g-docweb-display Portlet

RELAZIONE 2007 - PARTE II - L'ATTIVTÀ SVOLTA DAL GARANTE - PAR. 20 Le relazioni internazionali

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1549968 ]

 

Relazione 2007 Relazione 2007 - 16 luglio 2008
Parte II - L´attività svolta dal Garante
 
 

Indice generale 

Paragrafo precedente

Paragrafo successivo

 

20. Le relazioni internazionali

 

 

 

La Conferenza annuale delle autorità europee di protezione dati che si è tenuta nel 2008 a Roma il 17 ed il 18 aprile, con la partecipazione di 38 delegazioni di oltre 30 Paesi europei, si è articolata in sei sessioni; le prime tre, relative a sicurezza, imprese e nuove tecnologie, sono state introdotte da un contributo video affidato rispettivamente a una personalità del mondo delle istituzioni, del diritto e della ricerca. Gli interventi miravano a stimolare la discussione su alcune questioni di fondo: come garantire la privacy in un contesto globalizzato, caratterizzato da un crescente impiego di nuove tecnologie e alle prese con seri problemi di sicurezza; quali siano le prospettive per una efficace protezione dei dati personali riguardo ai flussi transfrontalieri di dati e all´uso di informazioni commerciali a fini di perseguimento dei reati; come addivenire a regole globali per governare lo sviluppo della rete; come si configurano gli scenari presenti e futuri per l´attività delle autorità di protezione dei dati personali.

 
Conferenze
tra autorità
di protezione
dei dati a
livello europeo

La seconda giornata è stata invece dedicata alle tematiche legate alla collaborazione giudiziaria e di polizia e all´attività del Gruppo delle autorità europee su Polizia e Giustizia (Working Party on Police e Justice, v. infra), presieduto da Francesco Pizzetti, nonché alle relazioni di alcuni gruppi di lavoro (Case Handling Workshop, Gruppo di Berlino sulla protezione dei dati nel settore delle telecomunicazioni) che riferiscono tradizionalmente alla Conferenza.

In conclusione è stata adottata una dichiarazione sulle misure di controllo delle frontiere e della circolazione di tutti i viaggiatori, in arrivo o in partenza dall´Europa, per invitare con forza tutte le istituzioni interessate a valutare l´effettiva necessità di adottare tali misure e a individuare criteri di controllo proporzionati rispetto agli obiettivi da raggiungere (v. anche par. 20.2.). Con tale dichiarazione è stato sottolineato, inoltre, che l´esigenza di controlli efficaci per garantire le frontiere deve essere conforme all´idea di un´Europa "aperta al mondo", uno degli obiettivi perseguiti in questi anni dall´Unione europea. La dichiarazione è stata inviata a tutte le istituzioni europee (Parlamento, Consiglio, Commissione).

Nel 2007 la Conferenza di Primavera è stata ospitata dal Data Protection Commissioner di Cipro (10-11 maggio 2007). Le oltre trenta delegazioni presenti hanno approvato tre documenti rivolti a tutte le istituzioni europee, per sottolineare la necessità sia di tutelare i diritti fondamentali dei cittadini europei nell´ambito della cooperazione giudiziaria e nelle attività di polizia, sia di rispondere con maggiore rapidità e incisività ai rischi derivanti dalla sempre più massiccia raccolta di dati personali a fini di sicurezza. Le autorità hanno convenuto sull´esigenza di un approccio uniforme europeo per garantire il rispetto dei princìpi fondamentali della protezione dei dati, attraverso strumenti utili e efficaci e una riflessione ampia e condivisa che coinvolga più direttamente i Parlamenti nazionali e le opinioni pubbliche degli Stati europei.

Sono state approvate una decisione e due dichiarazioni, queste ultime, rispettivamente, sulla proposta di decisione quadro del Consiglio Ue sulla protezione dei dati personali trattati nell´ambito del cd. "Terzo pilastro" (cooperazione giudiziaria e di polizia) e sul principio di disponibilità sancito dal "Programma de L´Aja" (ossia sull´obbligo per gli Stati membri di rendere reciprocamente disponibili i dati raccolti a livello nazionale per finalità di giustizia e polizia).

Nella prima dichiarazione, i Garanti ribadiscono che la decisione quadro del Consiglio Ue, limitando la protezione ai soli dati oggetto di scambio fra gli Stati (nell´ottica della "disponibilità" suddetta), e non estendendola anche ai trattamenti effettuati a livello nazionale, rischia di introdurre "due velocità" nell´ambito del cd. "Terzo pilastro". Viceversa, occorre garantire uniformità di tutela a livello nazionale e sopranazionale nel trattamento dei dati raccolti per finalità di giustizia e polizia.

La seconda dichiarazione contiene indicazioni utili a valutare se, e in quale misura, strumenti normativi proposti (a livello europeo o nazionale) per facilitare lo scambio di dati siano compatibili con i princìpi di protezione dei dati. L´obiettivo è potenziare le libertà civili ampliando, al tempo stesso, le possibilità di utilizzo di informazioni da parte di forze dell´ordine e autorità giudiziarie.

Con la decisione è stato conferito al menzionato Gruppo di lavoro per le questioni di Terzo pilastro un mandato più ampio, per una risposta rapida ed efficace ai rischi derivanti dal crescente uso di banche dati a fini di sicurezza. La Conferenza ha riconosciuto che tale obiettivo potrà essere meglio raggiunto attraverso un´articolazione permanente e strutturata del Working Party. Il Presidente dell´Autorità italiana è stato nominato Presidente del gruppo, ridenominato "Working Party on Police and Justice"

La 29ma Conferenza mondiale delle autorità garanti svoltasi a Montreal dal 25 al 28 settembre 2007 ha affrontato temi relativi alle nuove frontiere della protezione dei dati personali, come evidenziato dal titolo "Terra Incognita-Gli orizzonti della protezione dei dati".

 
Conferenze
delle autorità
su scala
internazionale

Il programma, particolarmente denso, ha riguardato tra l´altro la sicurezza e la globalizzazione, i rischi e le potenzialità della rete, le nuove tecnologie e il tracciamento delle persone, i dati genetici e le bio-banche.

Sono state adottate tre importanti risoluzioni.

La prima sottolinea l´urgenza di pervenire a criteri globalmente condivisi per tutelare i dati dei passeggeri, oggetto di pressioni sempre più forti da parte dei Governi di molti Paesi del mondo.

I Garanti hanno chiesto collaborazione a soggetti pubblici e privati, organizzazioni non governative e autorità di protezione dati, per garantire alcuni princìpi basilari nella raccolta e nell´utilizzazione di questi dati, sottolineando la necessità di conciliare le esigenze connesse alla lotta al terrorismo con la tutela dei diritti dei cittadini e delle imprese coinvolte. I princìpi riguardano la trasparenza nelle finalità della raccolta dei dati; la loro utilizzazione quando siano realmente indispensabili; il rispetto di criteri di proporzionalità nella raccolta; i limiti al numero dei soggetti ai quali possono essere comunicati; l´accuratezza delle informazioni; le garanzie per i cittadini che intendano esercitare diritti di accesso o rettifica dei dati stessi, a cominciare da un´adeguata informativa sulle caratteristiche del trattamento.

La seconda risoluzione riguarda la definizione di standard universali in materia di privacy in collaborazione con l´Iso (International Organization for standardization). Essa evidenzia che il tentativo di tradurre i princìpi di protezione dati in regole tecnologicamente efficaci merita sostegno, benché in ambito Iso trovino appoggio soprattutto le tematiche della sicurezza dei sistemi informativi. La conferenza ha invitato tutte le autorità di protezione dati a partecipare attivamente al processo di definizione di tali standard, anche attraverso un migliore coordinamento delle iniziative nazionali e il coinvolgimento diffuso del mondo scientifico e della ricerca.

La terza risoluzione è stata dedicata all´esigenza di potenziare la cooperazione con gli organismi (quali l´Ocse, il Consiglio d´Europa, l´Apec) che, in maniera diversa, stanno sviluppando strumenti a sostegno della protezione dei dati e della privacy, nel solco delle indicazioni fornite dalla Conferenza internazionale delle autorità tenutasi nel 2006 a Londra (cfr. Relazione 2006, p. 150).

Il presidente dell´autorità italiana ha presieduto una sessione plenaria specificamente dedicata alla protezione dei minori su Internet; nel suo intervento, ha espresso preoccupazione per la scarsa attenzione dimostrata dai giovani alla protezione della loro privacy nel contesto tecnologico in cui si muovono. In particolare, ha evidenziato che la comunicazione elettronica e le tecnologie dell´informazione tendono a trasformare ogni relazione interpersonale in un flusso di dati e che, pertanto, la tutela dei dati personali su Internet significa innanzitutto proteggere i rapporti tra gli individui e la loro stessa libertà. Nella società "smaterializzata" i giovani sono più esposti al rischio di manipolazioni della loro sfera privata. La diffusione di immagini su Internet, le fotografie scattate senza consapevolezza o i video girati per uso personale possono finire sulla rete generando pregiudizievoli conseguenze sui bambini. Allo stesso modo, l´utilizzo delle chat e lo scambio di e-mail senza l´adeguata consapevolezza dei rischi possono esporre i più giovani a situazioni pericolose.

