di accesso. Il GEPD si compiace del fatto che, a seguito delle sue osservazioni, tali disposizioni sono state notevolmente rafforzate.

37.

Considerando la natura orizzontale ed espansiva dell’IMI, è importante assicurare che il sistema garantisca l’applicazione del concetto di «muraglie cinesi» che limita le informazioni trattate in un settore specifico solamente a tale settore: gli utenti dell’IMI dovrebbero avere accesso alle informazioni i) solo se effettivamente necessario e ii) limitatamente a un unico settore.

38.

Se è inevitabile che un utente dell’IMI abbia diritto di accedere alle informazioni di vari settori (come può avvenire, per esempio, in alcuni uffici del governo locale), come minimo il sistema non dovrebbe consentire la combinazione di informazioni provenienti da settori diversi. Se del caso, eventuali eccezioni andrebbero specificate nell’applicazione della normativa o in un atto dell’Unione, osservando rigorosamente il principio di limitazione delle finalità.

39.

Questi principi sono ormai delineati nel testo del regolamento, ma potrebbero essere ulteriormente rafforzati e resi operativi.

40.

Per quanto riguarda i diritti di accesso della Commissione, il GEPD si compiace del fatto che gli articoli 9, paragrafi 2 e 4, e 10, paragrafo 6, della proposta, nel complesso, prescrivano che la Commissione non avrà accesso ai dati personali scambiati tra Stati membri, salvo nei casi in cui la Commissione venga designata come partecipante a una procedura di cooperazione amministrativa.

41.

I diritti di accesso da parte di soggetti esterni e il diritto di accesso alle allerta devono essere ulteriormente specificati (24). Per quanto riguarda le allerta, il GEPD raccomanda di prevedere nel regolamento che le allerta non vengano inviate d’ufficio a tutte le autorità competenti di tutti gli Stati membri, ma solo a quelle interessate, in caso di effettiva necessità. Ciò non esclude l’invio delle allerta a tutti gli Stati membri in casi specifici o in settori specifici, se tutti sono interessati. Parimenti, è necessaria un’analisi caso per caso per stabilire se la Commissione debba avere accesso ai meccanismi di allerta.

42.

L’articolo 13 della proposta estende la durata della conservazione dei dati all’interno dell’IMI dagli attuali sei mesi (che decorrono dalla chiusura del caso) a cinque anni, e trascorsi 18 mesi i dati vengono «bloccati». Durante il periodo di «blocco», i dati sono accessibili solo a seguito di una procedura specifica per il recupero, che può essere avviata con il consenso dell’interessato o «a fini di prova di uno scambio di informazioni mediante l’IMI».

43.

In realtà, in questo modo, i dati sono conservati nell’IMI durante tre periodi distinti:

44.

Al di là di queste regole generali, l’articolo 13, paragrafo 2 consente la conservazione dei dati in un «repertorio di informazioni» fintanto che sia necessario a questo scopo, con il consenso dell’interessato o se «necessario per ottemperare a un atto dell’Unione europea». Inoltre, l’articolo 14 prevede un meccanismo di blocco simile per la conservazione dei dati personali degli utenti dell’IMI, per cinque anni, a partire dalla data in cui cessano di essere utenti dell’IMI.

45.

Non vi sono altre disposizioni specifiche. Quindi, presumibilmente, le regole generali sono destinate a essere applicate non solo a scambi biunivoci, ma anche alle allerta, alla risoluzione dei problemi [come in SOLVIT (26)] e a tutte le altre funzioni che comportano il trattamento di dati personali.

46.

Il GEPD ha varie preoccupazioni per quanto riguarda i periodi di conservazione, dal momento che l’articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE e l’articolo 4, paragrafo 1, lettera e), del regolamento (CE) n. 45/2001, richiedono entrambi che i dati personali siano conservati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti o successivamente trattati.

47.

Per il primo periodo, dall’immissione dei dati alla chiusura del caso, il GEPD teme il rischio che alcuni casi non vengano mai chiusi o chiusi solo dopo un periodo eccessivamente lungo. Tale situazione può comportare la conservazione nella banca dati di alcuni dati personali oltre il necessario, o addirittura a tempo indeterminato.

48.

