|
11.5.2012 |
IT |
Gazzetta ufficiale dell'Unione europea |
C 136/1 |
Parere del Garante europeo della protezione dei dati sulle proposte legislative relative alla risoluzione alternativa e online delle controversie dei consumatori
2012/C 136/01
IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,
vista la Carta dei diritti fondamentali dell’Unione europea, in particolare gli articoli 7 e 8,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1),
visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l’articolo 41 (2),
HA ADOTTATO IL SEGUENTE PARERE:
I. INTRODUZIONE
I.1. Consultazione del GEPD e scopo del parere
|
1. |
Il 29 novembre 2011 la Commissione ha adottato due proposte legislative sulla risoluzione alternativa delle controversie (di seguito: «le proposte»):
|
|
2. |
Il 6 dicembre 2011 il GEPD ha ricevuto la proposta sull’ADR e la proposta sull’ODR a fini di consultazione. Prima dell’adozione delle proposte era già stato consultato e aveva formulato osservazioni in modo informale. Il GEPD valuta positivamente tale consultazione precoce ed è lieto di constatare che le proposte tengono conto della maggior parte delle sue raccomandazioni. |
|
3. |
Il presente parere analizza il trattamento dei dati personali previsto dalle proposte e spiega come vengono affrontati gli aspetti inerenti alla protezione dei dati. Si concentra sulla proposta sull’ODR, la quale comporta il trattamento centralizzato dei dati personali relativi alle controversie mediante una piattaforma online. |
I.2. Scopo delle proposte
|
4. |
I sistemi di risoluzione alternativa delle controversie (ADR) offrono uno strumento per comporre le controversie dei consumatori che di norma risulta meno costoso e più rapido rispetto a un procedimento giudiziario. Scopo della proposta sull’ADR è garantire che in tutti gli Stati membri esistano organismi preposti alla risoluzione delle controversie transfrontaliere dei consumatori connesse alla vendita di beni o alla fornitura di servizi nell’Unione europea. |
|
5. |
La proposta sull’ODR si fonda sulla disponibilità a livello europeo di procedure ADR per le controversie dei consumatori. Istituisce una piattaforma online (di seguito: «la piattaforma ODR»), che consentirà ai consumatori e ai professionisti di presentare all’organismo ADR competente reclami connessi alle operazioni transfrontaliere effettuate online. |
II. OSSERVAZIONI GENERALI
|
6. |
Il GEPD sostiene l’obiettivo delle proposte ed è lieto di constatare che i principi relativi alla protezione dei dati siano stati presi in considerazione sin dalle prime fasi della loro stesura. |
|
7. |
Il Garante accoglie inoltre con favore i riferimenti all’applicabilità delle norme di protezione dei dati personali contenuti nella proposta sull’ODR (5) e all’applicabilità della legislazione nazionale adottata a norma della direttiva 95/46/CE nell’ambito della proposta sull’ADR (6), nonché i riferimenti alla consultazione del GEPD (7). |
III. OSSERVAZIONI SPECIFICHE
III.1. Ruolo dei responsabili del trattamento dei dati: necessità di una chiara attribuzione delle responsabilità
|
8. |
Secondo la proposta sull’ODR, nell’ambito di ogni controversia presentata tramite la piattaforma ODR i dati saranno trattati da tre tipi di operatori:
L’articolo 11, paragrafo 4, stabilisce che ognuno dei suddetti operatori è considerato responsabile del trattamento dei dati personali in relazione alle proprie competenze. |
|
9. |
Tuttavia molti di tali operatori potrebbero essere considerati responsabili del trattamento degli stessi dati personali (9). Per esempio, i dati riguardanti una particolare controversia trasmessi mediante la piattaforma ODR potrebbero essere esaminati da diversi assistenti ODR e dal sistema ADR competente a trattare la controversia. Anche la Commissione può trattare tali dati personali ai fini del funzionamento e della manutenzione della piattaforma ODR. |
|
