22.6.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 181/1

1.

Il 4 novembre 2010 la Commissione ha adottato una comunicazione dal titolo «Un approccio globale alla protezione dei dati personali nell’Unione europea» (la «comunicazione») (3). La comunicazione è stata trasmessa al GEPD per consultazione. Il GEPD si compiace di essere stato consultato dalla Commissione conformemente all’articolo 41 del regolamento (CE) n. 45/2001. Già prima dell’adozione della comunicazione il GEPD aveva avuto la possibilità di formulare osservazioni informali, alcune delle quali sono state prese in considerazione nella versione definitiva del documento.

2.

Obiettivo della comunicazione è definire l’approccio della Commissione per rivedere il quadro giuridico dell’UE che disciplina la protezione dei dati personali in tutti i settori di attività dell’Unione, tenendo conto in particolare delle sfide generate dalla globalizzazione e dalle nuove tecnologie (4).

3.

Il GEPD accoglie con favore la comunicazione in generale, poiché è convinto che sia necessario rivedere l’attuale quadro giuridico sulla protezione dei dati nell’UE al fine di garantire una tutela efficace in una società dell’informazione destinata a svilupparsi ulteriormente. Già nel parere formulato il 25 luglio 2007 sull’applicazione della direttiva sulla protezione dei dati (5) il GEPD aveva concluso che, a più lungo termine, delle modifiche della direttiva 95/46/CE sarebbero state inevitabili.

4.

La comunicazione rappresenta un considerevole passo avanti verso tale cambiamento normativo, che a sua volta costituirà lo sviluppo più importante nel settore della protezione dei dati dell’UE dall’adozione della direttiva 95/46/CE, che viene generalmente considerata la principale pietra miliare della protezione dei dati nell’Unione europea (e, a livello più ampio, nello Spazio economico europeo).

5.

La comunicazione fornisce il quadro adeguato per una revisione mirata, anche perché individua — generalmente parlando — le questioni e le sfide principali. Il GEPD condivide il parere della Commissione secondo cui in futuro continuerà a essere necessario disporre di un solido sistema di protezione dei dati, partendo dal presupposto che gli attuali principi generali di protezione dei dati continueranno a rimanere validi in una società che è sottoposta a profonde trasformazioni a causa dei rapidi sviluppi tecnologici e della globalizzazione. È pertanto necessaria una revisione delle misure legislative esistenti.

6.

La comunicazione sottolinea giustamente che le sfide sono enormi. Il GEPD condivide appieno tale affermazione e sottolinea che, di conseguenza, le soluzioni proposte devono essere altrettanto ambiziose e rafforzare l’efficacia della protezione.

7.

Il presente parere valuta le soluzioni proposte nella comunicazione sulla base di questi due criteri: ambizione ed efficacia. In generale la prospettiva è positiva. Il GEPD sostiene la comunicazione, ma al tempo stesso esprime una posizione critica su aspetti in cui, a suo parere, una maggiore ambizione darebbe luogo a un sistema più efficace.

8.

Con il presente parere il GEPD intende contribuire all’ulteriore sviluppo del quadro giuridico per la protezione dei dati. Il GEPD attende la proposta della Commissione prevista per la metà del 2011 e auspica che i suoi suggerimenti vengano presi in considerazione nella formulazione della proposta. Osserva inoltre che la comunicazione sembra escludere dallo strumento generale taluni settori, quali il trattamento dei dati da parte delle istituzioni e degli organismi dell’UE. Il GEPD esorta la Commissione — nel caso in cui quest’ultima dovesse effettivamente decidere di tralasciare determinati settori in questa fase, scelta che peraltro il GEPD troverebbe non condivisibile — a impegnarsi a realizzare un’architettura organica in tempi brevi e precisi.

9.

Il presente parere non va considerato in maniera isolata. Esso si basa infatti su posizioni precedentemente espresse dal GEPD e dalle autorità europee di protezione dei dati in varie occasioni. In particolare è opportuno sottolineare che nel summenzionato parere del GEPD del 25 luglio 2007 sono stati individuati e sviluppati alcuni elementi principali delle future modifiche (6). Questo parere si basa inoltre sulle discussioni intercorse con altre parti interessate nei settori della protezione dei dati e della vita privata. Grazie al loro contributo è stato possibile ottenere informazioni di base molto utili sia per la comunicazione sia per il presente parere. A tale proposito si può concludere che esiste una certa sinergia sulle modalità di miglioramento dell’efficacia della protezione dei dati.

10.

Un altro importante caposaldo del presente parere è il documento intitolato «The future of privacy» (Il futuro della privacy), contributo congiunto del Gruppo di lavoro articolo 29 per la protezione dei dati e del Gruppo di lavoro «polizia e giustizia» alla consultazione lanciata dalla Commissione nel 2009 (il «documento del Gruppo di lavoro sul futuro della privacy») (7).

11.

Più di recente, in occasione di una conferenza stampa svoltasi il 15 novembre 2010, il GEPD ha espresso le sue prime considerazioni sulla comunicazione. Il presente parere approfondisce le opinioni più generali formulate nel corso di tale conferenza stampa (8).

12.

Infine, il presente parere si basa su una serie di pareri precedenti del GEPD nonché su documenti del Gruppo di lavoro articolo 29 per la protezione dei dati. A tali pareri e documenti viene fatto riferimento, se del caso, in vari punti del presente parere.

13.

La revisione delle norme di protezione dei dati avviene in un momento storico cruciale. La comunicazione descrive il contesto in maniera approfondita e convincente. Sulla base di tale descrizione il GEPD individua i quattro fattori principali che determinano l’ambiente in cui avviene il processo di revisione.

14.

Il primo fattore è lo sviluppo tecnologico. La tecnologia odierna non è quella che si utilizzava quando è stata concepita e adottata la direttiva 95/46/CE. Fenomeni tecnologici quali il cloud computing, la pubblicità comportamentale, le reti sociali, il telepedaggio e i dispositivi di localizzazione geografica hanno modificato profondamente il modo in cui vengono trattati i dati personali e costituiscono sfide enormi per la protezione dei dati. Una revisione delle norme europee di protezione dei dati dovrà affrontare efficacemente queste problematiche.

15.

Il secondo fattore è la globalizzazione. Grazie alla progressiva eliminazione degli ostacoli agli scambi, le imprese hanno acquisito una crescente dimensione globale. Il trattamento transfrontaliero dei dati e i trasferimenti internazionali sono aumentati in maniera esponenziale negli ultimi anni. Inoltre, grazie alle tecnologie dell’informazione e della comunicazione, il trattamento dei dati ha raggiunto una diffusione capillare: Internet e il cloud computing hanno permesso di delocalizzare il trattamento di grandi quantità di dati su scala mondiale. Nell’ultimo decennio si è altresì assistito a un incremento delle attività giudiziarie e di polizia svolte a livello internazionale per contrastare il terrorismo e altre forme di criminalità organizzata internazionale, sostenute da un enorme scambio di informazioni a fini di contrasto. Per tutti questi motivi è necessario valutare attentamente il modo di garantire un’efficace protezione dei dati personali nel mondo globalizzato senza ostacolare in maniera considerevole le attività internazionali di trattamento dei dati.

16.

Il terzo fattore è il trattato di Lisbona. L’entrata in vigore del trattato di Lisbona segna una nuova era per la protezione dei dati. L’articolo 16 del TFUE non solo contiene un diritto individuale dell’interessato, ma fornisce anche una base giuridica diretta per una solida normativa in materia di protezione dei dati valida in tutta l’UE. Inoltre, la soppressione della struttura a pilastri sancisce l’obbligo per il Parlamento europeo e il Consiglio di garantire la protezione dei dati in tutti i settori del diritto dell’UE. In altri termini, consente l’emanazione di un quadro giuridico globale per la protezione dei dati applicabile al settore privato, al settore pubblico negli Stati membri e alle istituzioni e agli organismi dell’UE. A tale proposito il programma di Stoccolma (9) afferma coerentemente che l’Unione deve garantire una strategia globale in materia di protezione dei dati all’interno dell’UE e nell’ambito delle relazioni con i paesi terzi.

17.

Il quarto fattore è rappresentato dagli sviluppi paralleli che stanno avendo luogo nell’ambito delle organizzazioni internazionali. Sono in corso vari dibattiti sulla modernizzazione degli strumenti giuridici esistenti per la protezione dei dati. A tale proposito è importante citare le attuali riflessioni intraprese in merito alla futura revisione della Convenzione 108 del Consiglio d’Europa (10) e delle linee guida dell’OCSE sulla protezione della vita privata (11). Un altro sviluppo importante riguarda l’adozione di norme internazionali sulla protezione dei dati personali e della vita privata, da cui potrebbe eventualmente scaturire l’adozione di uno strumento globale vincolante sulla protezione dei dati. Tutte queste iniziative meritano pieno sostegno. Il loro obiettivo comune deve essere garantire una protezione efficace e omogenea in un ambiente ad alto contenuto tecnologico e globalizzato.

18.

Un solido quadro di protezione dei dati è la conseguenza necessaria dell’importanza attribuita alla protezione dei dati nell’ambito del trattato di Lisbona, in particolare dall’articolo 8 della Carta dei diritti fondamentali dell’Unione e dall’articolo 16 del TFUE, nonché dello stretto collegamento con l’articolo 7 della Carta (12).

19.

Un solido quadro di protezione dei dati, tuttavia, è anche al servizio di interessi pubblici e privati più ampi in una società dell’informazione caratterizzata da un trattamento dei dati pervasivo. La protezione dei dati promuove la fiducia, e la fiducia è una componente essenziale per il buon funzionamento della nostra società. È indispensabile che le misure di protezione dei dati siano concepite in maniera tale che — per quanto possibile — possano sostenere attivamente anziché ostacolare altri diritti e interessi legittimi.

20.

Esempi importanti di altri interessi legittimi sono un’economia europea forte, la sicurezza delle persone e la responsabilità dei governi.

21.

Lo sviluppo economico dell’UE va di pari passo con l’introduzione e la commercializzazione di nuovi servizi e tecnologie. Nella società dell’informazione la comparsa e il buon esito della diffusione dei servizi e delle tecnologie dell’informazione e della comunicazione (TIC) dipendono dalla fiducia. Se le persone non hanno fiducia nelle TIC, queste tecnologie potrebbero fallire (13). E le persone avranno fiducia nelle TIC solo se i loro dati saranno protetti efficacemente. La protezione dei dati, pertanto, deve essere parte integrante di tecnologie e servizi. Un solido quadro di protezione dei dati favorisce l’economia europea, purché tale quadro sia non solo solido ma anche concepito in maniera adeguata. In quest’ottica una maggiore armonizzazione nell’UE e la riduzione al minimo degli oneri amministrativi rivestono un’importanza fondamentale (cfr. il capo 5 del presente parere).

22.

Negli ultimi anni si è parlato molto della necessità di raggiungere un equilibrio tra vita privata e sicurezza, specialmente riguardo agli strumenti di trattamento e scambio dei dati nel settore della cooperazione di polizia e giudiziaria (14). La protezione dei dati è stata piuttosto spesso erroneamente ritenuta un ostacolo alla piena protezione della sicurezza fisica delle persone (15) o per lo meno una condizione inevitabile da rispettare da parte delle autorità di contrasto. Si tratta tuttavia di una visione riduttiva. Un solido quadro di protezione dei dati può affinare e rafforzare la sicurezza. In base ai principi di protezione dei dati — se correttamente applicati — i responsabili del trattamento sono tenuti a garantire che le informazioni siano precise e aggiornate e che i dati personali superflui che non sono necessari ai fini delle attività di contrasto siano eliminati dai sistemi. Si può analogamente segnalare l’obbligo di attuare le misure tecnologiche e organizzative volte a garantire la sicurezza dei sistemi, quali le disposizioni finalizzate a proteggerli dalla divulgazione o dall’accesso non autorizzati, come quelle sviluppate nel settore della protezione dei dati.

23.

L’osservanza dei principi di protezione dei dati può ulteriormente garantire che le autorità di contrasto agiscano nel rispetto dello stato di diritto che stimola la fiducia nel loro operato e promuove pertanto in senso più ampio la fiducia nelle nostre società. La giurisprudenza elaborata a norma dell’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo garantisce alle autorità giudiziarie e di polizia la possibilità di trattare tutti i dati pertinenti per il loro lavoro, ma non in maniera illimitata. La protezione dei dati richiede pesi e contrappesi (per quanto riguarda la polizia e la giustizia, cfr. il capo 9 del parere).

24.

Nelle società democratiche i governi sono responsabili di tutte le loro attività, anche dell’uso dei dati personali per la soddisfazione dei vari interessi pubblici di cui sono al servizio, il che va dalla pubblicazione dei dati su Internet per motivi di trasparenza all’utilizzo dei dati a sostegno di politiche in settori quali la salute pubblica, i trasporti, la fiscalità e la sorveglianza delle persone a fini di contrasto. Un solido quadro di protezione dei dati permette ai governi di rispettare gli obblighi loro incombenti e di rendere conto del proprio operato, nell’ambito del buon governo.

25.

La comunicazione ha giustamente individuato che una delle lacune fondamentali del quadro attuale è che lascia agli Stati membri un eccessivo margine di discrezione nella trasposizione delle disposizioni europee nell’ordinamento nazionale. La mancanza di armonizzazione ha molte conseguenze negative in una società dell’informazione in cui le frontiere fisiche tra gli Stati membri diventano sempre meno rilevanti (cfr. il capo 5 del parere).

26.

Un primo e più formale motivo per cui i principi generali di protezione dei dati non devono e non possono essere modificati è di natura giuridica. Tali principi sono fissati dalla Convenzione 108 del Consiglio d’Europa, che è vincolante per tutti gli Stati membri. Questa convenzione è la base della protezione dei dati nell’UE. Alcuni dei principi fondamentali, inoltre, sono espressamente indicati nell’articolo 8 della Carta dei diritti fondamentali dell’Unione. Per modificare tali principi, pertanto, occorrerebbe modificare i trattati.

27.

Questo motivo, tuttavia, non è l’unico. Esistono anche altre ragioni sostanziali per non modificare i principi generali. Il GEPD è fermamente convinto che una società dell’informazione non possa e non debba funzionare senza un’adeguata protezione della vita privata e dei dati personali. Quando il numero delle informazioni trattate aumenta, occorre anche migliorare la protezione. Una società dell’informazione in cui vengono trattate considerevoli quantità di dati su chiunque deve fondarsi sul concetto di controllo da parte dell’individuo, in modo da permettere al soggetto interessato di agire come persona e di esercitare le proprie libertà, quali le libertà di espressione e di parola, in una società democratica.

28.

Inoltre, è difficile immaginare il controllo dell’individuo senza prevedere l’obbligo, per i responsabili del trattamento dei dati, di limitare tale attività conformemente ai principi di necessità, proporzionalità e limitazione delle finalità. È altrettanto difficile immaginare il controllo da parte dell’individuo senza il riconoscimento di diritti degli interessati quali i diritti di accesso, rettifica e cancellazione o blocco dei dati.

29.

Il GEPD sottolinea che la protezione dei dati é riconosciuta quale diritto fondamentale. Questo non significa che la protezione dei dati deve sempre prevalere su altri diritti e interessi importanti in una società democratica, ma ha conseguenze per la natura e la portata della protezione che deve essere fornita nell’ambito di un quadro giuridico dell’UE, al fine di garantire che i requisiti in materia di protezione dei dati vengano sempre presi adeguatamente in considerazione.

30.

Queste conseguenze principali possono essere definite come segue:

Il GEPD raccomanda alla Commissione di tenere conto di queste conseguenze nel proporre soluzioni legislative.

31.

La comunicazione si concentra giustamente sulla necessità di rafforzare le misure legislative in materia di protezione dei dati. A tale proposito è opportuno ricordare che nel documento del Gruppo di lavoro sul futuro della privacy (17) le autorità di protezione dei dati avevano sottolineato la necessità di rafforzare il ruolo svolto dai differenti attori nel settore della protezione dei dati, in particolare dalle persone interessate, dai responsabili del trattamento e dalle autorità di controllo stesse.

32.

Sembra che le parti interessate concordino ampiamente sulla necessità di rafforzare il quadro legislativo — tenendo conto degli sviluppi tecnologici e della globalizzazione — per garantire una protezione dei dati ambiziosa ed efficace anche in futuro. Come già indicato al punto 7, sono questi i criteri sulla cui base il GEPD valuta tutte le soluzioni proposte.

33.

