I - Il quadro normativo
I - Il quadro normativo
I - Il quadro normativo - Relazione 2003 - 28 aprile 2004
Normazione nazionale
1. Il Codice in materia di protezione dei dati personali
11. Il percorso per arrivare al Codice
Nel 2003 è stato completato l´iter normativo di integrazione e razionalizzazione della disciplina in materia di protezione dei dati personali: con il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), per la prima volta nel panorama internazionale, viene riunita in un unico corpo normativo una materia, quella della protezione dei dati, la cui disciplina si era formata nel tempo con vari interventi integrativi e modificativi della l. 31 dicembre 1996, n. 675, apportati in attuazione della delega originariamente contenuta nella legge n. 676/1996 e, successivamente, nella l. 24 marzo 2001, n. 127 (v. art. 1, comma 4).
Il delicato lavoro preparatorio di ricognizione e di studio delle norme da riunire nel testo unico, svolto da un´apposita commissione istituita presso il Dipartimento per la funzione pubblica della Presidenza del Consiglio dei ministri e presieduta dal prof. Cesare Massimo Bianca, si è concluso nei primi mesi del 2003 con una scelta orientata per l´adozione di un testo unico di rango legislativo, anziché misto, in linea con i nuovi orientamenti della legge di semplificazione per il 2001 (l. 29 luglio 2003, n. 229), all´epoca in fase di approvazione. Il doppio vaglio da parte del Consiglio dei ministri, i pareri delle competenti commissioni parlamentari e di questa stessa Autorità hanno evidenziato una positiva convergenza di intenti e un´obiettiva sinergia di apporti diretti a mantenere ed innalzare il livello di garanzia dei diritti delle persone (in alcuni casi anche sviluppato in nuovi settori di disciplina) ed al tempo stesso a semplificare adempimenti e modalità di esercizio dei diritti.
12. La sistematica del Codice
Il Codice, che ha anche recepito la direttiva n. 2002/58/CE in tema di tutela della vita privata nel settore delle comunicazioni, e del quale è possibile indicare in questa sede solo alcuni tratti essenziali, si compone di tre parti: la prima, recante le disposizioni generali applicabili a tutti i trattamenti ed alcune ulteriori regole specifiche per i trattamenti effettuati da soggetti pubblici o privati; la seconda, nella quale sono riunite disposizioni particolari esclusive per alcuni trattamenti, che integrano o in qualche caso derogano alle disposizioni generali della parte prima; la terza, concernente la tutela amministrativa e giurisdizionale dell´interessato, i controlli ed il sistema delle sanzioni.
13. I principi: il diritto alla protezione dei dati personali e il rafforzamento delle garanzie
Sul piano generale delle garanzie, il Codice reca il solenne riconoscimento, nel nostro ordinamento, dell´autonomo diritto alla protezione dei dati personali (art. 1, d.lg. n. 196/2003), in armonia con quanto già previsto nella Carta dei diritti fondamentali dell´Unione europea e nel progetto di Costituzione europea. Pur essendo informato ai canoni di semplificazione, armonizzazione ed efficacia, il Codice prescrive che il trattamento dei dati personali si svolga in un quadro di elevata tutela (art. 2, comma 2, d.lg. n. 196/2003) per i diritti delle persone e nel rispetto del "principio di necessità" nel trattamento stesso (art. 3, d.lg. n. 196/2003), principio esteso ai sistemi informativi ed ai software, anche per ciò che riguarda la loro configurazione, affinché i dati personali o identificativi siano utilizzati solo se indispensabili per raggiungere le finalità consentite nei singoli casi.
14. Le novità normative in tema di accesso ai dati
In materia di accesso ai dati personali, il Codice contiene alcune novità di rilievo sul piano pratico-applicativo.
