24.5.2017   

IT

Gazzetta ufficiale dell'Unione europea

C 164/2


Sintesi del parere del GEPD sulla proposta di regolamento concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione, nonché la libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE

(Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD www.edps.europa.eu)

(2017/C 164/02)

Una nuova generazione di norme sulla protezione dei dati è in procinto di essere promulgata dall’Unione europea. L’adozione, quasi un anno fa, del regolamento generale sulla protezione dei dati (RGPD) e della direttiva in materia di polizia e giustizia penale ha finora rappresentato il progetto più ambizioso del legislatore dell’Unione europea per garantire i diritti fondamentali della persona nell’era digitale. Ora è giunto il momento per le istituzioni dell’UE di svolgere un ruolo di guida, dando l’esempio per quanto riguarda le norme che applicano a se stesse in qualità di responsabili e incaricati del trattamento dei dati. Negli ultimi 18 mesi il GEPD ha avviato un dialogo con le istituzioni dell’UE al più alto livello, per prepararle alle nuove sfide legate al rispetto delle norme in materia di protezione dei dati, sottolineando il nuovo principio di responsabilità per le modalità di trattamento dei dati. Con questo parere il GEPD si prefigge di mettere a frutto dodici anni di esperienza in materia di controllo indipendente, consulenza sulle politiche e sensibilizzazione, per suggerire miglioramenti alla proposta di regolamento sul trattamento dei dati personali da parte di enti e istituzioni dell’UE.

Il regolamento 45/2001 è servito da indicatore di tendenza, prevedendo obblighi direttamente applicabili per i responsabili del trattamento dei dati, diritti per gli interessati e un organismo di controllo chiaramente indipendente. L’UE deve ora garantire la coerenza con il RGPD ponendo l’accento sulla responsabilità e le garanzie per le persone fisiche piuttosto che sulle procedure. Qualche divergenza tra le norme applicabili al trattamento dei dati da parte delle istituzioni dell’UE è giustificabile, nello stesso modo in cui nel RGPD sono state previste eccezioni per il settore pubblico; esse devono nondimeno essere ridotte al minimo.

Dal punto di vista delle persone fisiche è tuttavia essenziale che i principi comuni nell’ambito del quadro giuridico complessivo dell’UE in materia di protezione dei dati siano applicati coerentemente, chiunque sia il titolare del trattamento. È altresì indispensabile che l’intero quadro trovi applicazione contemporaneamente, vale a dire a decorrere dal maggio 2018, data di piena applicazione del RGPD.

In linea con un duraturo accordo tra le nostre istituzioni, il GEPD è stato consultato dalla Commissione in merito al progetto di proposta. Riteniamo che la Commissione abbia raggiunto, nel complesso, un buon equilibrio tra i vari interessi in gioco. Il presente parere delinea una serie di ambiti in cui la proposta potrebbe essere ulteriormente migliorata. Sottolineiamo la necessità di introdurre miglioramenti al regolamento proposto per quanto riguarda, in particolare, le limitazioni ai diritti degli interessati e la disposizione relativa all’utilizzo di meccanismi di certificazione da parte delle istituzioni dell’UE in taluni contesti. Per quanto riguarda i nostri compiti e competenze in quanto organismo indipendente, la proposta sembra trovare un equilibrio ragionevole e rispecchiare quelle che sono le normali funzioni di un’autorità indipendente competente per la protezione dei dati ai sensi della Carta dei diritti fondamentali, e questo a prescindere che agisca, come ribadito nella recente giurisprudenza della Corte di giustizia, in funzione di autorità di vigilanza, di responsabile per la gestione dei reclami o di consulente del legislatore per le politiche di protezione dei dati e della vita privata.

Incoraggiamo il legislatore dell’UE a raggiungere un accordo sulla proposta il più rapidamente possibile, in modo da permettere alle istituzioni dell’UE di beneficiare di un ragionevole periodo di transizione, prima che il nuovo regolamento possa diventare applicabile.