Come viene ricordato nella comunicazione, la direttiva 95/46/CE si applica a tutte le attività di trattamento dei dati personali negli Stati membri, sia nel settore pubblico che in quello privato, ad eccezione delle attività che non rientrano nel campo di applicazione del precedente diritto comunitario (18). Benché fosse prevista dall’ex trattato, dopo l’entrata in vigore del trattato di Lisbona questa eccezione non è più necessaria. L’eccezione contravviene peraltro il testo e in ogni caso lo spirito dell’articolo 16 del TFUE.

34.

Il GEPD ritiene che uno strumento giuridico globale per la protezione dei dati che contempli la cooperazione di polizia e giudiziaria in materia penale debba essere considerato come uno dei principali miglioramenti che un nuovo quadro giuridico possa apportare. È una conditio sine qua non per garantire un’efficace protezione dei dati in futuro.

35.

Il GEPD illustra le seguenti argomentazioni a sostegno di tale affermazione:

36.

L’inclusione della polizia e della giustizia nello strumento giuridico generale non solo offrirebbe maggiori garanzie ai cittadini, ma agevolerebbe anche il compito delle autorità di polizia. La necessità di applicare regolamentazioni diverse comporta procedure gravose e inutilmente lunghe e ostacola la cooperazione internazionale (cfr. di seguito il capo 9 del parere). Ne consegue altresì l’opportunità di includere nello strumento le attività di trattamento svolte dai servizi di sicurezza nazionali, nella misura in cui questo sia possibile allo stato attuale del diritto dell’Unione europea.

37.

Il periodo trascorso dall’adozione della direttiva 95/46/CE nel 1995 può essere definito tumultuoso dal punto di vista tecnologico. Vengono introdotti di frequente nuovi sviluppi e dispositivi tecnologici, che in molti casi hanno modificato profondamente le modalità di trattamento dei dati personali. La società dell’informazione non può più essere considerata un ambiente parallelo al quale le persone possono partecipare su base volontaria, ma è divenuta parte integrante della nostra vita quotidiana. Solo a titolo di esempio, il concetto di un internet degli oggetti (22) istituisce interconnessioni tra gli oggetti fisici e le informazioni online ad essi correlate.

38.

La tecnologia continuerà a svilupparsi, con le conseguenze che ne deriveranno per il nuovo quadro giuridico, che dovrà essere efficace per un maggior numero di anni e al tempo stesso non ostacolare ulteriori sviluppi tecnologici. È pertanto necessario che le disposizioni giuridiche siano tecnologicamente neutre. Il quadro deve tuttavia garantire anche una maggiore certezza del diritto per le imprese e per le persone, che devono capire ciò che ci si aspetta da loro e poter esercitare i propri diritti. È pertanto necessario che le disposizioni giuridiche siano precise.

39.

Il GEPD ritiene che uno strumento giuridico generale per la protezione dei dati debba essere formulato, per quanto possibile, in maniera tecnologicamente neutra. Ne consegue la necessità di formulare i diritti e gli obblighi dei vari attori in maniera generale e neutra in modo da garantirne, in linea di principio, la validità e l’applicabilità indipendentemente dalla tecnologia scelta per il trattamento dei dati personali. Non esistono alternative, considerata la rapidità con cui si susseguono i progressi tecnologici al giorno d’oggi. Il GEPD suggerisce di introdurre, accanto ai principi di protezione dei dati esistenti, nuovi diritti «tecnologicamente neutri» che potrebbero avere un’importanza specifica nell’ambiente elettronico in rapida evoluzione (cfr. principalmente i capi 6 e 7).

40.

La direttiva 95/46/CE è, da quindici anni a questa parte, l’atto centrale della legislazione sulla protezione dei dati nell’UE. È stata recepita negli ordinamenti degli Stati membri e applicata dai differenti attori. Nell’arco degli anni la sua applicazione ha beneficiato delle esperienze pratiche e degli ulteriori orientamenti forniti dalla Commissione, dalle autorità di protezione dei dati (a livello nazionale e nell’ambito del Gruppo di lavoro articolo 29) nonché dagli organi giudiziari nazionali ed europei.

41.

È opportuno sottolineare che questi sviluppi richiedono tempo e che — proprio perché si tratta di un quadro generale che dà attuazione a un diritto fondamentale — questo tempo è necessario per creare certezza del diritto e stabilità. Deve essere elaborato un nuovo strumento giuridico generale con l’ambizione di essere in grado di creare certezza del diritto e stabilità più a lungo termine, ricordando che è molto difficile prevedere il modo in cui la tecnologia e la globablizzazione si svilupperanno ulteriormente. In ogni caso, il GEPD sostiene appieno l’obiettivo di creare certezza del diritto più a lungo termine rispetto alla prospettiva della direttiva 95/46/CE. In sintesi, se la tecnologia si sviluppa a un ritmo sostenuto, occorre garantire la stabilità del diritto.

42.

Nel breve periodo è essenziale garantire l’efficacia delle misure legislative esistenti, concentrandosi in primo luogo sulla loro applicazione, a livello sia nazionale che dell’UE (cfr. il capo 11 del presente parere).

43.

Il GEPD condivide appieno l’approccio globale alla protezione dei dati che non è solo il titolo, ma anche il punto di partenza della comunicazione e prevede necessariamente l’estensione dell’applicazione delle norme generali di protezione dei dati alla cooperazione di polizia e giudiziaria in materia penale (23).

44.

Tuttavia, il GEPD rileva altresì che la Commissione non intende includere tutte le attività di trattamento dei dati in questo strumento giuridico generale. In particolare, sarà escluso il trattamento dei dati da parte di istituzioni, organi, organismi e agenzie dell’Unione. La Commissione si limita ad affermare che «valuterà se occorra adeguare altri atti legislativi al nuovo quadro giuridico generale».

45.

Il GEPD è nettamente favorevole all’inclusione del trattamento dei dati a livello dell’UE nel quadro giuridico generale. Ricorda che questa era l’intenzione originale dell’ex articolo 286 CE, che menzionava per la prima volta la protezione dei dati a livello del trattato. L’articolo 286 CE affermava semplicemente che gli strumenti giuridici con riguardo al trattamento dei dati personali si applicano anche alle istituzioni. Soprattutto, un testo giuridico evita il rischio di discrepanze tra disposizioni e risulterebbe più adeguato per lo scambio di dati tra il livello dell’UE e gli organismi del settore pubblico e privato degli Stati membri. Scongiurerebbe altresì il rischio che, in seguito alla modifica della direttiva 95/46/CE, venga meno l’interesse politico di modificare il regolamento (CE) n. 45/2001 o di accordare sufficiente priorità a tale modifica al fine di evitare discrepanze nelle date di entrata in vigore.

46.

Il GEPD esorta la Commissione — nel caso in cui stabilisca l’impossibilità di includere il trattamento dei dati a livello dell’UE nello strumento giuridico generale — a impegnarsi a proporre un adeguamento del regolamento (CE) n. 45/2001 (non a «valutare se occorra» procedere in tal senso) nel più breve tempo possibile e preferibilmente entro la fine del 2011.

47.

È altrettanto importante che la Commissione garantisca che non vengano trascurati altri settori, in particolare:

48.

Infine, uno strumento giuridico generale per la protezione dei dati può e probabilmente deve essere integrato da specifici regolamenti settoriali supplementari, che disciplinino ad esempio la cooperazione giudiziaria e di polizia, ma anche altri settori (25). Laddove necessario e conformemente al principio di sussidiarietà, tali regolamenti supplementari dovrebbero essere adottati a livello dell’UE. Gli Stati membri possono definire norme supplementari in settori specifici ove ciò sia giustificato (cfr. la sezione 5.2).

49.

L’armonizzazione riveste un’enorme importanza per la normativa UE sulla protezione dei dati. La comunicazione ha correttamente sottolineato che la protezione dei dati ha una dimensione «mercato interno» che si esplica nella necessità di assicurare la libera circolazione dei dati personali tra gli Stati membri nel mercato interno. Ciononostante, il livello di armonizzazione derivante dalla direttiva attuale è stato ritenuto tutt’altro che soddisfacente. La comunicazione riconosce che questa è una delle preoccupazioni più frequenti delle parti interessate. In particolare, le parti interessate sottolineano la necessità di migliorare la certezza giuridica, ridurre gli oneri amministrativi e assicurare condizioni eque agli operatori economici. Come giustamente osserva la Commissione, particolarmente problematica è la situazione dei responsabili del trattamento stabiliti in più Stati membri, di cui devono rispettare le disposizioni delle legislazioni nazionali vigenti (ed eventualmente divergenti) in materia di protezione dei dati (26).

50.

L’armonizzazione non è importante solo per il mercato interno, ma anche al fine di garantire un’adeguata protezione dei dati. L’articolo 16 del TFUE stabilisce che «ogni persona» ha diritto alla protezione dei dati di carattere personale che la riguardano. Affinché questo diritto venga effettivamente rispettato, occorre garantire un livello di protezione dei dati equivalente in tutta l’UE. Il documento del Gruppo di lavoro sul futuro della privacy ha evidenziato che numerose misure relative alle posizioni degli interessati non sono state attuate o interpretate uniformemente in tutti gli Stati membri (27). In un mondo globalizzato e interconnesso, queste divergenze potrebbero pregiudicare o limitare la protezione delle persone.

51.

Il GEPD ritiene che una maggiore e migliore armonizzazione sia uno dei principali obiettivi del processo di revisione. Il GEPD accoglie con favore l’impegno della Commissione a esaminare i mezzi per conseguire una maggiore armonizzazione delle norme di protezione dei dati a livello dell’UE. Ciononostante, rileva con una certa sorpresa che in questa fase la comunicazione non propone alcuna opzione concreta. Pertanto, provvede egli stesso a indicare alcuni settori in cui una maggiore convergenza è particolarmente urgente (cfr. la sezione 5.3). Per conseguire una maggiore armonizzazione in questi settori occorre non solo ridurre il margine di manovra nella trasposizione della normativa a livello nazionale, ma anche impedire la non corretta attuazione da parte degli Stati membri (cfr. anche il capo 11) e garantire un’applicazione più coerente e coordinata (cfr. anche il capo 10).

52.

La direttiva contiene una serie di disposizioni formulate in maniera vaga e che di conseguenza lasciano un margine considerevole per un’applicazione divergente. Il considerando 9 della direttiva conferma espressamente che gli Stati membri dispongono di un certo margine di manovra e che, entro tale margine di manovra, potranno verificarsi divergenze nell’applicazione. Numerose disposizioni sono state attuate in maniera diversa dagli Stati membri, tra cui alcune di importanza fondamentale (28). Questa situazione non è soddisfacente e occorre conseguire una maggiore convergenza.

53.

Questo non significa che la diversità debba essere esclusa a priori. In determinati settori la flessibilità potrebbe essere necessaria al fine di preservare specificità giustificate, interessi pubblici importanti o l’autonomia istituzionale degli Stati membri. Il GEPD ritiene che il margine di divergenza tra gli Stati membri debba essere limitato in particolare alle seguenti situazioni specifiche:

54.

Definizioni (articolo 2 della direttiva 95/46/CE). Le definizioni sono la base del sistema giuridico e devono essere interpretate uniformemente in tutti gli Stati membri, senza margini applicativi. Nell’ambito del quadro attuale sono sorte divergenze, ad esempio per quanto riguarda il concetto di responsabile del trattamento (29). Al fine di assicurare una maggiore certezza del diritto il GEPD suggerisce di aggiungere ulteriori elementi all’elenco attualmente contemplato dall’articolo 2, quali dati anonimi, dati pseudonimi, dati giudiziari, trasferimento di dati e incaricato della protezione dei dati.

55.

Liceità dei trattamenti (articolo 5). Il nuovo strumento giuridico deve essere quanto più preciso possibile per quanto riguarda gli elementi essenziali che determinano la liceità dei trattamenti di dati. L’articolo 5 della direttiva (nonché il suo considerando 9), che impone agli Stati membri di precisare le condizioni alle quali i trattamenti di dati personali sono leciti, potrebbe pertanto non essere più necessario in un quadro futuro.

56.

Motivi che legittimano il trattamento dei dati (articoli 7 e 8). La definizione delle basi giuridiche del trattamento dei dati è un elemento essenziale di qualsiasi normativa in materia di protezione dei dati. Gli Stati membri non devono poter introdurre motivi aggiuntivi o modificati che legittimano il trattamento dei dati né escluderne alcuno. La possibilità di deroghe deve essere esclusa o limitata (particolarmente per quanto riguarda i dati sensibili (30)). In un nuovo strumento giuridico occorre formulare chiaramente i motivi che legittimano il trattamento dei dati, riducendo così il margine discrezionale a livello di recepimento e applicazione. In particolare, potrebbe essere necessario specificare ulteriormente il concetto di consenso (cfr. la sezione 6.5). Inoltre, il motivo basato sull’interesse legittimo del responsabile del trattamento [articolo 7, lettera (f)] dà adito, a causa della sua flessibilità, a interpretazioni ampiamente divergenti. Occorre precisarlo meglio. Un’altra disposizione che probabilmente dovrà essere specificata è l’articolo 8, paragrafo 2, lettera b), che consente il trattamento dei dati sensibili qualora sia necessario per assolvere gli obblighi e i diritti specifici del responsabile del trattamento in materia di diritto del lavoro (31).

57.

Diritti delle persone interessate (articoli 10-15). Questo è uno dei settori in cui non tutti gli elementi della direttiva sono stati attuati e interpretati coerentemente dagli Stati membri. I diritti delle persone interessate sono un elemento centrale per un’efficace protezione dei dati. Di conseguenza, occorre ridurre considerevolmente il margine di manovra. Il GEPD raccomanda di garantire in tutta l’UE l’uniformità delle informazioni fornite alle persone interessate dal responsabile del trattamento.

58.

Trasferimenti internazionali (articoli 25-26). Questo è un settore che ha sollevato vaste critiche per la mancanza di una prassi uniforme nell’UE. Le parti interessate hanno criticato la grande disparità di interpretazione e attuazione delle decisioni della Commissione sull’adeguatezza da parte degli Stati membri. Le «norme vincolanti d’impresa» (Binding Corporate Rules — BCR) sono un ulteriore aspetto su cui il GEPD raccomanda una maggiore armonizzazione (cfr. il capo 9).

59.

Autorità nazionali di protezione dei dati (articolo 28). Le autorità nazionali di protezione dei dati sono soggette a norme ampiamente divergenti nei 27 Stati membri, in particolare per quanto riguarda lo status, le risorse e i poteri loro conferiti. L’articolo 28 ha in parte contribuito a tale divergenza per la sua mancanza di precisione (32) e deve essere specificato ulteriormente, in conformità della sentenza della Corte di giustizia dell’Unione europea nella causa C-518/07 (33) (cfr. di seguito il capo 10).

60.

Gli obblighi in materia di notificazione (articoli 18-21 della direttiva 95/46/CE) sono un altro settore in cui finora è stata concessa una notevole libertà agli Stati membri. La comunicazione riconosce giustamente che un sistema armonizzato ridurrebbe i costi e gli oneri amministrativi a carico dei responsabili del trattamento (34).

61.

Questo è un settore in cui la semplificazione deve essere l’obiettivo principale. La revisione del quadro di protezione dei dati costituisce un’occasione unica per semplificare e/o ridurre ulteriormente l’ambito di applicazione degli obblighi attuali in materia di notificazione. La comunicazione riconosce che i responsabili del trattamento concordano in generale che l’attuale sistema di notificazione è alquanto gravoso e di per sé non aggiunge molto alla protezione dei dati personali (35). Il GEPD accoglie pertanto con favore l’impegno della Commissione a esaminare diversi modi per semplificare l’attuale sistema di notificazione.

62.

Il GEPD ritiene che il punto di partenza di tale semplificazione debba essere il passaggio da un sistema il cui la notificazione è la norma, salvo disposizione contraria (ad esempio un «sistema di deroghe»), a un sistema più mirato. Il sistema di deroghe si è rivelato inefficiente poiché è stato attuato in maniera disomogenea nei vari Stati membri (36). Il GEPD suggerisce di valutare le seguenti alternative:

Inoltre potrebbe essere introdotto un modulo di notifica uniforme per tutta l’UE che permetta di garantire approcci armonizzati in merito alle informazioni richieste.

63.

La revisione del sistema di notificazione attuale non deve pregiudicare il miglioramento degli obblighi di controllo preventivo per determinate operazioni di trattamento che é probabile presentino rischi specifici (quali i sistemi d’informazione su vasta scala). Il GEPD è favorevole a includere nel nuovo strumento giuridico un elenco non esaustivo dei casi in cui è necessario tale controllo preventivo. Il regolamento (CE) n. 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi dell’UE costituisce un utile modello in tal senso (37).