20.1. La cooperazione tra autorità garanti nell´Ue: il Gruppo art. 29
Il Gruppo art. 29 (che riunisce i rappresentanti delle autorità per la protezione dei dati europee, ed è stato istituito ai sensi dell´art. 29 della direttiva 95/46/Ce) per rendere più effettiva la sua funzione di consulenza "indipendente" verso le istituzioni comunitarie, e in primis verso la Commissione, ha stabilito di definire un programma biennale di attività e di rivedere le modalità con cui promuovere la trasparenza sulle attività svolte. Il Programma di lavoro del Gruppo per gli anni 2008-2009 (WP 146) è piuttosto ambizioso e intende concentrare le attività, fatte salve le richieste di parere su iniziative legislative della Commissione, su quattro temi strategici. Il primo, relativo al miglioramento dell´applicazione della direttiva 95/46/Ce, prevede interventi volti a chiarire l´interpretazione di alcuni aspetti chiave: oltre al lavoro già svolto in relazione alla nozione di dato personale, il Gruppo intende chiarire i concetti di responsabile e di incaricato del trattamento, il diritto applicabile, la limitazione delle finalità ed i presupposti per il trattamento. Il secondo è rivolto alla necessità di garantire la protezione dei dati nei trasferimenti internazionali, in particolare in relazione all´uso di strumenti quali le binding corporate rule e del Safe Harbor; il terzo mira a garantire la protezione dei dati in relazione alle nuove tecnologie (oltre al parere adottato sui motori di ricerca, il Gruppo si occuperà di reti sociali on-line, di profilazione, di radiodiffusione digitale, l´uso della biometria e dell´Rfid). Il quarto tema, più interno, riguarda il miglioramento dell´efficacia del lavoro del Gruppo e prevede diverse azioni, alcune delle quali esposte in un recente documento sulla trasparenza (WP 135). Il programma di lavoro tiene anche conto delle ulteriori sfide cui occorre prepararsi, in particolare dell´impatto del trattato di Lisbona. 

I Garanti europei, per chiarire meglio la nozione di "dato personale", hanno approvato il parere4/2007 [doc. web n. 1496512], fornendo alcune indicazioni sull´applicazione della direttiva 95/46/Ce ai trattamenti effettuati con le nuove tecnologie (quali l´Rfid) o in contesti altamente tecnologici (e-Government, cartelle cliniche elettroniche, ecc.).

 
Il concetto
di dato
personale
(WP 136)

La definizione di dato personale contenuta nella direttiva ("qualsiasi informazione concernente una persona fisica identificata o identificabile") è stata analizzata con esempi tratti dai casi affrontati dalle diverse autorità di protezione dei dati. Dall´analisi è emersa, anzitutto, l´ampiezza del concetto di dato personale ("qualsiasi informazione"), in linea con la giurisprudenza della Corte europea dei diritti umani e della Corte europea di giustizia nei casi concernenti possibili violazioni del diritto alla vita privata. La riflessione ha consentito di proporre un´interpretazione equilibrata in base alla quale, ad esempio, rientrano nella definizione di dato personale sia le istruzioni impartite dal cliente alla propria banca e registrate, sia le immagini filmate da un impianto di videosorveglianza, nella misura in cui i singoli individui siano riconoscibili. Un dato biometrico (l´impronta digitale) è un dato personale perché identifica una persona, ma i campioni di tessuto dai quali si estraggono i dati biometrici non sono di per sé dati personali (anche se le operazioni effettuate per estrarre tali informazioni biometriche configurano un trattamento di dati personali). Un´informazione, inoltre, può "riguardare" una persona fisica identificata o identificabile sotto vari aspetti: perché oggetto dell´informazione è chiaramente una persona fisica, oppure la finalità del dato raccolto è, alla luce delle circostanze specifiche, quella di "incidere" in qualche modo su una persona specifica; oppure, perché l´informazione, se trattata, è suscettibile di effetti sui diritti e gli interessi di una determinata persona.

L´"identificabilità", secondo la direttiva, può essere "diretta" o, valutando tutte le circostanze del caso specifico, "indiretta": notizie di stampa su un vecchio procedimento penale di grande risonanza possono costituire un dato personale poiché è possibile ricostruire l´identità di una persona consultando vecchi numeri del giornale; informazioni apparentemente frammentarie e prive di riferimenti diretti all´identità di una persona (il nome) costituiscono dato personale se il titolare intende utilizzarle per identificare una determinata persona e possiede presumibilmente i mezzi per ricostruire tale identità (si pensi alla videosorveglianza diretta a favorire l´eventuale identificazione di determinati soggetti, o agli indirizzi Ip raccolti per individuare presunte violazioni del copyright).

Infine, la direttiva si riferisce a informazioni concernenti una "persona fisica", ma, almeno in determinate circostanze, può essere rilevante anche il trattamento di dati relativi a defunti in quanto la legge nazionale lo ammette, oppure perché onore e immagine sono tutelati anche dopo la morte della persona. Della stessa tutela possono godere anche le persone giuridiche come ha chiarito la Corte europea di giustizia, in base alla quale "nulla impedisce che uno Stato membro estenda la portata della normativa nazionale di attuazione della direttiva 95/46/Ce a settori non compresi nell´ambito di applicazione di quest´ultima, purché non vi osti alcun altra disposizione del diritto comunitario" (Corte di giustizia delle Comunità europee, 6 novembre 2003, C-101/01). 

Nel 2007 il Gruppo art. 29 ha realizzato per la prima volta una verifica congiunta, sull´osservanza nei Paesi dell´Unione europea dei princìpi di protezione dati da parte delle società che offrono polizze di assistenza sanitaria integrativa. L´analisi ha preso le mosse da un questionario distribuito in tutti gli Stati membri alle compagnie di assicurazione più rappresentative in termini di quote di mercato. Dall´indagine (WP 137, rapporto n. 1/2007) è emerso il sostanziale rispetto delle norme in materia, soprattutto per quanto concerne l´informativa agli assicurati e la raccolta del necessario consenso. Tuttavia, sono state evidenziate carenze in alcuni ambiti, in particolare relativamente alla circolazione delle informazioni con riguardo ai terzi, eventuali beneficiari delle polizze assicurative e all´adozione di adeguate misure organizzative per garantire l´accuratezza, l´aggiornamento e la correzione dei dati personali.

 
Indagine
sulle società
assicurative

 

 

Il Gruppo articolo 29 ha pubblicato il 17 agosto 2007 un parere molto critico sul nuovo accordo stipulato fra l´Ue e l´Amministrazione statunitense in materia di dati relativi ai passeggeri (Passenger Name Record, Pnr) (parere 5/2007, WP 138). L´accordo, che apparentemente riduce da 34 a 19 le categorie di dati oggetto di trasferimento, in realtà accorpa alcuni dati in categorie più ampie; in base ad esso, inoltre, continueranno a essere trasferiti i dati sensibili, e il loro "filtraggio" sarà effettuato ancora dalle autorità americane (in particolare, il Department for Homeland Security, Dhs), punto sul quale il WP 29 si era dichiarato più volte contrario; il periodo di conservazione dei dati trasferiti è aumentato da 3 anni e mezzo a 7 anni e i dati possono restare accessibili (in casi specifici) per ulteriori 8 anni (l´accordo utilizza l´espressione "in stato di sonno" per indicare tali dati). È previsto l´"impegno" delle autorità Usa a mettere in atto il sistema cd. "push" (invio dei dati da parte delle compagnie aeree) anziché "pull" (accesso diretto ai database delle compagnie aeree da parte delle autorità Usa), ma a una serie di condizioni che necessitano di ulteriori precisazioni.

 
Parere
sul nuovo
accordo Pnr
con gli
Stati Uniti
d´America

In tale materia, il sottogruppo che nell´ambito delle attività del Gruppo art. 29 si occupa di Pnr ha anche predisposto una bozza di risoluzione (Resolution on the urgent need for global standards for safeguarding passenger data to be used by governments for law enforcement and border security purposes) approvata dalla World Conference di Montreal (cfr. supra, par. 20). 

I pareri del Gruppo art. 29 n. 6/2007 (WP 139) e n. 7/2007 (WP 140) sono stati richiesti dalla Commissione europea su due proposte presentate per la creazione, rispettivamente, di una base di dati per lo scambio di informazioni tra le autorità nazionali responsabili dell´applicazione delle disposizioni in materia di tutela dei consumatori e la Commissione stessa (Cpcs-Consumer Protection Cooperation System), e di un database centralizzato per lo scambio di informazioni relative alle professioni regolamentate (Imi-Internal Market Information System). Quanto al Cpcs, il Gruppo ha condiviso sostanzialmente le osservazioni critiche del Garante europeo della protezione dei dati, soprattutto sulla necessità di assicurare il rispetto dei princìpi di finalità (nell´utilizzo dei dati contenuti nella costituenda banca dati, che deve servire esclusivamente alla tutela dei consumatori), pertinenza e non eccedenza dei dati, nonché sull´eccessiva durata del periodo di conservazione previsto per le informazioni contenute in tale database (5 anni). Per l´Imi il Gruppo ha invece segnalato l´opportunità di una decisione specifica della Commissione a corredo delle direttive che prevedono la costituzione del sistema, anche ai fini della creazione di una base giuridica solida che ne renda legittimo l´utilizzo.

