Proposta di decisione del Parlamento europeo, del Consiglio e della Commissione relativa allo statuto e alle condizioni generali d'esercizio delle funzioni di garante europeo della protezione dei dati

(presentata dalla Commissione)

RELAZIONE

Il trattamento dei dati personali è un'operazione correntemente praticata da istituzioni e organismi comunitari nell'ambito della loro attività. Ad esempio, la Commissione procede allo scambio di dati personali con gli Stati membri nel quadro della politica agricola comune, per la gestione del regime doganale, dei fondi strutturali e nel quadro di altre politiche comunitarie, quali l'istruzione, la formazione, la cultura e la ricerca. Per garantire la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, e per evitare che gli scambi d'informazione vengano rimessi in discussione dagli Stati membri per motivi di protezione dei dati, il trattato firmato ad Amsterdam ha inserito nel trattato che istituisce la Comunità europea una disposizione finalizzata a questo scopo. Il nuovo articolo 286 prevede che a decorrere dal 1° gennaio 1999 le istituzioni e gli organismi comunitari applichino le norme comunitarie sulla protezione dei dati personali stabilite prevalentemente dalle direttive 95/46/CE e 97/66/CE. Esso prevede inoltre che un organo di controllo indipendente vigili sull'applicazione di tali norme. D'altro canto le stesse motivazioni hanno portato all'inclusione del diritto alla protezione dei dati di carattere personale nella Carta dei diritti fondamentali dell'Unione europea.

Per adempiere a questa disposizione del trattato il legislatore comunitario ha adottato il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio del 18 dicembre 2000 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.

Il regolamento stabilisce una serie di principi ai quali sono soggetti i trattamenti dei dati personali ad opera delle istituzioni e degli organismi comunitari. Oltre a tali disposizioni sostanziali, il regolamento istituisce un'autorità di controllo indipendente, denominata garante europeo della protezione dei dati, che ha il compito di assicurare l'applicazione delle disposizioni del regolamento. Il garante è assistito da un garante aggiunto.

Il regolamento prevede inoltre che il Parlamento europeo, il Consiglio e la Commissione fissino di comune accordo lo statuto e le condizioni generali d'esercizio delle funzioni del garante europeo della protezione dei dati e, in particolare, la retribuzione, le indennità e ogni altro compenso sostitutivo. A questo proposito si rileva che la maggior parte degli elementi costitutivi dello statuto di garante europeo e di quello di garante aggiunto è già contenuta nel regolamento stesso. In effetti esso prevede clausole specifiche per assicurare l'indipendenza del garante, concernenti in particolare la nomina, le dimissioni e il divieto di ricevere istruzioni da chi che sia. Per esercitare le funzioni attribuitegli dal regolamento il garante è dotato di proprie competenze.

Restano peraltro da determinare due punti essenziali dello statuto e delle condizioni generali d'esercizio delle funzioni di garante europeo della protezione dei dati, cioè la retribuzione del garante e del suo aggiunto, e la sede dell'organismo.

Quanto alla remunerazione, è essenziale assicurare al garante europeo uno statuto adeguato alle sue funzioni di controllo delle istituzioni e degli organismi comunitari, alle sue competenze e alla sua indipendenza. Occorre inoltre tener conto dell'influenza che la figura del mediatore europeo ha avuto sulla definizione del profilo istituzionale del garante contenuta nel regolamento. Non a caso, infatti, numerosi elementi dello statuto del mediatore europeo vengono ripresi dal regolamento in riferimento al garante e la relativa dotazione di bilancio è prevista alla sezione VIII del bilancio generale dell'Unione europea, dove è attualmente collocata la rubrica relativa al mediatore. Sotto questo aspetto il regolamento si ispira alle pratiche di taluni Stati membri, in cui l'autorità di controllo per la protezione dei dati personali assume la forma di organo unipersonale e indipendente, talvolta denominato "ombudsman". Si propone di conseguenza che al garante europeo della protezione dei dati spettino la stessa retribuzione e gli stessi vantaggi del mediatore europeo, che a sua volta è assimilato ad un giudice della Corte di giustizia delle Comunità europee per quanto riguarda la retribuzione, le indennità e il trattamento di quiescenza.

Quanto alla retribuzione del garante aggiunto, occorre tener presente che il suo statuto deve rispondere a due esigenze. Da un lato il garante aggiunto è nominato con la stessa procedura e per la stessa durata del garante, con il compito di assisterlo nell'esercizio delle sue funzioni e di sostituirlo in caso d'assenza o impedimento. Il suo statuto pertanto, ed in particolare la sua retribuzione, deve avvicinarsi a quella del garante stesso. D'altro lato tra i due posti deve sussistere una gerarchia, che rispecchi la debita differenza tra il garante e la persona che l'assiste e lo sostituisce. Per tale motivo si propone d'assimilare il garante aggiunto al cancelliere della Corte di giustizia per quanto riguarda la retribuzione, le indennità e il trattamento di quiescenza. In effetti il cancelliere ed i giudici della Corte di giustizia sono soggetti agli stessi regolamenti di attribuzione del trattamento economico, soprattutto per quanto riguarda la pensione, le indennità e il trattamento di quiescenza. D'altro canto tra i giudici e il cancelliere esiste una certa gerarchia, dato che lo stipendio base mensile dei giudici è pari al 112% dello stipendio base di un funzionario delle Comunità europee di grado A1, ultimo scatto, mentre quello del cancelliere è pari al 101% dello stipendio base del medesimo funzionario [1].

[1] Regolamento (CECA, CEE, EURATOM) n. 1546/73 del Consiglio, del 4 giugno 1973, GU L 155 dell'11.6.1973, pag. 8.

Considerata la natura delle sue funzioni, il garante europeo della protezione dei dati deve essere prossimo alle istituzioni che deve controllare. La maggior parte dei servizi della Commissione, il segretariato del Consiglio dell'Unione europea, il Comitato economico e sociale e il Comitato delle regioni si trovano a Bruxelles. Tali servizi sono responsabili di gran parte dei trattamenti dei dati personali ad opera delle istituzioni e degli organismi comunitari. Per quanto attiene alle altre istituzioni e organismi comunitari distribuiti nei vari Stati membri, Bruxelles si colloca geograficamente in posizione centrale e abbastanza ben collegata con la periferia dell'Unione. Per agevolare uno svolgimento armonioso delle funzioni, si propone di fissare a Bruxelles la sede del garante europeo della protezione dei dati.

La Commissione ricorda inoltre l'importanza del ruolo che il garante è chiamato a svolgere nel sistema di protezione dei dati personali istituito dal regolamento. Da una parte per le persone interessate costituisce una garanzia del trattamento dei loro dati ad opera delle istituzioni e degli organismi comunitari nel più rigoroso rispetto dei principi del regolamento, grazie soprattutto alle indagini che può svolgere di propria iniziativa o in seguito ad un reclamo e al suo controllo preventivo di taluni trattamenti. D'altra parte, fatte salve le opportune garanzie, il suo intervento permette di conferire al regime generale di protezione dei dati stabilito dal regolamento l'elasticità necessaria per adattarsi a circostanze che il regolamento stesso difficilmente riesce a prevedere. Il garante può ad esempio autorizzare trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale che non assicurano un adeguato livello di protezione; può derogare al principio del divieto dei trattamenti automatizzati di dati sensibili e di decisioni individuali; può anche autorizzare il trattamento di taluni dati relativi al traffico delle comunicazioni e alla fatturazione nell'ambito delle reti di telecomunicazioni, al di là di quanto consente in generale il regolamento.

Per tali motivi la Commissione ritiene dal canto suo di dover prendere i provvedimenti necessari affinché il garante europeo della protezione dei dati entri in carica e possa esercitare le sue funzioni non appena possibile. In particolare essa intende agire nel quadro della procedura di bilancio affinché il garante nominato possa disporre al più presto possibile delle risorse umane e finanziarie necessarie per l'esercizio delle sue funzioni, naturalmente nel rispetto del ruolo assegnatole dal trattato in materia di bilancio. Pertanto la Commissione si propone di presentare al più presto all'autorità di bilancio una lettera rettificativa del PPB 2002 contenente una previsione delle risorse necessarie al garante che si basa sulla presente proposta. In seguito la Commissione desidera bandire un avviso di ricerca di candidati ai posti di garante e di garante aggiunto, come prevede l'articolo 42 del regolamento, al più tardi entro il 1° novembre 2001.

La Commissione invita il Parlamento europeo e il Consiglio ad impegnarsi con lei in uno sforzo comune affinché i cittadini possano contare rapidamente sul garante europeo della protezione dei dati a tutela del diritto fondamentale alla protezione dei loro dati personali trattati dalle istituzioni e dagli organismi comunitari.

Proposta di decisione del Parlamento europeo, del Consiglio e della Commissione relativa allo statuto e alle condizioni generali d'esercizio delle funzioni di garante europeo della protezione dei dati

IL PARLAMENTO EUROPEO, IL CONSIGLIO DELL'UNIONE EUROPEA E LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

Visto il trattato che istituisce la Comunità europea,

Visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio del 18 dicembre 2000 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 43 [2],

[2] GU L 8 del 12.1.2001, pag. 1.

Vista la proposta della Commissione [3],

[3] GU C del , pag. .

Considerando quanto segue:

(1) Il garante europeo della protezione dei dati è l'organo di controllo indipendente incaricato di sorvegliare l'applicazione alle istituzioni e agli organismi comunitari degli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

(2) Per l'effettivo ingresso in carica di tale organo di controllo indipendente è necessario fissare lo statuto e le condizioni generali d'esercizio delle funzioni di garante europeo della protezione dei dati e di garante aggiunto.

(3) La maggior parte degli elementi costitutivi dello statuto e delle condizioni generali di esercizio delle funzioni di garante europeo della protezione dei dati è già inclusa nel regolamento. Esso contiene le disposizioni necessarie per la nomina del garante europeo della protezione dei dati e del garante aggiunto, nonché le disposizioni relative alle risorse umane e finanziarie, all'indipendenza, all'obbligo di segreto professionale, alle funzioni e alle competenze.

(4) Non sono inclusi nel regolamento due aspetti importanti dello statuto, che devono ancora essere definiti: la retribuzione, le indennità e ogni altro compenso sostitutivo, nonché la sede del garante.

(5) La retribuzione del garante europeo della protezione dei dati deve essere allo stesso livello di quella del mediatore europeo, considerata la necessità di dare al garante uno statuto adeguato alle sue funzioni e competenze, ed essendosi il regolamento sostanzialmente ispirato al mediatore europeo nella definizione del profilo istituzionale del garante. Il mediatore europeo a sua volta è assimilato ad un giudice della Corte di giustizia per quanto riguarda la retribuzione, le indennità e il trattamento di quiescenza.

(6) Il garante aggiunto deve essere assimilato al cancelliere della Corte di giustizia delle Comunità europee per quanto riguarda la retribuzione, le indennità e il trattamento di quiescenza, in modo da istituire una gerarchia tra garante europeo e garante aggiunto. A entrambi è comunque attribuito lo stesso tipo di trattamento economico, corrispondente alla loro procedura di nomina, al mandato e alle funzioni.

(7) La sede del garante europeo della protezione dei dati deve essere fissata a Bruxelles, per assicurare la necessaria vicinanza tra garante stesso e istituzioni e organi comunitari soggetti al suo controllo, al fine di agevolare lo svolgimento armonioso delle sue funzioni,

HANNO ADOTTATO LA PRESENTE DECISIONE:

Articolo 1 Retribuzione del garante europeo della protezione dei dati

Il garante europeo della protezione dei dati è assimilato a un giudice della Corte di giustizia delle Comunità europee per quanto riguarda la retribuzione, le indennità, il trattamento di quiescenza e ogni altro compenso sostitutivo.

Articolo 2 Retribuzione del garante aggiunto

Il garante aggiunto è assimilato al cancelliere della Corte di giustizia delle Comunità europee per quanto riguarda la retribuzione, le indennità, il trattamento di quiescenza e ogni altro compenso sostitutivo.

Articolo 3 Sede

Il garante europeo della protezione dei dati e il garante aggiunto hanno sede a Bruxelles.

Articolo 4

La presente decisione entra in vigore il giorno dopo la pubblicazione nella Gazzetta ufficiale delle Comunità europee.

Fatto a Bruxelles, il

Per il Per il Consiglio della Per la Commissione delle Parlamento europeo Unione europea Comunità europee

La Presidente Il Presidente Il Presidente