1.   INTRODUZIONE E CONTESTO

1.1   Contesto

1.

Il 10 gennaio 2017 la Commissione europea ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione, nonché la libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (1) («la proposta»).

2.

Il diritto fondamentale alla protezione dei dati personali è sancito dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea («la Carta») e dall’articolo 16 del trattato sul funzionamento dell’Unione europea («il TFUE»).

3.

Il Garante europeo della protezione dei dati («GEPD») è l’autorità di controllo indipendente incaricata di garantire che il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie europee («istituzioni dell’UE») si svolga nel rispetto della legislazione in materia di protezione dei dati (2). Il requisito del controllo indipendente nel sistema di protezione dei dati dell’UE è sancito nel diritto primario nell’articolo 16, paragrafo 2, TFUE, e nell’articolo 8, paragrafo 3, della Carta. La Corte di giustizia ha costantemente sottolineato che il controllo da parte di un’autorità indipendente è una elemento essenziale del diritto alla protezione dei dati ed ha stabilito i criteri di tale indipendenza (3). In particolare, l’autorità di vigilanza deve agire in piena indipendenza, il che implica un potere decisionale appunto indipendente da qualsiasi influenza esterna diretta o indiretta (4) e l’assenza di qualsiasi sospetto di parzialità (5).

4.

Il principale strumento giuridico applicabile al trattamento dei dati personali da parte delle istituzioni dell’UE è il regolamento (CE) n. 45/2001 (6) («regolamento 45/2001»), integrato dalla decisione n. 1247/2002/CE (7).

5.

A seguito della conclusione delle prolungate trattative sul nuovo quadro giuridico dell’UE in materia di protezione dei dati il 27 aprile 2016 [regolamento generale sulla protezione dei dati («RGPD») e direttiva in materia di polizia e giustizia penale], questa proposta [insieme alla proposta della Commissione di un regolamento sulla vita privata e le comunicazioni elettroniche («regolamento sulla e-privacy» (8))] segna l’inizio di una fase cruciale nel processo di completamento del quadro giuridico dell’UE in materia di protezione dei dati. Essa si prefigge di allineare le disposizioni del regolamento 45/2001 alle norme stabilite dal RGPD, al fine di predisporre un quadro di protezione dei dati più solido e coerente nell’Unione e consentire l’applicazione di entrambi gli strumenti a decorrere dalla stessa data (9). Inoltre, la proposta integra anche le nuove norme per la protezione delle apparecchiature terminali degli utenti finali, stabilite nella proposta della Commissione in ordine al nuovo regolamento sull’e-privacy.

6.

Nella strategia 2015-2019, il GEPD si è impegnato a collaborare con il Parlamento europeo, il Consiglio e la Commissione per garantire che le attuali norme contenute nel regolamento 45/2001 siano allineate con quelle del GDPR e che al più tardi per l’inizio del 2018 entri in vigore un quadro modificato; il GEPD accoglie con favore il fatto che la Commissione lo abbia consultato in modo informale prima dell’adozione della proposta e che quest’ultima sembra tenere conto di molti elementi sollevati nei contributi informali del GEPD fino a oggi. Il GEPD considera la proposta attuale più che soddisfacente sotto il profilo del massimo allineamento con il RGPD a meno che le specificità rigorosamente definite del settore pubblico nell’UE giustifichino eventuali divergenze, e apprezza in modo particolare l’equilibrio dei vari interessi in gioco conseguito dalla Commissione.

7.

Anche se questo parere indica una serie di ambiti in cui la proposta potrebbe essere ulteriormente migliorata, il GEPD incoraggia il legislatore dell’UE a raggiungere un accordo su detta proposta il più rapidamente possibile, in modo da permettere alle istituzioni dell’UE di beneficiare di un ragionevole periodo di transizione, prima che il nuovo regolamento possa diventare pienamente applicabile.

1.2   Obiettivi e calendario della proposta

8.

