4.2.2014   

MT

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

C 32/19

Sommarju Eżekuttiv tal-Opinjoni tal-Kontrollur Ewropew għall-Protezzjoni tad-Data dwar il-Komunikazzjoni Konġunta tal-Kummissjoni u tar-Rappreżentant Għoli tal-Unjoni Ewropea għall-Affarijiet Barranin u l-Politika ta’ Sigurtà dwar “Strateġija għaċ-Ċibersigurtà tal-Unjoni Ewropea: Spazju Ċibernetiku Miftuħ, Sikur u Mingħajr Periklu”, u dwar il-proposta tal-Kummissjoni għal Direttiva dwar miżuri biex jiġi żgurat livell komuni għoli tas-sigurtà tan-netwerks u l-informazzjoni fl-Unjoni kollha

(It-test sħiħ ta’ din l-Opinjoni jinstab bl-EN, FR u DE fuq il-websajt tal-KEPD http://www.edps.europa.eu)

2014/C 32/10

1.   Introduzzjoni

1.1.   Konsulatazzjoni tal-KEPD

1.

Fis-7 ta’ Frar 2013, il-Kummissjoni u r-Rappreżentant Għoli tal-Unjoni Ewropea għall-Affarijiet Barranin u l-Politika ta’ Sigurtà adottaw Komunikazzjoni Konġunta lill-Parlament Ewropew, il-Kunsill, il-Kumitat Ekonomiku u Soċjali u l-Kumitat tar-Reġjuni dwar “Strateġija ta’ Ċibersigurtà tal-Unjoni Ewropea: Spazju Ċibernetiku Miftuħ, Sikur u Bla Periklu” (1) (minn hawn ’il quddiem “Il-Kommunikazzjoni Konġunta”, “l-Istrateġija dwar iċ-Ċibersigurtà” jew “l-Istrateġija”).

2.

Fl-istess jum, il-Kummissjoni adottat proposta għal Direttiva tal-Parlament Ewropew u tal-Kunsill dwar miżuri biex jiġi żgurat livell komuni għoli ta’ sigurtà tan-netwerks u l-informazzjoni fl-Unjoni (2) kollha (minn hawn ’il quddiem “id-Direttiva proposta” jew “il-Proposta”). Din il-Proposta ntbagħtet lill-KEPD għal konsulatazzjoni fis-7 ta’ Frar 2013.

3.

Qabel l-adozzjoni tal-Komunikazzjoni Konġunta u tal-Proposta, il-KEPD ingħata l-possibbiltà li jagħti kummenti informali lill-Kummissjoni. Huwa jinsab kuntent li xi wħud mill-kummenti tiegħu ġew ikkunsidrati fil-Komunikazzjoni Konġunta u fil-Proposta.

4.   Konklużjonijiet

74.

Il-KEPD jinsab kuntent li l-Kummissjoni u r-Rappreżentant Għoli tal-UE għall-Affarijiet Barranin u l-Politika ta’ Sigurtà ressqu Strateġija komprensiva dwar iċ-Ċibersigurtà kkumplimentata minn proposta għal Direttiva dwar il-miżuri biex jiġi żgurat livell komuni għoli ta’ sigurtà tan-netwerks u l-informazzjoni (NIS) fl-UE kollha. L-Istrateġija tikkumplimenta l-azzjonijiet ta’ politika li diġà ġew żviluppati mill-UE fil-qasam tas-Sigurtà tan-Netwerks u l-Informazzjoni.

75.