64.

Infine, il GEPD ritiene che il processo di revisione rappresenti altresì un’occasione per riesaminare il tipo di strumento giuridico più indicato per la protezione dei dati. Un regolamento, uno strumento unico che sia direttamente applicabile negli Stati membri, è il mezzo più efficace per proteggere il diritto fondamentale alla protezione dei dati e creare un vero mercato interno in cui i dati personali possano circolare liberamente e in cui venga assicurato lo stesso livello di protezione indipendentemente dal paese o dal settore in cui i dati vengono trattati.

65.

Un regolamento ridurrebbe lo spazio esistente per interpretazioni contraddittorie e di differenze ingiustificate nel recepimento e nell’applicazione della normativa. Ridurrebbe altresì l’importanza di individuare il diritto applicabile alle operazioni di trattamento nell’UE, che è uno degli aspetti più controversi del sistema attuale (cfr. il capo 9).

66.

Nel settore della protezione dei dati un regolamento è tanto più giustificato poiché

67.

La scelta di un regolamento quale strumento generale ammette, se del caso, disposizioni destinate direttamente agli Stati membri qualora sia necessaria la flessibilità. Inoltre non influisce sulla competenza, da parte degli Stati membri, di adottare, se del caso, norme aggiuntive per la protezione dei dati, conformemente al diritto dell’UE.

68.

Il GEPD è assolutamente favorevole alla proposta di rafforzare i diritti delle persone avanzata nella comunicazione; gli strumenti giuridici esistenti, infatti, non garantiscono appieno l’effettiva protezione che è necessaria in un mondo digitalizzato sempre più complesso.

69.

Da un lato, lo sviluppo di un mondo digitalizzato comporta un brusco incremento in termini di raccolta, utilizzo e ulteriore trasferimento di dati personali in una maniera estremamente complessa e non trasparente. Spesso le persone non conoscono o non capiscono le modalità con cui vengono effettuate tali operazioni, chi raccoglie i loro dati o come esercitare un controllo. Un esempio di questo fenomeno è il monitoraggio delle attività di navigazione su Internet delle persone effettuato dai provider di reti di inserzioni tramite cookie o dispositivi analoghi al fine di inviare inserzioni mirate. Quando gli utenti visitano i siti Internet non si aspettano che un soggetto nascosto registri le loro visite e crei schede che li riguardano sulla base di informazioni che ne rivelano lo stile di vita, le preferenze o le antipatie.

70.

D’altro canto, lo sviluppo stimola gli individui a condividere attivamente le loro informazioni personali, ad esempio sulle reti sociali. Sempre più giovani fanno parte di una rete sociale e interagiscono con i loro pari. Non si sa con certezza se queste persone (giovani) siano consapevoli dell’entità della diffusione dei dati che le riguardano e degli effetti a lungo termine delle loro azioni.

71.

La trasparenza riveste un’enorme importanza in qualsiasi regime di protezione dei dati, non solo per il suo valore intrinseco, ma anche perché permette di esercitare altri principi di protezione dei dati. Le persone potranno esercitare i loro diritti solo se saranno a conoscenza del trattamento dei dati.

72.

Molte disposizioni della direttiva 95/46/CE riguardano la trasparenza. Gli articoli 10 e 11 prevedono l’obbligo di fornire agli interessati informazioni sulla raccolta dei loro dati personali. L’articolo 12, inoltre, riconosce il diritto a ricevere una copia dei propri dati personali in forma intelligibile (diritto di accesso). L’articolo 15 riconosce il diritto di conoscere la logica in base alla quale vengono adottate decisioni automatizzate che producono effetti giuridici. Ultimo ma non meno importante aspetto, l’articolo 6, paragrafo 1, lettera a), conformemente al quale i dati devono essere trattati lealmente, comporta a sua volta un obbligo di trasparenza. I dati personali non possono essere trattati per motivi nascosti o segreti.

73.

La comunicazione suggerisce di integrare un principio generale di trasparenza. In risposta a tale suggerimento il GEPD sottolinea che, come si può dedurre dalle varie disposizioni relative alla trasparenza indicate nel paragrafo precedente, il concetto di trasparenza è già parte integrante dell’attuale quadro giuridico sulla protezione dei dati, anche se in maniera implicita. A parere del GEPD, potrebbe avere valore aggiunto inserire un principio di trasparenza esplicito, collegato o meno alla disposizione esistente in materia di trattamento leale. Tale misura accrescerebbe la certezza del diritto e confermerebbe altresì che un responsabile deve trattare i dati personali in maniera trasparente in qualsiasi circostanza, non solo su richiesta o perché tenuto ad agire in tal senso sulla base di una determinata disposizione giuridica.

74.

Tuttavia, è forse più importante rafforzare le disposizioni esistenti in materia di trasparenza, quali gli attuali articoli 10 e 11 della direttiva 95/46/CE. Tali disposizioni specificano gli elementi informativi che devono essere forniti, ma non sono precise sulle modalità. Più concretamente, il GEPD suggerisce di rafforzare le disposizioni esistenti prevedendo:

75.

Il GEPD è favorevole alla proposta della Commissione di introdurre nello strumento generale una disposizione sulla comunicazione delle violazioni di dati personali che estenda a tutti i responsabili del trattamento l’obbligo previsto per taluni fornitori nella direttiva e-Privacy rivista. Ai sensi della direttiva e-Privacy rivista l’obbligo si applica solo ai fornitori di servizi di comunicazione elettronica (fornitori di servizi di telefonia — servizi VoIP compresi — e di accesso a Internet). L’obbligo non contempla altri responsabili del trattamento dei dati. I motivi che giustificano l’obbligo si applicano appieno a responsabili del trattamento diversi dai fornitori di servizi di comunicazione elettronica.

76.

La notifica delle violazioni della sicurezza persegue finalità differenti. La più ovvia, evidenziata dalla comunicazione, è quella di fungere da strumento di informazione per mettere al corrente gli interessati dei rischi ai quali sono esposti in caso di danneggiamento dei loro dati personali. In questo modo le persone avranno la possibilità di adottare le misure necessarie per mitigare tali rischi. Ad esempio, qualora vengano avvisati di violazioni riguardanti le loro informazioni finanziarie, gli interessati potranno, fra l’altro, procedere alla modifica delle password o alla cancellazione dei loro account. La notifica delle violazioni della sicurezza, inoltre, contribuisce all’effettiva applicazione di altri principi e obblighi sanciti dalla direttiva. Gli obblighi di notificare le violazioni della sicurezza, ad esempio, incentivano i responsabili del trattamento dei dati ad attuare misure di sicurezza più rigorose al fine di prevenire le violazioni. La notifica delle violazioni della sicurezza è inoltre uno strumento finalizzato ad accrescere la responsabilità dei responsabili del trattamento dei dati e, più in particolare, a rafforzare il rispetto degli obblighi loro incombenti (cfr. il capo 7). Infine, la notifica delle violazioni della sicurezza è uno strumento per l’applicazione della legge da parte delle autorità di protezione dei dati. La notifica di una violazione alle autorità di protezione dei dati può dare luogo a un’indagine sulle pratiche generali di un responsabile del trattamento dei dati.

77.

Le norme specifiche sulle violazioni della sicurezza della direttiva e-Privacy rivista sono state oggetto di un ampio dibattito durante la fase parlamentare del quadro legislativo che ha preceduto l’adozione della direttiva e-Privacy. In tale dibattito sono stati presi in considerazione sia i pareri del Gruppo di lavoro articolo 29 e del GEPD che quelli di altre parti interessate. Le norme riflettono i pareri di attori differenti. Rappresentano un equilibrio di interessi: se, da una parte, i criteri da cui scaturisce l’obbligo di notificazione sono in linea di principio adeguati per la protezione delle persone, dall’altro assolvono la propria funzione senza imporre requisiti eccessivamente gravosi e inutili.

78.

L’articolo 7 della direttiva sulla protezione dei dati elenca sei basi giuridiche per il trattamento dei dati personali. Il consenso è una di queste. Il trattamento dei dati personali da parte dei responsabili può essere effettuato nella misura in cui gli interessati abbiano dato il proprio consenso informato alla raccolta e all’ulteriore trattamento dei loro dati.

79.

Nella pratica gli utenti hanno spesso un controllo limitato sui loro dati, in particolare negli ambienti tecnologici. Uno dei metodi che vengono talvolta utilizzati è il consenso implicito, ossia il consenso che è stato dedotto. Tale consenso può venire dedotto da un’azione compiuta dall’individuo (ad esempio l’azione consistente nell’utilizzare un sito Internet viene ritenuta un atto di consenso alla registrazione dei dati dell’utente a fini commerciali). Può essere dedotto anche dal silenzio o dall’inazione (il mancato deselezionamento di una casella contrassegnata è ritenuto un consenso).

80.

Ai sensi della direttiva, per risultare valido il consenso deve essere informato, libero e specifico. Deve essere una manifestazione di volontà informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento. Il modo in cui il consenso viene fornito deve essere univoco.

81.

Il consenso che viene dedotto da un’azione e più precisamente dal silenzio o dall’inazione spesso non è un consenso univoco. Tuttavia, non è sempre possibile stabilire con chiarezza in che cosa consista un consenso vero e univoco. Alcuni responsabili del trattamento dei dati sfruttano questa incertezza affidandosi a metodi inadeguati per l’espressione di un consenso vero e univoco.

82.

Alla luce delle precedenti considerazioni, il GEPD sostiene la Commissione in merito alla necessità di chiarire i limiti del consenso e di garantire che venga considerato tale solo il consenso costruito su basi solide. A tale proposito il GEPD formula i seguenti suggerimenti (39):

83.

La portabilità dei dati e il diritto all’oblio sono due concetti interconnessi presentati dalla comunicazione per rafforzare i diritti degli interessati. Complementari ai principi già indicati nella direttiva, garantiscono all’interessato il diritto di opporsi all’ulteriore trattamento dei suoi dati personali e prevedono l’obbligo per il responsabile di cancellare le informazioni appena non sono più necessarie ai fini del trattamento.

84.

Questi due nuovi concetti hanno valore aggiunto principalmente nel contesto di una società dell’informazione in cui sempre più dati vengono automaticamente immagazzinati e conservati per periodi di tempo indeterminati. L’esperienza dimostra che, anche qualora sia la parte interessata stessa a inserire i dati, il livello di controllo che quest’ultima ha effettivamente sui suoi dati personali è in pratica molto limitato, tanto più alla luce della memoria gigantesca rappresentata oggigiorno da Internet. Da un punto di vista economico, inoltre, per un responsabile del trattamento cancellare i dati risulta più dispendioso che conservarli. L’esercizio dei diritti personali va pertanto contro la tendenza economica naturale.

85.

Sia la portabilità dei dati che il diritto all’oblio potrebbero contribuire a promuovere un riequilibrio a favore del soggetto interessato. Obiettivo della portabilità dei dati è permettere alle persone di avere un maggiore controllo sulle loro informazioni, mentre il diritto all’oblio garantisce la cancellazione automatica dei dati dopo un certo periodo di tempo, indipendentemente dall’iniziativa dell’interessato e dal fatto che fosse a conoscenza o meno dell’eventuale conservazione dei suoi dati personali.

86.

Più precisamente, per portabilità dei dati s’intende la capacità degli utenti di modificare le preferenze relative al trattamento dei loro dati, riguardo in particolare a nuovi servizi tecnologici. Questo concetto si applica sempre più a servizi che prevedono la conservazione di informazioni, tra cui dati personali, quali la telefonia mobile, e a servizi che conservano immagini, email e altre informazioni, avvalendosi talvolta di servizi di cloud computing.

87.

Le persone devono poter cambiare facilmente e liberamente fornitore e trasferire i loro dati personali a un altro fornitore di servizi. Il GEPD ritiene che i diritti attualmente sanciti nella direttiva 95/46/CE potrebbero essere rafforzati inserendo un diritto alla portabilità nel contesto dei servizi della società dell’informazione in particolare, al fine di assicurare agli individui che i fornitori e altri pertinenti responsabili del trattamento dei dati consentano loro di accedere alle informazioni personali che li riguardano garantendo al contempo che i vecchi fornitori o altri responsabili del trattamento cancellino tali dati anche qualora intendano conservarli per le loro legittime finalità.

88.

La codificazione di un nuovo «diritto all’oblio» garantirebbe la cancellazione dei dati personali o il divieto del loro ulteriore utilizzo, senza un’azione necessaria da parte dell’interessato, ma a condizione che tali dati siano già stati conservati per un certo periodo di tempo. In altre parole, ai dati verrebbe attribuita una sorta di data di scadenza. Questo principio viene già affermato nelle sentenze nazionali o applicato in settori specifici, ad esempio per i fascicoli di polizia, i casellari giudiziari o i fascicoli disciplinari: alcune leggi nazionali prevedono che i dati personali vengano automaticamente cancellati o non vengano ulteriormente utilizzati o diffusi, specialmente dopo un determinato periodo di tempo, senza la necessità di effettuare un’analisi preventiva caso per caso.

89.

In tal senso il nuovo «diritto all’oblio» dovrebbe essere collegato alla portabilità dei dati. Grazie al valore aggiunto apportato da detta misura, l’interessato non dovrà adoperarsi o insistere per ottenere la cancellazione dei suoi dati personali, poiché questa avverrà in maniera oggettiva e automatica. Solo in circostanze molto precise, laddove sia possibile stabilire la specifica necessità di conservare le informazioni più a lungo, un responsabile del trattamento potrebbe essere autorizzato a conservare i dati. Questo «diritto all’oblio» invertirebbe pertanto l’onere della prova dall’interessato al responsabile del trattamento e costituirebbe un’impostazione predefinita a tutela della vita privata per il trattamento dei dati personali.

90.

Il GEPD ritiene che il diritto all’oblio potrebbe rivelarsi particolarmente utile nel contesto dei servizi della società dell’informazione. L’obbligo di cancellare o di non diffondere ulteriormente le informazioni dopo un periodo di tempo determinato risulta utile soprattutto nell’ambito dei mezzi di comunicazione o di Internet, e in particolare nelle reti sociali. Sarebbe altrettanto utile per quanto riguarda le apparecchiature terminali: i dati conservati su computer o dispositivi mobili verranno automaticamente cancellati o bloccati dopo un periodo di tempo determinato, quando non saranno più in possesso della persona interessata. In tal senso il diritto all’oblio può tradursi in un obbligo di «privacy by design» (tutela della vita privata fin dalla progettazione).

91.

In sintesi, il GEPD ritiene che la portabilità dei dati e il diritto all’oblio siano concetti utili. Potrebbe essere opportuno inserirli nello strumento giuridico, ma probabilmente limitandoli all’ambiente elettronico.

92.

La direttiva 95/46/CE non contiene norme precise sul trattamento dei dati personali dei minori. Non viene pertanto riconosciuta la necessità di riservare ai minori una protezione particolare in casi specifici, in virtù sia della loro vulnerabilità sia dell’incertezza giuridica che ne deriva, in particolare nei seguenti settori:

93.

Il GEPD ritiene che gli interessi particolari dell’infanzia sarebbero meglio tutelati se il nuovo strumento giuridico contenesse disposizioni supplementari destinate specificamente alla raccolta e all’ulteriore trattamento dei dati dei minori. Tali disposizioni mirate garantirebbero inoltre la certezza del diritto in questo settore specifico e andrebbero a beneficio dei responsabili del trattamento dei dati, che attualmente devono rispettare requisiti giuridici diversi.

94.

Il GEPD suggerisce di inserire nello strumento giuridico le seguenti disposizioni:

95.

Sarebbe inutile rafforzare la sostanza dei diritti delle persone senza prevedere meccanismi procedurali efficaci atti a garantire l’applicazione di tali diritti. A tale proposito, il GEPD raccomanda di inserire nella legislazione dell’UE meccanismi di ricorso collettivo per la violazione delle norme in materia di protezione dei dati. In particolare, i meccanismi di ricorso collettivo che autorizzano gruppi di cittadini a mettere in comune i ricorsi individuali nell’ambito di un’unica azione legale potrebbero costituire uno strumento molto efficace per facilitare l’applicazione delle norme di protezione dei dati (42). Anche le autorità di protezione dei dati si sono espresse a favore di questa innovazione nel documento del Gruppo di lavoro sul futuro della privacy.

96.