 
Parere
sul Sistema di
cooperazione
per la tutela
dei consumatori
e sul Sitema
di informazione
del mercato
interno (Imi)

 

Il parere di adeguatezza del Gruppo art. 29 è necessario affinché la Commissione europea possa adottare una decisione formale ai sensi della direttiva 95/46/Ce sul trasferimento di dati personali in un Paese terzo senza alcuna limitazione. Con riguardo all´Isola di Jersey e al territorio delle Isole Fær Øer (pareri 8 e 9 del 2007, WP 141-142) le autorità europee si sono pronunciate favorevolmente, pur evidenziando alcune ambiguità nella legislazione emanata nel Bailato di Jersey, soprattutto con riguardo ai poteri dell´autorità di controllo.

 
Livello
di protezione
dati a Jersey
e nelle isole
Fær Øer
 

 

Con il parere 10/2007 (WP 143) il Gruppo si è occupato della comunicazione di dati relativi alle attività di audit finanziario e contabile fra le autorità pubbliche europee competenti in materia (in Italia la Consob) e quelle di Paesi terzi. Il parere verte, in particolare, sull´art. 47 della direttiva 2006/43/Ce, ossia sulla trasmissibilità –da parte delle autorità pubbliche competenti per la vigilanza sui controlli contabili nei Paesi Ue alle omologhe autorità dei Paesi terzi– dei dati personali inseriti nella documentazione da fornire (nominativi dei revisori, nominativi di altri soggetti interessati, eventualmente dipendenti dell´azienda, ecc.). La direttiva prevede due scenari, cosiddetti di "breve periodo" (trasmissione dei dati in caso di indagini specifiche su casi di presunte irregolarità) e di "medio periodo" (invio dei dati alle autorità pubbliche competenti nel Paese terzo in riferimento ai controlli contabili standard). In base al parere il trasferimento può essere giustificato, nel primo caso, attraverso la deroga al divieto di trasferimento di dati verso Paesi terzi basata sull´art. 26, comma 1, lett. d), della direttiva 95/46/Ce (sussistenza di un interesse pubblico rilevante quale giustificazione del trasferimento). Tuttavia, tale disposizione, come già ricordato dal Gruppo nel documento del 25 novembre 2005 relativo all´interpretazione dell´art. 26(1) della direttiva 95/46/Ce (WP114), deve essere applicata e interpretata dagli Stati membri in modo restrittivo anche con riguardo alla necessità dei dati dei quali si chiede o si prevede il trasferimento. Per quanto concerne la situazione di "medio periodo", occorre garantire che negli accordi di reciprocità previsti fra le autorità competenti Ue e quelle di Paesi terzi siano soddisfatte tutte le condizioni di adeguatezza indicate nell´articolo 47(3) della direttiva 2006/43/Ce. Infine, il "regime speciale" di cui all´articolo 47(4) (trasferimento diretto da parte dei revisori contabili stabiliti in un Paese Ue alle autorità competenti del Paese terzo), per il suo carattere eccezionale e derogatorio rispetto alla norma generale, deve essere meglio definito dalla Commissione con il necessario ausilio del Gruppo art. 29.

 
Ottava direttiva
concernente gli "Statutory Audit"

 

Il Gruppo art. 29 e il Working Party on Police and Justice (cfr. par. 20.2) hanno adottato un parere congiunto per richiamare l´attenzione del Consiglio Ue e della Commissione sugli aspetti ritenuti contrari ai princìpi fondamentali in materia di tutela dei dati personali nella proposta di decisione-quadro del Consiglio che istituirebbe il cosiddetto "Pnr europeo", presentata dalla Commissione il 6 novembre 2007 (WP 145/WPPJ 01/07).

 
Proposta di
decisione-quadro
sull´uso dei dati Pnr
nelle attività
di contrasto
del terrorismo

Attraverso tale decisione verrebbe introdotto in Europa l´obbligo di comunicare alle "autorità competenti" i dati dei passeggeri aerei diretti verso i Paesi dell´Ue, come già avviene per gli Usa.

I Garanti ritengono che la proposta comporti una grave compressione dei diritti fondamentali dei cittadini europei, che non risulta pienamente giustificata né assolutamente indispensabile "in una società democratica", come già esposto nei numerosi pareri concernenti il trasferimento dei dati Pnr negli Usa (v. Relazione 2006, p. 159).

In questo caso, non sono dimostrate né la necessità, né la proporzionalità del trattamento previsto nel progetto di decisione-quadro. Soprattutto, non ha trovato ancora piena attuazione in tutti gli Stati membri la direttiva 2004/82/Ce che prevede l´obbligo per i vettori aerei europei di raccogliere e rendere disponibile, a richiesta, i dati Api (Advance Passenger Information), che corrispondono in sostanza alle informazioni personali utilizzate per il check-in. Appare quindi quanto meno eccessivo introdurre un obbligo ulteriore per finalità di sicurezza quando non si è ancora verificata l´efficacia del sistema istituito per vigilare sulle frontiere europee.

Numerosi altri aspetti della proposta sono stati giudicati problematici: le categorie di informazione oggetto di trasferimento risultano addirittura più numerose di quelle previste nell´Accordo sul Pnr-Usa; il periodo di conservazione dei dati da parte delle autorità competenti è eccessivo (tredici anni); non vi è chiarezza sulla necessità di prevedere esclusivamente un sistema del tipo "push", e non "pull" (v. supra), come già indicato nei pareri sul Pnr-Usa; l´eliminazione dei dati sensibili eventualmente raccolti (il cui trattamento è riservato solo ad alcuni specifici soggetti) deve essere effettuata dai singoli vettori aerei, e non dalle autorità riceventi; troppo ampia risulta infine la discrezionalità degli Stati membri nell´attuare la decisione, soprattutto per quanto riguarda l´ambito di circolazione delle informazioni fornite dai vettori aerei.

Le autorità europee per la privacy hanno quindi chiesto un serio dibattito sul tema, con tutte le parti in causa.

 

Il Gruppo art. 29 si è pronunciato sul tema della protezione dei dati relativi ai minori con il documento di lavoro del 18 febbraio 2008 (WP 147). Il documento, suddiviso in due sezioni principali, individua nella prima parte i princìpi fondamentali sulla protezione del minore, anche con riferimento alla tutela dei dati; nella seconda, fornisce indicazioni per l´attuazione dei princìpi di data protection nel settore scolastico. I destinatari principali sono coloro che a vario titolo trattano i dati relativi ai minori, in particolare insegnanti e autorità scolastiche.

 
Protezione
dei dati
personali
dei minori

Dopo aver richiamato i princìpi fondamentali sulla protezione del minore previsti dalle convenzioni internazionali in materia, viene prestata particolare attenzione al principio dell´interesse primario del minore (cd. "best interest of the child"), elemento fondamentale per la risoluzione di eventuali conflitti, anche tra i minori e i loro rappresentanti. Ampio spazio è inoltre dedicato ai princìpi di qualità dei dati (correttezza, proporzionalità, sicurezza) e al principio di rappresentanza (da parte dei genitori o di chi abbia titolo), nonché alla necessità di accrescere la consapevolezza del minore con un´adeguata informativa e di coinvolgerlo nelle scelte che lo riguardano, in base al suo grado di maturità.

Nella parte generale viene anche menzionato il diritto all´oblìo, particolarmente significativo perché le informazioni relative al minore possono rapidamente divenire obsolete ed eccedenti rispetto all´originario scopo della raccolta.

Il documento affronta inoltre il tema dell´esercizio dei diritti del minore, normalmente esercitati dai rappresentanti del minore, ma che possono essere esercitati dal minore stesso a seconda della sua maturità.

La seconda parte del documento riguarda il contesto scolastico e affronta temi quali il trattamento dei dati nei curricula e l´impiego delle nuove tecnologie, con particolare riguardo alla videosorveglianza, all´accesso ai locali della scuola attraverso dispositivi biometrici, ai siti web scolastici e all´uso di videofonini in aula; sottolinea inoltre il ruolo delle scuole nella sensibilizzazione dei minori sui rischi derivanti dal trattamento dei dati che li riguardano e sull´esercizio dei loro diritti.

Si richiamano altresì i compiti delle autorità per la protezione dei dati nel promuovere la consapevolezza anche dei policy maker sull´importanza della protezione dei dati relativi ai minori e nel rendere i titolari del trattamento consapevoli dei loro obblighi.

Nella parte conclusiva viene segnalata l´opportunità di accordi tra le autorità per la protezione dei dati, i Ministri dell´istruzione e altre autorità competenti per rafforzare la protezione dei dati nell´ambito dei diritti fondamentali.

 

Con il parere del 4 aprile 2008 (WP148) il Gruppo art. 29 ha svolto un´analisi delle principali questioni di protezione dei dati con specifico riferimento ai motori di ricerca che operano sulla rete. Il documento definisce l´insieme delle responsabilità in capo ai motori di ricerca, i quali effettuano la raccolta di dati personali in quanto fornitori di servizi (ove ad es., raccolgano indirizzi Ip degli utenti, informazioni necessarie per accedere a servizi personalizzati attraverso userID e password, ecc.), o di contenuti (qualora memorizzino, attraverso la cd. "copia cache", i risultati di ricerche su Internet contenenti informazioni personali, ovvero forniscano profili personali o comunque informazioni organizzate relative ad un determinato soggetto).