Il-KEPD jinsab kuntent li l-Istrateġija tmur lil hinn mill-approċċ tradizzjonali fejn is-sigurtà tmur kontra l-privatezza billi jiġi previst l-għarfien espliċitu tal-privatezza u l-protezzjoni tad-dejta bħala valuri ewlenin li għandhom jiggwidaw il-politika dwar iċ-ċibersigurtà fil-livell tal-UE u dak internazzjonali. Il-KEPD jinnota li l-Istrateġija ta’ Ċibersigurtà u d-Direttiva proposta dwar in-NIS jista’ jkollhom rwol fundamentali biex tikkontribwixxi għall-iżgurar tal-protezzjoni tad-drittijiet tal-individiwi għall-privatezza u l-protezzjoni tad-dejta fl-ambjent online. Fl-istess ħin, għandu jiġi żgurat li dawn ma jwasslux għal miżuri li jikkostitwixxu interferenzi illegali fid-drittijiet tal-individwi għall-privatezza u l-protezzjoni d-dejta.

76.

Il-KEPD jilqa’ wkoll bi pjaċir il-fatt li l-protezzjoni tad-dejta tissemma f’diversi partijiet tal-Istrateġija u titqies ukoll fid-Direttiva proposta dwar l-NIS. Madankollu, huwa jiddispjaċih li l-Istrateġija u d-Direttiva proposta ma jenfassizzawx b’mod aħjar il-kontribut tal-liġi eżistenti u futura dwar il-protezzjoni tad-dejta għas-sigurtà, u jonqsu milli jassiguraw b’mod sħiħ li kwalunkwe obbligu li jirriżulta mid-Direttiva proposta jew elementi oħra tal-Istrateġija jikkumplimenta l-obbligi ta’ protezzjoni tad-dejta u li dawn la jidħlu fuq xulxin u lanqas ma jmorru kontra xulxin.

77.

Barra minn hekk, il-KEPD jinnota li billi naqset li tikkunsidra bis-sħuħ inizjattivi paralleli oħrajn tal-Kummissjoni u l-proċeduri leġiżlattivi li jinsabu għaddejjin, bħar-Riforma tal-Protezzjoni tad-Dejta u r-Regolament propost dwar l-identifikazzjoni elettronika u s-servizzi fiduċjarji, l-Istrateġija taċ-Ċibersigurtà tonqos milli tagħti perspettiva verament komprensiva u olistika taċ-ċibersigurtà fl-UE, u minħabba f’hekk hemm riskju li jinħoloq approċċ frammentat u kompartimentalizzat. Il-KEPD jinnota wkoll li d-Direttiva proposta dwar l-NIS għadha ma tippermettix approċċ komprensiv tas-sigurtà fl-UE lanqas, u li l-obbligu stabbilit minn qabel fil-liġi dwar il-protezzjoni tad-dejta huwa probabbilment l-obbligu l-aktar komprensiv għan-netwerks u s-sigurtà skont il-liġi tal-UE

78.

Il-KEPD jiddispjaċih ukoll li r-rwol importanti tal-awtoritajiet tal-protezzjoni tad-dejta fl-implimentazzjoni u l-infurzar tal-obbligi tas-sigurtà u fit-tisħiħ taċ-ċibersigurtà lanqas ma huwa kkunsidrat b’mod xieraq.

79.

Bħal fil-każ tal-Istrateġija taċ-Ċibersigurtà, il-KEPD jenfasizza li:

Definizzjoni ċara tat-termini “ċiberreżistenza”, “ċiberkriminalità” u “ċiberdifiża” huma partikolarment importanti peress li dawn it-termini jintużaw bħala ġustifikazzjoni għal ċerti miżuri speċjali li jistgħu jikkawżaw interferenza fid-drittijiet fundamentali, inklużi d-drittijiet għall-privatezza u l-protezzjoni tad-dejta. Madankollu, id-definizzjonijiet ta’ “ċiberkriminalità” mogħtija fl-Istrateġija u fil-Konvenjoni dwar iċ-Ċiberkriminalità jibqgħu vagi ħafna. Ikun rakkomandabbli li jkun hemm definizzjoni ċara u restrittiva taċ-“ċiberkriminalità” aktar milli waħda vaga ħafna;