In particolare, si conferma espressamente che la richiesta di accesso ai dati personali e l´esercizio degli altri diritti connessi possa riguardare anche i dati di tipo valutativo, salvo per quanto attiene alla loro rettifica o integrazione (art. 8, comma 5, d.lg. n. 196/2003). In relazione ai limiti all´esercizio dei diritti dell´interessato, resta poi significativa la qualificazione di quel pregiudizio per lo svolgimento di investigazioni difensive o per l´esercizio di un diritto, che legittima il "differimento" dell´accesso e, sotto altro profilo, rende possibile accedere ai dati relativi a chiamate telefoniche in entrata, altrimenti non accessibili, in termini di pregiudizio "effettivo e concreto". |
Accesso ai dati valutativi |
Altra novità importante in materia di accesso è contenuta nell´art. 7, comma 2, lett. e), del Codice, secondo cui l´interessato ha il diritto di ottenere dal titolare anche l´indicazione dei soggetti che, in qualità di responsabili o di incaricati, possono venire a conoscenza dei dati che lo riguardano.
Infine, sono previste particolari modalità di riscontro alla richiesta di accesso, allo scopo di facilitarne la comprensione sotto il profilo espositivo, come pure la possibilità, per l´interessato, di conoscere informazioni relative a terzi quando la scomposizione dei dati personali renderebbe incomprensibili i dati richiesti (art. 10, commi 4, 5 e 6, d.lg. n. 196/2003). |
Conoscibilità delle informazioni del riscontro |
15. Tutela dei diritti
In chiave di maggiore tutela per l´interessato, nonché di semplificazione anche per il titolare del trattamento, devono essere lette alcune disposizioni del Codice che snelliscono l´esercizio dei diritti e favoriscono la soluzione preventiva delle potenziali controversie direttamente fra l´interessato e il titolare o responsabile del trattamento. Viene perciò previsto un termine più ampio rispetto al passato per completare il riscontro all´esercizio dei diritti stessi (quindici giorni dal ricevimento della richiesta) e si pone a disposizione del titolare un possibile ampliamento di tale termine sino a trenta giorni quando le operazioni necessarie per un integrale riscontro sono di particolare complessità, ovvero ricorre altro giustificato motivo (art. 146 d.lg. n. 196/2003). |
Ampliamento dei termini del riscontro |
Per quanto riguarda poi la tutela in sede giudiziaria dei diritti, il Codice armonizza i vari riti innanzi al giudice ordinario, ora ricondotti opportunamente ad un´unica procedura intentata mediante ricorso al solo tribunale (art. 152 d.lg. n. 196/2003).
16. Semplificazioni: notificazione, informativa, consenso
Non mancano, nel Codice, altri interventi di snellimento delle modalità di esercizio dei diritti e degli adempimenti cui sono tenuti i titolari del trattamento, pubbliche amministrazioni e imprese. Nel solco del processo di semplificazione (senza intaccare le garanzie) già intrapreso con il d.lg. n. 467/2001, vengono individuati in modo espresso i casi, più ridotti rispetto al passato, in cui è previsto l´obbligo di notificazione del trattamento al Garante (che può ora essere effettuata solo in via telematica) in relazione ai soli trattamenti che possono presentare rischi per l´interessato (artt. 37 e 38 d.lg. n. 196/2003). Con le modifiche apportate, si è così individuato un insieme più circoscritto di trattamenti oggetto di notificazione, capovolgendo il precedente impianto della normativa nei limiti consentiti dalla specifica disciplina comunitaria. Ulteriori trattamenti possono peraltro essere sottratti all´obbligo di notificazione con provvedimento del Garante (come quello, di cui si dirà oltre, adottato il 31 marzo 2004), provvedimento che, del pari, può individuare eventuali altri trattamenti da notificare, benchè non inclusi nella lista normativa di cui all´art. 37 del Codice.
Semplificazioni sono state previste anche in materia di informativa all´interessato: si prevede, infatti, che il Garante possa individuare modalità semplificate per fornire l´informativa, in particolare in assenza di una relazione diretta con l´interessato (si pensi ad un call-center: art. 13, comma 3, d.lg. n. 196/2003). Il Codice, inoltre, introduce modalità semplificate per l´informativa e per la manifestazione del consenso dell´interessato in relazione al trattamento di dati in ambito sanitario.