 
Protezione
dei dati
e attività
dei motori
di ricerca

Il parere valuta le legittime esigenze (di natura commerciale) dei motori di ricerca alla luce della necessità di garantire la tutela dei dati personali. Le autorità europee ribadiscono che la direttiva 95/46/Ce si applica pienamente anche ai trattamenti di dati personali effettuati da motori di ricerca situati al di fuori del territorio Ue e dello Spazio economico europeo, alla luce delle disposizioni contenute nell´articolo 4(1), lettera c), della direttiva stessa, nella misura in cui essi utilizzino per il trattamento dispositivi situati sul territorio degli Stati membri (ad es., i cookie). Per contro, è da escludere l´applicabilità ai motori di ricerca sia della direttiva 2002/58/Ce (cd. "direttiva e-privacy"), sia della direttiva 2006/24/Ce (cd. "direttiva data retention"). Entrambe, infatti, non riguardano i "servizi della società dell´informazione" quali i motori di ricerca, esclusi espressamente dall´ambito di applicazione della direttiva e-privacy (e, quindi, della direttiva sulla "data retention") dall´articolo 2, lettera c), della direttiva-quadro sui servizi di comunicazione elettronica (2002/21/Ce).

Il parere sottolinea inoltre che i motori di ricerca sono tenuti a valutare attentamente la natura delle operazioni o dei servizi che essi gestiscono, in particolare per la conservazione dei dati personali raccolti, che devono essere distrutti o resi anonimi (con procedure realmente efficaci) se non necessari agli scopi del trattamento. I Garanti ribadiscono inoltre la necessità che i motori di ricerca incorporino i requisiti fondamentali in materia di protezione dati nei propri meccanismi operativi (cd. "privacy by design"). A tale scopo, viene formulata una serie di indicazioni e raccomandazioni: fornire un´adeguata informativa agli utenti (specificando il soggetto titolare del trattamento, la natura dei dati raccolti, gli scopi del trattamento); ottenere il consenso degli utenti per l´attività di profilazione o comunque per raffronti con altre informazioni in possesso del motore di ricerca stesso; effettuare la cancellazione (o l´anonimizzazione) dei dati non più necessari per le specifiche finalità per le quali sono stati raccolti. Il Gruppo sottolinea infine che spetta ai motori di ricerca giustificare la conservazione prolungata (in linea di principio, non superiore a 6 mesi) dei dati personali eventualmente in loro possesso. In tal senso, deve essere garantito il diritto all´oblìo delle persone i cui dati siano memorizzati nella cd. copia "cache", evitando che permangano in rete informazioni superate e con ciò garantendo agli interessati l´esercizio effettivo dei diritti di accesso, rettifica e cancellazione previsti dalla direttiva 95/46/Ce.

Il Gruppo, in sintonia con quanto fatto dal Garante europeo, ha posto all´ordine del giorno un parere sulla proposta presentata dalla Commissione nel novembre 2007 di modifica del quadro normativo in materia di comunicazioni elettroniche, che include anche limitate proposte di modifica alla direttiva 2002/58/Ce. Nella proposta l´impianto generale della direttiva resta sostanzialmente immutato, mentre si precisano alcuni obblighi in materia di sicurezza.

20.2. La cooperazione delle autorità di protezione dei dati nel settore libertà, giustizia e affari interni
Nel 2007 si è cercato di ricostituire e rendere più efficace l´attività di cooperazione tra le autorità europee di protezione dei dati personali. La Conferenza di primavera delle Autorità ha deliberato infatti più incisive competenze e un nuovo nome per il Working Party on Police and Justice ed ha chiamato a presiederlo il Presidente del Garante. La nuova composizione e articolazione del Working Party e la maggior autonomia consentiranno di intervenire in modo più tempestivo e mirato, per far conoscere le valutazioni delle autorità di protezione dei dati sulle misure comunitarie suscettibili di avere un impatto sulla protezione dei dati personali.

In tal modo (v. par. 20.1), pur in assenza di un quadro normativo adeguato, le autorità di protezione dei dati hanno trovato la possibilità di sviluppare azioni congiunte con il Gruppo dei Garanti europei su temi che, a livello europeo, sono trattati separatamente, quali la conservazione e utilizzo a fini di polizia dei dati raccolti da privati (vettori aerei, gestori e fornitori di servizi di comunicazione elettronica e di sistemi di pagamento, ecc.) per fornire servizi commerciali, o i controlli alle frontiere e le politiche di ingresso e soggiorno. Il WPPJ mantiene tuttavia il suo carattere volontario e ufficioso; ciò, se da un lato non rende obbligatorio per il legislatore europeo richiedere il parere del gruppo sulle iniziative legislative, facilita, dall´altro, la visibilità delle autorità di protezione dei dati a livello europeo in un settore in cui non esiste ancora –anche per la distinzione in pilastri delle competenze ora prevista dal Trattato– un quadro comune e condiviso di princìpi che regoli le condizioni di liceità del trattamento dei dati personali.

A tal proposito occorre peraltro ricordare che l´approvazione del Trattato di Lisbona, abolendo tendenzialmente l´attuale articolazione in pilastri, favorisce in prospettiva una disciplina il più possibile unitaria della protezione dei dati personali, anche rendendo cogente il contenuto dell´articolo 8 della Carta dei diritti fondamentali.

Nonostante l´avvicinarsi di tale scadenza, il legislatore comunitario ha continuato a presentare proposte e a sollecitare l´adozione di quelle in itinere. Si deve peraltro registrare un certo ritardo per l´entrata in vigore di importanti sistemi informativi, quali il sistema informativo visti e la seconda generazione del Sis (Sis II). Il Trattato di Prüm, trasformato in iniziativa legislativa dell´Unione europea, ha ricevuto un generale accordo, che tuttavia subisce anch´esso rallentamenti nella definizione degli aspetti applicativi dello scambio dei dati.

Parte del "ritardo" è dovuta alla mancata adozione di princìpi per il trattamento dei dati personali nel Terzo pilastro, elemento richiamato dal programma dell´Aja come necessario quadro di riferimento per la cooperazione tra forze di polizia e magistratura nella prevenzione e repressione dei reati. Tali princìpi, presentati dalla Commissione europea nella forma di una proposta di decisione-quadro, sono stati resi sempre più vaghi e generici nel corso dell´esame da parte del Consiglio. Nonostante le forti critiche espresse dai garanti della protezione dei dati e dal Parlamento europeo, la presidenza del Consiglio è riuscita ad ottenere, nel novembre 2007, un accordo politico sul testo. Questo deve essere però nuovamente sottoposto al parere del Parlamento europeo e quindi si spera in qualche margine di manovra per riequilibrare la proposta.

Le autorità di protezione dei dati hanno segnalato con preoccupazione sempre maggiore il progressivo venir meno di "momenti istituzionali" (presso il Consiglio e, in parte, presso la Commissione) per la valutazione dell´impatto delle misure adottate sui diritti fondamentali e, più specificamente, sulla tutela dei dati personali. Nel Terzo pilastro, gli unici organismi che, per gli aspetti di specifica competenza attribuiti dalle Convenzioni cui si riferiscono, svolgono attività di supervisione e controllo sulla legittimità dei trattamenti dei dati sono le Autorità comuni di controllo Schengen, Europol e Dogane, oltre all´autorità comune Eurojust, nella cui composizione non è pero presente il Garante. La supervisione sui trattamenti effettuati nell´unità centrale è passata dall´Autorità comune di controllo Eurodac al Garante europeo recentemente istituito.

Questo modello di supervisione sarà applicato, una volta entrati in funzione, anche per il Vis (sistema informativo visti) e per il Sis II.

 

L´attività dell´Autorità di controllo comune (Acc) nel periodo considerato si è concentrata in particolare sulla proposta di decisione per l´integrazione di Europol tra le strutture dell´Unione europea e la definizione del quadro generale di riferimento per lo svolgimento della sua attività.

 
Europol: l´attività
dell´autorità
di controllo
comune e i casi
di contenzioso

L´Acc ha espresso un parere molto articolato sul testo, formulando specifiche raccomandazioni, in particolare riguardo alla divergenza introdotta nel nuovo testo tra obiettivi di Europol e le più ridotte competenze attribuite all´organismo, nonché ai nuovi compiti di Europol di elaborazione di informazioni fornite non più solo dagli Stati membri, ma anche da Paesi terzi e da entità pubbliche e private. Poiché questo determina un notevole incremento dei dati raccolti ed analizzati, l´Acc ha richiamato l´attenzione sulla necessità di prevedere chiaramente se e come Europol potrà aver accesso ai dati e quali le responsabilità.

Il testo attualmente in discussione presso il Consiglio ha tenuto nella giusta considerazione le osservazioni formulate dall´Acc, in particolare per quanto concerne le garanzie per l´accesso ai dati da parte degli interessati e l´esercizio effettivo dei diritti conferiti. Complessivamente gli aspetti relativi al trattamento dei dati personali da parte di Europol sono sostanzialmente immutati rispetto alle previsioni contenute nella Convenzione Europol.

L´attività ispettiva, condotta annualmente, di regola a marzo, si conferma come uno dei più incisivi strumenti posti a disposizione dell´Acc per il suo ruolo di supervisione e controllo sulla liceità dei trattamenti di dati da parte di Europol.