Għandha tapplika liġi dwar il-protezzjoni tad-dejta għall-azzjonijiet kollha tal-Istrateġija kull meta dawn ikunu jikkonċernaw miżuri li jinvolvu l-ipproċessar tad-dejta personali. Għalkemm il-liġi tal-protezzjoni tad-dejta ma tissemmiex speċifikament fit-taqsimiet relatati maċ-ċiberkriminalità u ċ-ċiberdifiża, il-KEPD jenfasizza li ħafna mill-azzjonijiet ippjanati f’dawn l-oqsma jinvolvu l-ipproċessar tad-dejta personali u għalhekk jaqgħu taħt il-kamp ta’ applikazzjoni tal-liġi applikabbli dwar il-protezzjoni tad-dejta. Huwa jinnota wkoll li ħafna azzjonijiet jikkonsistu fl-istabbiliment ta’ mekkaniżmi ta’ koordinazzjoni, li sejrin jeħtieġu l-implimentazzjoni ta’ salvagwardji xierqa għall-protezzjoni tad-dejta dwar il-modalitajiet għall-iskambju tad-dejta personali;

L-Awtoritajiet tal-Protezzjoni tad-Dejta (DPAs) għandhom rwol importanti fil-kuntest taċ-Ċibersigurtà. Bħala għassiesa tad-drittijiet tal-privatezza u l-protezzjoni tad-dejta tal-individwi, id-DPAs huma impenjati b’mod attiv fil-protezzjoni tad-dejta personali tagħhom, kemm fuq l-internet kif ukoll fid-dinja reali. Għalhekk dawn għandhom ikunu involuti b’mod xieraq fil-kapaċità tagħhom ta’ korpi superviżorji fir-rigward ta’ miżuri ta’ implimentazzjoni li jinvolvu l-ipproċessar tad-dejta personali (bħat-tnedija tal-proġett pilota tal-UE dwar il-ġlieda kontra l-botnets u l-malware). Atturi oħra fil-qasam taċ-ċibersigurtà għandhom ukoll jikkooperaw magħhom fit-twettiq tal-kompiti tagħhom, pereżempju fl-iskambju tal-aħjar prattiki u l-azzjonijiet ta’ tqajjim ta’ sensibilizzazzjoni. Il-KEPD u d-DPAs nazzjonali għandhom ikunu involuti b’mod xieraq fil-konferenzi ta’ livell għoli li sejrin jiġu organizzati fl-2014 biex jiġi vvalutat il-progress dwar l-implimentazzjoni tal-Istrateġija.

80.

Fir-rigward tad-Direttiva proposta dwar l-NIS, il-KEPD jagħti parir lil-leġiżlaturi biex:

Jipprovdu aktar ċarezza u ċertezza fl-Artikolu 3(8) dwar id-definizzjoni tal-operaturi tas-suq li jaqgħu taħt il-kamp ta’ applikazzjoni tal-Proposta, u biex tiġi stabbilita lista eżawrjenti li tinkludi l-partijiet interessati rilevanti kollha, bil-ħsieb li jiġi żgurat approċċ armonizzat u integrat bi sħiħ għas-sigurtà fl-UE;

Fl-Artikolu 1(2)(c) jiċċaraw li d-Direttiva proposta tapplika għall-istituzzjonijiet u l-korpi tal-UE, u biex tiġi inkluża referenza għar-Regolament (KE) Nru 45/2001 fl-Artikolu 1(5) tal-Proposta;

Jirrikonoxxu rwol aktar orizzontali għal din il-Proposta fir-rigward tas-sigurtà, billi fl-Artikolu 1 espliċitament jipprevedu li din għandha tapplika mingħajr preġudizzju għal regoli eżistenti jew futuri aktar iddettaljati f’oqsma speċifiċi (bħal dawk li għandhom jiġu stabbiliti dwar il-fornituri ta’ servizzi fiduċjarji fir-Regolament propost dwar l-identifikazzjoni elettronika);