In passato, il GEPD ha raccomandato che le norme sostanziali per le istituzioni dell’UE fossero incorporate nel (all’epoca) progetto di RGPD (10). Il legislatore dell’UE ha scelto un’altra opzione: uno strumento giuridico separato, applicabile alle istituzioni dell’UE, in linea con il RGPD e applicabile contemporaneamente allo stesso. Il GEPD condivide questo approccio: sarebbe inaccettabile se la Commissione europea e le altre istituzioni dell’UE non fossero vincolate da norme equivalenti a quelle che a breve diventeranno applicabili a livello degli Stati membri. Inoltre, non sarebbe auspicabile che il GEPD vigilasse sulla conformità delle istituzioni UE a norme sostanziali che sarebbero meno rigorose delle norme il cui rispetto è controllato dai suoi omologhi a livello nazionale, soprattutto in considerazione del fatto che il GEPD sarà membro del futuro Comitato europeo per la protezione dei dati (11).

9.

Le future norme applicabili al trattamento dei dati personali da parte delle istituzioni dell’UE dovrebbero, pertanto, essere in linea con le disposizioni del RGPD, a meno che le specificità rigorosamente interpretate del settore pubblico giustifichino eventuali divergenze. A questo proposito, il GEPD accoglie con favore il considerando 5 della proposta, nel quale si sottolinea la necessità di un allineamento ottimale e si chiarisce che, «(q)uando le disposizioni del presente regolamento si basano sullo stesso concetto su cui si basano le disposizioni (del RGPD), le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello (del RGPD)».

10.

Al tempo stesso, l’allineamento con il RGPD non può essere completo, né automatico. Il RGPD prevede numerose clausole che permettono agli Stati membri di mantenere o introdurre normative specifiche in alcuni settori, compreso per le autorità pubbliche (12). Nei casi in cui il RGPD prevede norme specifiche per le autorità pubbliche, (13) o lascia spazio per l’attuazione delle sue disposizioni da parte degli Stati membri, la proposta si può considerare come avente un ruolo paragonabile a quello di una legge nazionale «di attuazione» del RGPD; si vedano a titolo di esempio l’articolo 9 «Trasmissione di dati personali a destinatari diversi dalle istituzioni e dagli organi dell’Unione» o l’articolo 66 «Sanzioni amministrative pecuniarie» della proposta (cfr. la successiva sezione 2.8.1). Inoltre, è importante garantire il mantenimento dell’alto livello di protezione attualmente applicabile alle istituzioni dell’UE. Da qui la necessità di mantenere alcune specificità del regolamento 45/2001, come all’articolo 25 Limitazioni (cfr. la successiva sezione 2.3.1). e all’articolo 44 Designazione del responsabile della protezione dei dati (cfr. la successiva sezione 2.4.5.1).

11.

A parte il sostanziale allineamento con il RGPD, è essenziale che le norme rivedute diventino pienamente applicabili contemporaneamente al RGPD, ossia il 25 maggio 2018. La rete esistente di responsabili della protezione dei dati fornisce un canale idoneo per lo scambio di informazioni e la cooperazione. Di conseguenza, il GEPD è convinto che la conformità potrebbe essere conseguita dopo un periodo di transizione relativamente breve, ad es. tre mesi.

12.

Il principio di responsabilità su cui si fonda il RGPD – come anche la presente proposta – va oltre il semplice rispetto delle regole e implica un cambiamento di cultura. Per agevolare la transizione, il GEPD ha avviato un «progetto di responsabilità». In tale contesto, nel corso del 2016 e del 2017 il GEPD è stato in contatto con sette istituzioni e organismi fondamentali dell’UE, per contribuire a prepararsi in tempo utile all’applicazione del RGPD.

1.3   Ambito di applicazione e rapporto con altri strumenti giuridici

13.

In passato, in diverse occasioni il GEPD ha invitato la Commissione a proporre un sistema efficace e globale, che fosse ambizioso e in grado di migliorare l’efficacia e la coerenza della protezione dei dati nell’UE, in modo da garantire un ambiente solido per un ulteriore sviluppo negli anni a venire (14). La Commissione ha scelto un approccio diverso, proponendo uno strumento giuridico separato per la protezione dei dati nel settore dell’applicazione della legge (15). È seguita una serie di proposte di atti giuridici per l’introduzione di sistemi autonomi di protezione dei dati (16).