Il GEPD riconosce i progressi compiuti dalla Commissione sul piano pratico per ridurre il lavoro arretrato dell’IMI. A tal fine, è in atto un sistema per gli scambi biunivoci che esegue un monitoraggio tempestivo dei casi chiusi e avverte periodicamente sui casi che registrano ritardi. Inoltre, seguendo un approccio «privacy by design», il sistema è stato dotato di nuove funzioni che consentono, premendo un solo pulsante, di accettare una risposta e, allo stesso tempo, di chiudere il caso. In precedenza questo richiedeva due azioni distinte e potrebbe aver contribuito alla permanenza nel sistema di alcuni casi inattivi.

49.

Il GEPD apprezza gli sforzi compiuti a livello pratico. Tuttavia, raccomanda che il testo del regolamento stesso garantisca che i casi vengano chiusi in modo tempestivo nell’IMI e che i casi inattivi (ossia i casi senza alcuna attività recente) vengano eliminati dalla banca dati.

50.

Il GEPD invita a valutare nuovamente se sia debitamente giustificato prorogare l’attuale periodo di sei mesi fino a 18 mesi successivamente alla chiusura del caso e, in caso affermativo, se tale giustificazione si applichi solamente a uno scambio biunivoco di informazioni o anche ad altri tipi di funzioni. L’IMI è ora operativo da diversi anni e l’esperienza pratica acquisita in tal senso dovrebbe essere sfruttata.

51.

Se l’IMI rimane uno strumento per lo scambio di informazioni (al contrario di un sistema di gestione di fascicoli, una banca dati o un sistema di archiviazione) e purché le autorità competenti dispongano di mezzi per recuperare dal sistema le informazioni ricevute [elettronicamente o su forma cartacea, ma in ogni caso in modo che esse possano utilizzare le informazioni recuperate come prova (27)], pare non sia del tutto necessario mantenere i dati nell’IMI dopo la chiusura del caso.

52.

In uno scambio biunivoco di informazioni l’esigenza potenziale di porre domande di follow-up anche dopo che una risposta è stata accettata e, quindi, un caso è stato chiuso, può forse giustificare un periodo di conservazione (ragionevolmente breve) dopo la chiusura del caso. L’attuale periodo di sei mesi prima facie sembra essere abbastanza generoso a tal fine.

53.

Il GEPD ritiene che la Commissione non abbia inoltre fornito una giustificazione sufficiente per la necessità e la proporzionalità della conservazione dei «dati bloccati» per un periodo di cinque anni.

54.

La relazione, a pagina 8, fa riferimento alla sentenza pronunciata dalla Corte di giustizia nella causa Rijkeboer  (28). Il GEPD raccomanda alla Commissione di rivalutare le conseguenze di questa causa sulla conservazione dei dati nell’IMI. A suo parere, la sentenza Rijkeboer non esige che l’IMI sia configurato per conservare i dati durante cinque anni dalla chiusura del caso.

55.

Secondo il GEPD, il riferimento alla sentenza Rijkeboer o i diritti degli interessati di avere accesso ai propri dati non è una giustificazione sufficiente e adeguata per conservare i dati nell’IMI durante cinque anni dopo la chiusura del caso. La conservazione dei soli «dati di registro» (rigorosamente definiti per escludere qualsiasi contenuto, compresi tutti gli allegati o i dati sensibili) potrebbe essere un’opzione meno intrusiva che forse merita maggiore attenzione. Tuttavia, il GEPD non è convinto che, in questa fase, tale soluzione sia necessaria o proporzionata.

56.

Inoltre, costituisce un problema anche la mancanza di chiarezza su chi può accedere ai «dati bloccati» e per quali scopi. Il semplice riferimento a utilizzare «a fini di prova di uno scambio di informazioni» (di cui all’articolo 13, paragrafo 3) non è sufficiente. Se la disposizione riguardante il «blocco» viene mantenuta, in ogni caso sarebbe meglio chiarire chi può richiedere una prova dello scambio di informazioni e in quale contesto. Oltre alla persona interessata, gli altri avrebbero il diritto di chiedere l’accesso? In caso affermativo, sarebbero le sole autorità competenti e unicamente per dimostrare che un particolare scambio di informazioni con un contenuto particolare ha avuto luogo (nel caso in cui lo scambio sia contestato dalle autorità competenti che hanno inviato o ricevuto il messaggio)? Sono previsti altri possibili usi «a fini di prova di uno scambio di informazioni» (29)?

57.