Infine, notevole valenza semplificativa, sempre nel mantenimento di un elevato livello di tutela, ha l´estensione dei casi in cui il trattamento può essere effettuato da soggetti privati ed enti pubblici economici in assenza del consenso dell´interessato. Così è per il trattamento di dati "comuni" effettuato da organismi no-profit, a condizione che il trattamento riguardi dati degli associati e non preveda la comunicazione ad altri soggetti e la diffusione, analogamente a quanto disposto per i dati sensibili (art. 24, comma 1, lett. h), d.lg. n. 196/2003). La norma, tuttavia, a garanzia degli interessati, condiziona questo presupposto equipollente al consenso all´individuazione, da parte dei titolari del trattamento, delle specifiche modalità di utilizzo dei dati, da rendere note agli associati con l´informativa (analoga condizione è stata inserita per i trattamenti di dati sensibili nell´art. 26, comma 4, lett. a), del d.lg. n. 196/2003).
Dal consenso si può parimenti prescindere quando il trattamento di dati sensibili è necessario per adempiere a specifici obblighi previsti dalla normativa in materia di gestione del rapporto di lavoro, sempre che siano rispettati i limiti previsti dall´autorizzazione del Garante (art. 26, comma 4, lett. d), d.lg. n. 196/2003).
17. Diritto nazionale applicabile e flussi transfrontalieri
Con il Codice viene completato il recepimento del principio comunitario di "stabilimento" del titolare del trattamento (art. 4, direttiva n. 95/46/CE) quale criterio principale per individuare la disciplina nazionale applicabile. In linea con il principio di semplificazione nelle operazioni di esportazione dei dati, si esclude poi l´obbligo di notificare specificatamente al Garante il trasferimento dei dati personali verso Paesi non appartenenti all´Ue (con la conseguente soppressione dell´obbligo di attendere il decorso del termine previsto dall´art. 28, comma 2, della legge n. 675/1996 prima di poter procedere al trasferimento), consentendo di indicare tale operazione nell´unica notificazione cui eventualmente il titolare del trattamento sia tenuto (art. 37 d.lg. n. 196/2003). |
Principio di "stabilimento" |
18. Misure di sicurezza
In tema di misure di sicurezza il Codice conferma il "doppio binario" per gli obblighi cui sono tenuti i titolari già in base alla legge n. 675/1996, prevedendo, sul piano della liceità del trattamento e della stessa responsabilità civile, l´obbligo di adottare tutte le misure "idonee" a ridurre al minimo i rischi di danni per l´interessato (artt. 15 e 31 d.lg. n. 196/2003), e, per quanto concerne quella penale, l´obbligo di adottare quanto meno quelle cd. "misure minime" (artt. 33-36 e 169 d.lg. n. 196/2003). |
Misure idoneee minime |
Le "misure minime" di sicurezza, già contenute nel d.P.R. 28 luglio 1999, n. 318, sono state peraltro aggiornate anche sulla base del progresso tecnologico degli ultimi anni e sono indicate in un apposito disciplinare tecnico allegato al Codice (all. B), modificabile con decreto ministeriale onde consentirne agevolmente il costante adeguamento. |
Disciplinare tecnico |
19. I trattamenti in ambito pubblico
L´impianto della parte generale di disciplina relativa ai trattamenti effettuati da soggetti pubblici non ha subito rilevanti mutamenti, salvo alcuni interventi comunque significativi, anche di chiarimento, riguardanti in specie le comunicazioni al Garante ed il trattamento di dati sensibili.
I soggetti pubblici possono continuare a trattare dati sensibili solo se la legge o, in via transitoria il Garante, abbiano previamente individuato le rilevanti finalità di interesse pubblico perseguite con un determinato trattamento, e i soggetti pubblici stessi abbiano, parimenti, individuato e previamente reso conoscibili i tipi di dati e di operazioni eseguibili (art. 20 d.lg. n. 196/2003, già art. 22, comma 3-bis, legge n. 675/1996).