Nei casi di minore impatto è improbabile che le vittime di una violazione delle norme di protezione dei dati propongano ricorsi individuali contro i responsabili del trattamento, considerati i costi, i ritardi, le incertezze, i rischi e gli oneri ai quali sarebbero esposti. Tali difficoltà potrebbero venire superate o considerevolmente attenuate se esistesse un sistema di ricorso collettivo, che autorizzasse le vittime delle violazioni a mettere in comune i ricorsi individuali nell’ambito di un’unica azione legale. Il GEPD è altresì favorevole ad autorizzare soggetti qualificati, quali associazioni di consumatori od organismi pubblici, ad avviare azioni per il risarcimento dei danni in nome e per conto delle vittime di violazioni delle norme di protezione dei dati. Tali azioni non dovrebbero pregiudicare il diritto degli interessati a proporre ricorsi individuali.

97.

Le azioni collettive sono importanti non solo al fine di garantire un pieno risarcimento o altre azioni correttive, ma indirettamente svolgono anche una funzione di maggiore deterrenza. Il rischio di sostenere danni collettivi ingenti nell’ambito di tali azioni incentiverebbe in maniera esponenziale i responsabili del trattamento a garantire effettivamente il rispetto delle norme. A tale proposito, un rafforzamento dell’applicazione delle norme da parte dei privati tramite i meccanismi di ricorso collettivo integrerebbe l’applicazione delle norme da parte delle autorità pubbliche.

98.

La comunicazione non prende posizione sull’argomento. Il GEPD è consapevole del dibattito attualmente in corso a livello europeo sull’introduzione di mezzi di ricorso collettivo dei consumatori. È altresì consapevole del rischio di eccessi che questi meccanismi possono comportare in base all’esperienza di altri sistemi giuridici. Ciononostante, considerati i vantaggi che apporterebbero, il GEPD ritiene che questi fattori non costituiscano argomentazioni sufficienti a respingerne o rinviarne l’introduzione nella legislazione in materia di protezione dei dati (43).

99.

Il GEPD è del parere che, oltre a rafforzare i diritti delle persone, uno strumento giuridico moderno per la protezione dei dati debba contenere gli strumenti necessari ad accrescere la responsabilità dei responsabili del trattamento. Più precisamente, il quadro deve prevedere incentivi affinché i responsabili del trattamento del settore privato o pubblico inseriscano proattivamente misure di protezione dei dati nelle loro attività. Tali strumenti sarebbero utili innanzitutto perché, come precedentemente affermato, gli sviluppi tecnologici hanno comportato un brusco incremento in termini di raccolta, utilizzo e ulteriore trasferimento di dati personali, con un conseguente aumento dei rischi per la vita privata e la protezione dei dati personali, che dovrebbero essere compensati in maniera efficace. In secondo luogo, il quadro attuale è privo — ad eccezione di alcune disposizioni ben definite (cfr. di seguito) — di tali strumenti e i responsabili del trattamento possono adottare un approccio reattivo alla protezione dei dati e alla vita privata, decidendo di agire solo dopo l’insorgere di un problema. Questo approccio trova riscontro nelle statistiche, che tra i problemi ricorrenti evidenziano prassi di scarso rispetto e perdite di dati.

100.

Il GEPD ritiene che il quadro esistente non sia sufficiente a proteggere efficacemente i dati personali nelle condizioni attuali e future. Quanto maggiori sono i rischi, tanto più elevata è la necessità di attuare misure concrete che proteggano le informazioni a livello pratico e garantiscano una tutela efficace. Se queste misure proattive non verranno attuate de facto, continueranno probabilmente a verificarsi errori, incidenti e negligenze che metteranno a repentaglio la vita privata delle persone in questa società sempre più digitale. A tal fine, il GEPD propone le misure illustrate di seguito.

101.

Il GEPD raccomanda di inserire una nuova disposizione che preveda l’obbligo, per i responsabili del trattamento dei dati, di attuare misure appropriate ed efficaci per dare applicazione ai principi e agli obblighi dello strumento giuridico, e di dimostrarne su richiesta l’osservanza.

102.

Questo tipo di disposizione non è del tutto nuovo. L’articolo 6, paragrafo 2, della direttiva 95/46/CE fa riferimento ai principi relativi alla qualità dei dati e afferma che «il responsabile del trattamento è tenuto a garantire il rispetto delle disposizioni del paragrafo 1». Analogamente, l’articolo 17, paragrafo 1, prevede che i responsabili del trattamento dei dati attuino misure di natura sia tecnica che organizzativa. Queste disposizioni, tuttavia, hanno una portata limitata. L’inserimento di una disposizione generale sulla responsabilità stimolerebbe i responsabili del trattamento ad attuare misure proattive che consentano di rispettare tutti gli elementi della legislazione in materia di protezione dei dati.

103.

Una disposizione sulla responsabilità avrebbe la conseguenza di obbligare i responsabili del trattamento ad attuare meccanismi e sistemi di controllo interni che garantiscano il rispetto dei principi e dei requisiti del quadro. Ciò comporterebbe, ad esempio, il coinvolgimento dei vertici dirigenziali nelle politiche di protezione dei dati, la mappatura di procedure volte a garantire la corretta individuazione di tutte le operazioni di trattamento dei dati, la definizione di politiche di protezione dei dati vincolanti che dovrebbero anche essere costantemente rivedute e aggiornate al fine di contemplare nuove operazioni di trattamento dei dati, il rispetto dei principi di qualità, comunicazione, sicurezza, accesso, eccetera. Comporterebbe altresì la necessità, per i responsabili del trattamento, di conservare le prove al fine di dimostrare su richiesta alle autorità il rispetto delle disposizioni. In alcuni casi dovrebbe essere anche obbligatorio dimostrare l’osservanza delle norme alla collettività. Si potrebbe procedere in tal senso prevedendo ad esempio la necessità per i responsabili del trattamento di includere la protezione dei dati nelle relazioni pubbliche (annuali), qualora tali relazioni siano obbligatorie per altri motivi.

104.

Ovviamente, le tipologie di misure interne ed esterne da attuare devono essere appropriate e dipendere dai fatti e dalle circostanze di ogni caso particolare. Esiste una notevole differenza tra il trattamento di alcune centinaia di dati di clienti consistenti unicamente in nomi e indirizzi e il trattamento di informazioni di milioni di pazienti, compresa la loro anamnesi, da parte del responsabile. Lo stesso ragionamento vale per i modi specifici in cui occorre valutare l’efficacia delle misure. Esiste un’esigenza di scalabilità.

105.

Lo strumento giuridico generale globale di protezione dei dati non deve definire i requisiti specifici della responsabilità, ma solo i suoi elementi essenziali. La comunicazione prevede taluni elementi volti a rafforzare gli obblighi dei responsabili del trattamento dei dati, che il GEPD accoglie con grande favore. Più precisamente, il GEPD sostiene appieno la proposta di rendere obbligatori gli incaricati della protezione dei dati e le valutazioni d'impatto sulla privacy, al ricorrere di determinate condizioni soglia.

106.

Il GEPD, inoltre, raccomanda di delegare alla Commissione i poteri previsti dall’articolo 290 del TFUE per integrare i requisiti di base necessari a soddisfare il criterio della responsabilità. L’utilizzo di questi poteri rafforzerebbe la certezza del diritto dei responsabili del trattamento e armonizzerebbe il rispetto della normativa in tutta l’UE. Per l’elaborazione di questi strumenti specifici dovranno essere consultati sia il Gruppo di lavoro articolo 29 sia il GEPD.

107.

Infine, le misure concrete in materia di responsabilità che i responsabili del trattamento saranno tenuti ad attuare potrebbero essere imposte anche dalle autorità di protezione dei dati nell’ambito dei loro poteri di applicazione della normativa. A tal fine, alle autorità di protezione dei dati si dovrebbero conferire nuovi poteri che permettano loro di imporre misure correttive o sanzioni. A titolo di esempio, si dovrebbe prevedere lo sviluppo di programmi interni di conformità volti ad applicare il concetto di «privacy by design» (tutela della vita privata fin dalla progettazione) in prodotti e servizi specifici, eccetera. Misure correttive dovranno essere imposte solo nella misura in cui siano appropriate, proporzionate ed efficaci a garantire il rispetto delle norme giuridiche applicabili e vincolanti.

108.

Il concetto di «privacy by design» si riferisce all’integrazione della protezione dei dati e della vita privata fin dalla progettazione di nuovi prodotti, servizi e procedure che comportano il trattamento di dati personali. Il GEPD ritiene che questo concetto sia un elemento del principio di responsabilità. Di conseguenza, i responsabili del trattamento dei dati saranno altresì tenuti a dimostrare di avere attuato, se del caso, questo principio. Recentemente, la 32a conferenza internazionale dei commissari in materia di protezione dei dati e della vita privata ha formulato una risoluzione in cui ha riconosciuto il concetto di «privacy by design» quale elemento essenziale della protezione fondamentale della vita privata (44).

109.

La direttiva 95/46/CE contiene alcune disposizioni che incoraggiano l’applicazione di questo concetto (45), ma non riconosce espressamente tale obbligo. Il GEPD si compiace che la comunicazione approvi il principio di «privacy by design» quale strumento volto a garantire il rispetto delle norme di protezione dei dati. Suggerisce di includere una disposizione vincolante che preveda un obbligo di «privacy by design», che potrebbe basarsi sulla formulazione del considerando 46 della direttiva 95/46/CE. Per la precisione, la disposizione dovrà prevedere espressamente che i responsabili del trattamento attuino misure tecniche e organizzative, sia al momento della progettazione che a quello dell’esecuzione del trattamento, in particolare al fine di garantire la protezione dei dati personali e di impedirne qualsiasi trattamento non autorizzato (46).

110.

Sulla base di tale disposizione i responsabili del trattamento dei dati saranno tenuti — tra l'altro — a garantire che i sistemi di trattamento siano concepiti in modo tale che venga trattato il minor numero di dati personali possibile, vengano attuate impostazioni predefinite a tutela della vita privata, ad esempio che nelle reti sociali venga mantenuta la riservatezza, in maniera predefinita, dei profili individuali e vengano attuati strumenti in grado di garantire agli utenti una maggiore protezione dei loro dati personali (ad esempio controllo degli accessi, cifratura).

111.

I vantaggi di un riferimento più esplicito al concetto di «privacy by design» possono essere riassunti come segue:

112.

Dall’effetto combinato di quest’obbligo scaturirà una domanda più sostenuta di prodotti e servizi di «privacy by design», che dovrebbe incentivare maggiormente l’industria a soddisfare tale richiesta. Si dovrebbe inoltre valutare l’ipotesi di creare un obbligo separato per i progettisti e i produttori di nuovi prodotti e servizi con una probabile incidenza sulla protezione dei dati e la vita privata. Il GEPD suggerisce di includere tale obbligo separato, che potrebbe agevolare ulteriormente il rispetto, da parte dei responsabili del trattamento dei dati, degli obblighi loro imposti.

113.

La codificazione del concetto di «privacy by design» potrebbe essere integrata da una disposizione che ne enunci i requisiti generali applicabili in materia trasversale a vari settori, prodotti e servizi, garantendo ad esempio prerogative concrete agli utenti, da adottarsi conformemente a questo principio.

114.

Il GEPD, inoltre, raccomanda di delegare alla Commissione i poteri previsti dall’articolo 290 del TFUE per integrare, se del caso, i requisiti di base necessari a soddisfare il criterio della «privacy by design» per prodotti e servizi specifici. L’utilizzo di questi poteri rafforzerebbe la certezza del diritto dei responsabili del trattamento e armonizzerebbe il rispetto della normativa in tutta l’UE. Per l’elaborazione di questi strumenti specifici dovranno essere consultati sia il Gruppo di lavoro articolo 29 sia il GEPD (cfr., nello stesso modo, il paragrafo 106 sulla responsabilità).

115.

Infine, alle autorità di protezione dei dati dovrebbe essere conferito il potere di imporre misure correttive o sanzioni secondo restrizioni analoghe a quelle già indicate al punto 107, laddove i responsabili del trattamento dei dati abbiano chiaramente omesso di adottare misure concrete nei casi in cui avrebbero dovuto agire in tal senso.

116.

La comunicazione riconosce la necessità di esaminare l’eventualità di creare regimi europei di certificazione per prodotti e servizi «ottemperanti ai principi di tutela della vita privata». Il GEPD sostiene appieno questo obiettivo e suggerisce di includere una disposizione che preveda la creazione di tali regimi e la loro possibile efficacia nell’UE, che potrebbe essere ulteriormente sviluppato in seguito in altri strumenti normativi. Questa misura dovrebbe integrare le disposizioni in materia di responsabilità e «privacy by design».

117.

I regimi di certificazione volontari permetteranno di verificare l’attuazione, da parte di un responsabile del trattamento dei dati, di misure volte a ottemperare allo strumento giuridico. È inoltre probabile che i responsabili del trattamento dei dati — o anche i prodotti e i servizi — che beneficiano di un marchio di certificazione ottengano un vantaggio competitivo sugli altri. Tali regimi agevolerebbero altresì le attività di controllo e attuazione della legge delle autorità di protezione dei dati.

118.

Come precedentemente indicato al capo 2, il trasferimento di dati personali oltre le frontiere dell’UE è aumentato in maniera esponenziale a seguito dello sviluppo di nuove tecnologie, del ruolo svolto dalle società multinazionali e della maggiore influenza esercitata dai governi nel trattamento e nella condivisione dei dati personali su scala internazionale. Questo è uno dei principali motivi che giustificano la revisione del quadro giuridico attuale. Di conseguenza, questo è uno dei settori in cui il GEPD chiede ambizione ed efficacia, alla luce dell’evidente necessità di garantire una protezione più coerente nel caso in cui i dati vengano trattati al di fuori dell’UE.

119.

Il GEPD ritiene che sia necessario investire maggiormente nello sviluppo di norme internazionali. Una maggiore armonizzazione del livello di protezione dei dati personali a livello globale chiarirebbe notevolmente la sostanza dei principi da rispettare e le condizioni per i trasferimenti dei dati. Obiettivo di queste norme globali sarà conciliare l’obbligo di garantire un livello elevato di protezione dei dati — compresi gli elementi essenziali di protezione dei dati dell’UE — con le specificità regionali.

120.

Il GEPD sostiene l’ambizioso lavoro svolto finora nel quadro della conferenza internazionale dei commissari in materia di protezione dei dati per lo sviluppo e la divulgazione delle cosiddette «norme di Madrid», al fine di integrarle in uno strumento vincolante e possibilmente di avviare una conferenza intergovernativa (47). Il GEPD chiede alla Commissione di adottare le iniziative necessarie ad agevolare la realizzazione di questo obiettivo.

121.

Il GEPD ritiene che sia inoltre importante garantire la coerenza tra questa iniziativa sulle norme internazionali, l’attuale riesame del quadro dell’UE sulla protezione dei dati e altri sviluppi quali l’attuale revisione delle linee guida dell’OCSE sulla protezione della vita privata e della Convenzione 108 del Consiglio d’Europa, che è aperta alla firma da parte dei paesi terzi (cfr. anche il punto 17). Il GEPD ritiene che la Commissione debba svolgere un ruolo specifico a tale proposito, indicando come promuoverà tale coerenza nei negoziati in seno all’OCSE e al Consiglio d’Europa.

122.

Poiché non sarà possibile raggiungere facilmente una piena coerenza, permarrà — almeno nel prossimo futuro — una certa diversità tra le legislazioni nazionali nell’UE e, a maggior ragione, oltre i confini dell’Unione. Il GEPD ritiene che un nuovo strumento giuridico dovrà chiarire i criteri di individuazione del diritto applicabile e garantire meccanismi semplificati per i flussi di dati nonché la responsabilità degli attori coinvolti nella circolazione dei dati.

123.

Innanzitutto lo strumento giuridico dovrebbe garantire la possibilità di applicare il diritto dell’UE nei casi in cui i dati personali vengano trattati oltre i confini dell’Unione, sempre che la richiesta di applicare il diritto dell’UE sia giustificata. L’esempio di servizi di cloud computing non europei destinati a cittadini residenti nell’UE dimostra tale necessità. In un ambiente in cui i dati non sono conservati e trattati fisicamente in un luogo fisso, in cui utenti e fornitori di servizi dislocati in paesi diversi hanno capacità di esercitare un influenza concreta sui dati, è molto difficile individuare chi ha la responsabilità di rispettare quali principi di protezione dei dati. Vengono forniti orientamenti, specialmente dalle autorità di protezione dei dati, sulle modalità di interpretazione e applicazione della direttiva 95/46/CE nei casi in questione, ma gli orientamenti da soli non sono sufficienti a garantire la certezza del diritto in questo nuovo ambiente.

124.

Nel territorio dell’UE la necessità di una maggiore precisione nel quadro giuridico e di un criterio semplificato per l’individuazione del diritto applicabile è stata sottolineata dal Gruppo di lavoro articolo 29 in un recente parere (48).