Il GEPD raccomanda che una distinzione più chiara andrebbe operata tra allerta e repertori di informazioni. Un conto è utilizzare un’allerta come strumento di comunicazione per avvisare le autorità competenti di una particolare infrazione o caso sospetto e un altro è conservare l’allerta in una banca dati per un lungo periodo o anche a tempo indeterminato. La conservazione delle informazioni riguardanti l’allerta dà luogo ad altri problemi e richiede norme specifiche e ulteriori salvaguardie per la protezione dei dati.

58.

Pertanto, il GEPD raccomanda che il regolamento preveda, come regola di base, quanto segue: i) se non diversamente specificato nella legislazione verticale, e fatte salve nuove salvaguardie adeguate, un periodo di conservazione di sei mesi deve applicarsi all’allerta e, in particolare, ii) questo periodo ha inizio dal momento dell’invio dell’allerta.

59.

In alternativa, il GEPD raccomanda che le salvaguardie dettagliate per quanto riguarda i meccanismi di allerta siano espressamente indicate nella proposta di regolamento. Il GEPD è disposto ad assistere la Commissione e i legislatori con ulteriori consigli in tal senso, qualora venga seguito questo secondo approccio.

60.

Il GEPD accoglie con favore la distinzione tra i dati personali di cui all’articolo 8, paragrafo 1, della direttiva 95/46/CE, da un lato, e i dati personali di cui all’articolo 8, paragrafo 5, dall’altro. Si compiace inoltre che il regolamento indichi chiaramente che le categorie particolari di dati possono essere trattate soltanto sulla base di un motivo specifico di cui all’articolo 8 della direttiva 95/46/CE.

61.

A questo proposito, il GEPD intuisce che l’IMI tratterà una quantità significativa di dati sensibili di cui all’articolo 8, paragrafo 2, della direttiva 95/46/CE. Infatti, sin dall’inizio, quando è stato sviluppato per sostenere la cooperazione amministrativa ai sensi della direttiva sui servizi e della direttiva sulle qualifiche professionali, l’IMI è stato progettato per trattare tali dati, in particolare, i dati relativi ai registri di reati e infrazioni amministrative che possono avere conseguenze sul diritto di un professionista o un fornitore di servizi a eseguire lavori/erogare servizi in un altro Stato membro.

62.

Inoltre, una notevole quantità di dati sensibili ai sensi dell’articolo 8, paragrafo 1 (in particolare dati di carattere sanitario), sarà probabilmente trattata nell’IMI dopo che quest’ultimo verrà esteso per integrare un modulo per SOLVIT (30). Infine, non si può escludere che in futuro possano essere raccolti attraverso l’IMI ulteriori dati sensibili, su una base ad hoc o sistematica.

63.

Il GEPD si compiace che l’articolo 16 si riferisce specificamente all’obbligo della Commissione di seguire le proprie regole interne adottate per conformarsi alle disposizioni dell’articolo 22 del regolamento (CE) n. 45/2001 e adottare e tenere aggiornato un piano di sicurezza per l’IMI.

64.

Per rafforzare ulteriormente tali disposizioni, il GEPD raccomanda che il regolamento imponga una valutazione dei rischi e una revisione del piano di sicurezza prima di qualsiasi espansione dell’IMI a un settore nuovo o prima di aggiungere una nuova funzione avente un impatto sui dati personali (31).

65.

Inoltre, il GEPD rileva anche che l’articolo 16 e il considerando 16 si riferiscono solo agli obblighi della Commissione e al ruolo di controllo del GEPD. Tale riferimento può essere fuorviante. Se è vero che la Commissione è l’operatore del sistema e, come tale, è responsabile di una parte precipua del mantenimento della sicurezza nell’IMI, le autorità competenti hanno inoltre obblighi che sono, a loro volta, soggetti al controllo delle autorità nazionali per la protezione dei dati. Pertanto, l’articolo 16 e il considerando 16 dovrebbero anch’essi fare riferimento agli obblighi in materia di sicurezza applicabili al resto dei soggetti dell’IMI ai sensi della direttiva 95/46/CE e ai poteri di controllo delle autorità nazionali per la protezione dei dati.

66.

Con riferimento all’articolo 17, paragrafo 1, il GEPD raccomanda disposizioni più specifiche nel regolamento per assicurare che le persone interessate siano pienamente informate in merito al trattamento dei propri dati nell’IMI. Considerando che l’IMI è utilizzato da più autorità competenti, tra cui molti piccoli uffici di governi locali che non hanno a disposizione risorse sufficienti, si raccomanda vivamente che la pubblicazione dell’avvertenza sia coordinata a livello nazionale.