Ora, il Codice consente alle pubbliche amministrazioni, che non abbiano ancora provveduto in proposito, di adempiere al più tardi entro il 30 settembre 2004 (art. 81, comma 1, lett. a), d.lg. n. 196/2003). In ragione della natura sensibile dei dati trattati, che richiede in ogni caso elevate garanzie, l´atto con il quale i soggetti individuano i tipi di dati e di operazioni eseguibili deve avere natura regolamentare, in linea con quanto ritenuto dal Garante già sotto la previgente normativa; al fine di assicurarne la più ampia omogeneità si prevede, inoltre, che i regolamenti possano essere redatti anche sulla base di schemi-tipo (art. 20, comma 2, d.lg. n. 196/2003).
110. I codici di deontologia e di buona condotta
Al fine di rendere il dato normativo sempre più aderente alla realtà, con il d.lg. n. 196/2003 si è rafforzata l´importanza dei codici di deontologia e di buona condotta in materia di protezione dei dati personali, prevedendone la sottoscrizione in molteplici e significativi settori: si pensi ai trattamenti di dati effettuati tramite Internet, ovvero per la gestione del rapporto di lavoro, per fini di direct marketing come pure da parte delle "centrali rischi" private o, ancora, con riguardo alla videosorveglianza. A tutti i codici deontologici viene ora esteso il principio secondo cui il rispetto delle norme in essi contenute è condizione essenziale per la liceità dei trattamenti (previsione originariamente riferita solo ai codici indicati nell´art. 20 del d.lg. n. 467/2001, nonché a quelli in materia di ricerca statistica e storica).
Per taluni di essi, in particolare quelli riferiti ai trattamenti effettuati nell´ambito di sistemi informativi gestiti da "centrali rischi" private, come pure per quelli concernenti l´attività di investigazione privata o relativi agli scopi statistici e di ricerca scientifica perseguiti in ambito privato, i lavori sono sostanzialmente terminati o in fase di avanzata elaborazione. |
Codici di deontologia di imminente sottoscrizione |
111. La conservazione dei dati di traffico
Nonostante la sua recente approvazione, il Codice ha subito un intervento modificativo in un settore di rilievo, quello dei trattamenti effettuati per ragioni di giustizia. Con il d.l. 24 dicembre 2003, n. 354, convertito, con modificazioni, dalla l. 26 febbraio 2004, n. 45, è stata, tra l´altro, introdotta una modificazione all´art. 132 del Codice, che disciplina la conservazione dei dati di traffico per finalità di accertamento e repressione di reati. |
D.l.24 dicembre 2003, n. 354 |
Nella sua formulazione originaria, l´art. 132 del Codice prevedeva che i fornitori di servizi di comunicazione elettronica dovessero conservare i "dati relativi al traffico telefonico" per trenta mesi, per finalità di accertamento e repressione di reati.
Sulla base di alcuni successi investigativi in delicate inchieste riguardanti atti di terrorismo, si è avviato uno specifico dialogo tra il Garante e alcuni uffici giudiziari, in particolare la Direzione nazionale antimafia, che ha portato ad approfondire alcune possibili nuove soluzioni di disciplina, le quali sono state doverosamente segnalate alle autorità di governo.
Intendendo garantire l´efficacia di tali investigazioni su delitti di particolare gravità che possono richiedere indagini lunghe ed articolate, il decreto legge in esame aveva però drasticamente soppresso il riferimento al traffico telefonico (riferendosi in modo più ampio ai "dati di traffico"), introducendo anche un´ulteriore fase di conservazione dei dati per altri trenta mesi per il perseguimento dei delitti di cui all´art. 407, comma 2, lett. a), c.p.p., nonché di quelli in danno di sistemi informatici o telematici. Inoltre, modificando l´originaria versione dell´art. 132, il decreto legge aveva previsto una disciplina più dettagliata delle modalità di acquisizione dei dati da parte dell´autorità giudiziaria; si era altresì demandata ad un successivo decreto interministeriale, da adottarsi su conforme parere del Garante, l´individuazione delle modalità di conservazione e di trattamento dei dati, in base a taluni criteri-guida normativamente prefissati (individuazione di talune misure di sicurezza; conservazione separata dei dati per i successivi trenta mesi; garanzia del diritto di accesso e degli altri diritti previsti dall´articolo 7 del d.lg. n. 196/2003; distruzione periodica dei dati decorsi i periodi di conservazione). |
Modifiche all´art. 132 del Codice |
Le soluzioni prefigurate dal decreto legge hanno suscitato un ampio dibattito.