Nel corso dell´ultima ispezione gli esperti partecipanti hanno focalizzato le verifiche sul sistema di informazione Europol, sui seguiti dati alle raccomandazioni formulate in precedenti ispezioni, sul contenuto dei file di analisi e sul rispetto delle prescrizioni che l´Acc ha impartito accettando la richiesta di Europol di un approccio diverso e, più in generale, per l´apertura di file di analisi aventi per oggetto lo sfruttamento dell´immigrazione illegale.

L´Acc ha riconosciuto l´alto grado di adeguamento alle raccomandazioni formulate da parte di Europol, anche se ha reiterato alcune preoccupazioni, che in parte non sono ascrivibili alla sola Europol, ma anche al modo con cui gli Stati membri svolgono le attività richieste dalla Convenzione. L´Acc pertanto, in relazione a queste ultime, ha richiesto alle autorità nazionali che la compongono di effettuare verifiche rispetto alle azioni che gli Stati debbono assicurare. Il Garante, come autorità nazionale di controllo, ha effettuato le verifiche richieste e ha richiesto la correzione/cancellazione dei dati inesatti.

L´Acc si è inoltre occupata della creazione del sistema "check the web", portale che Europol intende utilizzare per mettere a disposizione degli Stati partecipanti le informazioni e i link ai siti web che possono considerarsi utili ai fini della lotta alla criminalità. Europol prevede anche un servizio di traduzione per rendere tali informazioni più accessibili alle forze di polizia dei diversi Paesi.

Parte dell´attività è stata anche dedicata alla decisione e preparazione di una conferenza, da tenersi a Bruxelles, per celebrare i dieci anni di attività dell´Acc, valutando i risultati finora raggiunti e le sfide future (v. la relazione di attività in http://europoljsb.consilium.europa.eu).

 

Il sistema informativo doganale (Sid) consiste in una base di dati centrale cui si può accedere tramite terminali situati in ogni Stato membro. La Commissione europea provvede alla gestione tecnica dell´infrastruttura del Sid.

 
Il Sistema
informativo
doganale:
l´attività
dell´Autorità
di controllo
comune

La vigilanza sul corretto funzionamento del Sid è affidata a una autorità comune di controllo, composta di due rappresentanti per ciascun Paese delle autorità nazionali di protezione dei dati.

L´Acc Dogane ha completato il lavoro di verifica del rispetto delle condizioni per la raccolta e trattamento dei dati personali iniziato lo scorso anno, svolto sia con un audit sulla congruità delle misure di sicurezza adottate presso l´unità centrale, sia con la raccolta di informazioni a livello nazionale delle misure esistenti sulla scorta di un questionario comune.

Il sistema risulta peraltro molto poco utilizzato dai potenziali utenti, che come base per gli scambi di informazioni in materia preferiscono utilizzare accordi bilaterali o multilaterali.

L´Acc potrebbe comunque decidere di intraprendere un´azione comune finalizzata a verificare la liceità dei trattamenti di dati personali in tutti gli Stati che applicano la Convenzione.

 

L´attività dell´Acc Schengen ha continuato a essere prevalentemente legata agli sviluppi del Sis e al funzionamento dell´attuale sistema.           

 
Schengen

Occorre ricordare che i regolamenti per l´istituzione del Sis II relativamente alle segnalazioni degli stranieri non ammissibili e per l´accesso ai dati dei veicoli sono stati adottati e pubblicati nella Gazzetta Ufficiale nel mese di dicembre 2006, mentre la decisione relativa alla parte del sistema che contiene le segnalazioni ai fini di esecuzione dei mandati di arresto europei, di sorveglianza discreta e di rintraccio persone (finalizzata alla cooperazione giudiziaria e di polizia) è stata pubblicata diversi mesi dopo.

Si prevede che il sistema potrà essere in funzione non prima della metà del 2009: occorre infatti che sia completata l´infrastruttura tecnica e che gli Stati –inclusi quelli entrati più di recente nell´Unione– predispongano il quadro legale e tecnico necessario.

La Commissione europea, che avrà la responsabilità della gestione tecnica del Sis II, sta lavorando alla preparazione di una campagna informativa per i cittadini senza tuttavia aver coinvolto nella predisposizione dei testi l´Acc Schengen, che pure ha preparato le precedenti campagne informative svolte nei Paesi aderenti. Le autorità nazionali di protezione dei dati sono state interpellate singolarmente.

È stata inoltre completata l´azione comune per verificare in ciascuno dei Paesi partecipanti la regolarità delle segnalazioni inserite nel sistema con riferimento all´articolo 99 della Convenzione (sorveglianza discreta e controllo specifico).

Le verifiche sono state svolte seguendo uno schema unico, elaborato in forma di questionario, seguito da controlli in situ. Il segretariato, come nella precedente azione comune svolta per verificare la legittimità delle segnalazioni inserite nel sistema ai fini della non ammissione (in base all´articolo 96 della Convenzione), ha redatto un documento complessivo adottato dall´Acc nel dicembre 2007. Il documento sarà tradotto nelle lingue nazionali per favorirne la diffusione e l´utilizzo da parte delle Autorità.
Il Garante ha preso spunto dall´accertamento deliberato dall´Acc per definire in modo più ampio le modalità della verifica da effettuare. La parte nazionale dell´accertamento è previsto che si concluda nel primo semestre del 2008.

 

Per quanto concerne Eurodac, la base di dati europei che contiene le impronte digitali dei richiedenti asilo e delle persone fermate dalla autorità di frontiere in posizione irregolare, l´attività di coordinamento effettuata dal Garante europeo per la protezione dei dati personali si è conclusa con l´adozione di un rapporto che fa stato delle attività di accertamento svolte in ciascun Paese e di quelle svolte dallo stesso Garante europeo sull´unità centrale (v. per il rapporto www.edps.europa.eu).

 
Eurodac

Molte delle raccomandazioni formulate sono state riprese dal Garante italiano, che ha esteso gli accertamenti alla liceità del trattamento dei dati finalizzato non solo all´inserimento nel sistema Eurodac, ma anche alla procedura di applicazione della Convenzione di Dublino, che prevede la possibilità di rinvio del richiedente asilo ad altro Paese laddove risulti esistente una segnalazione di questo Paese.

Nel corso degli accertamenti il Garante è intervenuto, in particolare, per verificare l´uso delle cd. "ricerche speciali", ovvero le richieste di accesso ai dati, previste dal regolamento Eurodac (Regolamento (Ce) n. 2725/2000 del Consiglio, dell´11 dicembre 2000), funzionali all´esercizio dei diritti riconosciuti alla persona interessata. In taluni casi e per alcuni Paesi tra cui l´Italia, gli accessi ai sensi dell´articolo 18 risultano infatti piuttosto numerosi e non sembrano avvenire per le ragioni indicate nel regolamento. Gli accertamenti hanno inoltre riguardato l´adeguatezza delle misure adottate per garantire la sicurezza nel trattamento dei dati nelle diverse operazioni compiute.

La chiusura degli accertamenti del Garante è programmata per il primo semestre del 2008.

Nel corso delle riunioni di coordinamento è stato adottato il regolamento interno e predisposto il programma di lavoro per l´anno in corso.

La Commissione europea ha presentato il rapporto annuale in cui fa stato delle sue attività in relazione alla gestione della banca dati Eurodac, con riferimento ai risultati raggiunti e ai problemi rilevati (v. per il rapporto http://ec.europa.eu/justice_home).

Un punto particolarmente delicato, esposto dalla Commissione, è quello relativo alla possibilità di una modifica del regolamento Eurodac per rendere possibile l´accesso, a certe condizioni, alle forze di polizia per l´espletamento dei compiti loro assegnati. La Commissione ha precisato che la richiesta è stata formulata dal Consiglio e che essa stessa ritiene utile tale ampliamento. Riguardo a tale ipotesi, le autorità di protezione dei dati hanno espresso viva preoccupazione, rappresentando il cambiamento di finalità che ne consegue e il Working Party on Police and Justice ha adottato un parere fortemente critico.

 

Il Working Party on Police and Justice (WPPJ), sotto la Presidenza italiana, si è riunito tre volte nel corso del 2007 (27 giugno, 17 ottobre, 18 dicembre), mentre una quarta riunione si è tenuta all´inizio del 2008 (27 marzo), in previsione della "Conferenza di Primavera" di Roma (v. par. 20). Oltre ad adottare il regolamento interno, successivamente sottoposto all´approvazione formale della Conferenza di Roma, il Working Party ha monitorato diverse iniziative, non sempre coordinate, relative ai trattamenti di dati personali nel settore della cooperazione giudiziaria e di polizia.

 
Working Party
on Police
and Justice

Nel maggio 2007 è stato approvato un "Position Paper" critico rispetto all´iniziativa di alcuni Paesi Ue finalizzata ad adottare una decisione del Consiglio sul potenziamento della cooperazione transfrontaliera, con particolare riguardo al contrasto del terrorismo e della criminalità transnazionale ("progetto di decisione del Consiglio sul Trattato di Prüm"). La decisione (poi adottata dal Consiglio giustizia e affari interni con minime modifiche nel mese di giugno 2007), reca disposizioni in materia di scambio di informazioni fra autorità giudiziarie e di polizia, con particolare riguardo al Dna, ai dati dattiloscopici e alle informazioni di immatricolazione, e consente alle suddette autorità di accedere alle banche dati nazionali. Il Gruppo ha ricordato l´assenza di disposizioni armonizzate a livello europeo, e ha sottolineato l´opportunità di definire prioritariamente tale quadro armonizzato, attraverso la decisione-quadro del Consiglio sulla protezione dati nel Terzo pilastro, ad oggi ancora in via di definizione. Il documento è stato inviato al Consiglio Ue e ha ricevuto pubblicità anche attraverso i contatti fra le autorità nazionali di controllo e le autorità governative.