67.

L’articolo 17, paragrafo 2, lettera a), impone alla Commissione di pubblicare un’avvertenza sulla tutela della sfera privata riguardante le sue attività di trattamento dei dati conformemente agli articoli 10 e 11 del regolamento (CE) n. 45/2001. Inoltre, l’articolo 17, paragrafo, 2, lettera b), prescrive che la Commissione fornisca anche informazioni «sugli aspetti inerenti alla protezione dei dati delle procedure di cooperazione amministrativa nell’ambito dell’IMI di cui all’articolo 12». Infine, ai sensi dell’articolo 17, paragrafo 2, lettera c), la Commissione fornisce informazioni su «deroghe o limitazioni ai diritti degli interessati di cui all’articolo 19».

68.

Il GEPD constata con soddisfazione che queste disposizioni favoriscono la trasparenza delle operazioni di trattamento dei dati nell’IMI. Come indicato al precedente paragrafo 2.1, quando un sistema informatizzato è utilizzato in 27 Stati membri diversi, è fondamentale garantire la coerenza per quanto riguarda il funzionamento del sistema, le salvaguardie per la protezione dei dati applicate e le informazioni che vengono fornite agli interessati (32).

69.

Detto questo, le disposizioni dell’articolo 17, paragrafo 2, dovrebbero essere ulteriormente rafforzate. La Commissione, in qualità di operatore del sistema, è nella posizione migliore per assumere un ruolo proattivo nel fornire un primo «livello» di avvertenza in merito alla protezione dei dati e ad altre informazioni pertinenti per gli interessati sul suo sito web multilingue, anche «per conto di» autorità competenti, ossia le informazioni previste dagli articoli 10 e 11 della direttiva 95/46/CE. Sarebbe quindi spesso sufficiente che le avvertenze fornite dalle autorità competenti degli Stati membri facciano semplicemente riferimento all’avvertenza fornita dalla Commissione, completandola secondo necessità per adempiere a eventuali informazioni supplementari specificamente richieste dalla legge nazionale.

70.

Inoltre, l’articolo 17, paragrafo 2, lettera b), dovrebbe chiarire che le informazioni fornite dalla Commissione riguardano complessivamente tutti i settori, tutti i tipi di procedure di cooperazione amministrativa e tutte le funzioni all’interno dell’IMI e includono nella fattispecie le categorie di dati che possono essere trattati. Ciò dovrebbe prevedere anche la pubblicazione delle serie di domande utilizzate nell’ambito di una cooperazione biunivoca sul sito web dell’IMI, come viene fatto attualmente nella pratica.

71.

Il GEPD vorrebbe fare riferimento ancora una volta, come indicato sopra al paragrafo 2.1, al fatto che è fondamentale garantire la coerenza del funzionamento del sistema e dell’applicazione delle salvaguardie per la protezione dei dati. Per questo motivo, il GEPD intende specificare ulteriormente le disposizioni per quanto concerne diritti di accesso, rettifica e cancellazione.

72.

L’articolo 18 dovrebbe specificare a chi si devono rivolgere gli interessati per una richiesta di accesso. Tale aspetto dovrebbe essere chiarito in riferimento all’accesso ai dati durante i diversi periodi:

73.

Il regolamento dovrebbe anche invitare le autorità competenti a cooperare relativamente alle richieste di accesso, se necessario. La rettifica e la cancellazione dovrebbero essere effettuate «nel più breve tempo possibile e comunque entro 60 giorni» anziché «entro 60 giorni». Si dovrebbe anche fare riferimento alla possibilità di creare un modulo per la protezione dei dati e di adottare soluzioni basate sul concetto di «privacy by design» per la cooperazione tra le autorità in materia di diritti di accesso, oltre alla «responsabilizzazione degli interessati», per esempio fornendo loro un accesso diretto ai dati, se pertinente e possibile.

74.

Negli ultimi anni è stato sviluppato il modello di «controllo coordinato». Questo modello di controllo, attualmente operativo a livello di Eurodac e delle parti del sistema informativo doganale, è stato adottato anche dal sistema di informazione visti (VIS) e dal sistema d’informazione Schengen di seconda generazione (SIS II).

75.

Questo modello si articola su tre livelli:

76.