Iżidu premessa li tispjega l-ħtieġa li tiġi inkorporata l-protezzjoni tad-dejta b’mod iddisinnjat jew prestabbilit mill-istadju bikri tad-disinn tal-mekkaniżmi stabbiliti fil-Proposta u matul iċ-ċiklu tal-ħajja kollu tal-proċessi, il-proċeduri, l-organizzazzjonijiet, it-tekniki u l-infrastrutturi involuti, filwaqt li jitqies ir-Regolament propost dwar il-Protezzjoni tad-Dejta;

Jiċċaraw id-definizzjonijiet ta’ “sistema tan-netwerks u l-informazzjoni” fl-Artikolu 3(1) u ta’ “inċident” fl-Artikolu 3(4), u fl-Artikolu 5(2) jissostitwixxu l-obbligu li jiġi stabbilit “pjan ta’ valutazzjoni tar-riskju” b’“jitwaqqaf u jinżamm qafas ta’ ġestjoni tar-riskju”;

Fl-Artikolu 1(6) jispeċifikaw li l-ipproċessar tad-dejta personali jkun iġġustifikat skont l-Artikolu 7(e) tad-Direttiva 95/46/KE sal-punt meħtieġ biex jintlaħqu l-objettivi ta’ interess ġenerali segwiti mid-Direttiva proposta. Madankollu, għandu jiġi żgurat li jiġu rispettati b’mod xieraq il-prinċipji tan-neċessità u tal-proporzjonalità, biex b’hekk tiġi pproċessata biss id-dejta strettament meħtieġa għall-iskop li jrid jintlaħaq;

Fl-Artikolu 14 jistabbilixxu ċ-ċirkostanzi meta hija meħtieġa notifika kif ukoll il-kontenut u l-format tan-notifika, inklużi t-tipi ta’ dejta personali li għandhom jiġu nnotifikati u jekk għandhomx jiġu nnotifikati jew le, u sa liema punt, in-notifika u d-dokumenti ta’ sostenn tagħha sejrin jinkludu d-dettalji tad-dejta personali affettwata minn inċident speċifiku tas-sigurtà (bħall-indirizzi IP). Għandu jitqies il-fatt li l-aworitajiet kompetenti tal-NIS għandhom jitħallew jiġbru u jipproċessaw id-dejta personali fil-qafas ta’ inċident tas-sigurtà biss meta dan ikun strettament meħtieġ. Għandhom jiġu stabbiliti wkoll salvagwardji xierqa mressqa fil-Proposta biex tiġi żgurata l-protezzjoni xierqa tad-dejta pproċessata mill-awtoritajiet kompetenti tal-NIS;

Fl-Artikolu 14 jiċċaraw li n-notifiki ta’ inċidenti skont l-Artikolu 14(2) għandhom japplikaw mingħajr preġudizzju għall-obbligi ta’ notifika ta’ ksur tad-dejta personali skont il-liġi applikabbli dwar il-protezzjoni tad-dejta. L-aspetti ewlenin tal-proċedura għall-kooperazzjoni tal-awtoritajiet kompetenti tal-NIS mad-DPAs f’każijiet fejn l-inċident tas-sigurtà jinvolvi ksur ta’ dejta personali għandhom jiġu stabbiliti minn qabel fil-Proposta;

Jemendaw l-Artikolu 14(8) b’tali mod li l-esklużjoni ta’ mikrointrapriżi mill-kamp ta’ applikazzjoni tan-notifika ma tapplikax għal dawk l-operaturi li għandhom rwol kruċjali fil-forniment ta’ servizzi tas-soċjetà, pereżempju fid-dawl tan-natura tal-informazzjoni li jipproċessaw (eż. dejta bijometrika jew dejta sensittiva);