14.

Il GEPD riconosce che l’attuale, seppur frammentato, quadro giuridico per la protezione dei dati personali è il miglior risultato a tutt’oggi possibile (17). Il GEPD comprende che la presente proposta continuerebbe ad applicarsi alle istituzioni dell’UE che oggi rientrano nell’ambito di applicazione del regolamento 45/2001 (18) (sostanzialmente, tutte le istituzioni, gli organismi, gli uffici e le agenzie dell’ex primo e secondo «pilastro»), (19) ma non inciderebbe, in quanto tale, sui sistemi «autonomi» esistenti o transitori (20). La presente proposta avrà un impatto su tali sistemi solo se, e nella misura in cui, ciò sia previsto espressamente nel pertinente strumento giuridico. Il GEPD prende atto di questo approccio, ma suggerisce che ciò venga affermato più chiaramente nel preambolo della proposta e, possibilmente, anche nell’articolo 2 Ambito di applicazione. Al contempo, il GEPD desidera sottolineare che la frammentazione e la crescente complessità del quadro giuridico per il trattamento dei dati da parte di varie istituzioni dell’UE attive nell’ex primo e terzo «pilastro» non costituiscono un risultato pienamente soddisfacente e potrebbero richiedere un esame a medio termine da parte del legislatore dell’UE.

15.

Il regolamento 45/2001 prevede misure volte alla tutela della vita privata e della riservatezza delle comunicazioni nei casi in cui le istituzioni dell’UE hanno il controllo dell’infrastruttura utilizzata per la comunicazione. A tal fine, esso contiene alcune disposizioni che disciplinano parti dell’ambito normativo della direttiva 2002/58/CE («direttiva e-privacy») (21) e sancisce il principio che le norme per la tutela dei diritti fondamentali devono essere applicate in modo coerente e armonioso in tutta l’Unione, facendo riferimento a strumenti pertinenti, come la direttiva relativa alla vita privata e alle comunicazioni elettroniche (22). La necessità di garantire lo stesso livello di riservatezza e confidenzialità delle comunicazioni che coinvolgono le istituzioni dell’UE rimane invariata e, pertanto, il principio dell’applicazione coerente e armoniosa dovrebbe essere mantenuto. Il GEPD ritiene, pertanto, che la proposta dovrebbe garantire che le pertinenti norme del RGPD e il futuro regolamento sull’e-privacy si applicheranno alle istituzioni dell’UE mutatis mutandis. Questo dovrebbe includere sia la tutela della riservatezza e della vita privata per quanto riguarda i servizi di comunicazione controllati da istituzioni dell’UE, sia altri principi del futuro regolamento sull’e-privacy, quali la tutela della vita privata in relazione alle apparecchiature terminali e altre norme, ad esempio per quanto riguarda tracciabilità e spam.

16.

Infine, sebbene la legislazione dell’UE in materia di protezione dei dati si applichi anche allo spazio economico europeo e i paesi EFTA partecipanti siano tenuti a istituire autorità di controllo indipendenti ai sensi del RGPD, le istituzioni EFTA non sono soggette a norme e controlli specifici sulla protezione dei dati, malgrado scambino dati personali con le istituzioni dell’UE. Il GEPD ritiene che la presente proposta potrebbe essere un’occasione per affrontare tale questione.

3.   CONCLUSIONI

90.

Nel complesso, il GEPD considera che la proposta allinei in modo efficace le norme per le istituzioni dell’UE al RGPD, pur tenendo conto delle specificità del settore pubblico dell’UE, e che in generale conservi l’elevato livello di protezione per quanto riguarda il trattamento dei dati da parte delle istituzioni dell’UE. Il GEPD apprezza particolarmente l’equilibrio tra i vari interessi in gioco conseguito dalla Commissione.