10. |
A questo proposito, il GEPD valuta positivamente il fatto che al considerando 20 della proposta sull’ODR si affermi che le norme di protezione dei dati si applicano a tutti gli operatori summenzionati. Tuttavia la parte legislativa della proposta sull’ODR dovrebbe precisare almeno a quale responsabile del trattamento dei dati gli interessati devono indirizzare le richieste di accesso, rettifica, blocco e cancellazione, nonché a quale responsabile del trattamento rivolgersi in caso di violazioni specifiche delle norme di protezione dei dati (per esempio, violazione della sicurezza). Occorre inoltre comunicare tali informazioni agli interessati. |
III.2. Limitazione dell’accesso e periodo di conservazione
|
11. |
Secondo l’articolo 11 della proposta sull’ODR, l’accesso ai dati personali trattati mediante la piattaforma ODR è limitato a:
|
|
12. |
Il GEPD accoglie con favore tali limitazioni della finalità e dei diritti di accesso. Tuttavia non è chiaro se tutti gli assistenti ODR (almeno 54) avranno accesso ai dati personali riguardanti tutte le controversie. Il Garante raccomanda di precisare che ogni assistente ODR avrà esclusivamente accesso ai dati necessari per adempiere ai propri obblighi di cui all’articolo 6, paragrafo 2. |
|
13. |
Per quanto riguarda il periodo di conservazione, il GEPD è soddisfatto dell’articolo 11, paragrafo 3, che consente l’archiviazione dei dati personali soltanto per il tempo necessario alla composizione della controversia e all’esercizio del diritto di accesso ai dati da parte degli interessati. Si compiace altresì dell’obbligo di sopprimere automaticamente i dati entro 6 mesi dalla conclusione della controversia. |
III.3. Trattamento di categorie particolari di dati: possibile necessità di controllo preventivo
|
14. |
Tenendo conto dello scopo delle proposte, è possibile che siano trattati dati personali relativi a sospette infrazioni. Anche i dati relativi alla salute potrebbero essere oggetto di trattamento nell’ambito di controversie connesse alla vendita di beni o alla fornitura di servizi riguardanti la salute. |
|
15. |
Il trattamento dei dati personali nell’ambito della piattaforma ODR potrebbe quindi essere soggetto a controllo preventivo da parte delle autorità nazionali di protezione dei dati e del GEPD, come prescritto all’articolo 27 del regolamento (CE) n. 45/2001 e all’articolo 20 della direttiva 95/46/CE (11). Il Garante ritiene che la Commissione sia consapevole della necessità di valutare, prima che la piattaforma ODR diventi operativa, se il trattamento debba essere soggetto a controllo preventivo. |
III.4. Il GEPD dovrebbe essere consultato in merito agli atti delegati e di esecuzione relativi al modulo di reclamo
|
16. |
Le informazioni da fornire nel modulo di reclamo elettronico (di seguito: «il modulo») sono specificate nell’allegato della proposta sull’ODR. Comprendono i dati personali delle parti (nome, indirizzo e, se applicabile, e-mail e indirizzo del sito web) e i dati necessari per stabilire quale organismo ADR sia competente a trattare la controversia (luogo di residenza del consumatore al momento dell’ordinazione dei beni o dei servizi, tipo di beni o servizi interessati, ecc.). |
|
17. |
Il GEPD accoglie con favore l’articolo 7, paragrafo 6, nel quale si ricorda che solo dati corretti, pertinenti e non eccessivi possono essere trattati mediante il modulo e i suoi allegati. Anche l’elenco di informazioni di cui all’allegato rispetta il principio di limitazione della finalità. |
|
18. |
Tuttavia tale elenco potrà essere modificato mediante atti delegati e le caratteristiche del modulo saranno definite mediante atti di esecuzione (12). Il Garante raccomanda di inserire un riferimento alla necessità di consultare il GEPD per la parte di tali atti che riguarda il trattamento dei dati personali. |
III.5. Sicurezza: necessità di una valutazione dell’impatto sulla vita privata