125.

Il GEPD ritiene che sarebbe preferibile se lo strumento giuridico assumesse la forma di un regolamento da cui deriverebbero norme identiche applicabili in tutti gli Stati membri. Con un regolamento diventerebbe meno importante individuare il diritto applicabile. Questo è uno dei motivi per i quali il GEPD è fortemente favorevole all’adozione di un regolamento. Ciononostante, anche un regolamento lascerebbe un certo margine di manovra agli Stati membri. Se nel nuovo strumento verrà mantenuto un margine di manovra considerevole, il GEPD sosterrebbe la proposta, avanzata dal Gruppo di lavoro articolo 29, di passare da un’applicazione distributiva delle differenti legislazioni nazionali a un’applicazione centralizzata di un’unica legislazione in tutti gli Stati membri in cui ha sede un responsabile del trattamento dei dati. Chiede inoltre una cooperazione e un coordinamento maggiori tra le autorità di protezione dei dati nelle cause e nei reclami transnazionali (cfr. il capo 10).

126.

La necessità di coerenza e di un punto di riferimento di alto livello deve essere presa in considerazione non solo in merito ai principi globali di protezione dei dati, ma anche riguardo ai trasferimenti internazionali. Il GEPD sostiene appieno l’obiettivo della Commissione di semplificare le attuali procedure per i trasferimenti internazionali di dati e di assicurare un approccio più uniforme e coerente nei confronti dei paesi terzi e delle organizzazioni internazionali.

127.

Il meccanismo di circolazione dei dati comprende sia trasferimenti del settore privato, in particolare tramite clausole contrattuali o «norme vincolanti d’impresa» (Binding Corporate Rules — BCR) che trasferimenti tra autorità pubbliche. Le norme vincolanti d’impresa sono uno degli elementi in cui sarebbe auspicabile adottare un approccio più coerente e semplificato. Il GEPD raccomanda di indicare espressamente le condizioni che disciplinano le BCR nel nuovo strumento giuridico (49):

128.

La Commissione ha ripetutamente sottolineato l’importanza di rafforzare la protezione dei dati nell’ambito delle attività di contrasto e prevenzione della criminalità, in cui lo scambio e l’utilizzo di dati personali è notevolmente aumentato. Anche il programma di Stoccolma, approvato dal Consiglio europeo, fa riferimento a una solida disciplina della protezione dei dati quale prerequisito principale per la strategia di gestione delle informazioni dell’UE in questo settore (50).

129.

La revisione del quadro generale di protezione dei dati è l’occasione ideale per compiere progressi al riguardo, in particolare perché la comunicazione descrive giustamente la decisione quadro 2008/977 come inadeguata (51).

130.

Il GEPD ha illustrato nella sezione 3.2.5 del presente parere i motivi che giustificano l’inclusione del settore della cooperazione di polizia e giudiziaria nello strumento generale. L’inclusione del settore della polizia e della giustizia apporta una serie di vantaggi aggiuntivi. Significa che le norme non si applicheranno più solo agli scambi transfrontalieri di dati (52), ma anche ai trattamenti di dati all’interno degli Stati membri. Verrà meglio garantita una protezione adeguata dello scambio di dati personali con i paesi terzi, anche per quanto riguarda gli accordi internazionali. Inoltre, le autorità di protezione dei dati avranno, nei confronti delle autorità giudiziarie e di polizia, gli stessi poteri ampi e armonizzati che hanno nei confronti di altri responsabili del trattamento dei dati. Infine, l’attuale articolo 13, che conferisce agli Stati membri il potere di adottare disposizioni legislative specifiche intese a limitare la portata degli obblighi e dei diritti previsti dallo strumento generale per interessi pubblici specifici, dovrà essere applicato con le stesse restrizioni vigenti in altri settori. In particolare, le garanzie specifiche previste dallo strumento generale in questo settore dovranno essere rispettate anche nella legislazione nazionale adottata nel settore della cooperazione di polizia e giudiziaria.

131.

Tale inclusione, tuttavia, non esclude norme e deroghe speciali, che tengano nella debita considerazione le specificità del settore, in linea con la dichiarazione 21 allegata al trattato di Lisbona. Possono essere previste restrizioni ai diritti degli interessati, che però devono essere necessarie, proporzionate e non modificare gli elementi essenziali del diritto stesso. A tale proposito occorre sottolineare che la direttiva 95/46/CE, compreso il suo articolo 13, attualmente disciplina le attività di contrasto in vari settori (ad esempio in ambito fiscale, doganale, antifrode) che non sono sostanzialmente differenti da molte funzioni svolte nel settore della polizia e della giustizia.

132.

Devono inoltre essere previste misure di compensazione specifiche a favore delle persone interessate offrendo loro ulteriore protezione in un settore in cui il trattamento dei dati personali potrebbe essere più invasivo.

133.

Alla luce delle precedenti considerazioni, il GEPD ritiene che il nuovo quadro debba contenere almeno gli elementi elencati di seguito, in linea con la Convenzione 108 e la raccomandazione R (87) 15:

134.

La comunicazione afferma che «la decisione quadro non si sostituisce ai diversi atti normativi settoriali adottati a livello dell’Unione nei settori della cooperazione di polizia e giudiziaria in materia penale, in particolare a quelli che disciplinano il funzionamento di Europol, Eurojust, il sistema d’informazione Schengen (SIS) e il sistema informativo doganale (SID), contenenti anch’essi particolari disposizioni per la protezione dei dati e/o che fanno riferimento in linea generale a strumenti di protezione dei dati del Consiglio d’Europa».

135.

A parere del GEPD, un nuovo quadro giuridico dovrebbe essere, per quanto possibile, chiaro, semplice e coerente. In presenza di un ampio numero di regimi differenti che disciplinano, ad esempio, il funzionamento di Europol, Eurojust, SIS e Prüm, il rispetto delle norme resta o addirittura diventa più complicato. Questo è uno dei motivi per cui il GEPD è favorevole a uno strumento giuridico globale per tutti i settori.

136.

Il GEPD è tuttavia consapevole che l’allineamento delle norme di sistemi diversi richiederà un lavoro considerevole, che deve essere svolto con attenzione. Il GEPD ritiene che un approccio graduale, quale indicato nella comunicazione, abbia senso nella misura in cui l’impegno a garantire un elevato livello di protezione dei dati in maniera coerente ed effettiva resti chiaro e visibile. Più concretamente:

137.

Il GEPD sostiene appieno l’obiettivo della Commissione di affrontare la questione dello status delle autorità di protezione dei dati e, più espressamente, di rafforzarne l’indipendenza, le risorse e i poteri di contrasto.

138.

Il GEPD insiste inoltre sulla necessità di chiarire, nel nuovo strumento giuridico, il concetto essenziale di indipendenza delle autorità di protezione dei dati. La Corte di giustizia dell’Unione europea si è recentemente pronunciata in materia nella causa C-518/07 (54), in cui ha sottolineato che per indipendenza si intende l’assenza di qualsivoglia influenza esterna. Un’autorità di protezione dei dati può non sollecitare né accettare istruzioni da alcuno. Il GEPD suggerisce di codificare espressamente questi elementi di indipendenza nella legislazione.

139.

Le autorità di protezione dei dati devono disporre delle risorse umane e finanziarie sufficienti per l’esercizio delle loro funzioni. Il GEPD suggerisce di includere questo requisito nella legislazione (55). Sottolinea infine la necessità di assicurare che le autorità siano dotate di poteri pienamente armonizzati per lo svolgimento delle loro funzioni di indagine e per l’imposizione di misure e sanzioni sufficientemente deterrenti e correttive. In questo modo verrebbe rafforzata la certezza del diritto sia per le persone interessate che per i responsabili del trattamento dei dati.

140.

Il rafforzamento dell’indipendenza, delle risorse e dei poteri delle autorità di protezione dei dati deve andare di pari passo con una maggiore cooperazione a livello multilaterale, specialmente alla luce del crescente numero di questioni di protezione dei dati su scala europea. L’infrastruttura principale alla quale fare riferimento per tale cooperazione è ovviamente il Gruppo di lavoro articolo 29.

141.

L’esperienza dimostra che, da quando il gruppo è stato avviato nel 1997 ad oggi, il suo funzionamento si è evoluto. Ha acquisito una maggiore indipendenza e, nella pratica, non può più essere considerato come un semplice Gruppo di lavoro consultivo presso la Commissione. Il GEPD suggerisce di apportare ulteriori miglioramenti al funzionamento del Gruppo di lavoro, anche per quanto riguarda la sua infrastruttura e la sua indipendenza.

142.

Il GEPD ritiene che la forza del gruppo sia intrinsecamente collegata all’indipendenza e ai poteri dei suoi membri. Nel nuovo quadro giuridico dovrà essere garantita l’autonomia del Gruppo di lavoro, conformemente ai criteri sviluppati per una completa indipendenza delle autorità di protezione dei dati dalla Corte di giustizia dell’Unione europea nella causa C-518/07. Il GEPD ritiene che il Gruppo di lavoro debba inoltre disporre della dotazione finanziaria e delle risorse sufficienti nonché di un segretariato rafforzato a sostegno dei suoi contributi.

143.

Per quanto riguarda il segretariato del Gruppo di lavoro, il GEPD apprezza la sua integrazione nell’unità «protezione dei dati» della DG Giustizia, che offre al Gruppo di lavoro stesso il vantaggio di beneficiare di contatti efficienti e flessibili e di informazioni aggiornate sugli sviluppi in materia di protezione dei dati. D’altro canto, il GEPD mette in discussione il fatto che la Commissione (e più precisamente l’unità) sia al tempo stesso membro, segretariato e destinatario dei pareri del Gruppo di lavoro. Tale situazione giustificherebbe una maggiore indipendenza del segretariato. Il GEPD esorta la Commissione a valutare — in stretta consultazione con le parti interessate — il modo migliore di garantire tale indipendenza.

144.

Infine, il rafforzamento dei poteri delle autorità di protezione dei dati richiede a sua volta il conferimento di maggiori poteri al Gruppo di lavoro, con una struttura che preveda norme e salvaguardie migliori e una maggiore trasparenza. Questi elementi dovranno essere sviluppati per il ruolo sia consultivo sia di contrasto del Gruppo di lavoro.

145.

Le posizioni espresse dal Gruppo di lavoro nell’ambito del ruolo consultivo svolto presso la Commissione dovranno essere effettivamente attuate, in particolare per quanto riguarda l’interpretazione e l’applicazione dei principi della direttiva e di altri strumenti di protezione dei dati; in altre parole, occorrerà garantire l’autorevolezza delle posizioni del Gruppo di lavoro. Le autorità di protezione dei dati dovranno discutere ulteriormente la questione al fine di individuare il modo di includere questo aspetto nello strumento giuridico.

146.

Il GEPD raccomanda soluzioni che renderebbero più autorevoli i pareri del Gruppo di lavoro senza modificarne sostanzialmente il funzionamento. Il GEPD suggerisce di includere l’obbligo, per le autorità di protezione dei dati e la Commissione, di tenere nel massimo conto i pareri e le posizioni comuni che ha adottato il Gruppo di lavoro, sulla base del modello utilizzato per le posizioni dell’Organismo dei regolatori europei delle comunicazioni elettroniche (BEREC) (56). Il nuovo strumento giuridico, inoltre, potrebbe affidare al Gruppo di lavoro il compito esplicito di adottare «indirizzi interpretativi». Queste soluzioni alternative conferirebbero alle posizioni del Gruppo di lavoro un ruolo più forte, anche dinanzi ai tribunali.

147.

Nell’ambito del quadro attuale, l’applicazione della normativa in materia di protezione dei dati negli Stati membri è di competenza delle 27 autorità di protezione dei dati, con uno scarso coordinamento per quanto riguarda la gestione di casi specifici. Nei casi in cui è coinvolto più di uno Stato membro o che hanno chiaramente una dimensione globale, invece, si assiste a una moltiplicazione dei costi per le imprese, che sono costrette a interagire con autorità pubbliche differenti per la stessa attività, e aumenta il rischio di un’applicazione incoerente: in circostanze eccezionali, le medesime attività di trattamento possono essere considerate legittime da un’autorità di protezione dei dati e vietate da un’altra.

148.

Alcuni casi hanno una dimensione strategica che dovrebbe essere affrontata in maniera centralizzata. Il Gruppo di lavoro articolo 29 agevola le azioni di coordinamento e contrasto tra le autorità di protezione dei dati (57) in importanti questioni di protezione dei dati con implicazioni internazionali di questo tipo, com’è avvenuto nel caso delle reti sociali e dei motori di ricerca (58), nonché riguardo alle indagini coordinate in materia di telecomunicazioni e assicurazioni sanitarie svolte in differenti Stati membri.

149.

Esistono tuttavia limitazioni alle azioni di contrasto che il Gruppo di lavoro può intraprendere nell’ambito del quadro attuale. Il Gruppo di lavoro può adottare posizioni comuni, ma non esistono strumenti in grado di garantire che tali posizioni vengano effettivamente attuate nella pratica.

150.

Il GEPD suggerisce di includere nello strumento giuridico disposizioni supplementari che potrebbero sostenere l’applicazione coordinata delle norme di protezione dei dati, in particolare:

151.

Il GEPD desidera esprimere le proprie riserve in merito all’introduzione di misure più forti, quali il conferimento di un valore vincolante alle posizioni del Gruppo di lavoro articolo 29. In questo modo verrebbe pregiudicata l’indipendenza delle singole autorità di protezione dei dati, che deve essere garantita dagli Stati membri ai sensi della legislazione nazionale. Qualora le decisioni del Gruppo di lavoro avessero un impatto diretto su terzi quali i responsabili del trattamento dei dati, sarebbe necessario prevedere nuove procedure tra cui salvaguardie come meccanismi di trasparenza e ricorso, compresa la possibilità di adire la Corte di giustizia dell’Unione europea.

152.

Si potrebbero inoltre affinare le modalità di cooperazione tra il GEPD e il Gruppo di lavoro. Il GEPD è membro del Gruppo di lavoro e, al suo interno, contribuisce alle posizioni sui principali sviluppi strategici dell’UE, garantendone al contempo la coerenza con i propri pareri. Il GEPD rileva il crescente aumento, nel settore sia privato che pubblico, delle questioni inerenti alla vita privata che hanno implicazioni a livello nazionale in molti Stati membri e riguardo alle quali il Gruppo di lavoro può svolgere un ruolo specifico.

153.

Il GEPD svolge un ruolo consultivo complementare per quanto riguarda gli sviluppi nel contesto dell’UE, che deve essere mantenuto. In qualità di organismo europeo, esercita questa competenza consultiva nei confronti delle istituzioni dell’UE nello stesso modo in cui le autorità nazionali di protezione dei dati forniscono consulenza ai loro governi.

154.

Il GEPD e il Gruppo di lavoro operano da una prospettiva differente ma complementare. Per tali motivi è necessario mantenere e forse migliorare il coordinamento tra il Gruppo di lavoro e il GEPD, al fine di garantirne la collaborazione sulle principali questioni di protezione dei dati, ad esempio tramite il coordinamento periodico dei programmi di lavoro (61) e assicurando la trasparenza su questioni che hanno una dimensione più nazionale o riguardano un aspetto più specifico a livello dell’UE.

155.

Nella direttiva attuale il coordinamento non viene menzionato per il semplice motivo che all’epoca dell’adozione della direttiva il GEPD non esisteva, ma a sei anni dalla sua creazione le complementarità del GEPD e del Gruppo di lavoro sono visibili e potrebbero essere riconosciute formalmente. Il GEPD ricorda che, ai sensi del regolamento (CE) n. 45/2001, ha la funzione di collaborare con le autorità nazionali di protezione dei dati e di partecipare alle attività del Gruppo di lavoro. Il GEPD raccomanda di fare espressamente riferimento alla cooperazione nel nuovo strumento giuridico e di strutturarla, se del caso, definendo ad esempio una procedura per la cooperazione.

156.

Queste considerazioni si applicano anche a settori in cui è necessario coordinare il controllo tra il livello europeo e nazionale. È il caso degli organismi UE che trattano considerevoli quantità di dati forniti dalle autorità nazionali o dei sistemi d’informazione su vasta scala con una componente europea e nazionale.

157.

Il sistema che disciplina attualmente alcuni sistemi d’informazione su vasta scala e organismi dell’UE — Europol, Eurojust e il Sistema d’informazione Schengen di prima generazione (SIS), ad esempio, sono dotati di autorità di controllo comuni con rappresentanti delle autorità nazionali di protezione dei dati — è un residuo della cooperazione intergovernativa dell’epoca pre-Lisbona e non rispetta la struttura istituzionale dell’UE di cui Europol ed Eurojust sono ora parte integrante, e in cui è stato ormai integrato anche «l’acquis di Schengen» (62).

