III - Attività comunitarie e internazionali - Relazione 2002

Il recepimento delle direttive comunitarie

77. Le direttive sulla protezioni dei dati
La direttiva generale in materia di protezione dei dati personali è stata recepita con la legge n. 675/1996. Successivi, ulteriori interventi legislativi hanno apportato modificazioni ed integrazioni alla citata legge anche per renderla più aderente al testo della direttiva.

Come già riferito nella  precedente Relazione annuale, il più recente di tali interventi si è avuto con il d.lg. 28 dicembre 2001, n. 467 che ha introdotto il principio del bilanciamento degli interessi in attuazione di quanto previsto dalla direttiva all´art. 7, lett. f, ed ha attribuito al Garante il compito di individuare gli ulteriori casi in cui il titolare può effettuare il trattamento dei dati personali in mancanza del consenso dell´interessato. Il decreto ha inoltre introdotto nell´ordinamento italiano, attribuendo al Garante la necessaria competenza, l´istituto del controllo preliminare (prior checking) sui trattamenti che potenzialmente presentano rischi specifici per i diritti e le libertà delle persone. Le verifiche sono svolte dall´Autorità di controllo prima dell´inizio del trattamento dei dati "sulla base di un eventuale interpello del titolare". Altre disposizioni del decreto hanno precisato il campo di applicazione della normativa ed il diritto applicabile, richiedendo, in presenza di una stabile organizzazione, l´indicazione del rappresentante in Italia del titolare del trattamento stabilito al di fuori dei Paesi dell´UE.

La direttiva sulla protezione dei dati nelle telecomunicazioni (97/66/CE) è stata sostanzialmente trasposta con il d.lg. n. 171/1998, recante "Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni".

Con il citato d.lg. n. 467/2001 sono state apportate al decreto alcune modifiche per consentire, in linea con quanto previsto dalla direttiva, il pieno utilizzo di modalità di pagamento alternative alla fatturazione e l´informazione al pubblico sull´identificazione della linea chiamante e collegata, nonché per garantire, nel caso in cui l´abbonato si sia avvalso del diritto di eliminare l´identificazione della linea chiamante, l´annullamento di tale soppressione da parte dei servizi abilitati a ricevere chiamate di emergenza.

78. Stato di recepimento delle direttive 95/46/CE e 97/66/CE negli Stati membri

Direttiva 95/46/CE

Nel 2002, il Lussemburgo ha provveduto a promulgare la legge di recepimento della direttiva 95/46 (Loi du 2 août 2002 – Protection des personnes à l´égard du traitement des données à caractère personnel). La legge, entrata in vigore definitivamente il 1 dicembre 2002, ha abrogato la precedente normativa in materia di "protezione dei dati personali nei trattamenti informatizzati" del 31 marzo 1979.

Fra le caratteristiche salienti della legge lussemburghese, che è modellata da vicino sul testo della direttiva comunitaria, oltre l´ampliamento del campo di applicazione ai trattamenti automatizzati ed alle persone giuridiche, si segnala l´espressa inclusione dei trattamenti effettuati per scopi di sorveglianza: tali trattamenti, soggetti all´applicazione della legge "qualora consentano di identificare una persona fisica o una persona giuridica", sono ammessi soltanto sulla base del consenso dell´interessato, ovvero qualora concernano luoghi pubblici o accessibili al pubblico purché tali luoghi "presentino un rischio che renda necessario il trattamento per garantire la sicurezza degli utenti e prevenire possibili incidenti".

In particolare, per i trattamenti per scopi di sorveglianza sul luogo di lavoro, è previsto che il consenso dell´interessato non sia elemento sufficiente per legittimare il trattamento da parte del datore di lavoro.

Si segnala, inoltre, l´inclusione espressa dei dati genetici fra le categorie di dati "particolari" (dati sensibili) e l´ammissibilità del loro trattamento per fini giudiziari o di indagine penale soltanto al fine di accertare l´esistenza di "un legame genetico" nell´ambito del regime probatorio o per identificare una persona, oppure per la prevenzione o la repressione di specifici illeciti penali; l´obbligo del "prior checking" (controllo preliminare) da parte dell´autorità di controllo (particolarmente rispetto ai trattamenti sopra indicati).

La legge, introduce la previsione dell´esistenza di un "incaricato per la protezione dei dati", ai sensi dell´art. 18 della direttiva, con la conseguente esenzione dall´obbligo di notifica dei trattamenti; consente, inoltre, di presentare una notificazione semplificata secondo i modelli che saranno predisposti dall´autorità di controllo.

All´autorità di controllo prevista dalla legge (Commissione nazionale per la protezione dei dati) sono attribuiti i poteri di applicare sanzioni amministrative e di svolgere attività investigativa ai fini dell´accertamento di eventuali infrazioni, attività quest´ultima esercitabile previa richiesta anzichè d´ufficio.

Il 10 aprile 2003 è stato approvato in Irlanda il testo della legge che modifica il Data Protection Act del 1988, recependo la direttiva 95/46/CE. Le modifiche entreranno in vigore (tranne quelle concernenti il sistema di notificazione ed i poteri ispettivi dell´autorità di protezione dati) dopo il 1 luglio 2003, sulla base del regolamento di attuazione che il Governo è incaricato di emanare.