91.

Il GEPD ritiene che la proposta dovrebbe essere ulteriormente migliorata, in particolare per quanto riguarda le modalità in materia di limitazioni di cui all’articolo 25. Al fine di garantire il rispetto della qualità dei requisiti di legge di cui sopra, l’articolo 25, paragrafo 1, della proposta dovrebbe essere modificato nel senso che solo gli atti giuridici adottati sulla base dei trattati dovrebbero poter imporre limitazioni ai diritti fondamentali, imponendo così alle istituzioni dell’UE le stesse norme che si applicherebbero agli Stati membri ai sensi del RGPD. Nella misura in cui sono contemplate limitazioni con riferimento all’articolo 34 Riservatezza delle comunicazioni elettroniche, il GEPD invita il legislatore europeo a garantire che eventuali limitazioni del diritto fondamentale alla riservatezza delle comunicazioni da parte delle istituzioni dell’UE nello svolgimento delle proprie attività si conformino alle stesse norme stabilite dal diritto dell’Unione, come interpretate dalla Corte di giustizia in questo settore.

92.

Il GEPD si compiace del fatto che la proposta preveda un articolo separato dedicato al ruolo dello stesso GEPD quale consulente per le istituzioni dell’UE (articolo 42 della proposta). Il GEPD teme, tuttavia, che la formulazione «[a]seguito dell’adozione di proposte» (in contrapposizione a «[a]l momento dell’adozione di una proposta legislativa» di cui all’articolo 28, paragrafo 2, del regolamento 45/2001) potrebbe mettere in discussione il perdurante impegno della Commissione europea a consultare il GEPD in modo informale in merito ai progetti di proposta, solitamente nella fase della consultazione interservizi. Data l’importanza della consultazione informale, il GEPD accoglierebbe con favore un considerando in cui la Commissione ribadisce il proprio impegno a questa prassi consolidata. Il GEPD ritiene altresì auspicabile che la proposta mantenga la formulazione dell’articolo 28, paragrafo 2, del regolamento 45/2001 («al momento dell’adozione»), che consente un più ampio margine di manovra nei suoi confronti. Il GEPD è del parere che l’articolo 42, come proposto, fornisce chiarimenti circa i compiti rispettivi dello stesso GEPD e del Comitato europeo per la protezione dei dati, sufficienti per evitare inutili duplicazioni in futuro.

93.

Il GEPD ritiene che la possibilità di esternalizzare la funzione di un responsabile della protezione dei dati non sia adatta per le istituzioni dell’UE che esercitano pubblici poteri. Di conseguenza, l’articolo 44, paragrafo 4, seconda alternativa («oppure assolvere i suoi compiti in base a un contratto di servizi») dovrebbe essere eliminato.

94.

Il GEPD accoglie con favore l’articolo 66 della proposta, che gli conferirebbe il potere di imporre sanzioni amministrative pecuniarie. Il GEPD ritiene che privare l’autorità di vigilanza dell’UE della possibilità di imporre sanzioni amministrative, se del caso, permetterebbe alle istituzioni dell’UE di godere di una posizione privilegiata rispetto alle istituzioni del settore pubblico in molti Stati membri.

95.

Il GEPD ritiene che i meccanismi di certificazione potrebbero essere uno strumento molto utile per le istituzioni dell’UE e afferma che vengono già utilizzati in determinati contesti, ad esempio per certificare la conformità con le norme generalmente accettate. Riferimenti all’uso della certificazione (ma non ai codici di condotta) dovrebbero pertanto essere aggiunti all’articolo 26 Responsabilità del titolare del trattamento, all’articolo 27 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita nonché all’articolo 33 Sicurezza.

96.

Anche se questo parere evidenzia una serie di ambiti in cui la proposta potrebbe essere ulteriormente migliorata, il GEPD incoraggia il legislatore dell’UE a raggiungere un accordo su detta proposta il più rapidamente possibile, in modo da permettere alle istituzioni dell’UE di beneficiare di un ragionevole periodo di transizione prima che il nuovo regolamento possa diventare applicabile contemporaneamente al RGPD, nel maggio 2018.