158.

La comunicazione annuncia che nel 2011 la Commissione avvierà una consultazione delle parti interessate sulla revisione di questi sistemi di controllo. Il GEPD esorta la Commissione a prendere quanto prima (in tempi brevi e precisi, come indicato in precedenza) una posizione nella discussione attualmente in corso in materia di controllo. Nell’ambito di tale discussione il GEPD assumerà la posizione illustrata di seguito.

159.

In primo luogo occorre garantire che tutte le autorità di controllo soddisfino i criteri indispensabili dell’indipendenza, delle risorse e dei poteri di contrasto. È inoltre necessario fare in modo che vengano prese in considerazione le prospettive e le competenze esistenti a livello dell’UE. Questo significa che la cooperazione deve avvenire non solo tra le autorità nazionali, ma anche con l’autorità europea di protezione dei dati (attualmente il GEPD). Il GEPD ritiene che sia necessario seguire un modello che soddisfi tali requisiti (63).

160.

Negli ultimi anni è stato sviluppato il modello di «controllo coordinato». Questo modello di controllo, attualmente operativo a livello di Eurodac e di parti del sistema informativo doganale, sarà presto esteso al sistema di informazione visti (VIS) e al Sistema d’informazione Schengen di seconda generazione (SIS II). Questo modello si articola su tre livelli: (1) il controllo a livello nazionale è garantito dalle autorità di protezione dei dati; (2) il controllo a livello dell’UE è garantito dal GEPD; (3) il coordinamento è garantito da riunioni periodiche convocate dal GEPD, che agisce da segretariato di questo meccanismo di coordinamento. Questo modello si è rivelato efficace ed effettivo e in futuro dovrebbe essere previsto per altri sistemi di informazione.

161.

Durante il processo di revisione occorrerà impegnarsi per garantire la piena ed effettiva attuazione delle norme esistenti. Tali norme continueranno a essere applicabili finché il quadro futuro non verrà adottato e successivamente recepito negli ordinamenti nazionali degli Stati membri. In questo senso possono essere individuate varie linee d’azione.

162.

Innanzitutto, la Commissione deve continuare a controllare il rispetto, da parte degli Stati membri, della direttiva 95/46/CE e, se del caso, avvalersi dei poteri conferitile dall’articolo 258 del TFUE. Recentemente sono stati avviati procedimenti di infrazione per l’errata attuazione dell’articolo 28 della direttiva riguardo al requisito dell’indipendenza delle autorità di protezione dei dati (64). La piena osservanza della direttiva deve essere controllata e assicurata anche in altri settori (65). Il GEPD, pertanto, accoglie con favore e sostiene appieno l’impegno di attuare una politica attiva contro le infrazioni assunto dalla Commissione nella comunicazione. La Commissione deve inoltre proseguire il dialogo strutturale con gli Stati membri in materia di attuazione (66).

163.

In secondo luogo, occorre incoraggiare l’applicazione a livello nazionale al fine di garantire l’attuazione pratica delle norme di protezione dei dati, anche per quanto riguarda i nuovi fenomeni tecnologici e attori globali. Le autorità di protezione dei dati devono utilizzare appieno i loro poteri d’indagine e sanzionatori. È inoltre importante che gli attuali diritti degli interessati, in particolare il diritto di accesso, siano pienamente rispettati nella pratica.

164.

In terzo luogo, nel breve periodo sembra necessario un maggiore coordinamento nell’applicazione delle norme. Il Gruppo di lavoro articolo 29 e i suoi documenti interpretativi svolgono un ruolo cruciale in tal senso, ma anche le autorità di protezione dei dati devono adoperarsi per la loro attuazione pratica. Occorre evitare conclusioni divergenti in relazione a casi aventi dimensione europea e globale; approcci comuni possono e devono essere raggiunti nell’ambito del Gruppo di lavoro. Indagini coordinate a livello UE sotto l’egida del Gruppo di lavoro possono a loro volta apportare un notevole valore aggiunto.

165.

In quarto luogo, i principi di protezione dei dati devono essere proattivamente «integrati» nelle nuove normative che possono incidere, direttamente o indirettamente, sulla protezione dei dati. A livello UE, il GEPD compie sforzi considerevoli per contribuire al miglioramento della legislazione europea e tale impegno deve essere profuso anche a livello nazionale. Le autorità di protezione dei dati devono pertanto utilizzare appieno i loro poteri consultivi per garantire l’adozione di un approccio proattivo in tal senso. Le autorità di protezione dei dati, compreso il GEPD, possono svolgere un ruolo attivo anche nel controllo degli sviluppi tecnologici. L’attività di controllo è importante al fine di individuare precocemente le tendenze emergenti, evidenziare le possibili implicazioni per la protezione dei dati, sostenere soluzioni che tengano conto della protezione dei dati e sensibilizzare le parti interessate.

166.

È infine necessario perseguire attivamente una maggiore cooperazione tra i vari attori a livello internazionale. È pertanto importante rafforzare gli strumenti internazionali di cooperazione. Iniziative quali le norme di Madrid e il lavoro attualmente in corso in seno al Consiglio d’Europa e all’OCSE meritano pieno sostegno. In tale contesto è molto positivo che la Commissione federale per il commercio degli USA (US Federal Trade Commission) sia ora entrata a far parte della famiglia dei commissari in materia di protezione dei dati e della vita privata nel quadro della loro conferenza internazionale.

167.

Il GEPD accoglie con favore la comunicazione della Commissione in generale, poiché è convinto che sia necessario rivedere l’attuale quadro giuridico sulla protezione dei dati al fine di garantire una tutela efficace in una società dell’informazione destinata a svilupparsi ulteriormente e a diventare sempre più globalizzata.

168.

La comunicazione individua le questioni e le sfide principali. Il GEPD condivide il parere della Commissione secondo cui in futuro continuerà a essere necessario disporre di un solido sistema di protezione dei dati, partendo dal presupposto che gli attuali principi generali di protezione dei dati continueranno a rimanere validi in una società che è sottoposta a profonde trasformazioni. Il GEPD condivide l’affermazione della comunicazione secondo cui le sfide sono enormi e sottolinea che, di conseguenza, le soluzioni proposte devono essere altrettanto ambiziose e rafforzare l’efficacia della protezione. Chiede pertanto di adottare un approccio più ambizioso su una serie di punti.

169.

Il GEPD sostiene appieno l’approccio globale alla protezione dei dati. Si rammarica tuttavia che la comunicazione escluda dallo strumento generale taluni settori, quali il trattamento dei dati da parte delle istituzioni e degli organismi dell’UE. Il GEPD esorta la Commissione — nel caso in cui dovesse decidere di tralasciare questi settori — ad adottare una proposta a livello dell’UE nel più breve tempo possibile e preferibilmente entro la fine del 2011.

170.

Per il GEPD i punti di partenza del processo di revisione sono i seguenti:

171.

Il GEPD accoglie con favore l’impegno della Commissione a esaminare i mezzi per conseguire una maggiore armonizzazione delle norme di protezione dei dati a livello dell’UE. Il GEPD individua i settori in cui è urgente una maggiore e migliore armonizzazione: definizioni, le basi giuridiche del trattamento dei dati, diritti delle persone interessate, trasferimenti internazionali e autorità di protezione dei dati.

172.

Il GEPD suggerisce di valutare le seguenti alternative per semplificare e/o ridurre l’ambito di applicazione degli obblighi in materia di notificazione:

173.

Il GEPD ritiene che un regolamento, uno strumento unico che sia direttamente applicabile negli Stati membri, sia il mezzo più efficace per proteggere il diritto fondamentale alla protezione dei dati e raggiungere una maggiore convergenza nel mercato interno.

174.

Il GEPD è favorevole alla proposta di rafforzare i diritti delle persone avanzata nella comunicazione e formula i seguenti suggerimenti:

175.

Il nuovo quadro deve prevedere incentivi affinché i responsabili del trattamento inseriscano proattivamente misure di protezione dei dati nelle loro attività. Il GEPD propone l’introduzione di disposizioni generali in materia di responsabilità e di «privacy by design» (tutela della vita privata fin dalla progettazione). Dovrebbe altresì essere introdotta una disposizione sui regimi di certificazione nel campo della tutela della vita privata.

176.

Il GEPD sostiene l’ambizioso lavoro svolto nel quadro della conferenza internazionale dei commissari in materia di protezione dei dati per lo sviluppo delle cosiddette «norme di Madrid», al fine di integrarle in uno strumento vincolante e possibilmente di avviare una conferenza intergovernativa. Il GEPD chiede alla Commissione di adottare misure concrete in tal senso in stretta collaborazione con l’OCSE e con il Consiglio d’Europa.

177.

Un nuovo strumento giuridico dovrà chiarire i criteri di individuazione del diritto applicabile. Occorrerà garantire che i dati trattati oltre i confini dell’Unione europea non sfuggano all’applicazione del diritto dell’UE, laddove sussistano motivi giustificati per applicare tale diritto. Se il quadro giuridico assumesse la forma di un regolamento esisterebbero norme identiche in tutti gli Stati membri e diventerebbe meno importante individuare il diritto applicabile (all’interno dell’UE).

178.

Il GEPD sostiene appieno l’obiettivo di assicurare un approccio più uniforme e coerente con riferimento ai paesi terzi e delle organizzazioni internazionali. Nello strumento giuridico dovrebbero essere incluse «norme vincolanti d’impresa» (Binding Corporate Rules — BCR).

179.

Uno strumento globale in cui sia contemplata l’inclusione della polizia e della giustizia potrà prevedere norme speciali, che tengano nella debita considerazione le specificità del settore, in linea con la dichiarazione 21 allegata al trattato di Lisbona. Dovranno essere previste misure di compensazione specifiche a favore delle persone interessate offrendo loro ulteriore protezione in un settore in cui il trattamento dei dati personali è per natura più invasivo.

180.

Il nuovo quadro giuridico dovrà essere, per quanto possibile, chiaro, semplice e coerente. Occorre evitare il proliferare di regimi differenti, quali ad esempio quelli che disciplinano il funzionamento di Europol, Eurojust, SIS e Prüm. Il GEPD è consapevole che l’allineamento delle norme di sistemi diversi dovrà essere svolto in maniera attenta e graduale.

181.

Il GEPD sostiene pienamente l’obiettivo della Commissione di affrontare la questione dello status delle autorità di protezione dei dati e di rafforzarne l’indipendenza, le risorse e i poteri di contrasto. Il GEPD raccomanda di:

182.

Il GEPD suggerisce di apportare ulteriori miglioramenti al funzionamento del Gruppo di lavoro articolo 29, anche per quanto riguarda la sua indipendenza e la sua infrastruttura. Il Gruppo di lavoro deve inoltre disporre di risorse sufficienti e di un segretariato rafforzato.

183.

Il GEPD suggerisce di rafforzare il ruolo consultivo del Gruppo di lavoro introducendo l’obbligo, per le autorità di protezione dei dati e la Commissione, di tenere nel massimo conto i pareri e le posizioni comuni che ha adottato il Gruppo di lavoro. Il GEPD é contrario al conferimento di valore vincolante alle posizioni del Gruppo di lavoro, in particolare perché in questo modo verrebbe pregiudicata l’indipendenza delle singole autorità di protezione dei dati. Il Garante europeo della protezione dei dati raccomanda alla Commissione di introdurre nel nuovo strumento giuridico disposizioni specifiche volte a rafforzare la cooperazione con il GEPD.

184.

Il GEPD esorta la Commissione a prendere quanto prima una posizione sulla questione del controllo dei sistemi d’informazione su vasta scala e degli organismi dell’UE, tenendo conto che tutte le autorità di controllo devono soddisfare i criteri indispensabili dell’indipendenza, delle risorse sufficienti e dei poteri di contrasto e che occorre garantire che la prospettiva dell’UE sia ben rappresentata. Il GEPD sostiene il modello di «controllo coordinato».

185.

Il GEPD incoraggia la Commissione a:

22.6.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 181/24

1.

Il 2 febbraio 2011, la Commissione ha adottato una proposta di una direttiva del Parlamento europeo e del Consiglio sull’uso dei dati del codice di prenotazione (Passenger Name Record, PNR) ai fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (nel prosieguo «la proposta») (3). La proposta è stata trasmessa al GEPD per consultazione il giorno stesso.

2.

Il GEPD apprezza il fatto di essere stato consultato dalla Commissione. Già prima dell’adozione della proposta, il GEPD aveva avuto la possibilità di formulare osservazioni informali, alcune delle quali sono state prese in considerazione nella proposta; il GEPD rileva che nel complesso le garanzie per la protezione dei dati contenute nella proposta sono state rafforzate. Rimangono comunque delle preoccupazioni su una serie di questioni, in particolare in relazione alla portata e alle finalità della raccolta di dati personali.

3.

Il dibattito su un possibile sistema PNR all’interno dell’UE è in atto dal 2007, quando la Commissione ha adottato una proposta di decisione quadro del Consiglio sull’argomento (4). Lo scopo principale di un sistema PNR nell’UE è l’istituzione di un meccanismo che obblighi i vettori aerei che effettuano voli internazionali tra l’UE e paesi terzi a trasmettere alle autorità competenti i dati PNR di tutti i passeggeri, allo scopo di prevenire, accertare, indagare e perseguire reati di terrorismo e reati gravi. I dati sarebbero centralizzati e analizzati da unità d’informazione sui passeggeri e il risultato dell’analisi sarebbe trasmesso alle autorità nazionali competenti in ciascuno Stato membro.

4.

Dal 2007, il GEPD segue da vicino gli sviluppi relativi a un possibile sistema PNR dell’UE, parallelamente agli sviluppi concernenti sistemi PNR di paesi terzi. Il 20 dicembre 2007, il GEPD ha adottato un parere sulla proposta della Commissione (5). In molte altre occasioni sono state fatte osservazioni rilevanti, non solo da parte del GEPD ma anche del Gruppo di lavoro dell’articolo 29 (6), sulla questione della conformità del trattamento di dati PNR nelle attività di contrasto con i principi di necessità e proporzionalità, nonché con altre misure di salvaguardia essenziali in materia di protezione dei dati.

5.

La questione principale sollevata costantemente dal GEPD si incentra sulla giustificazione della necessità di un sistema PNR europeo in aggiunta a una serie di altri strumenti che consentono il trattamento di dati personali nelle attività di contrasto.

6.

Il GEPD riconosce gli evidenti miglioramenti in termini di protezione dei dati contenuti nella presente proposta, rispetto alla versione sulla quale era stato consultato in precedenza. I miglioramenti si riferiscono in particolare al campo di applicazione della proposta, alla definizione del ruolo delle diverse parti interessate (unità d’informazione sui passeggeri), all’esclusione del trattamento di dati sensibili, allo spostamento verso un metodo «push» senza un periodo di transizione (7), e alla limitazione della conservazione dei dati.

7.

Il GEPD si compiace inoltre degli ulteriori sviluppi nella valutazione dell’impatto in merito alle motivazioni per l’istituzione di un sistema PNR dell’UE. Tuttavia, pur essendo evidente la volontà di chiarire la necessità del sistema, il GEPD non riesce ancora a trovare in queste nuove giustificazioni un fondamento convincente per l’introduzione del sistema, soprattutto per quanto riguarda la «valutazione preventiva» su vasta scala di tutti i passeggeri. Necessità e proporzionalità vengono prese in esame nel capitolo II che segue. Il capitolo III si concentra su aspetti più specifici della proposta.

8.

La dimostrazione della necessità e della proporzionalità del trattamento dei dati è un presupposto indispensabile per l’istituzione del sistema PNR. Il GEPD ha già insistito in precedenti occasioni, segnatamente nel contesto di una possibile revisione della direttiva 2006/24/CE (la «direttiva sulla conservazione dei dati») sul fatto che la necessità di trattare o conservare ingenti quantità di informazioni si dovesse basare su una chiara dimostrazione del rapporto tra uso e risultato, e dovesse consentire la valutazione sine qua non del fatto che risultati paragonabili si potessero ottenere con mezzi alternativi e meno invasivi della privacy (8).

9.

Nell’intento di giustificare il sistema, la proposta, in particolare nella valutazione d’impatto, fornisce ampia documentazione e argomenti giuridici per dimostrare che il sistema è necessario ed è conforme ai requisiti in materia di protezione dei dati. Inoltre, dichiara che il sistema offre un valore aggiunto in termini di armonizzazione delle norme relative alla protezione dei dati.

10.

