COMMISSIONE EUROPEA
Bruxelles, 11.4.2016
COM(2016) 214 final
2012/0011(COD)
COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO
a norma dell'articolo 294, paragrafo 6, del trattato sul funzionamento
dell'Unione europea
riguardante la
posizione del Consiglio sull'adozione di un regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e
la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)
e che abroga la direttiva 95/46/CE
2012/0011 (COD)
COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO
a norma dell'articolo 294, paragrafo 6, del trattato sul funzionamento
dell'Unione europea
riguardante la
posizione del Consiglio sull'adozione di un regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e
la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)
e che abroga la direttiva 95/46/CE
1.Contesto
Data di trasmissione della proposta al Parlamento europeo e al Consiglio
(documento COM(2012) 11 final – 2012/11 COD):
|
25 gennaio 2012
|
Data del parere del Comitato economico e sociale europeo:
SOC/455 EESC-2012-1303
|
23 maggio 2012
|
Data della posizione del Parlamento europeo in prima lettura:
|
12 marzo 2014
|
Data di trasmissione della proposta modificata:
|
N/D
|
Data di adozione della posizione del Consiglio:
|
8 aprile 2016
|
2.Finalità della proposta della Commissione
La direttiva 95/46/CE, che costituisce lo strumento legislativo essenziale della protezione dei dati personali in Europa, è stata una pietra miliare della storia della protezione dei dati. I suoi obiettivi, assicurare il funzionamento del mercato unico e l'effettiva protezione dei diritti e delle libertà fondamentali delle persone fisiche, rimangono tuttora validi. La direttiva risale tuttavia a 21 anni fa, un'epoca in cui Internet era ancora in uno stadio iniziale di sviluppo. Nel nuovo, dinamico, ambiente digitale le norme attualmente in vigore non permettono il grado di armonizzazione richiesto né hanno l'efficacia necessaria per garantire il diritto alla protezione dei dati di carattere personale.
In tale contesto la Commissione ha proposto, il 25 gennaio 2012, un regolamento inteso a sostituire la direttiva 95/46/CE e che istituisce un quadro generale dell'UE per la protezione dei dati. La proposta di regolamento aggiorna i principi della direttiva del 1995, adattandoli all'era digitale e armonizzando la normativa sulla protezione dei dati in Europa. Servono norme rigorose sulla protezione dei dati per ricostruire la fiducia dei cittadini sull'uso riservato ai loro dati personali.
La proposta di regolamento intende: rafforzare i diritti delle persone e il mercato interno dell'UE, garantire un'attuazione più rigorosa delle norme, semplificare i trasferimenti internazionali di dati personali e stabilire norme a livello mondiale in materia di protezione dei dati.
La proposta darà ai cittadini un maggiore controllo dei loro dati personali e consentirà loro un accesso più facile. Le norme sono intese a tutelare le informazioni personali delle persone, ovunque tali informazioni si trovino. Le nuove norme prevedono a tal fine:
un accesso migliore ai propri dati - le persone disporranno di maggiori informazioni, chiare e comprensibili, sulle modalità di trattamento dei loro dati;
il diritto all'oblio - quando una persona non desidera più che i propri dati siano trattati e, purché non vi siano motivi validi per conservarli, i dati saranno eliminati;
il diritto di sapere che i propri dati sono stati violati - le imprese dovranno notificare all'autorità di controllo le violazioni dei dati che mettono a rischio le persone e comunicare agli interessati le violazioni che comportano rischi elevati non appena possibile, per consentire loro di prendere le opportune misure;
il diritto alla portabilità dei dati - le persone potranno più facilmente trasmettere dati personali da un fornitore di servizi all'altro.
La proposta aiuta inoltre il mercato unico digitale a sfruttare il suo potenziale, mediante:
un continente, una legge - un'unica legge di portata europea in materia di protezione dei dati, anziché un insieme disomogeneo di 28 leggi nazionali;
one-stop-shop (sportello unico) - uno sportello unico per le imprese, per le quali, dovendo interagire con un'unica autorità di controllo (anziché 28), sarà più facile e meno oneroso operare nell'UE;
condizioni di concorrenza eque - attualmente le imprese europee devono rispettare norme più rigorose rispetto a quelle stabilite al di fuori dell'UE, ma anche per esercitare attività all'interno del mercato unico. Con la riforma le imprese al di fuori dell'Europa dovranno applicare le stesse regole quando offrono beni o servizi sul mercato dell'UE;
neutralità tecnologica - il regolamento permette di continuare a stimolare l'innovazione nel quadro delle nuove regole.