Questo modello si è rivelato efficace ed effettivo e in futuro dovrà essere previsto per altri sistemi di informazione.

77.

Il GEPD si compiace del fatto che l’articolo 20 della proposta stabilisce specificamente il controllo coordinato tra le autorità nazionali di protezione dei dati e il GEPD seguendo — a grandi linee — il modello stabilito nei regolamenti VIS e SIS II (33).

78.

Il GEPD rafforzerebbe le disposizioni sul controllo coordinato in alcuni punti e a tal fine sosterrebbe disposizioni simili a quelle in atto, per esempio nel contesto del sistema di informazione visti (articoli 41-43 del regolamento VIS), Schengen II (articoli 44-46 del regolamento SIS II) e previsti per Eurodac (34). In particolare, sarebbe utile se il regolamento:

79.

Detto questo, il GEPD è consapevole dell’attuale dimensione ridotta, della diversa natura dei dati trattati, così come della natura in evoluzione dell’IMI. Quindi, riconosce che per quanto riguarda la frequenza delle riunioni e verifiche, una maggiore flessibilità può essere consigliabile. In breve, il GEPD raccomanda che il regolamento preveda le regole minime necessarie per garantire una cooperazione efficace, evitando di creare inutili oneri amministrativi.

80.

L’articolo 20, paragrafo 3, della proposta non prevede incontri periodici, ma stabilisce semplicemente che il GEPD può «invitare le autorità nazionali di controllo a riunirsi […] nei casi in cui sia necessario». Il GEPD accoglie con favore il fatto che tali disposizioni lascino decidere alle parti interessate in merito alla frequenza e alle modalità degli incontri, così come ad altri dettagli procedurali riguardanti la loro cooperazione. Tali incontri possono essere concordati nel regolamento interno, cui si fa già riferimento nella proposta.

81.

Per quanto riguarda la regolarità degli audit, può risultare più efficace lasciare alle autorità cooperanti il compito di determinare, nei loro regolamenti interni, quando e con quale frequenza far espletare tali audit. Questo può dipendere da una serie di fattori e può anche cambiare nel tempo. Di conseguenza, il GEPD sostiene l’approccio della Commissione che consente una maggiore flessibilità anche in questo senso.

82.

Il GEPD si compiace del fatto che la proposta fornisca una base giuridica chiara per l’uso nazionale dell’IMI e che tale uso sia soggetto a diverse condizioni, compreso il fatto che l’autorità nazionale per la protezione dei dati debba essere consultata e che l’uso debba essere conforme alla normativa nazionale.

83.

Il GEPD accoglie con soddisfazione le condizioni di cui all’articolo 22, paragrafo 1, riguardanti lo scambio di informazioni, così come il fatto che l’articolo 22, paragrafo 3 garantisce la trasparenza dell’espansione mediante pubblicazione nella Gazzetta ufficiale di un elenco aggiornato dei paesi terzi che utilizzano l’IMI (articolo 22, paragrafo 3).

84.

Il GEPD raccomanda inoltre che la Commissione restringa il riferimento alle deroghe a norma dell’articolo 26 della direttiva 95/46/CE per includere solo l’articolo 26, paragrafo 2. In altri termini: le autorità competenti o altri soggetti esterni di un paese terzo che non offre una protezione adeguata non dovrebbero poter accedere direttamente all’IMI a meno che non siano in essere adeguate clausole contrattuali. Tali clausole devono essere negoziate a livello di UE.

85.

Il GEPD sottolinea che altre deroghe come quella prevista a condizione che «il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria», non dovrebbero essere usate per giustificare i trasferimenti di dati verso paesi terzi tramite l’accesso diretto all’IMI (38).

86.

In linea con il previsto rafforzamento degli accordi per una maggiore responsabilità nel corso del riesame del quadro UE sulla protezione dei dati (39), il GEPD raccomanda che il regolamento stabilisca un quadro chiaro di adeguati meccanismi di controllo interno volti a garantire la protezione dei dati e a fornire la prova di conformità degli stessi, contenenti almeno gli elementi riportati di seguito.

87.