In seguito all’analisi di questi elementi, il GEPD ritiene che il contenuto attuale della proposta non soddisfi i requisiti di necessità e proporzionalità imposti dall’articolo 8 della Carta dei diritti fondamentali dell’Unione, dall’articolo 8 della CEDU e dall’articolo 16 del TFUE. Il ragionamento alla base di questa considerazione è sviluppato nei paragrafi che seguono.

11.

Il GEPD rileva che la valutazione d’impatto comprende ampie spiegazioni e statistiche intese a giustificare la proposta. Tuttavia, questi elementi non sono convincenti. A titolo illustrativo, la descrizione della minaccia del terrorismo e reati gravi nella valutazione d’impatto e nella relazione della proposta (9) cita il dato di 14 000 reati penali ogni 100 000 abitanti negli Stati membri nel 2007. Pur essendo sicuramente impressionante, questa cifra si riferisce a tipologie indifferenziate di reati e non può essere addotta a sostegno di una proposta intesa a contrastare un’unica tipologia limitata di gravi reati transnazionali e di terrorismo. Sempre a titolo di esempio, il fatto di citare una relazione sul «fenomeno» della droga senza collegare i dati al tipo di traffico di stupefacenti interessato dalla proposta non costituisce, secondo il parere del GEPD, un riferimento valido. Lo stesso vale per le indicazioni relative alle conseguenze dei reati, che citano il «valore dei beni rubati» e l’impatto psicologico e fisico sulle vittime, che non sono dati direttamente correlati allo scopo della proposta.

12.

Come ultimo esempio, la valutazione d’impatto indica che il Belgio «ha riferito che il 95 % di tutti i sequestri di stupefacenti del 2009 è dipeso esclusivamente o prevalentemente dal trattamento di dati PNR». Occorre sottolineare tuttavia che il Belgio non dispone (ancora) di un meccanismo per l’uso sistematico di dati PNR, paragonabile al sistema previsto nella proposta. Questo potrebbe significare che i dati PNR possono essere utili in casi specifici, cosa che non viene messa in dubbio dal GEPD. Piuttosto, è la raccolta di dati su vasta scala al fine di una valutazione sistematica di tutti i passeggeri che solleva serie preoccupazioni in merito alla protezione dei dati.

13.

Secondo il parere del GEPD, non esiste una documentazione di riferimento sufficientemente pertinente e accurata che dimostri la necessità dello strumento.

14.

Pur rilevando l’interferenza delle misure di trattamento dei dati con i diritti sanciti dalla Carta, dalla CEDU e dall’articolo 16 del TFUE, il documento si riferisce direttamente alle possibili limitazioni di tali diritti e conclude che «poiché le azioni proposte sono intese al fine di combattere il terrorismo e altri reati gravi e contenute in un atto legislativo, sono chiaramente conformi a tali requisiti, purché siano necessarie in una società democratica e rispettino il principio di proporzionalità» (10). Tuttavia, manca una chiara dimostrazione del fatto che si tratti di misure essenziali e che non esistano alternative meno invasive.

15.

In tal senso, il fatto che finalità aggiuntive, quali contrasto dell’immigrazione, «no-flight list» e sicurezza sanitaria fossero inizialmente previste e successivamente non incluse a causa di considerazioni di proporzionalità non significa che «limitare» il trattamento dei dati PNR a reati gravi e terrorismo sia de facto proporzionato perché meno invasivo. L’opzione di limitare il sistema alla lotta al terrorismo, senza comprendere altri reati, come previsto in precedenti sistemi PNR, segnatamente nel precedente sistema australiano, non è stata neppure valutata. Il GEPD sottolinea che in questo precedente sistema, sul quale il Gruppo di lavoro dell’articolo 29 ha adottato un parere favorevole nel 2004, le finalità erano limitate all’identificazione dei «passeggeri che potrebbero presentare una minaccia di terrorismo o di attività criminale connessa» (11). Il sistema australiano non prevedeva nemmeno la conservazione dei dati PNR, salvo per specifici passeggeri identificati come minaccia specifica (12).

16.

Inoltre, per quanto concerne la prevedibilità della sorveglianza dei soggetti interessati non è certo che la proposta della Commissione soddisfi i requisiti di una solida base giuridica ai sensi del diritto dell’UE: la «valutazione» dei passeggeri (in precedenza definita «valutazione del rischio») sarà effettuata sulla base di criteri in costante evoluzione e non trasparenti. Come dichiarato esplicitamente nel testo, la finalità principale del sistema non è il tradizionale controllo alla frontiera, bensì l’attività di intelligence (13) e l’arresto di persone che non sono sospette prima che venga commesso un crimine. Lo sviluppo di un simile sistema su scala europea, che comporta la raccolta di dati di tutti i passeggeri e decisioni basate su criteri di valutazione sconosciuti e in evoluzione, solleva serie preoccupazioni in materia di trasparenza e proporzionalità.

17.

L’unica finalità che, secondo il GEPD, sarebbe conforme ai requisiti di trasparenza e proporzionalità, è l’uso di dati PNR caso per caso, come indicato nell’articolo 4, paragrafo 2, lettera c), ma solo nel caso di una grave e concreta minaccia individuata da indicatori concreti.

18.

L’articolo 4, paragrafo 2, lettera b), prevede che le unità d’informazione sui passeggeri effettuino valutazioni sui passeggeri e nello svolgimento di tale attività possano confrontare i dati PNR con «banche dati pertinenti». Tuttavia, nella disposizione non viene indicato quali siano le banche dati pertinenti. La misura non è pertanto conforme al requisito della prevedibilità ai sensi della Carta e della CEDU. Inoltre, nella disposizione si solleva la questione della sua compatibilità con il principio della limitazione della finalità: secondo il GEPD, dovrebbe essere esclusa ad esempio per una banca dati come Eurodac, costituita per scopi diversi (14). Inoltre, dovrebbe essere possibile solo in presenza di un’esigenza specifica, in un caso particolare dove esiste già un sospetto su una persona dopo che è stato commesso un reato. A titolo di esempio, la verifica della banca dati del sistema di informazione visti (VIS) (15) su base sistematica a fronte di tutti i dati PNR sarebbe eccessiva e sproporzionata.

19.

L’idea secondo la quale la proposta migliorerebbe la protezione dei dati fornendo condizioni uniformi per quanto concerne i diritti dei singoli è opinabile. Il GEPD riconosce il fatto che, ove siano confermate la necessità e la proporzionalità del sistema, la presenza di norme uniformi nell’UE, ivi compresa la protezione dei dati, migliorerebbe la certezza giuridica. Tuttavia, nella sua attuale formulazione, al considerando 28, la proposta recita che «la presente direttiva non pregiudica la possibilità che gli Stati membri istituiscano, ai sensi della legislazione nazionale, un sistema di raccolta e trattamento dei dati PNR per finalità diverse da quelle previste nella presente direttiva ovvero presso vettori diversi da quelli precisati nella presente direttiva, riguardante i voli nazionali (…)».

20.

L’armonizzazione introdotta dalla proposta è pertanto limitata: si può riferire ai diritti dei titolari dei dati, ma non alla limitazione della finalità, e si può presumere che ai sensi di questa formulazione i sistemi PNR già utilizzati per combattere, ad esempio, l’immigrazione illegale possano continuare a farlo a norma della direttiva.

21.

Questo significa che, da un lato, persisterebbero delle differenze tra gli Stati membri che hanno già messo a punto un sistema PNR e dall’altro l’ampia maggioranza degli Stati membri che non raccolgono sistematicamente dati PNR (21 Stati membri su 27) sarebbe obbligata a farlo. Il GEPD ritiene che, da questa prospettiva, qualunque valore aggiunto in termini di protezione dei dati sia fortemente discutibile.

22.

Per contro, le conseguenze del considerando 28 sono una grave violazione del principio della limitazione della finalità. Secondo il parere del GEPD, la proposta dovrebbe prevedere esplicitamente che i dati PNR non possano essere utilizzati per altri scopi.

23.

Il GEPD giunge a una conclusione analoga a quella tratta dalla valutazione della direttiva sulla conservazione dei dati: in entrambi i contesti, l’assenza di una reale armonizzazione va di pari passo con l’assenza di certezza giuridica. Inoltre, meccanismi aggiuntivi di raccolta e trattamento di dati personali diventano obbligatori per tutti gli Stati membri dove l’effettiva necessità del sistema non è stata confermata.

24.

Il GEPD rileva inoltre che gli sviluppi relativi ai dati PNR sono collegati alla valutazione generale di tutti gli strumenti dell’UE nel campo della gestione e dello scambio di informazioni varata dalla Commissione nel gennaio 2010 e sviluppata nella recente comunicazione sul panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia (16). Effettivamente, esiste una chiara connessione con il dibattito in corso sulla strategia europea di gestione delle informazioni. A tale proposito, il GEPD ritiene che nel valutare la necessità di un sistema PNR nell’UE si dovrebbero prendere in considerazione i risultati dell’attuale lavoro sul modello europeo di scambio delle informazioni attesi per il 2012.

25.

In questo contesto e alla luce delle carenze della proposta e in particolare della sua valutazione d’impatto, il GEPD ritiene che occorra una valutazione d’impatto specifica in materia di privacy e protezione dei dati in casi come questo, dove la sostanza della proposta influisce sui diritti fondamentali alla privacy e alla protezione dei dati. Una valutazione generale non è sufficiente.

26.

All’articolo 2, lettere g), h) e i) della proposta sono definiti i reati di terrorismo, i reati gravi e i reati gravi di natura transnazionale. Il GEPD si compiace del fatto che le definizioni — e la loro portata — siano state migliorate, con una differenziazione tra reati gravi e reati gravi transnazionali. Questa distinzione è gradita soprattutto perché implica un diverso trattamento dei dati personali, che esclude la valutazione a fronte di criteri predeterminati quando si tratta di reati gravi che non sono transnazionali.

27.

Secondo il parere del GEPD, la definizione di reato grave comunque è ancora troppo ampia; se ne dà atto anche nella proposta, dove si prevede che gli Stati membri possano ancora escludere i reati minori rientranti nella definizione di reati gravi (17) ma che non sarebbero conformi al principio di proporzionalità. Questa formulazione implica che la definizione contenuta nella proposta può includere i reati minori per i quali il trattamento dei dati sarebbe sproporzionato. Che cosa si dovrebbe intendere esattamente con reati minori non è chiaro. Il GEPD ritiene che, invece di lasciare agli Stati membri la facoltà di limitare l’ambito di applicazione, la proposta dovrebbe elencare esplicitamente i reati che dovrebbero essere inclusi nel suo campo di applicazione e quelli che dovrebbero essere esclusi, in quanto dovrebbero essere considerati minori e non rispondenti ai criteri di proporzionalità.

28.

La stessa preoccupazione riguarda la possibilità lasciata aperta nell’articolo 5, paragrafo 5, di procedere al trattamento dei dati relativi a qualsiasi genere di reato, qualora siano individuati durante un’azione di contrasto, nonché la possibilità menzionata nel considerando (28) di estendere l’ambito di applicazione a finalità diverse da quelle previste nella proposta, ovvero ad altri vettori.

29.

Il GEPD è anche preoccupato in merito alla possibilità prevista all’articolo 17 di includere i voli interni nel campo di applicazione della direttiva, alla luce dell’esperienza maturata dagli Stati membri che già raccolgono tali dati. Un simile ampliamento del campo di applicazione del sistema dei dati PNR rappresenterebbe una minaccia ancora maggiore per i diritti fondamentali delle persone e dovrebbe essere considerato solo a seguito di un’adeguata analisi che comprenda una valutazione d’impatto generale.

30.

In conclusione, il fatto di lasciare aperto il campo di applicazione dando agli Stati membri la possibilità di ampliare le finalità è contrario al requisito che i dati si possano raccogliere solo per finalità specifiche ed esplicite.

31.

Il ruolo delle unità d’informazione sui passeggeri e le garanzie in merito al trattamento dei dati PNR sollevano interrogativi specifici, in particolare poiché le unità d’informazione sui passeggeri ricevono i dati di tutti i passeggeri dai vettori aerei e, secondo il testo della proposta, dispongono di ampie competenze per il loro trattamento, che comprendono la valutazione del comportamento di passeggeri non sospettati di alcun reato e la possibilità di confrontare i dati PNR con banche dati non precisate (18). Il GEPD rileva che nella proposta sono previste condizioni per un «accesso limitato», ma ritiene che non siano sufficienti, in considerazione delle ampie competenze delle unità d’informazione sui passeggeri.

32.

In primo luogo, la natura dell’autorità designata come unità d’informazione sui passeggeri e la sua composizione restano poco chiare. La proposta cita la possibilità che i membri del personale possano essere funzionari «distaccati delle autorità pubbliche competenti», ma non offre garanzie in termini di competenza e integrità del personale dell’unità. Il GEPD raccomanda di includere tali requisiti nel testo della direttiva, tenendo conto del carattere sensibile del trattamento effettuato dalle unità d’informazione sui passeggeri.

33.

In secondo luogo, la proposta prevede la possibilità di designare un’unica unità d’informazione sui passeggeri per diversi Stati membri. Questo apre la porta al rischio di abusi e di trasmissioni di dati al di fuori delle condizioni della proposta. Il GEPD riconosce che la necessità di unire le forze potrebbe essere dettata da motivi di efficienza, in particolare per gli Stati membri più piccoli, ma raccomanda di includere nel testo delle condizioni specifiche per questa opzione, che dovrebbero trattare argomenti quali la collaborazione con autorità competenti, nonché la vigilanza, in particolare per quanto concerne l’autorità per la protezione dei dati competente del controllo e per quanto concerne l’esercizio dei diritti degli interessati, in quanto diverse autorità possono essere competenti per la supervisione di un'unità d’informazione sui passeggeri.

34.

Esiste il rischio di estensione indebita delle funzionalità collegato agli elementi sopra citati e in particolare in considerazione della qualità del personale competente per l’analisi dei dati e della «condivisione» di un’unica unità tra diversi Stati membri.

35.

In terzo luogo, il GEPD contesta le misure di salvaguardia previste contro l'abuso. Gli obblighi di registrazione sono graditi, ma non sufficienti. L’autocontrollo dovrebbe essere integrato da un controllo esterno, in modo più strutturato. Il GEPD suggerisce che si organizzino audit in modo sistematico ogni quattro anni. Si dovrebbe mettere a punto una serie completa di norme di sicurezza da imporre orizzontalmente a tutte le unità.

36.

L’articolo 7 della proposta prevede numerosi scenari che consentono lo scambio di dati tra unità d’informazione sui passeggeri in situazioni normali, o tra autorità competenti di uno Stato membro e unità d’informazione in situazioni eccezionali. Le condizioni diventano anche più severe a seconda che sia richiesto l’accesso alla banca dati di cui all’articolo 9, paragrafo 1, dove i dati vengono conservati nei primi 30 giorni, o alla banca dati di cui all’articolo 9, paragrafo 1 dove i dati vengono conservati per altri cinque anni.

37.

Le condizioni di accesso sono definite più rigorosamente quando la richiesta di accesso va al di là della normale procedura. Il GEPD rileva tuttavia, che la formulazione utilizzata genera confusione: l’articolo 7, paragrafo 2, si applica «in relazione a un caso specifico di prevenzione, accertamento, indagine o azione penale nei confronti di reati di terrorismo o di reati gravi»; l’articolo 7, paragrafo 3, cita «casi eccezionali per rispondere a una minaccia specifica o nell’ambito di un’indagine o di un’azione penale specifica connessa a reati di terrorismo o a reati gravi», mentre l’articolo 7, paragrafo 4, riguarda «una minaccia grave o immediata alla sicurezza pubblica» e l’articolo 7, paragrafo 5, cita «una minaccia specifica e reale connessa a reati di terrorismo o reati gravi». Le condizioni di accesso delle diverse parti interessate alla banca dati variano in base a questi criteri. Tuttavia, non è chiara la differenza tra una minaccia specifica, una minaccia grave o immediata e una minaccia specifica e reale. Il GEPD sottolinea la necessità di specificare ulteriormente le condizioni precise in base alle quali sarà concesso il trasferimento dei dati.

38.

La proposta si riferisce come base giuridica generale per i principi in materia di protezione dei dati alla decisione quadro del Consiglio 2008/977/GAI, estendendone l’ambito di applicazione al trattamento dei dati a livello nazionale.

39.