Al fine di assicurare il pieno rispetto dei diritti fondamentali della persona, subito dopo l´emanazione del decreto legge e durante i lavori per la sua conversione (AC 4594), anche nel corso dell´audizione del presidente dell´Autorità innanzi alla Commissione giustizia della Camera (tenutasi il 20 gennaio scorso), il Garante ha segnalato al Parlamento che le formule ipotizzate per prolungare i tempi di conservazione dei dati (tornati, dagli originari trenta mesi del Codice, ad un periodo massimo di cinque anni) e, soprattutto, l´estensione delle nuove regole al traffico su Internet, avrebbero determinato una forte compressione delle garanzie della persona, anche in relazione ai principi costituzionali in materia di libertà delle comunicazioni e segretezza della corrispondenza. |
Rischi segnalati dal Garante |
Anche alla luce del dibattito svoltosi il 14 gennaio 2004 nell´aula della Camera, dove, con orientamenti unanimi, sono state approvate due convergenti mozioni della maggioranza e dell´opposizione (le quali hanno impegnato il Governo a "rimuovere tutte le norme potenzialmente lesive dei diritti di riservatezza" previsti, fra l´altro, "dall´articolo 15 della Costituzione" e a "regolamentare in modo più efficace il trattamento dei dati di traffico della telefonia mobile, al fine di tutelare il diritto degli individui"), la Commissione ha approvato alcune prime modifiche al decreto legge fra le quali, in particolare: |
L´approvazione delle mozioni |
|
Modifiche al decreto legge: in commissione |
Nel corso della discussione in Assemblea è poi emersa la più ampia scelta di sopprimere ogni riferimento ai dati di traffico diversi da quello telefonico, stante la particolare delicatezza di una data retention sistematica dei dati di traffico in Internet. Si è ritenuto infatti necessario procedere ad una valutazione più approfondita, e sulla base di un dibattito pubblico, delle implicazioni che ciò avrebbe sullo sviluppo delle reti. Si sono altresì considerate le importanti implicazioni che il trattamento di quei dati può avere sulla riservatezza e sugli altri diritti e libertà fondamentali degli interessati, come pure l´oggettiva complessità e difficoltà della loro conservazione e gestione. |
in assemblea |
L´Assemblea ha, invece, confermato la scelta della Commissione circa la riduzione dei tempi di conservazione a quattro anni complessivi ed ha eliminato il rinvio ad un apposito decreto interministeriale per la determinazione delle modalità di trattamento e di conservazione dei dati.
Il Senato ha, infine, approvato definitivamente il testo licenziato dalla Camera.
2. Altre attività normative
Nel corso dell´anno sono stati approvati numerosi altri provvedimenti riguardanti aspetti d´interesse per la materia del trattamento dei dati personali rispetto ai quali, schematicamente, si segnalano i profili più rilevanti:
|
|
L´art. 50 del d.l. n. 269/2003 Le preoccupazioni manifestate dal Garante
L´ordine del giorno della Camera
Le nuove norme in materia di occupazione La legge di semplificazione per il 2001 e le norme del Codice sulla diffusione on line delle sentenze (artt. 51 e 52)
|
Oltre ai provvedimenti normativi sin qui descritti, vanno segnalati i lavori parlamentari relativi ad altre iniziative legislative ugualmente d´interesse per la tematica della protezione dei dati personali. In proposito si ricordano:
|
|
Protesti bancari
Il progetto sull´accesso della polizia ai dati detenuti dai vettori |
Il reperimento delle direttive comunitarie
4. Stato di recepimento delle direttive comunitarie negli Stati membri
41. Il recepimento della direttiva n. 95/46/CE
Gli attuali quindici Paesi dell´Ue hanno provveduto in tutto o in parte all´attuazione della direttiva n. 95/46/CE. La Francia, pur non avendo ancora completato l´iter parlamentare per l´adozione della legge nazionale di recepimento, ha comunicato alla Commissione europea l´approvazione della legge "Informatica e libertà", la quale, nonostante risalga al gennaio del 1978, contiene principi analoghi a quelli introdotti dalla direttiva.