Iżidu dispożizzjonijiet fil-Proposta li tirregola l-iskambju ta’ dejta personali mill-awtoritajiet kompetenti tal-NIS ma’ riċevituri oħra, biex jiġi żgurat li (i) id-dejta personali tiġi żvelata biss lir-riċevituri li l-ipproċessar tagħhom ikun meħtieġ għat-twettiq tal-kompiti tagħhom skont bażi legali xierqa u (ii) li tali informazzjoni tkun limitata għal dak li huwa meħtieġ għat-twettiq tal-kompiti tagħhom. Għandu jitqies ukoll kif l-entitajiet li jipprovdu dejta lin-netwerk ta’ kondiviżjoni tal-informazzjoni jiżguraw konformità mal-prinċipju ta’ limitazzjoni tal-iskop;

Jispeċifikaw il-limitu ta’ żmien għaż-żamma tad-dejta personali għall-finijiet stabbiliti fid-Direttiva proposta, b’mod partikolari fir-rigward taż-żamma mill-awtoritajiet kompetenti tan-NIS u fi ħdan l-infrastruttura sikura tan-netwerk ta’ kooperazzjoni;

Ifakkru lill-awtoritajiet kompetenti tan-NIS dwar l-obbligu tagħhom li jipprovdu tagħrif xieraq lis-suġġetti tad-dejta dwar l-ipproċessar tad-dejta personali, pereżempju bil-pubblikazzjoni ta’ politika ta’ privatezza fuq il-websajt tagħhom;

Iżidu dispożizzjoni dwar il-livell ta’ sigurtà li għandu jiġi osservat mill-awtoritajiet kompetenti tan-NIS fir-rigward tal-informazzjoni miġbura, ipproċessata, u skambjata. Għandha tiġi inkluża b’mod speċifiku referenza għar-rekwiżiti tas-sigurtà tal-Artikolu 17 tad-Direttiva 95/46/KE fir-rigward tal-protezzjoni tad-dejta personali mill-awtoritajiet kompetenti tal-NIS;

Fl-Artikolu 9(2) jiċċaraw li l-kriterji għall-parteċipazzjoni tal-Istati Membri fis-sistema sikura ta’ kondiviżjoni ta’ informazzjoni għandhom jiżguraw li jiġi ggarantit livell għoli ta’ sigurtà u reżistenza mill-parteċipanti kollha fis-sistemi ta’ kondiviżjoni ta’ informazzjoni f’kull pass tal-ipproċessar. Dawn il-kriterji għandhom jinkludu kunfidenzjalità xierqa u miżuri ta’ sigurtà skont l-Artikoli 16 u 17 tad-Direttiva 95/46/KE u l-Artikoli 21 u 22 tar-Regolament (KE) Nru 45/2001. Il-Kummissjoni għandha tkun espressament marbuta b’dawn il-kriterji għall-parteċipazzjoni tagħha bħala kontrollur fis-sistema sikura ta’ kondiviżjoni ta’ informazzjoni;

Fl-Artikolu 9 iżidu deskrizzjoni tar-rwoli u r-responsabbiltajiet tal-Kummissjoni u tal-Istati Membri fit-twaqqif, l-operazzjoni u l-manutenzjoni tas-sistema sikura ta’ kondiviżjoni ta’ informazzjoni, u jipprevedu li d-disinn tas-sistema jsir skont il-prinċipji ta’ protezzjoni tad-dejta b’mod iddisinnjat jew prestabbilit u b’sigurtà bid-disinn; u

Fl-Artikolu 13 iżidu li kwalunkwe trasferiment ta’ dejta personali lil riċevituri li jinsabu f’pajjiżi barra l-UE għandu jsir skont l-Artikoli 25 u 26 tad-Direttiva 95/46/KE u l-Artikolu 9 tar-Regolament (KE) Nru 45/2001.

Magħmul fi Brussell, l-14 ta’ Ġunju 2013.

Peter HUSTINX

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data

(1)  JOIN(2013) 1 finali.

(2)  COM(2013) 48 finali.