Successivamente (dicembre 2007-marzo 2008), il WPPJ si è occupato della proposta di Decisione del Consiglio che dà attuazione alla Decisione del Consiglio che recepisce il Trattato di Prüm sopra menzionata. È stato elaborato, in particolare, un "Position Paper" contenente osservazioni critiche e raccomandazioni sulle disposizioni contenute nell´"Allegato Tecnico" alla suddetta proposta di decisione, preceduto da un breve testo in cui sono sinteticamente rinnovate le osservazioni che il WPPJ aveva già svolto sulla Decisione adottata nel mese di giugno 2007. L´Allegato tecnico fissa gli standard riferiti allo scambio di informazioni e alla comparazione dei dati forniti; il WPPJ ha chiesto maggiori garanzie con riguardo alla tracciabilità degli accessi al sistema, alla proporzionalità dei trattamenti effettuati, alle misure di sicurezza e all´accuratezza dei criteri di comparazione. Su questo testo si era pronunciato in modo molto critico (il 19 dicembre 2007) anche il Garante europeo per la protezione dei dati. Il documento è stato approvato nel mese di aprile 2008 e inviato alle istituzioni europee competenti.

Nella riunione di ottobre 2007 si è richiamata l´attenzione delle istituzioni comunitarie, in particolare, sulla necessità di assicurare nella decisione-quadro in materia di protezione dei dati nel Terzo pilastro un livello di tutela non inferiore a quello previsto nella Convenzione n. 108/1981 del Consiglio d´Europa. Il testo è stato inviato anche ai Ministri italiani competenti (interno e giustizia) per sollecitarne l´interessamento nel Consiglio giustizia e affari interni del mese di novembre. Il Presidente del WPPJ è stato invitato dal Parlamento europeo, Commissione "Libertà pubbliche" a partecipare alla seduta pubblica dedicata alla valutazione del testo su cui il Consiglio Gai aveva raggiunto un accordo politico (dicembre 2007).

Sul punto il WPPJ ha mantenuto alta l´attenzione, continuando a sollecitare l´interessamento delle competenti autorità nazionali in sede di Consiglio Ue nei mesi successivi, anche in vista della riconsultazione del Parlamento europeo dopo le modifiche apportate al testo della proposta di Decisione.

Sulla proposta di consentire l´accesso all´archivio Eurodac a soggetti non incaricati delle politiche in materia di asilo (forze di polizia, autorità giudiziarie) il Gruppo, con una lettera del novembre 2007 al vicepresidente della Commissione europea, Frattini, alla presidenza del Consiglio Ue e alla Commissione Libe del Parlamento europeo ha manifestato contrarietà, rispetto allo "sviamento" di finalità che la proposta comporta, tenuto conto che il database Eurodac contiene impronte digitali di soggetti richiedenti asilo. Il WPPJ ha deciso di lavorare anche in prospettiva di azioni future (ad esempio, accogliendo la proposta della futura presidenza francese dell´Ue di far parte del gruppo di "Amici della Presidenza" incaricato di lavorare su questo tema).

Nella riunione di dicembre 2007, con riguardo alla proposta di decisione-quadro della Commissione (pubblicata il 6 novembre 2007) sull´obbligo per i vettori aerei in Europa di raccogliere i dati Pnr dei passeggeri in transito da o verso Paesi terzi (il cosiddetto "Pnr europeo") è stato adottato il parere congiunto con il Gruppo art. 29 (v. par 20.1.).

Il Gruppo ha richiesto alla Commissione chiarimenti sul cosiddetto "pacchetto Frattini", comprendente tre diverse Comunicazioni presentate ufficialmente nel mese di marzo 2008 in materia di iniziative per la gestione delle frontiere, creazione di un Sistema europeo di sorveglianza delle frontiere, e valutazione del funzionamento della Frontex, l´agenzia incaricata di coordinare la cooperazione in materia di gestione delle frontiere esterne. Il WPPJ ha sottolineato, in particolare, che non appare verificata l´effettiva necessità di tali proposte, né risultano adeguatamente esaminati gli aspetti di privacy soprattutto alla luce del parere adottato dalla Conferenza di primavera tenutasi a Cipro nel 2007, relativo alle applicazioni del "principio di disponibilità" previsto dal Programma de L´Aja. Altro elemento di preoccupazione è dato dalla previsione di un massiccio ricorso alle tecnologie biometriche senza soluzioni (di cd. "fallback") che prescindano dall´uso di tali tecnologie.
I risultati di un questionario interno sui poteri effettivi di indagine e controllo delle autorità nazionali di protezione dati nei confronti di autorità di polizia e giudiziarie, presentati nella riunione di marzo 2008, hanno permesso di individuare alcuni settori bisognosi di approfondimento e ulteriori chiarimenti. Infine, il WPPJ ha elaborato la dichiarazione poi adottata dalla Conferenza di Primavera di Roma nel mese di aprile 2008, critica sulla strategia europea di sorveglianza generalizzata dei viaggiatori (v. par. 20).

20.3. La partecipazione ad altri comitati e gruppi di lavoro

 

Il sedicesimo e diciassettesimo incontro del gruppo di lavoro denominato "Case Handling Workshop" si sono tenuti rispettivamente a Lisbona (19-20 novembre 2007) e Lubiana (31 marzo-1 aprile 2008); si tratta di seminari di discussione su casi e tematiche di interesse comune, anche per individuare prassi nazionali condivisibili a livello europeo.

 
Case Handling
Workshop

L´incontro di Lisbona, dedicato principalmente alla "referenziazione creditizia" (nell´ambito dei trattamenti di dati personali relativi a soggetti che accedono a finanziamenti), si è articolato in quattro sessioni parallele: valutazione del rischio (A), blacklist settoriali (B), flussi di dati e profilazione (C), ricorsi e attività di controllo da parte delle autorità per la protezione dei dati (D).

Nella sessione A, dedicata al "Risk Assessment" è stato sottolineato da più parti l´affinamento progressivo delle tecniche di valutazione del rischio attraverso strumenti automatizzati sempre più diffusi. A tal proposito, è stato messo in evidenza che l´autorità francese sta curando, con il Ministero dell´economia, la definizione di una serie di criteri che consentano l´emanazione di una sorta di "autorizzazione generale" per i sistemi di scoring automatico, anche alla luce delle regole di Basilea-II e al cosiddetto McDonough Ratio, ossia la definizione del coefficiente di rischio bancario legato alla solvibilità della clientela. Nella sessione dedicata alle "blacklist" (dei cd. "cattivi pagatori") in settori diversi dalla referenziazione creditizia (B), molte Autorità hanno concordato sulla necessità che leggi specifiche consentano tali tipi di trattamento, tenuto conto dei rischi che essi possono produrre per gli interessati. Tuttavia, nella (quasi generalizzata) assenza di disposizioni normative occorre comunque individuare idonee garanzie per gli interessati, possibilmente sulla base di un prior checking, specie in ordine ai criteri per l´inserimento nelle liste, ai tempi di conservazione, a dovuti preavvisi e informative e al necessario e rigoroso rispetto dei princìpi di proporzionalità e finalità. Nella sessione C numerosi interventi hanno evidenziato la tendenza delle agenzie di referenziazione, nonché del sistema bancario e finanziario ad accrescere le informazioni disponibili. È stata sottolineata la sostanziale uniformità delle strategie adottate dalle autorità per la protezione dei dati per farvi fronte, strategie per lo più fondate sul richiamo al rispetto del principio di necessità, proporzionalità, finalità, e tempi di conservazione non eccedenti. Infine, nella sessione dedicata a casi specifici ed alle attività ispettive (D) è stata riferita l´esperienza italiana riguardo agli accertamenti presso sistemi di informazione creditizia, mentre altre autorità hanno illustrato le difficoltà riscontrate nella gestione dei reclami connessi a tale tipo di trattamenti.

Nella seconda giornata, tra l´altro, l´autorità olandese ha presentato un interessante documento sulla pubblicazione di dati personali in Internet, pubblicato ufficialmente l´11 dicembre 2007 (v. infra) previa consultazione pubblica. Significativo anche un caso presentato dall´autorità spagnola, sulla persistenza (nella cd. "cache") di informazioni obsolete o inesatte rispetto al sito originale, e sui numerosi contatti al riguardo intercorsi con vari motori di ricerca (compreso Google).

L´incontro di Lubiana è stato dedicato alla discussione di due temi, biometria e trattamento di dati personali su Internet.

Nel corso della prima sessione, il prof. W.J.M. Voermans, docente nella facoltà di legge dell´Università di Leiden, ha esaminato il rapporto tra diritto alla protezione dei dati personali e diritto di accesso ai documenti pubblici, così come riconosciuti nell´ambito del diritto dell´Unione europea e del sistema del Consiglio d´Europa. L´argomento è di interesse soprattutto per le diverse autorità di protezione dei dati competenti anche in materia di "right of information" (tra esse, la stessa autorità slovena, quella greca, quella portoghese) e attuale alla luce dei lavori preparatori per l´adozione, nel contesto del Consiglio d´Europa, di una Convenzione europea sull´accesso ai documenti pubblici.