Presentiamo di seguito la tabella riassuntiva delle normative nazionali adottate dai Paesi dell´Unione.
Tabella di recepimento della direttiva 95/46/CE - aprile 2004
Stato |
Normativa nazionale di recepimento | Entrata in vigore |
AUSTRIA | Datenschutzgesetz 2000 (legge sulla tutela dei dati 2000) del 17 agosto 1999 | 1° gennaio 2000 |
BELGIO | Legge dell´8 dicembre 1992 sulla tutela della privacy nel trattamento di dati personali, come modificata dalla legge 11 dicembre 1998 di trasposizione della direttiva n. 95/46/CE | 1° settembre 2001 |
DANIMARCA |
Legge n. 429 del 31 maggio 2000 |
1° luglio 2000 |
FINLANDIA |
Legge n. 523/99 |
1° giugno 1999 |
GERMANIA |
Bundesdatenschutzgesetz (legge federale sulla protezione dei dati) del 23 maggio 2001 e successive modificazioni |
23 maggio 2001 |
FRANCIA |
Legge su informatica e libertà del 6 gennaio 1978 e successive modificazioni (sono previsti emendamenti per recepire integralmente la direttiva) |
Progetto di legge (Petite Loi) di recepimento approvato dalla |
GRECIA |
Legge n. 2472 del 10 aprile 1997 (Protezione delle persone rispetto al trattamento di dati personali) |
10 novembre 1997 |
IRLANDA |
Data Protection (Amendment) Act 2003 del 10 aprile 2003, che modifica il Data Protection Act (legge sulla protezione dei dati) del 13 luglio 1988. (Gli artt. 4, 17, 25 e 26 della direttiva erano stati attuati con regolamento approvato il 19 dicembre 001) |
1° luglio 2003 (alcune norme sono entrate in vigore successivamente) 1° aprile 2002 |
ITALIA | Legge 31 dicembre 1996, n. 675, e successive modificazioni (abrogata dal 1° gennaio 2004);
decreto legislativo 30 giugno 2003, n. 196 ("Codice in materia di protezione dei dati personali") |
8 maggio 1997 1° gennaio 2004 |
LUSSEMBURGO |
Loi du 2 août 2002 relative à la protection des personnes à l´égard du traitement des données à caractère personnel |
1° dicembre 2002 |
PAESI BASSI | Wet bescherming persoonsgegevens (legge per la tutela dei dati personali) del 6 luglio 2000 | 1° marzo 2001 |
PORTOGALLO |
Legge sulla protezione dei dati n. 67/98, del 26 ottobre 1998 |
27 ottobre 1998 |
REGNO UNITO |
Data Protection Act 1998 (legge sulla protezione dei dati 1998) e legislazione secondaria (regolamenti di attuazione) |
1° marzo 2000 |
SPAGNA |
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (legge organica 15/1999, del 13 dicembre, sulla protezione dei dati personali) |
14 gennaio 2000 |
SVEZIA |
Personuppgiftslagen (1998:204) (legge sui dati personali del 29 aprile 1998) integrata dall´ordinanza sui dati personali 1998:1191) del 3 settembre 1998 |
24 ottobre 1998 |
42. Il recepimento delle direttive n. 97/66/CE e n. 2002/58/CE
La direttiva n. 2002/58/CE relativa alla vita privata ed alle comunicazioni elettroniche (i cui tratti salienti sono già stati rappresentati nella Relazione per il 2002, p. 106 s.), con la quale si è sostituita la direttiva n. 97/66/CE sulla protezione dei dati nel settore delle telecomunicazioni, è stata tempestivamente recepita con il d.lg. n. 196/2003 (Titolo X, artt. 121-132. Delle modifiche all´art. 132 apportate con il d.l. n. 354 del 24 dicembre 2003, convertito in l. 26 febbraio 2004, n. 45, si è già ampiamente fatto cenno supra, a parag. 111.).