Infine, il regolamento proposto stabilisce che le autorità di controllo possano irrogare ammende nei confronti delle imprese che non rispettano le norme dell'UE che possono arrivare al 2% del loro fatturato annuo complessivo.
3.Osservazioni sulla posizione del Consiglio
La posizione del Consiglio rispecchia l'accordo politico raggiunto tra il Parlamento europeo e il Consiglio il 15 dicembre 2015 in occasione di triloghi informali e successivamente approvato dal Consiglio il 8 aprile 2016.
La Commissione sostiene tale accordo in quanto è in linea con gli obiettivi della proposta della Commissione.
L'accordo consolida la natura dello strumento giuridico proposto dalla Commissione, ovvero un regolamento anziché una direttiva che in seguito richiede il recepimento nei 28 ordinamenti giuridici. Assicura inoltre il necessario livello di armonizzazione, pur lasciando margini di manovra agli Stati membri per quanto riguarda le specifiche delle norme sulla protezione dei dati per il settore pubblico.
La posizione del Consiglio conferma l'impostazione della Commissione circa la portata territoriale del regolamento che si applicherà anche ai responsabili o agli incaricati del trattamento dei dati stabiliti in un paese terzi se offrono beni o servizi o controllano il comportamento dei soggetti dei dati nell'Unione.
L'accordo, conformemente all'impostazione della Commissione, rafforza i principi del trattamento dei dati (ad esempio la minimizzazione dei dati) e i diritti degli interessati, sancendo il diritto all'oblio e il diritto alla portabilità, e approfondendo diritti esistenti come il diritto all'informazione o il diritto all'accesso.
Inoltre, l'accordo mantiene ed estende l'impostazione basata sul rischio già presente nella proposta della Commissione, in base alla quale i responsabili del trattamento e in alcuni casi gli incaricati del trattamento devono tenere conto della natura, della portata e della finalità del trattamento e i rischi, aventi probabilità e gravità diverse, per i diritti e le libertà dei dati oggetto di tale trattamento. L'accordo concluso sul meccanismo dello “sportello unico” è inoltre giuridicamente e istituzionalmente solido e conferisce un notevole valore aggiunto per le imprese e i soggetti interessati. Tale meccanismo si baserà sul principio dell'autorità "più idonea" a prendere la decisione e riguarderà specificamente solo i casi aventi un'importante dimensione transfrontaliera. Il risultato raggiunto in sede di Consiglio conferma l'elemento essenziale della semplificazione offerto da un'unica decisione in tutta l'UE e un unico interlocutore per le imprese e i singoli.
L'accordo chiarisce e specifica le norme sul trasferimento internazionale per quanto riguarda, ad esempio, i criteri di cui tener conto per valutare il livello di tutela in un paese terzo oppure gli strumenti che possono offrire valide tutele per i trasferimenti internazionali.
La posizione del Consiglio conferisce alle autorità di controlla la facoltà di irrogare sanzioni finanziarie per le violazione del regolamento che possono arrivare al 2-4% del fatturato annuo complessiva di un'impresa.
Infine, la proposta del Consiglio, contrariamente alla proposta della Commissione, non considera il regolamento come un ampliamento dell'acquis di Schengen. La Commissione ritiene quindi necessaria una dichiarazione a tale riguardo.
4.Conclusione
La Commissione approva i risultati dei negoziati interistituzionali e può pertanto accettare la posizione del Consiglio in prima lettura.
5.Dichiarazione della Commissione - rilevanza del regolamento per quanto riguarda Schengen
“La Commissione deplora la modifica della sua proposta iniziale con la soppressione dei considerando 136, 137 e 138 relativi all'acquis di Schengen. La Commissione ritiene che per quanto riguarda in particolare i visti, il controllo delle frontiere e il ritorno, il regolamento generale sulla protezione dei dati costituisca un ampliamento dell'acquis di Schengen per i quattro Stati associati all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen.”