Le sessioni successive della prima giornata di lavoro sono state dedicate interamente al trattamento dei dati biometrici, che poche legislazioni (Francia, Lussemburgo, Slovenia) disciplinano in modo specifico, richiedendo, la maggior parte delle altre, la notificazione alle autorità di protezione dei dati e spesso anche il prior checking. Nel corso della discussione sono state manifestate perplessità sulla necessità del consenso dell´interessato per l´utilizzo di tali dati in ambito lavorativo e sul possibile riconoscimento, in taluni, specifici casi, del legittimo interesse del datore di lavoro al loro trattamento e alla conseguente applicazione dell´istituto del bilanciamento di interessi. L´autorità portoghese ha prospettato che con l´utilizzo dei dati biometrici può aumentare il livello di sicurezza nel trattamento dei dati effettuato presso ospedali, consentendo l´accesso differenziato alle informazioni raccolte nelle cartelle cliniche dei pazienti da parte dei diversi operatori sanitari (medici, infermieri, farmacia ospedaliera, ecc.), in modo da tenere traccia degli accessi alle informazioni stesse e favorire la prestazione corretta ed efficace del servizio sanitario.

Nella seconda giornata di lavori diverse autorità hanno presentato le proprie lineeguida in materia di trattamento di dati personali su Internet e, in particolare, attraverso le cd. "reti sociali" ("social networking site", quali i noti Facebook e Myspace). Tra queste, le già citate linee-guida dell´autorità olandese dell´11 dicembre 2007, volte a fornire indicazioni sia ai titolari del trattamento (il divieto di raccogliere dati sensibili in rete, la necessaria previsione di spazi condivisi solo da alcuni utenti e non indicizzati dai motori di ricerca, mezzi celeri e facili per la cancellazione dei dati da parte degli utenti medesimi, ecc.), sia agli utilizzatori della rete (per i quali l´Autorità ha messo a disposizione sul proprio sito informazioni e modelli di lettere relativi a trattamenti effettuati in rete). L´autorità olandese, infine, nel richiamare il memorandum adottato a Roma dal Gruppo di Berlino in materia di "social networking site" (v. infra), ha proposto l´adozione di un documento del Gruppo art. 29 in materia, suggerendo un maggiore scambio di informazioni e più approfondite forme di collaborazione tra le autorità di protezione dei dati.

L´autorità britannica, nel novembre 2007, ha creato un sito rivolto ai giovani (www.ico.gov.uk/youth.aspx) e predisposto un sondaggio (una serie di domande poste a 2000 ragazzi tra i 14 e i 21 anni) in relazione al trattamento dei dati effettuato da siti di social networking. L´esito del sondaggio (che ha dimostrato una diffusa mancanza di consapevolezza da parte dei giovani in merito agli effetti che tali tipologie di trattamento potranno avere sulla loro vita futura) ha attirato l´attenzione di tutta la stampa britannica che ha pubblicato articoli e dedicato programmi televisivi e radiofonici al tema. Per la sensibilizzazione dei minori si sono impegnate con successo l´autorità norvegese (con la campagna "You decide" volta a richiamare l´attenzione sulle conseguenze che la diffusione su Internet di dati relativi a minori può avere sulla loro vita di ogni giorno) e quella portoghese (con il programma "Dadus" che prevede la creazione di uno spazio ad hoc nel sito Internet dell´autorità –http://dadus.cnpd.pt– con forum di discussioni e chat per i minori e materiale didattico messo direttamente a disposizione degli insegnanti per avviare progetti nelle scuole).

 

Il "Gruppo di Berlino" (International Working Group on Data Protection in Telecommunication) si è riunito a Guernsey (12-13 aprile 2007) ed a Berlino (4-5 settembre 2007); nel marzo 2008 (3-4 marzo) si è tenuto il 43mo incontro ospitato dall´autorità italiana a Roma.

 
IWGDPT

Come di consueto, oltre a fare il punto sui principali sviluppi nazionali, gli incontri del Gruppo di Berlino hanno consentito di affrontare le problematiche connesse agli sviluppi tecnologici più recenti in chiave di garanzie e rischi per la protezione dei dati personali. Il Seminario pubblico organizzato l´11 aprile 2007 in occasione dell´incontro di Guernsey (Respecting privacy in Global Networks) ha permesso di analizzare problematiche connesse alla cybersociety e alla missione cui sono chiamate le autorità di protezione dati, garantire un equivalente livello di protezione fra realtà off-line e realtà on-line alla luce dei rischi più significativi posti dalle comunicazioni elettroniche (conservazione dei dati di traffico, identificazione, perdita dell´anonimato).

I lavori dei due seminari tenuti nel 2007 hanno condotto all´adozione di un documento dedicato al tema "privacy and cross-border marketing", da tempo oggetto di discussione, nonché di due ulteriori documenti relativi alla televisione digitale e all´e-ticketing (tematiche, queste, peraltro già affrontate in passato dal Garante). In essi il Gruppo ha inteso fornire alcune indicazioni operative a titolari e interessati soprattutto per garantire (come nel caso del cross-border marketing) il rispetto dei princìpi di correttezza e trasparenza nel trattamento dei dati personali.

I delegati hanno affrontato anche i temi connessi alle attività dei motori di ricerca (con particolare riguardo alla conservazione delle informazioni contenute nelle stringhe di ricerca e ai rischi di una profilazione occulta), nonché agli sviluppi legati al cd. "social networking", considerato il sempre maggiore favore di cui godono i siti che offrono spazi di incontro ed altri servizi destinati soprattutto agli utenti più giovani. In particolare, ciò ha condotto all´elaborazione di un documento discusso durante l´incontro di Roma e successivamente adottato con procedura scritta. Si tratta di un memorandum in cui sono analizzati i rischi connessi ai trattamenti di dati personali effettuati sui siti di social network e vengono formulate una serie di raccomandazioni rivolte ai gestori di tali siti, alle autorità di regolazione ed agli utenti.

Fra gli altri temi di cui si è occupato il Gruppo di Berlino nel corso del 2007 e nei primi mesi del 2008 ricordiamo anche il trattamento di dati personali connesso alle iniziative che mirano a garantire una maggiore sicurezza del traffico veicolare (nell´ambito della "European road safety policy") e le implicazioni in termini di protezione dati legate all´applicazione della Convenzione del Consiglio d´Europa sulla criminalità informatica (Convenzione di Budapest del 2001). Su quest´ultimo punto il Gruppo ha adottato a Roma un documento contenente una serie di raccomandazioni rivolte agli Stati membri del Consiglio d´Europa per quanto concerne le misure nazionali di attuazione delle disposizioni della Convenzione, elaborato sulla scorta di una proposta presentata dall´autorità italiana.

 

Nel 2007 l´autorità italiana ha seguito i lavori del Comitato consultivo (T-Pd) della Convenzione del Consiglio d´Europa n. 108/1981 sul trattamento automatizzato di dati di carattere personale, ed è entrata a far parte del bureau che si riunisce ogni 4 mesi. Nella riunione del marzo 2007 è stato eletto il Data Protection Commissioner del Consiglio d´Europa (Karel Neuwirt, della Repubblica ceca), per un periodo di tre anni. Fra i temi affrontati di maggiore rilevanza vi è un parere sul trattamento automatizzato e titolare del trattamento nel contesto delle reti mondiali di telecomunicazioni.

 
Consiglio
d´Europa

Il parere del T-Pd sottolinea che la raccolta dei dati, sebbene non inclusa esplicitamente nella definizione data dalla Convenzione 108, deve essere ricompresa nel concetto di trattamento automatizzato, prescindendo dalle modalità di raccolta dei dati stessi; specifica inoltre che la semplice navigazione su Internet non costituisce un trattamento di dati se non è possibile condurre operazioni relative ai dati personali contenuti nelle pagine web. Inoltre, in linea con la sentenza Bodil Lindqvist della Corte di giustizia delle Comunità europee (6 novembre 2003, C-101-01), si ribadisce che rendere disponibili dati su Internet rientra nella definizione di trattamento automatizzato prevista dall´art. 2.c della Convenzione 108. In tale definizione, con riferimento alla videosorveglianza, non rientrano invece i sistemi che non registrano dati e che non danno la possibilità di conservare o svolgere altri trattamenti ricompresi nel concetto stesso di trattamento automatizzato.
Il parere sottolinea inoltre come, in qualunque contesto, l´obbligo di informare gli interessati sulle modalità dell´esercizio di accesso e rettifica rimanga in capo al titolare del trattamento, giuridicamente responsabile anche quando possa poi rivalersi su un responsabile o su un contitolare. Laddove più soggetti pongano in essere il trattamento, spetta a ciascuno di essi determinare i propri compiti e le proprie responsabilità rispetto al trattamento, al fine di evitare di essere ritenuto congiuntamente responsabile con gli altri in caso di danno.