Altri cinque Paesi dell´Ue hanno emanato norme nazionali di recepimento entro il termine del 31 ottobre 2003 (Austria, Danimarca, Irlanda, Regno Unito e Spagna).
Il 5 dicembre 2003 la Commissione europea ha attivato le iniziative preliminari all´avvio della procedura di infrazione nei confronti di alcuni Stati (Belgio, Finlandia, Francia, Germania, Grecia, Lussemburgo, Paesi Bassi, Portogallo, Svezia), per la mancata comunicazione delle norme nazionali adottate nel settore delle comunicazioni elettroniche. Il Portogallo ha successivamente emanato un decreto legge (n. 7/2004 del 7 gennaio 2004) con cui ha recepito la disposizione (art. 13) della predetta direttiva che fissa il principio del consenso preventivo per le comunicazioni indesiderate; inoltre, l´iniziativa avviata nei confronti della Svezia si riferisce esclusivamente al mancato recepimento del medesimo art. 13, dal momento che le altre disposizioni erano già state attuate nell´ordinamento interno e la relativa comunicazione era pervenuta alla Commissione nei termini stabiliti. |
L´art. 13della direttiva n. 2002/58/CE |
Il 1° aprile 2004 la Commissione ha emesso un parere motivato (seconda fase del procedimento di infrazione) nei confronti dei suddetti Paesi, ad eccezione della Svezia, che ha nel frattempo provveduto a recepire l´art. 13. Il parere prevede un termine di due mesi per l´adeguamento, scaduto il quale la Commissione procede alla presentazione del ricorso alla Corte di giustizia.
Tabella di recepimento della direttiva n. 2002/58/CE - aprile 2004
Stato |
Normativa nazionale di reperimento |
AUSTRIA |
Art. 107 Telekommunikationsgesetz 2003 (legge sulle telecomunicazioni: introduce, in particolare, l´obbligo del consenso preventivo) |
DANIMARCA |
Marketing Practices Act (n. 699 del 17 luglio 2000, modificato dalla legge 428 del 6 giugno 2002 e, per quanto riguarda parte della direttiva n. 2002/58/CE, dalla legge 450 del 10 giugno 2003) |
IRLANDA | European Communities (Electronic Communications Networks and Services) (Data Protection and Privacy) Regulations 2003 (entrato in vigore il 6 novembre 2003) |
ITALIA | Decreto legislativo n. 196 del 30 giugno 2003 ("Codice in materia di protezione dei dati personali") |
REGNO UNITO |
Privacy and Electronic Communications (EC Directive) Regulations 2003 (entrato in vigore l´11 dicembre 2003) |
SPAGNA |
Ley 32/2003 del 3 novembre 2003 (Legge generale sulle telecomunicazioni) |
5. Il primo rapporto sull´attuazione della direttiva europea in materia di protezione dei dati
Il 15 maggio 2003 la Commissione europea ha pubblicato il primo rapporto sullo stato di attuazione della direttiva n. 95/46/CE. Il documento, sulla base della consultazione pubblica tenutasi nel 2002 (nella quale oltre diecimila soggetti hanno fatto pervenire le proprie osservazioni), nonché delle osservazioni giunte dagli Stati membri e dalle autorità nazionali di controllo, traccia un bilancio positivo dell´applicazione della direttiva escludendo, allo stato attuale, l´opportunità di una sua revisione; posizione, questa, che la Commissione sottolinea essere condivisa dalla maggioranza degli Stati e delle predette autorità.