Bruxelles, 15 marzo 2017

Giovanni BUTTARELLI

Garante europeo della protezione dei dati


(1)  COM(2017) 8 final; 2017/0002 (COD) (later, «the Proposal»).

(2)  Article 286 EC rendered the (then) Community rules on data protection applicable to EU institutions and bodies and mandated the creation of a dedicated independent supervisory authority (later, the EDPS).

(3)  Case C-518/07 Commission v Germany, EU:C:2010:125; Case C-614/10 Commission v Austria, EU:C:2012:631; Case C-288/12 Commission v Hungary, EU:C:2014:237; Case C-362/14 Maximilian Schrems v Data Protection Commissioner, ECLI:EU:C:2015:650.

(4)  Case C-518/07 Commission v Germany, supra para. 19.

(5)  Case C-288/12 Commission v Hungary, supra para. 53.

(6)  See supra note 3.

(7)  Decision No 1247/2002/EC of the European Parliament, of the Council and of the Commission of 1 July 2002 on the regulations and general conditions governing the performance of the European Data Protection Supervisor’s duties, OJ L 183, 12.7.2002, p. 1.

(8)  Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), COM(2017) 10 final, 2017/0003 (COD).

(9)  See Article 98 and recital 17 of the GDPR.

(10)  See e.g. the EDPS Opinion of 7 March 2012 on the data protection reform package, OJ C 192, 30.6.2012, p. 7.

(11)  EDPS Opinion of 7 March 2012 on the data protection reform package, p. 6.

(12)  See in particular Article 6(3) and recital 10 to the GDPR: «Regarding the processing of personal data for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Member States should be allowed to maintain or introduce national provisions to further specify the application of the rules of this Regulation. In conjunction with the general and horizontal law on data protection implementing Directive 95/46/EC, Member States have several sector-specific laws in areas that need more specific provisions. This Regulation also provides a margin of manoeuvre for Member States to specify its rules, including for the processing of special categories of personal data (‘sensitive data’). To that extent, this Regulation does not exclude Member State law that sets out the circumstances for specific processing situations, including determining more precisely the conditions under which the processing of personal data is lawful.»

(13)  E.g. last sentence of Article 6(1), Article 20(5), Article 27, Article 37, Article 41 or Article 46(2)(a) of the GDPR.

(14)  See in particular the EDPS Opinion of 14 January 2011 on the Communication «A comprehensive approach on personal data in the European Union», OJ L 181, 22.6.2011, p. 1.

(15)  See supra note 5.

(16)  Proposal for a Regulation of the European Parliament and of the Council on the European Union Agency for Law Enforcement Cooperation and Training (Europol) and repealing Decisions 2009/371/JHA and 2005/681/JHA, COM(2013) 173 final, now adopted as Regulation 2016/794 and published in OJ L 135 24.05.2016, p. 53; Proposal for a Council Regulation on the establishment of the European Public Prosecutor's Office, COM(2013) 534 final. See also the Council General approach [First reading] on the Proposal for a Regulation on the European Union Agency for Criminal Justice Cooperation (Eurojust) available at: http://data.consilium.europa.eu/doc/document/ST-6643-2015-INIT/en/pdf.

(17)  EDPS Opinion 3/2015 «Europe’s big opportunity - EDPS recommendations on the EU’s options for data protection reform», available at: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-10-09_GDPR_with_addendum_EN.pdf.

(18)  See the list of EU institutions and bodies available at: http://publications.europa.eu/code/en/en-390500.htm.

(19)  Regulation 45/2001 already today applies to, inter alia, the European Defence Agency, European Union Institute for Security Studies, and the European Union Satellite Centre.

(20)  Europol, Eurojust, EPPO, supra note 21.

(21)  Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications, OJ L 201, 31.7.2002, p. 37, as amended (later, «the ePrivacy Directive»).

(22)  Recitals 10-12 ePrivacy Directive.