Il GEPD ha evidenziato già nel 2007 (19) le carenze della decisione quadro in merito ai diritti delle persone interessate. Tra gli elementi mancanti nella decisione quadro, si segnalano in particolare alcuni requisiti per le informazioni alla persona interessata nel caso di una richiesta di accesso ai suoi dati: le informazioni dovrebbero essere fornite in forma comprensibile, dovrebbe essere indicata la finalità del trattamento e occorrono garanzie più complete in caso di ricorso presso l’autorità per la protezione dei dati, ove sia negato l’accesso diretto.

40.

Il riferimento alla decisione quadro comporta delle conseguenze anche per quanto concerne l’identificazione dell’autorità per la protezione dei dati competente per il controllo dell’applicazione della futura direttiva, in quanto può non essere necessariamente la stessa autorità competente per le questioni dell’(ex) primo pilastro. Secondo il GEPD non è sufficiente basarsi esclusivamente sulla decisione quadro nel contesto post-Lisbona, quando uno degli obiettivi principali è l’adeguamento del quadro giuridico per garantire un livello elevato e armonizzato di protezione in tutti gli (ex) pilastri. A suo parere, sono necessarie ulteriori disposizioni nella proposta per integrare il riferimento alla decisione quadro del Consiglio laddove si siano individuate delle carenze, in particolare in relazione alle condizioni di accesso ai dati personali.

41.

Queste preoccupazioni sono pienamente fondate anche per quanto concerne le disposizioni sul trasferimento dei dati a paesi terzi. La proposta fa riferimento all’articolo 13, paragrafo 3, punto (ii) della decisione quadro, che comprende ampie eccezioni alle garanzie per la protezione dei dati: in particolare, è prevista una deroga al principio di adeguatezza «per interessi legittimi superiori, soprattutto importanti interessi pubblici». Questa eccezione presenta una formulazione vaga, che potrebbe potenzialmente applicarsi in molti casi di trattamento di dati PNR, ove sia interpretata in senso ampio. Il GEPD ritiene che la proposta dovrebbe esplicitamente impedire l’applicazione delle eccezioni della decisione quadro nel contesto del trattamento dei dati PNR e mantenere l’obbligo di una rigorosa valutazione dell’adeguatezza.

42.

La proposta prevede un periodo di 30 giorni di conservazione dei dati, con un periodo aggiuntivo di cinque anni in archivio. Questo periodo di conservazione è notevolmente ridotto rispetto a precedenti versioni del documento, che prevedevano cinque anni più otto aggiuntivi.

43.

Il GEPD si compiace della riduzione a 30 giorni del primo periodo di conservazione, ma contesta l’ulteriore periodo di conservazione di 5 anni: non è chiaro se esista la necessità di conservare ulteriormente i dati in una forma che renda ancora possibile l’identificazione delle persone.

44.

Il GEPD sottolinea inoltre una questione terminologica nel testo che implica importanti conseguenze legali: l’articolo 9, paragrafo 2, indica che i dati dei passeggeri saranno «mascherati», e pertanto «resi anonimi». Tuttavia, nel seguito del testo si afferma che è ancora possibile «l’accesso integrale ai dati PNR». Se esiste questa possibilità, significa che i dati PNR non sono mai stati resi completamente anonimi: pur essendo stati mascherati, restano comunque identificabili. Di conseguenza, il quadro normativo per la protezione dei dati resta pienamente applicabile e fa sorgere la questione fondamentale della necessità e proporzionalità in merito alla conservazione di dati identificabili di tutti i passeggeri per un periodo di cinque anni.

45.

Il GEPD raccomanda che la proposta venga riformulata, mantenendo il principio del reale anonimato, che escluda la possibilità di ritornare a dati identificabili e pertanto non consenta indagini retroattive. Questi dati devono poter essere utilizzati esclusivamente per finalità generali di intelligence basate sull’identificazione di modelli di reati di terrorismo e reati connessi nei flussi migratori. Occorre tuttavia operare una distinzione con la conservazione di dati in forma identificabile, soggetta a determinate garanzie, nei casi che hanno dato origine a un sospetto concreto.

46.

Il GEPD apprezza il fatto che i dati sensibili non siano compresi nell’elenco dei dati soggetti al trattamento. Tuttavia, sottolinea che la proposta prevede comunque la possibilità di inviare tali dati all’unità d’informazione sui passeggeri, che in seguito ha l’obbligo di cancellarli (articolo 4, paragrafo 1, articolo 11). Non è chiaro dalla formulazione se le unità d’informazione sui passeggeri mantengano l’obbligo di routine di filtrare i dati sensibili trasmessi dalle compagnie aeree, o se siano tenute a farlo solo nel caso eccezionale in cui le compagnie aeree li abbiano trasmessi per errore. Il GEPD raccomanda di modificare il testo per chiarire che le compagnie aeree non dovrebbero trasmettere dati sensibili all’inizio del processo di trattamento dei dati.

47.

A parte i dati sensibili, l’elenco di dati che possono essere trasferiti rispecchia in larga misura l’elenco di dati PNR degli Stati Uniti, che è stato criticato perché eccessivamente ampio in vari pareri del Gruppo di lavoro dell’articolo 29 (20). Secondo il GEPD, l’elenco dovrebbe essere ridotto conformemente al parere del Gruppo di lavoro ed eventuali aggiunte dovrebbero essere motivate. In particolare, è il caso del campo «osservazioni generali» che dovrebbe essere escluso dall’elenco.

48.

Ai sensi dell’articolo 4, paragrafo 2, lettere a) e b), la valutazione delle persone a fronte di criteri prestabiliti o di banche dati pertinenti può comportare un trattamento automatizzato, che tuttavia dovrebbe essere verificato singolarmente con mezzi non automatizzati.

49.

Il GEPD apprezza i chiarimenti apportati a questa nuova versione del testo. L’ambiguità della precedente portata della disposizione, in relazione a decisioni automatizzate che comportino «una conseguenza giuridica negativa per l’interessato o lo danneggino in modo significativo (…)» è stata sostituita da una formulazione più esplicita. Ora è chiaro che ogni eventuale riscontro positivo sarà verificato singolarmente.

50.

Inoltre, nella nuova versione è chiaro che in nessun caso la valutazione si può basare sull’origine razziale o etnica, sulle convinzioni religiose o filosofiche, sulle opinioni politiche, sull’appartenenza sindacale, sullo stato di salute o sull’orientamento sessuale di una persona. In altre parole, al GEPD risulta evidente da questa nuova formulazione che nessuna decisione, nemmeno parziale, può essere presa sulla base di dati sensibili. Si tratta di una scelta apprezzabile e coerente con la disposizione secondo cui le unità d’informazione sui passeggeri non possono trattare dati sensibili.

51.

Il GEPD considera della massima importanza che venga effettuata una valutazione approfondita dell’attuazione della direttiva come previsto nell’articolo 17. A suo parere, il riesame non dovrebbe solo valutare la conformità generale con le norme in materia di protezione dei dati, bensì in modo più fondamentale e specifico se i sistemi PNR costituiscono una misura necessaria. Le statistiche citate nell’articolo 18 svolgono un ruolo importante in quest’ottica. Secondo il GEPD, queste informazioni dovrebbero comprendere il numero di azioni di contrasto, come previsto nel progetto, ma anche il numero di effettive condanne che ne sono derivate o meno. Si tratta di dati essenziali affinché i risultati del riesame siano conclusivi.

52.

La proposta non pregiudica gli accordi esistenti con paesi terzi (articolo 19). Il GEPD ritiene che questa disposizione dovrebbe riferirsi più esplicitamente all’obiettivo di un quadro generale che fornisca garanzie di protezione dei dati armonizzate in materia di PNR, all’interno e all’esterno dell’UE, come richiesto dal Parlamento europeo e ripreso dalla Commissione nella sua comunicazione del 21 settembre 2010«sull’approccio globale al trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) verso paesi terzi».

53.

In tal senso, gli accordi con paesi terzi non dovrebbero comprendere disposizioni al di sotto della soglia di protezione dei dati prevista dalla direttiva. Si tratta di un aspetto particolarmente importante ora che gli accordi con Stati Uniti, Australia e Canada sono in fase di rinegoziazione nella prospettiva di un quadro globale e armonizzato.

54.

Lo sviluppo di un sistema PNR dell’UE, unitamente alla negoziazione di accordi PNR con paesi terzi, è un progetto che si protrae da tempo. Il GEPD riconosce che, rispetto alla proposta di decisione quadro del Consiglio del 2007 sull’uso dei dati PNR nell’UE, sono stati apportati evidenti miglioramenti al progetto di testo. Sono state aggiunte garanzie per la protezione dei dati, attingendo alle discussioni e ai pareri di diverse parti interessate, ivi compresi in particolare il Gruppo di lavoro dell’articolo 29, il GEPD e il Parlamento europeo.

55.

Il GEPD si compiace di questi miglioramenti e, in particolare, degli sforzi per limitare il campo di applicazione della proposta e le condizioni per il trattamento dei dati PNR. Tuttavia, si trova costretto ad osservare che il requisito essenziale per la messa a punto di un sistema PNR, ossia la conformità ai principi di necessità e proporzionalità, non viene soddisfatto nella proposta. Il GEPD ricorda che a suo parere i dati PNR potrebbero sicuramente rilevarsi necessari in attività di contrasto in casi specifici e nel rispetto degli obblighi di protezione dei dati. Le preoccupazioni specifiche riguardano il loro uso sistematico e indiscriminato con riferimento a tutti i passeggeri.

56.

La valutazione d’impatto fornisce elementi intesi a giustificare la necessità di dati PNR per la lotta alla criminalità, ma la natura di queste informazioni è troppo generale e non serve a motivare il trattamento su vasta scala di dati PNR per finalità di intelligence. Secondo il parere del GEPD, l’unica misura conforme ai requisiti di protezione dei dati sarebbe l’uso di dati PNR caso per caso, nel caso di una grave minaccia individuata da indicatori concreti.

57.

Oltre a questa carenza fondamentale, i commenti del GEPD riguardano i seguenti aspetti:

58.

Il GEPD raccomanda inoltre che gli sviluppi concernenti il sistema PNR dell’UE vengano valutati in una prospettiva più ampia, che comprenda la valutazione generale in atto di tutti gli strumenti dell’UE in materia di gestione dello scambio di informazioni, varata dalla Commissione nel gennaio 2010. In particolare, nella valutazione della necessità di un sistema PNR dell’UE si dovrebbero prendere in considerazione i risultati dell’attuale lavoro sul modello europeo di scambio delle informazioni, attesi per il 2012.

—

Parere del 19 ottobre 2010 sulla comunicazione della Commissione sull’approccio globale al trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) verso paesi terzi, disponibile all’indirizzo http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010

—

I pareri del Gruppo di lavoro dell’articolo 29 sono disponibili al seguente link: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

22.6.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 181/31

22.6.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 181/34

22.6.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 181/35

Regione Lombardia

DG Agricoltura

Piazza Città di Lombardia 1

20124 Milano MI

ITALIA

—

articles L. 621-1 et suivants du Code rural et de la pêche maritime,

—

projet de décision du directeur général de FranceAgriMer

FranceAgriMer

12 rue Henri Rol Tanguy

TSA 20002

93555 Montreuil sous Bois Cedex

FRANCE

Ministrstvo za kmetijstvo, gozdarstvo in prehrano Republike Slovenije

Dunajska 22

SI-1000 Ljubljana

SLOVENIJA

22.6.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 181/37

1.

In data 15 giugno 2011 è pervenuta alla Commissione la notifica di un progetto di concentrazione in conformità dell’articolo 4 del regolamento (CE) n. 139/2004 del Consiglio (1). Con tale operazione le imprese Bridgepoint Europe IV Investments (2) Sàrl (Lussemburgo), controllata da Bridgepoint Capital Group Limited («Bridgepoint», Regno Unito), e Eurazeo SA («Eurazeo», Francia) acquisiscono, ai sensi dell’articolo 3, paragrafo 1, lettera b), del regolamento comunitario sulle concentrazioni, il controllo comune di Foncia Groupe SA («Foncia», Francia) mediante acquisto di quote.

2.

Le attività svolte dalle imprese interessate sono le seguenti:

3.

A seguito di un esame preliminare la Commissione ritiene che la concentrazione notificata possa rientrare nel campo d'applicazione del regolamento comunitario sulle concentrazioni. Tuttavia, si riserva la decisione definitiva al riguardo. Si rileva che, ai sensi della comunicazione della Commissione concernente una procedura semplificata per l'esame di determinate concentrazioni a norma del regolamento comunitario sulle concentrazioni (2), il presente caso potrebbe soddisfare le condizioni per l'applicazione della procedura di cui alla comunicazione stessa.

4.

La Commissione invita i terzi interessati a presentare eventuali osservazioni sulla concentrazione proposta.

Le osservazioni devono pervenire alla Commissione entro dieci giorni dalla data di pubblicazione della presente comunicazione. Le osservazioni possono essere trasmesse alla Commissione per fax (+32 22964301), per e-mail all’indirizzo COMP-MERGER-REGISTRY@ec.europa.eu o per posta, indicando il riferimento COMP/M.6274 — Bridgepoint/Eurazeo/Foncia Groupe, al seguente indirizzo:

22.6.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 181/39

1.

In data 14 giugno 2011 è pervenuta alla Commissione la notifica di un progetto di concentrazione in conformità dell’articolo 4 del regolamento (CE) n. 139/2004 del Consiglio (1). Con tale operazione l'impresa CSN Steel S.L. (Spagna), appartenente al gruppo Companhia Siderúrgica Nacional, acquisisce, ai sensi dell'articolo, paragrafo 1, lettera b), del regolamento comunitario sulle concentrazioni, il controllo dell'insieme delle imprese:

mediante acquisto di quote.

2.

Le attività svolte dalle imprese interessate sono le seguenti:

3.

A seguito di un esame preliminare la Commissione ritiene che la concentrazione notificata possa rientrare nel campo d'applicazione del regolamento comunitario sulle concentrazioni. Tuttavia, si riserva la decisione definitiva al riguardo. Si rileva che, ai sensi della comunicazione della Commissione concernente una procedura semplificata per l'esame di determinate concentrazioni a norma del regolamento comunitario sulle concentrazioni (2), il presente caso potrebbe soddisfare le condizioni per l'applicazione della procedura di cui alla comunicazione stessa.

4.

La Commissione invita i terzi interessati a presentare eventuali osservazioni sulla concentrazione proposta.

Le osservazioni devono pervenire alla Commissione entro dieci giorni dalla data di pubblicazione della presente comunicazione. Le osservazioni possono essere trasmesse alla Commissione per fax (+32 22964301), per e-mail all’indirizzo COMP-MERGER-REGISTRY@ec.europa.eu o per posta, indicando il riferimento COMP/M.6265 — CSN/AG Cementos Balboa/Corrugados Azpeitia/Corrugados Lasao/Stahlwerk Thuringen, al seguente indirizzo:

22.6.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 181/40

1.

In data 14 giugno 2011 è pervenuta alla Commissione europea la notifica di un progetto di concentrazione in conformità dell’articolo 4 del regolamento (CE) n. 139/2004 del Consiglio (1). Con tale operazione l'impresa Talis International Holding GmbH (Germania), holding dell'impresa comprendente il gruppo Talis («Talis»), acquisisce, ai sensi dell’articolo 3, paragrafo 1, lettera b), del regolamento sulle concentrazioni, il controllo dell’insieme di Raphael Valves Industries (1975) («Raphael») (Israele) mediante acquisto di quote.

2.

Le attività svolte dalle imprese interessate sono le seguenti sia per Talis che per Raphael: sviluppo, produzione e distribuzione di valvole e altri prodotti e attrezzature per l'industria idrica, ivi compreso per la produzione, la trasmissione, la distribuzione e la depurazione dell'acqua.

3.

A seguito di un esame preliminare la Commissione europea ritiene che la concentrazione notificata possa rientrare nel campo d’applicazione del regolamento sulle concentrazioni. Tuttavia, si riserva la decisione definitiva al riguardo. Si rileva che, ai sensi della comunicazione della Commissione concernente una procedura semplificata per l'esame di determinate concentrazioni a norma del regolamento sulle concentrazioni (2), il presente caso potrebbe soddisfare le condizioni per l'applicazione della procedura di cui alla comunicazione stessa.

4.

La Commissione europea invita i terzi interessati a presentare eventuali osservazioni sulla concentrazione proposta.

Le osservazioni devono pervenire alla Commissione europea entro dieci giorni dalla data di pubblicazione della presente comunicazione. Le osservazioni possono essere trasmesse alla Commissione europea per fax (+32 22964301), per e-mail all’indirizzo COMP-MERGER-REGISTRY@ec.europa.eu o per posta, indicando il riferimento COMP/M.6253 — Talis International Holding/Raphael Valves Industries (1975) Ltd, al seguente indirizzo: