ALLEGATO

Valori forfettari all’importazione ai fini della determinazione del prezzo di entrata di taluni ortofrutticoli

(EUR/100 kg)
Codice NC	Codice paesi terzi (1)	Valore forfettario all'importazione
0702 00 00	JO	93,2
	MA	80,1
	TN	139,0
	TR	108,7
	ZZ	105,3
0707 00 05	JO	155,5
	MA	55,7
	TR	135,4
	ZZ	115,5
0709 90 70	JO	220,7
	MA	28,1
	TR	104,8
	ZZ	117,9
0805 10 20	EG	43,1
	IL	58,1
	MA	49,6
	TN	64,9
	TR	65,2
	ZZ	56,2
0805 50 10	TR	57,2
	ZA	73,4
	ZZ	65,3
0808 10 80	AR	84,2
	BR	75,3
	CA	124,7
	CL	80,2
	CN	77,8
	MK	22,6
	NZ	111,3
	US	129,3
	UY	58,8
	ZA	84,2
	ZZ	84,8
0808 20 50	AR	74,6
	CL	87,8
	CN	64,3
	ZA	96,7
	ZZ	80,9

---

(1)  Nomenclatura dei paesi stabilita dal regolamento (CE) n. 1833/2006 della Commissione (GU L 354 del 14.12.2006, pag. 19). Il codice «ZZ» rappresenta le «altre origini».

ALLEGATO

---

(1)  GU L 256 del 7.9.1987, pag. 1.

(2)  GU L 82 del 31.3.2005 , pag. 1.»

«Articolo 34

Modifiche del programma

1.   Le modifiche del programma approvato a norma dell’articolo 13, paragrafo 2, del regolamento (CE) n. 1405/2006 sono presentate alla Commissione per approvazione, debitamente giustificate fornendo in particolare le seguenti informazioni:

a)	i motivi e le eventuali difficoltà di attuazione che giustificano la modifica del programma;

b)	gli effetti della modifica previsti;

c)	le conseguenze dal punto di vista del finanziamento e della verifica degli impegni.

Tranne nei casi di forza maggiore o di circostanze eccezionali, la Grecia presenta le domande di modifica dei programmi non più di una volta per anno civile e per programma. Tali domande di modifica devono pervenire alla Commissione entro il 1o agosto di ogni anno.

Se la Commissione non ha obiezioni al riguardo, la Grecia applica le modifiche richieste a decorrere dal 1o gennaio dell’anno successivo a quello della domanda di modifica.

Le modifiche possono essere applicate prima di tale data previa conferma scritta della Commissione, inviata alla Grecia entro la data di cui al terzo comma, che le modifiche comunicate sono conformi alla normativa comunitaria.

Se la modifica comunicata non è conforme alla normativa comunitaria, la Commissione ne informa la Grecia e la modifica stessa non si applica fino a quando la Commissione riceve una modifica che possa essere dichiarata conforme.

2.   In deroga al paragrafo 1, per le modifiche che seguono la Commissione valuta le proposte della Grecia e decide in merito alla loro approvazione entro quattro mesi dalla data di presentazione, secondo la procedura di cui all’articolo 13, paragrafo 2, del regolamento (CE) n. 1405/2006:

a)	l’inserimento nel programma di nuove misure o nuovi regimi di aiuto; e

b)	l’aumento del livello unitario di sostegno già approvato, per ogni misura o regime di aiuto esistenti, di oltre il 50 % dell’importo applicabile al momento in cui è stata presentata la domanda di modifica.

Le modifiche in tal modo approvate si applicano a partire dal 1o gennaio dell’anno successivo alla loro notifica.

3.   La Grecia è autorizzata a procedere alle modifiche seguenti, preventivamente comunicate alla Commissione, senza ricorrere alla procedura di cui al paragrafo 1:

a)	per quanto riguarda il bilancio preventivo di approvvigionamento, le modifiche delle quantità di prodotti che rientrano nel regime di approvvigionamento e di conseguenza l’importo globale dell’aiuto assegnato a favore di ciascuna gamma di prodotti;

b)	nel caso del sostegno a favore della produzione locale, adattamenti non superiori al 20 % della dotazione finanziaria di ogni singola misura; e

c)	modifiche derivanti da modifiche dei codici e delle denominazioni delle merci figuranti nel regolamento (CEE) n. 2658/87 del Consiglio (3) utilizzati per identificare i prodotti che beneficiano dell’aiuto, nella misura in cui tali modifiche non comportano una modifica dei prodotti stessi.

Tali modifiche non si applicano prima della data in cui pervengono alla Commissione. Esse devono essere debitamente spiegate e giustificate e possono essere attuate non più di una volta all’anno tranne nei seguenti casi:

a)	forza maggiore e circostanze eccezionali;

b)	modifica dei quantitativi di prodotto che rientrano nel regime di approvvigionamento;

c)	modifica della nomenclatura statistica e dei codici della tariffa doganale comune, di cui al regolamento (CEE) n. 2658/87;

d)	trasferimenti finanziari all’interno delle misure di sostegno alla produzione. Queste ultime modifiche, tuttavia, devono essere notificate entro il 30 aprile dell’anno seguente l’anno civile al quale si riferisce la dotazione finanziaria modificata.

ALLEGATO

ORIENTAMENTI PER L’APPLICAZIONE DELLE NORME RELATIVE ALLA PROTEZIONE DEI DATI NELL’AMBITO DELL’IMI

1.   IMI — UNO STRUMENTO PER LA COOPERAZIONE AMMINISTRATIVA

L’IMI è un software accessibile via Internet ideato dalla Commissione europea in collaborazione con gli Stati membri. Scopo principale dell’IMI è fornire assistenza agli Stati membri nell’applicazione pratica della normativa comunitaria che prevede cooperazione e sostegno reciproci in ambito amministrativo. L’IMI non è una banca dati finalizzata ad immagazzinare informazioni per lunghi periodi di tempo, ma è piuttosto un sistema centralizzato che consente alle amministrazioni degli Stati membri del SEE di scambiarsi informazioni. Il periodo di conservazione dei dati è limitato.

IMI — Pagina di connessione

Attualmente l’IMI opera a sostegno degli scambi di informazioni nel quadro della direttiva sulle qualifiche professionali e, dalla fine del 2009, anche di quella sui servizi. In futuro, l’IMI potrà facilitare lo scambio di informazioni in altri ambiti legislativi del mercato interno. È possibile trovare ad ogni momento una lista aggiornata di detti ambiti nell’allegato alla decisione 2008/49/CE che verrà modificato periodicamente. L’uso dell’IMI non è consentito per lo scambio di informazioni negli ambiti legislativi non specificati nell’allegato.

Esempio della sezione dell’applicazione in cui cercare le autorità competenti per le qualifiche professionali

La cooperazione fra le amministrazioni nazionali è indispensabile al buon funzionamento del mercato interno. I cittadini europei non saranno in grado di godere dei vantaggi offerti dal mercato interno, quali il diritto fondamentale di stabilirsi liberamente in un altro Stato membro o quello di fornire liberamente servizi transfrontalieri, se prima non verranno adottate le modalità pratiche necessarie alla cooperazione amministrativa.

Qualche esempio:

un medico tedesco residente a Berlino sposa una persona francese e decide di cominciare una nuova vita a Parigi. Il medico tedesco, desideroso di praticare la sua professione in Francia, presenta i suoi titoli e i suoi diplomi all’ordine dei medici di Francia. La persona che si occupa del suo fascicolo nutre dubbi circa l’autenticità di un diploma e si serve dell’IMI per effettuare le debite verifiche presso la competente autorità a Berlino.

Un’impresa di pulizie industriali francese operante in Francia offre servizi di pulizia anche oltre frontiera, in Catalogna (Spagna). Una ONG spagnola presenta un reclamo al ministero catalano per l’Ambiente sostenendo che l’impresa non dispone del personale specializzato necessario per maneggiare alcuni detergenti. L’autorità catalana competente usa l’IMI per appurare che l’impresa di pulizie stia operando in Francia legalmente.

A causa delle barriere linguistiche (l’UE conta 23 lingue ufficiali), dell’assenza di procedure amministrative che permettano la cooperazione transfrontaliera, delle diverse culture e strutture amministrative e della mancanza di interlocutori chiari nei vari Stati membri, la cooperazione amministrativa in seno all’UE non è cosa facile.

Sebbene spetti agli Stati membri garantire che le leggi del mercato interno siano correttamente applicate sul loro territorio, la Commissione ritiene che essi necessitino di strumenti per lavorare di concerto. L’IMI è stato ideato allo scopo di: identificare, attraverso la funzione di ricerca, la giusta autorità competente in un altro Stato membro; gestire lo scambio di informazioni attraverso procedure semplici e unificate; eliminare le barriere linguistiche tramite una serie di domande predefinite e precedentemente tradotte.

Schermata con le domande in entrambe le lingue di due autorità competenti coinvolte in uno scambio di informazioni

2.   CAMPO DI APPLICAZIONE E SCOPO DEGLI ORIENTAMENTI

Gli utenti IMI sono esperti nei loro rispettivi ambiti di competenza, siano questi le norme disciplinanti una professione, o la normativa vigente in materia di prestazione di servizi. Non trattandosi, tuttavia, di esperti nella protezione dei dati, è possibile che essi non siano sempre sufficientemente a conoscenza dei vincoli sulla protezione dei dati imposti dalla propria normativa nazionale in materia.

È dunque opportuno fornire agli utenti IMI degli orientamenti in cui vengano spiegati i risvolti sulla protezione dei dati personali connessi con il funzionamento dell’applicazione, ma anche i meccanismi di tutela previsti all’interno del sistema e i possibili rischi legati al suo uso (1).

Scopo di tali orientamenti non è fornire una lista esaustiva di tutti gli aspetti inerenti alla protezione dei dati connessi con l’IMI, quanto piuttosto una guida accessibile, un quadro di riferimento in materia di conformità che tutti gli utenti IMI possano comprendere. Qualora fosse necessario, gli utenti IMI potranno sempre rivolgersi alle autorità degli Stati membri preposte alla protezione dei dati per chiedere loro ulteriori consigli e assistenza. Una lista delle suddette autorità, con le loro coordinate e i siti web, è disponibile al seguente indirizzo:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm

3.   UN AMBIENTE SOFTWARE CONFORME ALLA NORMATIVA APPLICABILE IN MATERIA DI PROTEZIONE DEI DATI

L’IMI è stato sviluppato tenendo conto dei vincoli imposti dalla normativa in materia di protezione dei dati e vi si conforma fin dalla sua concezione.

Per quel che concerne la protezione dei dati, gli utenti IMI possono star certi che il sistema è un’applicazione software sicura e alcuni semplici esempi possono facilmente dimostrarlo:

a)	l’IMI è usato esclusivamente dalle autorità competenti all’interno del SEE (Stati membri dell’UE, oltre a Norvegia, Islanda e Liechtenstein) e non avvengono scambi di dati personali al di fuori del SEE;

b)	la Commissione europea e i coordinatori IMI (2) non hanno accesso ai dati personali di professionisti o di prestatori di servizi scambiati all’interno del sistema;

c)

soltanto le autorità competenti coinvolte in una richiesta di informazioni hanno diritto di vedere i dati personali del prestatore di servizi (3). In effetti, la protezione arriva fino al punto di impedire al destinatario di una richiesta di vedere i dati personali del prestatore di servizi fintantoché il destinatario non abbia formalmente accettato la richiesta; Esempio di una richiesta prima che venga accettata dal destinatario

d)	tutti i dati personali relativi ad una richiesta sono automaticamente cancellati dal sistema sei mesi dopo l’archiviazione della stessa o addirittura prima se richiesto dalle autorità competenti coinvolte (per maggiori dettagli, cfr. il capitolo 12 sul periodo di conservazione).

4.   CHI FA COSA NELL’IMI? LA QUESTIONE DELLA RESPONSABILITÀ CONDIVISA

L’IMI costituisce un chiaro esempio di responsabilità condivisa e di operazioni di trattamento condotte in maniera congiunta. Per esempio: se sono solo le autorità competenti degli Stati membri a poter scambiare dati personali, è la Commissione europea ad essere responsabile della conservazione di tali dati sui suoi server. Mentre non è permesso alla Commissione europea vedere tali dati personali, è il gestore del sistema che si occupa di effettuarne fisicamente la distruzione e la rettifica.

In altre parole, e quale risultato della distribuzione di responsabilità diverse tra la Commissione e gli Stati membri:

a)	ogni autorità competente e ogni coordinatore IMI è responsabile delle proprie attività legate al trattamento dei dati;

b)	la Commissione non è un utente, bensì il gestore del sistema, ed è responsabile, prima di tutto, della sua manutenzione e sicurezza (4);

c)	i partecipanti IMI condividono la responsabilità in materia di notificazione e di diritti d’accesso, di opposizione e di rettifica.

In contesti complessi di responsabilità condivisa come lo è l’IMI, appare molto più efficiente, dal punto di vista della conformità, integrare la protezione dei dati nel sistema sin dall’inizio (cfr. la sezione «Lavori in corso» al capitolo 13 «Cooperazione con le autorità nazionali responsabili per la protezione dei dati e con il garante europeo») e definire un quadro di riferimento in materia di conformità come previsto negli orientamenti. Sarà responsabilità di tutti i partecipanti ed utenti IMI assicurare la conformità con gli orientamenti.

5.   PARTECIPANTI E UTENTI IMI

Tutti i partecipanti che usano l’IMI sono abilitati dai coordinatori IMI. Gli articoli da 6 a 12 della decisione 2008/49/CE descrivono in maniera dettagliata i partecipanti e gli utenti, le loro funzioni, i loro diritti e i loro obblighi. Non è dunque necessario che tale descrizione sia ripresa negli orientamenti.

È importante comprendere che l’IMI è un sistema molto flessibile che permette agli Stati membri di distribuire responsabilità e funzioni tra le autorità competenti e i coordinatori nel modo più consono alle loro strutture amministrative e agli ambiti legislativi per i quali è richiesta la cooperazione amministrativa.

È altresì importante tenere conto del fatto che, negli Stati membri, gli utenti IMI sono responsabili anche di molte altre operazioni di trattamento. La messa in conformità dell’IMI con la normativa in materia di protezione dei dati non deve risultare inutilmente complicata, né deve comportare procedure amministrative eccessivamente gravose. E non deve nemmeno consistere in una soluzione unica per tutto.

Nella maggior parte dei casi le autorità competenti devono effettuare operazioni di trattamento all’interno dell’IMI semplicemente attenendosi alle proprie normative nazionali vigenti in materia di protezione dei dati e alle stesse norme e buone pratiche che, a seconda delle loro particolari necessità, devono normalmente seguire in qualità di responsabili del trattamento dei dati.

Inoltre, esse metteranno a profitto l’ambiente favorevole alla protezione dei dati offerto dall’IMI. Per esempio, qualora non necessitassero più delle informazioni scambiate attraverso l’IMI, esse sono incoraggiate a richiedere che i dati personali siano cancellati ben prima dello scadere del periodo di conservazione di sei mesi.

6.   FONDAMENTI GIURIDICI PER LO SCAMBIO DI INFORMAZIONI PERSONALI NELL’AMBITO DELL’IMI

La Commissione ha adottato la decisione 2008/49/CE che fissa le funzioni, i diritti e gli obblighi dei partecipanti e degli utenti IMI relativamente all’applicazione del sistema per quel che concerne la protezione dei dati personali.

Non tutte le informazioni scambiate nell’ambito dell’IMI riguardano dati personali. Per esempio, le informazioni scambiate possono riferirsi a persone giuridiche (5), oppure la domanda e la risposta possono non riguardare un soggetto specifico (nel caso, per esempio, di una domanda generica riguardo alla possibilità che una professione sia regolata in un determinato Stato membro).

In molti casi, tuttavia, gli scambi di informazioni riguardano proprio persone fisiche ed è dunque necessaria una base giuridica per il trattamento dei dati personali. L’IMI è spesso usato a beneficio dell’interessato. Tuttavia, anche qualora lo scambio di informazioni non avvenga necessariamente a beneficio dell’interessato, le autorità competenti possono usare l’IMI a condizione che tale scambio sia giustificato da specifici fondamenti giuridici.

L’articolo 7 della direttiva 95/46/CE elenca i fondamenti giuridici del trattamento dei dati personali. Di questi, l’articolo 7, lettere c) ed e), è quello di maggior rilevanza ai fini degli scambi di dati all’interno dell’IMI.

I)   Conformità ad un obbligo giuridico [articolo 7, lettera c)]

In linea di principio, gli Stati membri hanno il dovere di cooperare tra di loro e con le istituzioni comunitarie. Il dovere della cooperazione amministrativa è reso esplicito e precisato dalle direttive 2005/36/CE e 2006/123/CE (direttiva relativa al riconoscimento delle qualifiche professionali e direttiva sui servizi).

L’articolo 56, paragrafi 1 e 2, della direttiva sulle qualifiche professionali prevede che:

L’articolo 28, paragrafi 1 e 6, della direttiva sui servizi prevede che:

L’articolo 34, paragrafo 1, della direttiva sui servizi prevede che:

II)   L’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento [articolo 7, lettera e)].

I partecipanti e gli utenti IMI eseguono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri di cui sono investiti. I dati registrati nell’IMI sono convalidati dal coordinatore IMI dopo che questi ha provveduto ad accertare che l’autorità competente in questione esegue effettivamente compiti di interesse pubblico (per esempio, autorità sanitarie o veterinarie preposte a garantire che i propri membri rispettino le dovute regole etiche e sanitarie) o connessi all’esercizio di pubblici poteri di cui è investita (per esempio, ministeri dell’istruzione a cui spetti di garantire che gli insegnanti della scuola secondaria superiore posseggono le debite qualifiche).

In considerazione di quanto precede, è possibile servirsi dell’IMI per scambiare dati personali a titolo della direttiva sulle qualifiche professionali e della direttiva sui servizi ai fini da queste previsti. Informazioni relative ad altre normative sul mercato interno non possono essere scambiate attraverso l’IMI. Qualora l’ambito di applicazione dell’IMI dovesse essere in qualsiasi momento esteso ad altre normative, l’opportuno riferimento ai rilevanti atti comunitari sarà inserito nell’allegato della decisione 2008/49/CE.

7.   LA QUESTIONE DELLA NORMATIVA APPLICABILE E DEGLI OPPORTUNI CONTROLLI

La normativa applicabile in materia di protezione dei dati dipende da chi sono i partecipanti e gli utenti IMI. Per esempio, per la Commissione europea è di applicazione il regolamento (CE) n. 45/2001 sulla protezione dei dati personali. Per un utente nazionale (un’autorità competente, per esempio) la normativa applicabile è la legislazione nazionale sulla protezione dei dati, che deve essere conforme alla direttiva 95/46/CE (direttiva sulla protezione dei dati).

Assieme al regolamento (CE) n. 45/2001 (6), la suddetta direttiva fornisce all’Unione europea un quadro giuridico solido sulla protezione dei dati e lascia agli Stati membri un certo margine di manovra. È dunque opportuno che i coordinatori nazionali IMI discutano degli orientamenti assieme alle autorità dei loro Stati preposte alla protezione dei dati per quel che concerne, per esempio, i dettagli delle informazioni da fornire ai singoli (cfr. al riguardo il capitolo 9) o il dovere di notificare alle autorità competenti in materia di protezione dei dati talune operazioni relative al trattamento di questi ultimi.

La direttiva 95/46/CE è una normativa sul mercato interno dal duplice scopo. L’armonizzazione delle normative nazionali in materia di protezione dei dati è intesa a garantire, da una parte, un livello elevato di protezione dei dati e, dall’altra, i diritti fondamentali della persona, consentendo in questo modo la libera circolazione dei dati da uno Stato membro all’altro. Le specificità nazionali non avranno perciò alcun impatto pratico o significativo sull’uso dell’IMI, né sullo scambio di informazioni previsto da altri atti comunitari.

Uno degli aspetti più importanti del quadro giuridico comunitario sulla protezione dei dati è il controllo esercitato da autorità pubbliche indipendenti competenti in materia di protezione dei dati. Ne consegue che i cittadini posso presentare reclami alle suddette autorità per ottenere che i loro problemi in materia di protezione dei dati siano risolti prontamente e in sede extragiudiziale. A livello nazionale, il trattamento dei dati personali è controllato dalle autorità nazionali preposte alla protezione dei dati, mentre organismo di controllo del trattamento dei dati operato dalle istituzioni comunitarie è il garante europeo della protezione dei dati (GEPD). Di conseguenza, la Commissione europea è soggetta al controllo del GEPD, e gli altri utenti IMI a quello delle autorità coinvolte competenti in materia di protezione dei dati. Per maggiori dettagli su come trattare i reclami o le richieste delle persone interessate, cfr. il capitolo 10 sui diritti d’accesso e il capitolo 13 sulla cooperazione con le autorità competenti in materia di protezione dei dati e con il GEPD.

8.   PRINCIPI DI PROTEZIONE DEI DATI APPLICABILI AGLI SCAMBI DI INFORMAZIONI

A norma del diritto comunitario, il trattamento dei dati personali può aver luogo solo a determinate condizioni (cfr. la sezione 6: «Fondamenti giuridici per lo scambio di informazioni personali nell’ambito dell’IMI») e in conformità di alcuni principi che la direttiva sulla protezione dei dati definisce ‘principi relativi alla qualità dei dati’ (cfr. l’articolo 6 della stessa).

I responsabili del trattamento devono raccogliere dati personali solo per finalità legittime e specifiche e non devono trattarli per finalità incompatibili con quelle indicate al momento della raccolta. Un esempio tipico di finalità incompatibili sarebbe il caso di un’autorità competente che vende ad imprese private, per scopi commerciali, i dati relativi agli indirizzi raccolti per trattare casi relativi a professionisti migranti nell’ambito della direttiva sui servizi

Il trattamento dei dati personali deve inoltre essere proporzionato alle finalità perseguite (deve avere per oggetto dati adeguati, pertinenti e non eccedenti) e il responsabile del trattamento deve prendere provvedimenti ragionevoli atti a garantire che i dati siano tenuti aggiornati e che siano distrutti o resi anonimi una volta che l’identificazione della persona interessata non sia più necessaria. I principi relativi alla qualità dei dati costituiscono buoni principi di gestione dell’informazione: un sistema di informazione efficiente, infatti, non conserva senza un motivo particolare grandi quantità di dati, che in breve tempo divengono superati e inaffidabili. Un buon sistema elettronico di informazione raccoglie solo i dati necessari per le finalità prestabilite e tiene aggiornati tali dati in modo che siano pienamente affidabili.

Dall’applicazione dei principi relativi alla qualità dei dati al funzionamento dell’IMI possono essere desunte le raccomandazioni seguenti.

1)

L’utilizzazione dell’IMI deve essere strettamente limitata alle finalità stabilite nella legislazione applicabile (ad esempio, in caso di dubbio giustificato o per ogni altro motivo indicato nella legislazione applicabile). Pertanto, anche se si prevede che l’IMI diventerà il mezzo abituale per lo scambio di informazioni fra autorità competenti, deve essere assolutamente chiaro che l’IMI non va utilizzato sistematicamente per effettuare verifiche degli antecedenti sui professionisti o i prestatori di servizi migranti.

2)

L’autorità competente richiedente deve fornire solo i dati personali di cui l’autorità competente consultata ha bisogno per identificare senza dubbi la persona in questione o per rispondere alle domande. Ad esempio, se un professionista migrante può essere identificato dal suo nome e numero di iscrizione in un albo professionale, non è necessario fornire anche il suo numero d’identificazione personale.

3)

Gli utenti IMI devono selezionare attentamente le domande e non chiedere più di quanto sia assolutamente necessario. Questo è importante non solo per rispettare i principi relativi alla qualità dei dati, ma anche per ridurre l’onere amministrativo. A fini di trasparenza, le serie di domande predefinite sono pubblicate sul sito Internet dell’IMI (7). Che cosa si intende per dati riservati  (8) ? Si tratta dei dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, come pure i dati relativi alla salute e alla vita sessuale, alle infrazioni, alle condanne penali o alle misure di sicurezza. Alcuni Stati membri possono inoltre considerare come dati riservati le informazioni riguardanti sanzioni amministrative o procedimenti civili.

4)

Le autorità competenti devono prestare particolare attenzione quando gli scambi di informazioni riguardanodati riservatiGli scambi di dati di questo tipo sono possibili solo in casi molto limitati. Di seguito sono esposti i requisiti più importanti per il trattamento di dati riservati nell’ambito dell’IMI. a) Il trattamento di dati riservati è necessario per costituire, esercitare o difendere un diritto per via giudiziaria [cfr. l’articolo 8, paragrafo 2, lettera e), della direttiva sulla protezione dei dati e le disposizioni corrispondenti nel diritto nazionale]. Questo può riguardare gli scambi di dati nell’IMI in cui un professionista o un prestatore di servizi migranti fanno valere il proprio diritto di esercitare la loro professione o di essere stabiliti in un altro Stato membro. In ciascun caso le autorità competenti devono valutare attentamente se l’utilizzo dei dati riservati è assolutamente indispensabile per stabilire tale diritto. Con riguardo a determinati dati riservati scambiati nell’ambito dell’IMI gli Stati membri hanno adottato disposizioni specifiche nella direttiva sulle qualifiche professionali e nella direttiva sui servizi: 1) secondo l’articolo 56, paragrafo 2, della direttiva sulle qualifiche professionali,«Le autorità competenti dello Stato membro ospitante e dello Stato membro d’origine si scambiano informazioni concernenti l’azione disciplinare o le sanzioni penali adottate o qualsiasi altra circostanza specifica grave che potrebbero avere conseguenze sull’esercizio delle attività previste dalla presente direttiva, nel rispetto della normativa sulla protezione dei dati personali …» 2) l’articolo 33 della direttiva sui servizi prevede norme specifiche per lo scambio di informazioni sull’onorabilità del prestatore di servizi migrante:«Gli Stati membri comunicano, su richiesta di un’autorità competente di un altro Stato membro, conformemente al loro diritto nazionale, le informazioni relative alle azioni disciplinari o amministrative promosse o alle sanzioni penali irrogate e alle decisioni relative all’insolvenza o alla bancarotta fraudolenta …» b) La persona interessata dà il proprio consenso esplicito. Se la cooperazione amministrativa è nel suo interesse, non dovrebbe essere difficile ottenerne il consenso esplicito per il trattamento dei dati personali.

5)

Occorre usare estrema precauzione per quanto riguarda le informazioni sui casellari giudiziali, che devono assolutamente essere esatte e aggiornate. Pertanto questa categoria di informazioni, per la quale occorre rispettare gli altri principi stabiliti nella direttiva sulla protezione dei dati e nel regolamento di cui alla presente raccomandazione (9), deve essere chiesta solo quando i pertinenti atti comunitari lo consentonoe quando è assolutamente necessario prendere una decisione nel caso particolare direttamente collegato alla richiesta. In altri termini, il trattamento deve rapportarsi direttamente all’esercizio dell’attività professionale o alla prestazione di un servizio ed essere necessario al fine di verificare il rispetto delle disposizioni della direttiva pertinente. È opportuno che gli utenti IMI tengano sempre presente che in molti casi le informazioni che si riferiscono specificamente al casellario giudiziale del professionista o del prestatore di servizi migranti non sono necessarie ai fini di una decisione. Di fatto, nella serie di domande dell’IMI solo alcune riguardano il casellario giudiziale o altri dati riservati (10). Al di là di questi pochi casi, lo scambio di dati riservati deve aver luogo solo eccezionalmente, quando le circostanze concrete del caso sono tali per cui i dati riservati sono direttamente collegati all’esercizio dell’attività in questione e assolutamente indispensabili per far valere un diritto. Le autorità competenti non devono utilizzare l’IMI per effettuare controlli abituali dei precedenti penali dei professionisti migranti in quanto ciò non sarebbe conforme alla finalità per la quale l’IMI è stato costituito. Anche eventuali indagini concernenti infrazioni o provvedimenti disciplinari devono riguardare la professione o il servizio in questione, e non altre infrazioni che il professionista migrante può aver commesso nel paese di origine o altri provvedimenti disciplinari di cui può essere stato oggetto. Ad esempio, per determinare se un medico è legalmente e regolarmente iscritto nell’albo nazionale dei medici, l’autorità competente richiedente non ha bisogno di sapere se nei suoi precedenti vi sia un’infrazione al codice stradale, in quanto tale infrazione non gli impedirebbe di esercitare in patria la sua professione.

Trattamento ulteriore dei dati e conservazione al di fuori dell’IMI

L’IMI sarà spesso utilizzato per fornire informazioni ai fini di un’altra operazione di trattamento che si svolge nello Stato membro (ad esempio, per trattare una domanda di prestazione di servizi o di concessione di licenza per una determinata attività). È quindi normale che le autorità competenti trattino ulteriormente i dati ottenuti per tali scopi. Quando i dati sono ottenuti tramite l’IMI e sono sottoposti a un trattamento ulteriore al di fuori del sistema, la normativa nazionale in materia di protezione dei dati continua ad essere applicabile. Occorre pertanto accertarsi che:

—	tale trattamento ulteriore non sia incompatibile con le finalità per le quali i dati sono stati raccolti e scambiati nell’ambito dell’IMI,

—	tale trattamento ulteriore sia necessario e proporzionato (avente quindi per oggetto dati adeguati, pertinenti e non eccedenti) alle finalità originarie perseguite all’atto della raccolta nell’IMI,

—	misure ragionevoli siano adottate per tenere aggiornati i dati e cancellarli quando non sono più necessari,

—

se i dati sono estratti dall’IMI per essere comunicati a terzi, la persona interessata ne sia informata per garantire un trattamento leale, tranne quando l’informazione si rivela impossibile o richiede uno sforzo sproporzionato o quando la comunicazione è prescritta per legge (cfr. l’articolo 11, paragrafo 2, della direttiva 95/46/CE sulla protezione dei dati). Considerando che la comunicazione può essere richiesta dalla normativa di uno solo degli Stati membri interessati e che pertanto essa potrebbe non essere ben nota altrove, la Commissione propone che siano compiuti sforzi per fornire le informazioni anche quando la comunicazione è prevista espressamente dalla legge.

9.   FORNITURA DI INFORMAZIONI ALLE PERSONE INTERESSATE

Qualsiasi sistema di protezione dei dati si fonda sull’obbligo, da parte dei responsabili del trattamento, di fornire alle persone interessate informazioni sulle operazioni di trattamento a cui intendono sottoporre i loro dati personali.

L’articolo 10 della direttiva sulla protezione dei dati prevede che, al momento della raccolta dei dati, siano fornite alla persona interessata almeno le informazioni riguardanti l’identità del responsabile del trattamento, le finalità del trattamento, i destinatari o le categorie di destinatari dei dati, il carattere obbligatorio o facoltativo delle risposte e le possibili conseguenze di una mancata risposta nonché i diritti di accesso e di rettifica

All’atto della raccolta dei dati personali l’autorità competente deve pertanto informare la persona interessata che i dati possono essere inseriti nell’IMI a fini di comunicazione con altre amministrazioni pubbliche di altri Stati membri in relazione alla sua richiesta e che, in caso di necessità, la persona interessata può chiedere l’accesso o la rettifica dei dati oggetto dello scambio a una delle autorità competenti intervenute nella richiesta (per maggior informazioni al riguardo cfr. la sezione 10 sui diritti di accesso e di rettifica).

Spetta a ciascuna autorità competente decidere come trasmettere tali informazioni alle persone interessate. Dato che la maggioranza delle autorità competenti (se non tutte) effettueranno operazioni di trattamento diverse dagli scambi di informazioni nell’ambito dell’IMI, esse possono informare le persone nello stesso modo, se appropriato, scelto per trasmettere informazioni analoghe per altre operazioni di trattamento conformemente alla legislazione nazionale (ad esempio, mediante manifesti, nella corrispondenza con le persone interessate e/o sui siti Internet).

La fornitura di informazioni nella direttiva sulla protezione dei dati

L’articolo 10 della direttiva sulla protezione dei dati contiene un elenco delle informazioni minime che devono essere fornite alle persone, a meno che non ne dispongano già:

a)	identità del o dei responsabili del trattamento (autorità competente che raccoglie i dati e autorità analoghe negli altri Stati membri);

b)	finalità del trattamento (comunicazione con le altre autorità in relazione alla richiesta del professionista migrante o del prestatore di servizi);

c)

eventuali informazioni supplementari se necessarie per garantire un trattamento leale o se la fornitura di informazioni supplementari è prevista dalla legislazione nazionale, quali: 1) destinatari o categorie di destinatari dei dati; 2) esistenza dei diritti di accesso e di rettifica dei dati che li riguardano, modalità pratiche di esercizio di tali diritti ed eventuali eccezioni agli stessi in conformità della legislazione nazionale; 3) right of redress (e.g. access to Courts and right to claim damages); 4) diritto di ricorso (ad esempio, accesso ai tribunali e diritto al risarcimento dei danni); 5) misure di sicurezza; 6) link a documenti e siti Internet pertinenti, compreso il sito Internet sull’IMI della Commissione.

La direttiva sulla protezione dei dati prevede due casi in cui le informazioni devono essere fornite alle persone interessate: quando i dati sono raccolti direttamente presso le persone interessate e quando i dati sono ottenuti da terzi. In quest’ultimo caso, tuttavia, l’articolo 11 della direttiva contiene un principio secondo il quale la fornitura di tali informazioni non è necessaria se richiede sforzi sproporzionati o se la registrazione o comunicazione è prescritta per legge (come nel caso degli scambi di informazioni nell’ambito dell’IMI). La direttiva stabilisce tuttavia che in tali casi «gli Stati membri prevedono garanzie appropriate».

Le autorità competenti potranno pertanto aver bisogno di adottare disposizioni più precise in merito alla fornitura delle informazioni alle persone interessate sulla base della rispettiva legislazione nazionale in materia di protezione dei dati, eventualmente consultandosi con i coordinatori nazionali IMI e con le autorità nazionali responsabili per la protezione dei dati. Si raccomanda di seguire un approccio «a più livelli», in cui le informazioni di base vengono fornite al momento della raccolta dei dati (ad esempio, nei formulari di domanda destinati alle autorità competenti) insieme all’indicazione di come le persone interessate possono, se lo desiderano, ottenere informazioni più complete.

Per questo secondo livello più dettagliato di informazioni, le informative sulla protezione dei dati personali o le disposizioni in materia di protezione della vita privata, pubblicate sui siti Internet, rappresentano un modo efficace di informare le persone interessate.

Se le autorità competenti dispongono già di tali informative, le devono aggiornare o integrare in modo che si riferiscano specificamente agli scambi di dati personali nell’ambito dell’IMI. In caso contrario, esse devono decidere se l’utilizzazione dell’IMI e la quantità di dati personali raccolti giustificano l’elaborazione di un’informativa sulla protezione dei dati personali in linea.

Se l’utilizzazione dell’IMI è molto sporadica, può essere sufficiente informare brevemente sull’IMI le persone interessate al momento della raccolta dei dati e fornire successivamente ulteriori informazioni, se risulti necessario. In tali casi, ossia quando alla persona interessata non è fornita un’informativa sulla protezione dei dati personali riguardante specificamente l’IMI da parte dell’autorità competente, è opportuno che quest’ultima indichi chiaramente dove le persone interessate possono ottenere maggiori informazioni, ad esempio sul sito Internet del coordinatore nazionale IMI e sul sito Internet IMI della Commissione.

La sezione «Protezione dei dati» del sito Internet IMI della Commissione (11) contiene l’informativa sulla protezione dei dati personali della Commissione relativa all’IMI. Essa contiene inoltre informazioni supplementari destinate alle persone interessate su come esercitare i loro diritti e, se necessario, ottenere l’assistenza delle autorità nazionali competenti o delle autorità responsabili per la protezione dei dati:

Si raccomanda vivamente che i partecipanti IMI importanti, che trattano grandi quantità di richieste, pubblichino sui loro siti Internet le disposizioni in materia di protezione della vita privata. Tali disposizioni dovrebbero contenere un link alla sezione «Protezione dei dati» del sito Internet IMI della Commissione. Le autorità competenti che trattano una quantità ridotta di richieste possono utilizzare principalmente un link al sito Internet IMI della Commissione.

È opportuno che i coordinatori nazionali IMI forniscano assistenza alle autorità competenti. Tale assistenza può consistere nell’elaborazione di modelli di informativa sulla protezione dei dati personali che potranno servire come base alle autorità nazionali competenti. In alternativa, un’informativa sulla protezione dei dati personali nazionale comune può essere elaborata e pubblicata su Internet dal coordinatore nazionale e ciascuna autorità competente potrebbe semplicemente fornire il link a tale documento nei suoi rapporti con le persone interessate (ad esempio, nei formulari di domanda o in altri documenti forniti a dette persone).

INFORMATIVA SULLA PROTEZIONE DEI DATI PERSONALI

Sistema di informazione del mercato interno — IMI

1.   Scopo e partecipanti dell’IMI

Scopo dell’IMI è facilitare la cooperazione amministrativa e l’assistenza reciproca tra gli Stati membri per garantire il corretto funzionamento del mercato interno e la libera circolazione delle persone e dei servizi. A tal fine, esso mette a disposizione uno strumento per lo scambio di informazioni (tra cui figurano dati personali) tra le amministrazioni nazionali degli Stati membri del SEE.

La presente informativa sulla protezione dei dati personali riguarda la parte dell’IMI di cui è responsabile la Commissione, ossia la raccolta, la registrazione, la conservazione e la cancellazione dei dati personali dei primi utenti dei coordinatori nazionali IMI e la conservazione nonché la cancellazione — ma non la raccolta, l’estrazione e la visualizzazione — dei dati personali di altri utenti IMI e delle persone che sono oggetto di uno scambio di informazioni. Essa non riguarda perciò le operazioni di trattamento dei dati effettuate sotto la responsabilità degli Stati membri.

2.   Legge applicabile

Tutte le operazioni di trattamento di cui è responsabile la Commissione europea sono soggette al regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.

Si applica inoltre la decisione 2008/49/CEdella Commissione del 12 dicembre 2007 relativa alla protezione dei dati personali nell’ambito del sistema di informazione del mercato interno (IMI)..

3.   Dati trattati dalla Commissione nel sistema IMI

La Commissione raccoglie i dati personali necessari per contattare i primi utenti dei coordinatori nazionali IMI, come nome, numero di telefono, numero di fax e indirizzo e-mail professionali. Questi dati personali e quelli degli utenti dei coordinatori delegati IMI e delle autorità competenti sono conservati su un server della Commissione.

Per motivi tecnici, anche i dati personali delle persone oggetto di uno scambio di informazioni saranno conservati su un server della Commissione.

4.   Scopo del trattamento dei dati nel sistema IMI

I recapiti dei coordinatori nazionali IMI sono essenziali per la messa a punto e la gestione del sistema IMI. La Commissione deve poter accedere a tali dati per collaborare efficacemente con gli Stati membri nella gestione dell’IMI.

Per quanto riguarda la conservazione temporanea dei dati personali delle persone che sono oggetto di uno scambio di informazioni tra autorità nazionali, scopo del trattamento dei dati nell’IMI è migliorare e facilitare la cooperazione tra le autorità competenti degli Stati membri, in base alla legislazione comunitaria adottata per completare il mercato interno. Si tratta concretamente dei casi in cui uno Stato membro ha bisogno di ottenere da un altro Stato membro ulteriori informazioni su un prestatore di servizi che opera o intende operare sul suo territorio in regime di prestazione temporanea di servizi o in regime di stabilimento.

5.   Persone abilitate ad accedere ai dati

Nei limiti fissati dall’articolo 12, paragrafo 7, della decisione 2008/49/CE, i gestori locali di dati della Commissione hanno accesso ai dati personali dei gestori locali di dati dei coordinatori nazionali IMI. In nessun caso il personale della Commissione è in grado di accedere ai dati personali delle persone oggetto di uno scambio di informazioni.

6.   Durata di conservazione dei dati

I dati personali degli utenti delle autorità competenti e dei coordinatori sono conservati finché essi rimangono utenti IMI.

Tutti i dati personali scambiati tra autorità competenti e trattati nel sistema IMI sono automaticamente cancellati dalla Commissione sei mesi dopo la conclusione ufficiale di uno scambio di informazioni. A fini statistici lo scambio di informazioni continuerà ad essere conservato nel sistema IMI, ma tutti i dati personali saranno resi anonimi. Ogni autorità competente partecipante ad un determinato scambio di informazioni può, in qualsiasi momento successivo alla conclusione di detto scambio di informazioni, chiedere alla Commissione di cancellare determinati dati personali. La Commissione darà seguito alla richiesta entro dieci giorni lavorativi, previo accordo dell’altra autorità competente interessata.

7.   Misure di sicurezza per impedire l’accesso non autorizzato

Il sistema IMI è protetto da una serie di dispositivi tecnici. Sono messi in atto diversi livelli di accesso alla banca dati tramite un normale sistema di password e un codice digitale supplementare, simile a quello utilizzato in molti sistemi di banca elettronica per personal computer. L’accesso ai dati personali contenuti nel sistema IMI è consentito solo ad un gruppo ristretto di persone, descritto sopra al punto 5 — «Persone abilitate ad accedere ai dati». Il sistema è inoltre protetto dal protocollo https, appositamente concepito per garantire la sicurezza in Internet.

8.   Accesso degli utenti ai propri dati personali

I coordinatori nazionali IMI possono accedere ai propri dati personali rivolgendosi all’indirizzo di contatto di cui al punto 10.

9.   Informazioni supplementari

Oltre alla presente informativa sulla protezione dei dati personali, si applica quanto stipulato nell’«avviso legale importante» (http://europa.eu/geninfo/legal_notices_it.htm).

Se avete motivo di ritenere che i vostri dati personali siano registrati nel sistema IMI e volete accedervi ed eventualmente farli cancellare o modificare, rivolgetevi all’amministrazione o all’organo professionale con cui siete stati in contatto o a qualsiasi altro utente IMI che sia intervenuto nella richiesta di informazioni. Se non siete soddisfatti della risposta ricevuta, potete rivolgervi ad un altro utente IMI che sia intervenuto nella richiesta o chiedere l’intervento dell’autorità responsabile per la protezione dei dati competente per uno dei suddetti utenti IMI, la quale vi assisterà gratuitamente. Un elenco delle autorità responsabili per la protezione dei dati personali si trova all’indirizzo

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm

In alcuni casi la legislazione nazionale potrebbe prevedere delle eccezioni al diritto di accesso ai propri dati personali.

10.   Contatti

L’IMI è gestito dall’unità E.3 della direzione generale Mercato interno e servizi della Commissione europea. La persona responsabile (responsabile del trattamento) è Nicholas Leapman, capo unità. L’indirizzo di contatto dell’IMI è il seguente:

Commissione europea

Direzione generale Mercato interno e servizi

Unità E.3

1049 Bruxelles

Belgio

markt-imi-dataprotection@ec.europa.eu

Qualsiasi operazione di trattamento dei dati eseguita sotto la responsabilità della Commissione può essere oggetto di reclamo, da presentare al garante europeo della protezione dei dati:

Garante europeo della protezione dei dati (EDPS)

Rue Wiertz 60 (MO 63)

1047 Bruxelles

Belgio

Tel. +32 2 283 19 00

Fax: +32 2 283 19 50

edps@edps.europa.eu

10.   DIRITTI DI ACCESSO E DI RETTIFICA

La trasparenza nei confronti della persona interessata è fondamentale. A tal fine si devono in primo luogo fornire alla persona interessata le informazioni menzionate nella sezione precedente e in secondo luogo darle il diritto di accesso ai propri dati personali e, se del caso, il diritto di cancellarli, modificarli o congelarli se sono inesatti o se sono stati oggetto di trattamento illecito.

La complessità del sistema IMI, con i suoi numerosi partecipanti e utenti che effettuano congiuntamente operazioni di trattamento e di controllo, richiede un approccio diretto nei confronti della persona interessata. Le persone interessate non conoscono infatti gli aspetti tecnici delle operazioni di trattamento congiunto né del funzionamento dell’IMI e non hanno bisogno di conoscerli.

Occorre pertanto attuare un approccio chiaro e semplice: come norma generale, soggetta solo a eccezioni giustificate convenute fra la persona interessata e tutte le altre parti, le persone interessate potranno esercitare i loro diritti di accesso, rettifica e cancellazione rivolgendosi a una delle autorità competenti intervenute nella richiesta. Nessuna autorità competente potrà negare l’accesso, la rettifica o la cancellazione adducendo come motivo il fatto che non ha inserito i dati nel sistema o che la persona interessata deve rivolgersi a un’altra autorità competente. L’autorità competente che riceve la richiesta procederà al suo esame e la accetterà o respingerà in base alla sua fondatezza e alle disposizioni della propria normativa nazionale in materia di protezione dei dati. Se necessario e appropriato, l’autorità competente può consultare altre autorità competenti prima di prendere una decisione. In caso di disaccordo fra autorità competenti, si dovrà ricorrere alle rispettive autorità responsabili per la protezione dei dati per giungere a un accordo con tempestività ed efficienza.

Se la persona interessata non è soddisfatta della decisione presa, può rivolgersi a un’altra autorità competente intervenuta nello scambio di informazioni o all’autorità nazionale per la protezione dei dati di una di tali autorità competenti che preferisce. Si può ad esempio rivolgere all’autorità del paese in cui è stabilita, o all’autorità nazionale per la protezione dei dati del proprio paese o all’autorità del paese in cui svolge la propria attività. Se necessario e appropriato, le autorità responsabili per la protezione dei dati collaborano fra loro per esaminare il ricorso (cfr. l’articolo 28 della direttiva sulla protezione dei dati).

Va sottolineato che le persone interessate dispongono in qualsiasi momento del diritto a un ricorso giurisdizionale e, se del caso, a ottenere risarcimento (cfr. gli articoli 22 e 23 della direttiva sulla protezione dei dati e le disposizioni corrispondenti nelle legislazioni nazionali).

L’articolo 12, lettera c), della direttiva sulla protezione dei dati prevede che il responsabile del trattamento notifichi ai terzi ai quali sono stati comunicati i dati qualsiasi rettifica, cancellazione o congelamento, se non si dimostra che tale notifica è impossibile o implica uno sforzo sproporzionato. Ciò si applica anche alle informazioni soggette a un trattamento ulteriore al di fuori dell’IMI.

A seguito delle raccomandazioni del gruppo per la tutela delle persone di cui all’articolo 29 e del garante europeo della protezione dei dati, la Commissione opera attualmente per inserire nel sistema IMI (sulla base della procedura esistente per la cancellazione anticipata dei dati su richiesta delle autorità competenti, cfr. il capitolo 12) una funzione che consentirebbe la rettifica dei dati in linea e la notifica automatica alle autorità competenti interessate. In attesa dell’introduzione di tale funzione, che presenta una certa complessità tecnica, si propone che l’autorità competente trasmetta la richiesta di rettifica dei dati personali direttamente al responsabile del trattamento dei dati IMI presso la Commissione europea (cfr. la sezione precedente «Informativa sulla protezione dei dati personali»).

La direttiva sulla protezione dei dati e le normative nazionali di attuazione riconoscono inoltre alle persone interessate il diritto di opporsi al trattamento di dati che le riguardano e di bloccare tale trattamento in caso di opposizione giustificata. Se una persona interessata si rivolge a voi per opporsi al trattamento di dati che la riguardano, siete pregati di prendere contatto con la vostra autorità nazionale responsabile per la protezione dei dati al fine di ottenere maggiori informazioni su come tale diritto di opposizione è esercitato nel vostro Stato membro.

11.   SICUREZZA DEI DATI

Per garantire la sicurezza dell’IMI sono utilizzate una serie di misure organizzative e tecniche, simili a quelle usate in molti sistemi di banca elettronica per personal computer. La comunicazione con l’IMI tramite Internet è protetta dal protocollo https, appositamente concepito per garantire la sicurezza in Internet. Le misure tecniche di protezione dell’IMI devono essere interoperabili in tutta l’Unione europea. La protezione tecnica del sistema continuerà ad essere sviluppata tenuto conto dell’evoluzione tecnica e dei costi della sua applicazione [cfr. l’articolo 17 della direttiva 95/46/CE e l’articolo 22 del regolamento (CE) n. 45/2001].

Per maggiori informazioni sulle norme relative alla sicurezza dei sistemi di informazione utilizzati dalla Commissione europea consultare la decisione C(2006) 3602 della Commissione, disponibile nella sezione «Protezione dei dati» del sito Internet dell’IMI:

http://ec.europa.eu/internal_market/imi-net/data_protection_it.html

12.   PERIODO DI CONSERVAZIONE

Le norme relative al periodo di conservazione sono contenute negli articoli 4 e 5 della decisione 2008/49/CE.

Di norma, tutti i dati personali che formano oggetto di scambi di informazioni sono automaticamente cancellati sei mesi dopo la conclusione ufficiale dello scambio di informazioni. La Commissione sta attualmente apportando alcune modifiche al sistema (solleciti e elenchi di urgenza) in modo che le richieste possano essere ufficialmente chiuse il più presto possibile.

Un’autorità competente può inoltre chiedere la cancellazione di dati personali prima della fine del periodo di sei mesi. Se l’altra autorità competente è d’accordo, la Commissione dà seguito a tali richieste entro dieci giorni lavorativi.

Le autorità competenti devono essere informate che le richieste di cancellazione dei dati personali possono essere inoltrate in linea semplicemente accedendo alla richiesta chiusa corrispondente e cliccando sul pulsante «Chiedere la cancellazione dei dati personali».

Schermata della richiesta di un’autorità competente che chiede la cancellazione anticipata di dati personali

Schermata della richiesta di conferma a un’autorità competente della cancellazione anticipata di dati personali

La Commissione introdurrà inoltre alcuni miglioramenti nel sistema, quali solleciti automatici ad accettare le risposte o a chiudere ufficialmente le richieste ove sia stata ottenuta una risposta soddisfacente.

Occorre inoltre tener presente che le norme nazionali in materia di protezione dei dati si applicano alla conservazione dei dati personali al di fuori dell’IMI da parte delle autorità competenti.

13.   COOPERAZIONE CON LE AUTORITÀ NAZIONALI RESPONSABILI PER LA PROTEZIONE DEI DATI E CON IL GARANTE EUROPEO

La rete delle autorità nazionali responsabili per la protezione dei dati e il garante europeo costituiscono una delle garanzie più solide del buon funzionamento del nostro sistema di protezione dei dati. Le autorità competenti possono farvi ricorso per chiedere consigli ogni volta che devono far fronte a questioni complesse, che non sono contemplate nei presenti orientamenti. I coordinatori nazionali IMI sono invitati a svolgere un ruolo importante a questo proposito. Un elenco di persone di contatto è disponibile nella sezione «Protezione dei dati» del sito Internet dell’IMI.

Le autorità competenti devono inoltre sapere che potranno essere tenute ad informare le rispettive autorità nazionali per la protezione dei dati prima di partecipare all’IMI. In alcuni Stati membri potrebbe essere necessaria un’autorizzazione preventiva. I coordinatori IMI dovranno svolgere un ruolo attivo di coordinamento nel prendere contatto con le autorità responsabili per la protezione dei dati, quando necessario.

Lavori in corso

I seguenti miglioramenti volti a favorire la protezione dei dati saranno inseriti in una prossima versione dell’IMI nel corso del 2009:

a)

quando gli scambi di informazioni riguardano dati riservati (ad esempio, dati relativi alla salute, al casellario giudiziale o a misure disciplinari), un avviso segnalerà che le informazioni scambiate sono riservate e che la persona incaricata del trattamento deve chiedere queste informazioni solo se sono assolutamente indispensabili e direttamente collegate all’esercizio dell’attività professionale o alla prestazione di un determinato servizio;

b)	sarà messa a punto una procedura in linea (sulla base di quella esistente per la cancellazione anticipata dei dati su richiesta delle autorità competenti) per la rettifica, la cancellazione o il congelamento di dati inesatti o che sono stati oggetto di trattamento illecito;

c)	saranno introdotti solleciti automatici ed elenchi di urgenze per l’accettazione di una risposta in modo che le richieste non restino aperte più dello stretto necessario;

d)

saranno prese misure idonee per gestire i nuovi flussi di informazioni nell’ambito della direttiva sui servizi, ossia il meccanismo di allerta e la deroga per casi individuali. Di norma tali misure seguiranno lo stesso approccio elaborato per gli scambi generali di informazioni; si tratterà ad esempio di: avvisi per segnalare la natura riservata di tali flussi di informazioni, solleciti a chiudere le allerte con la massima tempestività e possibili modi per informare le persone sullo scambio di informazioni e sui loro diritti di accesso ai dati e, se del caso, di congelamento, cancellazione o rettifica degli stessi. Potranno essere necessarie garanzie supplementari di protezione dei dati, che saranno elaborate in consultazione con il garante europeo.

14.   CLAUSOLA DI RIESAME

L’IMI è un sistema di informazione innovativo che è ancora in fase di sviluppo. La Commissione raccoglie continuamente informazioni dai coordinatori e dalle autorità competenti per migliorare il sistema ed è pertanto probabile che nei prossimi mesi verranno introdotti dei cambiamenti. Alcuni di essi potranno avere conseguenze sulla protezione dei dati.

I presenti orientamenti, pertanto, non sono definitivi e dovranno essere aggiornati sulla base dell’esperienza acquisita con l’utilizzazione quotidiana dell’IMI. Entro un anno dall’adozione della presente raccomandazione la Commissione elaborerà una relazione in cui valuterà la situazione, inclusa la possibilità di adottare un’altra misura giuridica.

---

(1)  Gli Stati membri dovranno prendere in considerazione di inserire nei loro corsi formativi sull’IMI dei moduli di informazione sulla protezione dei dati.

(2)  Cfr. l’articolo 12 della decisione 2008/49/CE.

(3)  È possibile che alle autorità competenti siano «collegate» altre autorità a fini di vigilanza (per esempio, a un’autorità regionale ne è collegata una federale). Tali «autorità collegate» possono così venire a conoscenza del numero e della natura delle richieste ma non possono avere accesso ai dati personali dei prestatori di servizi o dei professionisti migranti.

(4)  Come previsto dall’articolo 10, paragrafo 3, della decisione 2008/49/CE, la Commissione può partecipare allo scambio di informazioni soltanto in casi specifici in cui l’atto comunitario pertinente prevede lo scambio di informazioni tra gli Stati membri e la Commissione. In questi casi la Commissione ha obblighi simili a quelli di un’autorità competente. Per esempio, essa è tenuta a dare opportuna notifica alle persone interessate e a concedere loro accesso ai dati che le riguardano, qualora esse ne facciano richiesta.

(5)  Sebbene in taluni Stati membri, quali l’Italia, il Lussemburgo, l’Austria e la Danimarca, nell’ambito di applicazione della normativa in materia di protezione dei dati rientrino, in certa misura, anche le persone giuridiche.

(6)  Per gli Stati membri è di applicazione la direttiva 95/46/CE, mentre per le istituzioni comunitarie si applica il regolamento (CE) n. 45/2001.

(7)  http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_it.pdf

(8)  Per una definizione giuridica cfr. l’articolo 8 della direttiva 95/46/CE e l’articolo 10 del regolamento (CE) n. 45/2001.

(9)  Ossia: occorre fornire alle persone interessate informazioni adeguate, il trattamento deve essere proporzionato e i dati non devono essere sottoposti a un ulteriore trattamento per finalità incompatibili con la loro raccolta.

(10)  Un elenco specifico di tali domande è consultabile sul sito Internet dell’IMI:

http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_it.pdf

(11)  La sezione «Protezione dei dati» del sito Internet dell’IMI contiene tutti i documenti in materia di protezione dei dati concernenti l’IMI e un link a un elenco di tutti i documenti legislativi sulla protezione dei dati a livello dell’UE:

http://ec.europa.eu/internal_market/imi-net/data_protection_it.html