|
19. |
Il GEPD accoglie con favore le disposizioni riguardanti la riservatezza e la sicurezza. Le misure per garantire la sicurezza di cui all’articolo 12 della proposta sull’ODR comprendono il controllo dell’accesso ai dati, un piano di sicurezza e la gestione degli incidenti riguardanti la sicurezza. |
|
20. |
Il Garante raccomanda di inserire anche un riferimento alla necessità di condurre una valutazione dell’impatto sulla vita privata (compresa una valutazione dei rischi) e di svolgere verifiche e relazioni periodiche al fine di garantire il rispetto delle norme di protezione dei dati e della sicurezza dei dati. |
|
21. |
Il GEPD desidera inoltre ricordare che la tutela della vita privata e la protezione dei dati dovrebbero essere integrate negli strumenti informatici necessari per istituire la piattaforma ODR sin dalle prime fasi del loro sviluppo («privacy by design»), compresa la messa a punto di strumenti in grado di garantire agli utenti una maggiore protezione dei loro dati personali (per esempio, autenticazione e cifratura). |
III.6. Informazione degli interessati
|
22. |
Il GEPD accoglie con favore il considerando 21 della proposta sull’ODR, nel quale si afferma che gli interessati devono essere informati del trattamento dei loro dati personali e dei loro diritti mediante un avviso sulla tutela dei dati privati reso pubblico. L’obbligo di informare gli interessati dovrebbe però essere incluso anche nella parte legislativa della proposta sull’ODR. |
|
23. |
Occorre inoltre comunicare agli interessati quale operatore è responsabile di garantire il rispetto dei loro diritti. L’avviso sulla tutela dei dati privati dovrà essere ben visibile per chiunque compili il modulo. |
IV. CONCLUSIONE
|
24. |
Il GEPD valuta positivamente il fatto che i principi relativi alla protezione dei dati siano stati integrati nel testo, in particolare per quanto riguarda la limitazione della finalità e dell’accesso ai dati, la limitazione del periodo di conservazione e le misure per garantire la sicurezza. Tuttavia raccomanda di:
|
|
25. |
Il Garante desidera inoltre ricordare che il trattamento dei dati personali nell’ambito della piattaforma ODR potrebbe essere soggetto a controllo preventivo da parte del GEPD e delle autorità nazionali di protezione dei dati. |
Fatto a Bruxelles, il 12 gennaio 2012
Giovanni BUTTARELLI
Garante europeo aggiunto della protezione dei dati
(1) GU L 281 del 23.11.1995, pag. 31.
(2) GU L 8 del 12.1.2001, pag. 1.
(3) COM(2011) 793 def.
(4) COM(2011) 794 def.
(5) Considerando 20 e 21 e articolo 11, paragrafo 4, della proposta ODR.
(6) Considerando 16 della proposta ADR.
(7) Preamboli delle proposte e relazioni di accompagnamento.
(8) Ogni Stato membro dovrà designare un punto di contatto ODR, che disporrà di almeno due assistenti ODR. La Commissione istituirà una rete dei punti di contatto ODR.
(9) Cfr. anche il parere 1/2010 del Gruppo di lavoro Articolo 29 sui concetti di «responsabile del trattamento» e «incaricato del trattamento», adottato il 16 febbraio 2010 (WP 169), pagg. 17-24, disponibile all’indirizzo http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf
(10) Cfr. l’articolo 11, paragrafo 2, della proposta sull’ODR.
(11) L’articolo 27 del regolamento (CE) n. 45/2001 prescrive che il trattamento di «dati relativi alla salute e quelli relativi a sospetti, infrazioni, condanne penali o misure di sicurezza» è soggetto a controllo preventivo da parte del GEPD. A norma dell’articolo 20, paragrafo 1, della direttiva 95/46/CE, le operazioni di trattamento che potenzialmente presentano rischi specifici per la protezione dei dati, secondo quanto stabilito dalla legislazione nazionale in materia di protezione dei dati, sono soggetti a esami preliminari effettuati dall’autorità nazionale di protezione dei dati.
(12) Considerando 23 e 24 e articolo 7, paragrafi 4 e 5, della proposta sull’ODR.