In questo contesto, il GEPD si compiace del disposto di cui all’articolo 26, paragrafo 2, del regolamento secondo cui la Commissione dovrebbe riferire ogni tre anni al GEPD in merito agli aspetti relativi alla protezione dei dati, anche per quanto riguarda la sicurezza. Sarebbe opportuno che il regolamento chiarisse se il GEPD, a sua volta, sarà invitato a condividere la relazione della Commissione con le autorità nazionali per la protezione dei dati, nel quadro del controllo coordinato di cui all’articolo 20. Sarebbe anche utile chiarire se la relazione descrive, con riferimento a ciascun settore e a ogni funzione, in che modo i principi fondamentali in materia di protezione dei dati e i problemi (per esempio, informazioni alle persone interessate, i diritti di accesso, sicurezza) sono stati affrontati nella pratica.

88.

Inoltre, il regolamento dovrebbe chiarire se il quadro dei meccanismi di controllo interno debba includere anche valutazioni sulla sfera privata (compresa un’analisi dei rischi per la sicurezza), una politica di protezione dei dati (incluso un piano di sicurezza) adottata sulla base dei risultati di questi, oltre a revisioni e audit periodici.

89.

Il GEPD accoglie con favore il riferimento a questo principio inserito al considerando 6 del regolamento (40). Raccomanda che al di là di questo riferimento, il regolamento dovrebbe inoltre introdurre specifiche salvaguardie basate sul concetto di «privacy by design», quali:

90.

Il parere generale del GEPD sull’IMI è positivo. Il GEPD è favorevole allo scopo perseguito dalla Commissione nell’istituire un sistema elettronico di scambio di informazioni e nel disciplinarne gli aspetti inerenti alla protezione dei dati. Il GEPD accoglie inoltre con soddisfazione il fatto che la Commissione proponga uno strumento giuridico orizzontale per l’IMI sotto forma di un regolamento del Parlamento e del Consiglio. È lieto che la proposta metta in luce in modo esauriente le questioni più pertinenti della protezione dei dati che riguardano l’IMI.

91.

Per quanto riguarda il quadro giuridico dell’IMI da stabilire nella proposta di regolamento, il GEPD richiama l’attenzione su due sfide principali:

92.

Le funzioni dell’IMI già prevedibili dovrebbero essere chiarite e affrontate maggiormente nello specifico.

93.

Adeguate salvaguardie procedurali devono essere applicate per garantire che la protezione dei dati sia scrupolosamente presa in considerazione durante il futuro sviluppo dell’IMI. Ciò dovrebbe includere una valutazione d’impatto e la consultazione del GEPD e delle autorità nazionali per la protezione dei dati personali prima di ogni espansione del campo di applicazione dell’IMI verso un settore nuovo e/o nuove funzioni.

94.

I diritti di accesso da parte di soggetti esterni e il diritto di accesso alle allerta dovrebbero essere ulteriormente specificati.

95.

Per quanto concerne i periodi di conservazione:

96.

Il regolamento dovrebbe imporre una valutazione dei rischi e una revisione del piano di sicurezza prima di qualsiasi espansione dell’IMI a un settore nuovo o prima di aggiungere una nuova funzione avente un impatto sui dati personali.

97.

Le disposizioni relative all’informazione degli interessati e ai diritti di accesso dovrebbero essere rafforzate e dovrebbero favorire un approccio più coerente.

98.

Il GEPD rafforzerebbe le disposizioni sul controllo coordinato in alcuni punti e a tal fine sosterrebbe disposizioni simili a quelle esistenti, per esempio nel contesto del sistema di informazione visti, Schengen II e previsti per Eurodac. Riguardo alla frequenza di riunioni e audit, il GEDP appoggia la proposta nel suo approccio flessibile inteso a garantire che il regolamento preveda le regole minime necessarie per garantire una cooperazione efficace, evitando di creare inutili oneri amministrativi.

99.

Il regolamento dovrebbe garantire che le autorità competenti o altri soggetti esterni di un paese terzo che non offre una protezione adeguata non possano accedere direttamente all’IMI a meno che non siano in essere apposite clausole contrattuali. Tali clausole devono essere negoziate a livello di UE.

100.

Il regolamento dovrebbe stabilire un quadro chiaro di adeguati meccanismi di controllo interno che garantisca la protezione dei dati e fornisca la prova di conformità degli stessi, contenenti i relativi elementi, fra cui valutazioni sulla sfera privata (compresa anche un’analisi dei rischi per la sicurezza), una politica di protezione dei dati (incluso un piano di sicurezza), adottata sulla base dei risultati di questi, oltre a revisioni e audit periodici.

101.

Il regolamento dovrebbe inoltre introdurre specifiche salvaguardie basate sul principio della «privacy by design».