 

È stato inoltre pubblicato il rapporto commissionato dal T-Pd sull´applicazione della Convenzione 108 al meccanismo della cd. "profilazione", quella tecnica di trattamento, cioè, che permette di desumere informazioni relative a una persona a partire da tutti i dati (anonimizzati o meno) relativi ad un gruppo di individui al quale l´interessato appartiene o si suppone appartenga (TP-(2008)01). In base a tale parere, la profilazione nel suo complesso ricade nell´ambito di applicazione della normativa sulla protezione dei dati, anche se alcune operazioni di profilazione, in quanto prive di riferimento a dati riconducibili ad una persona identificata o identificabile, potrebbero non essere soggette all´applicazione della Convenzione n. 108/1981. Lo studio evidenzia l´opportunità di elaborare uno strumento giuridico, in particolare una raccomandazione, che fornisca garanzie rafforzate sull´informativa, sul diritto di opposizione, su un eventuale divieto di profilazione basata sull´impiego di dati sensibili, sull´obbligo di conservare traccia delle inferenze statistiche (ossia, degli elementi utilizzati per costruire il profilo) e sulla necessità di realizzare un bilanciamento degli interessi coinvolti. Sottolinea inoltre la particolare delicatezza del tema con riguardo all´utilizzo di procedure automatiche, che non prevedono l´intervento dell´intelligenza umana.

 

 


Profilazione

 

Il Monitoring Group della Convenzione del Consiglio d´Europa Anti-Doping (T-Do) ha chiesto un parere al T-Pd sulla compatibilità del database ADAMS (sviluppato dal World Anti-doping Agency-WADA) con i princìpi di protezione dati contenuti nella Convenzione n. 108/1981. WADA è una fondazione di diritto privato situata in Svizzera, mentre la banca dati ADAMS è localizzata in Canada. Appare centrale il problema della base giuridica dell´inserimento dei dati nella banca dati centralizzata; secondo il gruppo né il Codice mondiale anti-doping, né il consenso degli atleti rappresentano una base giuridica adeguata. Il primo, infatti, non contiene disposizioni specifiche che tengano conto della normativa in materia di protezione dati, e in particolare dei princìpi contenuti negli artt. 5-8 della Convenzione n. 108/1981. Né, d´altra parte, può dirsi valido il consenso, posto che, dipendendo dal rifiuto conseguenze negative per gli atleti, esso non risulta libero, espresso e informato. È stato inoltre rilevato che nel database risultano presenti anche dati personali non relativi agli atleti (accompagnatori e medici sportivi), senza che venga fornita ai soggetti interessati alcuna informativa, benché si tratti di dati sensibili. Il parere si sofferma poi sulla necessità che l´informativa sia precisa e completa, soprattutto in merito alle finalità del trattamento, al titolare, alle categorie di dati trattati e la loro origine, al periodo di conservazione e le categorie di destinatari, ai diritti degli interessati e alle responsabilità dei differenti titolari e responsabili del trattamento, alle misure di sicurezza. Vengono infine espressi dubbi sia sull´opportunità di includere nei modelli di raccolta dei dati personali categorie aperte come "altre informazioni" o "commenti", di prevedere (come avviene attualmente) un periodo di conservazione di 8 anni, che non appare necessario per tutte le categorie di dati raccolti, sia sulla mancanza di meccanismi riparatori in caso di responsabilità per danni derivanti dal trattamento dei dati. Viene ancora sottolineata la necessità di prevedere garanzie appropriate, ad es., attraverso il ricorso alle clausole contrattuali, per i trasferimenti di dati verso Paesi che non assicurino un livello adeguato di protezione dati.

 

 


Agenzia
Mondiale
Anti-Doping
(ADAMS)

È inoltre proseguita la discussione sia sull´opportunità di elaborare un protocollo addizionale alla Cedu per inserire nel catalogo dei diritti fondamentali il diritto alla protezione dati, sui poteri delle autorità indipendenti e sul regolamento di procedura interna.

 

Il Working Party on Information Security and privacy (Wpisp) ha esaminato nel 2007 temi e documenti relativi alla Conferenza Ministeriale di Seul del giugno 2008, dedicata al tema "Il futuro di Internet". Obiettivo centrale della Conferenza è dimostrare che Internet è un´infrastruttura fondamentale per lo sviluppo economico (crescita, innovazione, produttività, lavoro) e sociale (istruzione, ambiente, salute). In particolare vengono affrontati tre temi: la promozione della creatività al fine di stimolare il ruolo della rete come fonte e strumento di innovazione e crescita; la necessità di far crescere la fiducia in Internet in quanto infrastruttura affidabile per sviluppare attività economiche e sociali; il tentativo di massimizzare i benefici della convergenza di piattaforme prima distinte (tv, telefonia, reti).

 

 


Ocse

La Conferenza stabilirà le linee di azione prioritaria dei gruppi di lavoro in seno all´Ocse, e potrebbe rappresentare il punto di partenza per un ripensamento delle linee-guida del 1980 in tema di privacy alla luce dell´utilizzo crescente delle nuove tecnologie; è prevista l´adozione di un documento (Seoul Ministerial Declaration), accompagnato da un Policy Framework che conterrà le raccomandazioni per i differenti settori.

È stata approvata definitivamente dal Consiglio dell´Ocse il 12 giugno 2007 la Raccomandazione sulla cooperazione transfrontaliera nell´applicazione delle legislazioni in materia di privacy, che pur essendo uno strumento di soft law, impegna gli Stati membri e può essere condivisa anche da Paesi non membri dell´Ocse. La Raccomandazione si propone di migliorare la cooperazione nell´attuazione delle normative, soprattutto con riferimento all´aumento dei flussi transfrontalieri di dati e dei rischi connessi in termini di garanzie, e di facilitarla, attraverso l´istituzione di una rete di contact point nazionali per gli scambi di informazioni fra i soggetti interessati, e di un modulo condiviso per fornire gli elementi chiave nelle richieste di informazioni e collaborazione.

Nella stessa data è stata adottata dal Consiglio la Raccomandazione sull´autenticazione elettronica, sul ruolo fondamentale dell´autenticazione elettronica per la crescita di fiducia nello svolgimento di attività on-line e per lo sviluppo dell´economia digitale, in particolare ai fini del commercio elettronico, dello sviluppo dell´amministrazione digitale e più in generale della protezione dei sistemi informativi.

Il Gruppo si è inoltre occupato del tema della Digital Identity, con particolare riguardo ai rapporti tra personalità e identità digitale nella società dell´informazione. Il concetto di identità digitale non può prescindere dai princìpi fondamentali in materia di protezione dati, soprattutto con riferimento al controllo delle informazioni sull´identità e, quindi, alla responsabilità nel porre in essere azioni ricollegabili all´individuazione di un soggetto preciso. Solo la possibilità di determinare con certezza l´identità consente di avere fiducia e di garantire un ordine sociale all´interno di una società democratica, mentre una minore protezione dati facilita la profilazione e quindi la perdita di rilevanza della personalità. Per tali ragioni il Wpisp ha deciso di continuare a riflettere sugli elementi costitutivi dell´identità digitale, sulla pluralità di approcci (user-centric vs. service provider centric vs. network-centric), e sul ruolo dei Governi; questi ultimi, infatti, possono essere allo stesso tempo "fornitori" di identità digitali, "utilizzatori" di identità digitali e giocare un ruolo importante come "protettori di un bene comune", garantendo diritti fondamentali come la privacy e definendo i requisiti minimi di sicurezza per garantirne l´affidabilità.

Un documento del Gruppo si propone inoltre di fornire una panoramica dettagliata sui rischi connessi all´impiego della tecnologia Rfid (che si prospetta crescente), aggravati nei casi di convergenza con altre tecnologie, come i sensori o Internet. Gli aspetti più problematici sono legati all´invisibilità della raccolta dei dati, al tracciamento inconsapevole e alla possibile sorveglianza nei casi di interconnessione attraverso Internet. Il report non dà indicazioni rispetto a best practice o politiche di attuazione: queste ultime sono state inserite in un altro documento, Draft Policy Principles on Rfid preparato in vista della Conferenza ministeriale.

Nel 2007 è stata presentata la proposta di creare uno spazio web comune dedicato alla privacy, alla tutela dei consumatori e allo spam. La proposta è nata dalla constatazione che i problemi che incontrano gli utenti on-line sono in crescita e spesso hanno ambiti di sovrapposizione: furti di identità, spyware, malware, spam, ecc. Una piattaforma web condivisa fra i diversi settori consentirebbe agli utilizzatori di comprendere più facilmente a quali strumenti di tutela ricorrere.

 

La visita di una delegazione dell´autorità macedone di protezione dati, svoltasi nel corso della prima settimana del mese di luglio 2007, ha offerto l´occasione per uno scambio di informazioni sul funzionamento e le competenze dell´autorità italiana e di quella macedone. È stato siglato un accordo di collaborazione che prevede la possibilità di contatti regolari fra le due autorità anche al fine di approfondire singoli aspetti normativi.

 

 


Cooperazione
bilaterale

 

Nell´ambito del Programma Taiex, finanziato dalla Commissione europea per i Paesi candidati all´ingresso nell´Unione europea, sono stati organizzati incontri con i rappresentanti dei ministeri e delle autorità competenti della Serbia per discutere del progetto di legge in materia di protezione dei dati, che intende recepire la direttiva 95/46/Ce nel quadro del progetto di riforma nazionale del sistema giudiziario. Il testo è apparso bisognoso di consistenti modifiche per allinearlo ai requisiti comunitari.

 

 


Taiex-Incontro
con le autorità serbe (Belgrado, 22 ottobre)