Nel rapporto sono anche evidenziate alcune difficoltà di applicazione omogenea dei principi della direttiva che sarebbero riconducibili a talune divergenze nelle legislazioni di recepimento, ad una ridotta sensibilizzazione dell´opinione pubblica (come risulta da una recente indagine condotta da Eurobarometro), ad un´imperfetta osservanza delle disposizioni nazionali da parte dei titolari del trattamento e all´asserita onerosità di talune disposizioni nazionali sulla notificazione e sul trasferimento dei dati verso Paesi terzi. |
Difficoltà segnalate |
Infine, si mettono in luce alcuni profili problematici rispetto al trattamento dei dati in forma di suoni ed immagini. Per ciascun aspetto, il rapporto propone alcune strategie di intervento nell´ambito di un vero e proprio "Piano di lavoro" la cui attuazione è prevista per la fine del 2004. Nel 2005 la Commissione intende esaminare nuovamente lo stato di applicazione della direttiva valutando anche, alla luce della maggiore esperienza acquisita, l´eventuale necessità di introdurre misure ulteriori. |
Trattamento dei dati in forma di immgini e suoni |
6. La protezione dei dati nell´Ue secondo l´Eurobarometro
Come appena accennato, nel febbraio del 2004 sono stati resi noti i risultati dell´indagine condotta da Eurobarometro per conto della Commissione, riguardante l´applicazione delle norme sulla privacy previste dalla direttiva n. 95/46/CE.
Il documento comprende due sezioni dedicate l´una ad aziende e imprese quali titolari di trattamento e, l´altra, ai cittadini interessati dal trattamento di dati personali.
I risultati dell´indagine (tra i quali si evidenzia la posizione positiva dell´Italia) offrono un panorama vario della protezione dei dati personali in Europa. Oltre il 60% dei cittadini dell´Ue afferma di nutrire preoccupazioni forti o molto forti sulla tutela della privacy. Tutte le imprese che raccolgono, utilizzano e conservano dati personali giudicano positivamente l´esistenza di norme comunitarie e nazionali in materia, ma quasi la metà ritiene insufficiente l´armonizzazione a livello comunitario. Diversa è anche la valutazione riferita al livello di tutela offerto dalla rispettiva legge nazionale ed agli obblighi che quest´ultima impone. Dal lato degli utenti, invece, si lamenta un rispetto insufficiente delle disposizioni sull´informativa da parte delle imprese e la scarsa conoscenza delle norme fra piccole imprese. |
Aziende e imprese |
Per quanto riguarda i cittadini interpellati, un terzo degli intervistati è a conoscenza dei diritti loro riconosciuti dalle discipline di protezione dei dati e degli obblighi di trasparenza in capo ai titolari del trattamento. Nonostante ciò, la stragrande maggioranza degli interpellati ritiene che sia giusto ottenere queste informazioni e, soprattutto, conoscere se i dati che li riguardano siano diffusi o comunicati a terzi e per quali finalità. |
Cittadini |
In relazione al livello di conoscenza e di applicazione delle norme sulla protezione dei dati, i cittadini italiani risultano essere i più informati sui propri diritti e sull´esistenza di un´autorità indipendente; le imprese italiane ritengono più delle altre (61%) che sia stata raggiunta un´effettiva armonizzazione a livello comunitario e risultano più rispettose delle prescrizioni legate al dovere di informativa degli interessati. Ancorché oltre il 75% di esse si identifichi chiaramente come titolare del trattamento e rappresenti agli interessati le finalità del trattamento posto in essere, molte imprese manifestano ancora la necessità di maggiori chiarimenti sull´applicazione delle norme. Altro elemento importante è che la percentuale dei cittadini particolarmente preoccupati per la propria privacy è scesa in Italia dal 47% del 1991, quando mancava una legislazione specifica nazionale, al 14% del 2003. |
La situazione italiana |