Tra le innovazioni più importanti della legge irlandese si segnalano:

• l´estensione dell´ambito di applicazione ai dati sottoposti a trattamento non automatizzato ed il conseguente riconoscimento del diritto di accesso degli interessati, che è esercitabile anche rispetto a "pareri" o "opinioni" relativi all´interessato e che possono essere comunicati senza necessità di chiedere autorizzazione al soggetto che ha predisposto il parere o l´opinione;
• l´introduzione di una definizione specifica di "dati sensibili", attraverso un elenco modellato su quello della direttiva, che include anche i dati "relativi alla commissione o presunta commissione di reati da parte dell´interessato";
• la definizione dei requisiti di legittimità del trattamento in modo da meglio corrispondere alle disposizioni della direttiva (consenso dell´interessato, oppure necessità del trattamento per obblighi di legge, ecc.). Le nuove norme prevedono che, qualora dati personali siano accessibili a chiunque sulla base di disposizioni di legge (è il caso, ad esempio, dei registri elettorali), sia necessario comunque chiedere il consenso dell´interessato prima di fornirli a terzi per scopi di marketing diretto;
• l´introduzione dell´obbligo generale di notificazione dei trattamenti e la previsione delle esenzioni, che saranno specificate in un successivo regolamento. Attualmente in Irlanda vige il principio opposto: la notificazione non deve essere presentata, a meno che il titolare non appartenga alle categorie citate nell´art. 16 della legge del 1988: soggetti pubblici, società e imprese nel settore finanziario o del marketing diretto, soggetti che trattano dati "sensibili";
• l´ampliamento dei poteri del Data Protection Commissioner, soprattutto per quanto riguarda la possibilità di condurre ispezioni d´ufficio ed emanare codici deontologici validi come linee-guida per l´applicazione della normativa in materia di protezione dati rispetto a singoli settori.

Direttiva 97/66/CE

Per quanto concerne il recepimento della direttiva 97/66/CE, ed in attesa delle misure legislative che gli Stati dovranno adottare in linea con la nuova direttiva 2002/58, occorre segnalare che l´Irlanda ha provveduto ad emanare il regolamento in materia di protezione dati e privacy nel settore delle telecomunicazioni, entrato in vigore l´8 maggio 2002. Il Regolamento prevede, in particolare, la conservazione dei dati di traffico telefonico per scopi di fatturazione fino ad un massimo di sei mesi; le norme relative all´identificazione della linea chiamante; la possibilità per l´utente di non essere inserito in elenchi telefonici pubblici, su richiesta, e di limitare i dati riportati a quanto necessario per l´identificazione; l´istituzione di un registro nazionale di "opt-out" nel quale potranno farsi inserire tutti gli utenti (anche persone giuridiche) che non desiderino ricevere chiamate telefoniche indesiderate (per scopi di marketing diretto); la cooperazione fra autorità per la protezione dei dati e l´Ufficio del Director of Telecommunications Regulations ai fini dell´attuazione del regolamento – in particolare, il Data Protection Commissioner sarà responsabile degli aspetti di protezione dati e potrà intervenire d´ufficio per garantire l´osservanza del regolamento da parte delle società di telecomunicazione.

TABELLA DI RECEPIMENTO DELLA DIRETTIVA 95/46/CE – aprile 2003

La non completa trasposizione della direttiva 95/46/CE in tutti i Paesi dell´Unione e la recente entrata in vigore di diverse normative nazionali di attuazione dei principi della stessa, da cui scaturisce necessariamente la consapevolezza di una conseguente ancora scarsa esperienza applicativa, ha consigliato alla Commissione di non farsi promotrice al momento di alcuna iniziativa tendente ad una revisione del testo della direttiva.

La Commissione ha infatti intrapreso, prima con una consultazione pubblica, poi con la sottoposizione di questionari rivolti ai governi degli Stati membri ed alle autorità di protezione dei dati, culminate con una conferenza svoltasi a Bruxelles il 30 settembre - 1 ottobre 2002, una attività tendente a valutare -secondo quanto richiestole dall´articolo 33 della direttiva- lo stato di applicazione di questa.

Secondo quanto affermato dal Commissario F. Bolkestein, in esito ai lavori della Conferenza, sembra prematuro che un primo rapporto sull´applicazione di una direttiva che ha richiesto cinque anni di negoziati contenga radicali proposte di modifiche sulla base di una così scarsa esperienza applicativa. Ciò in quanto andava infatti considerato che molti Paesi hanno trasposto in ritardo la direttiva e gran parte delle disposizioni nazionali adottate sono entrate in vigore solo nel 2000 e 2001, che la nuova legge del Lussemburgo entra in vigore nel 2003 e che due Paesi a far tempo alla data della Conferenza non avevano ancora completato le necessarie procedure legislative. La Commissione, in base alle dichiarazioni del Commissario, avrebbe pertanto deciso di concentrare la sua azione sulla ricerca di soluzioni pragmatiche, tendenti ad assicurare una uniforme e piena applicazione ed interpretazione della direttiva tra i quindici Paesi dell´Unione. Da un lato un´attività del genere potrebbe dover comportare cambiamenti in alcune legislazioni nazionali; dall´altro potrebbero essere individuati alcuni aspetti della direttiva che richiedono ulteriori azioni a livello comunitario, vuoi a fini di semplificazione dell´applicazione, vuoi a fini di ulteriore, puntuale armonizzazione. In questi casi un ruolo fortemente innovativo dovrebbe essere assegnato al Gruppo dei garanti europei.

Alcuni aspetti da approfondire a livello comunitario sono già stati individuati. Si tratta, in particolare:

• della semplificazione degli obblighi di notificazione dei trattamenti;
• della riduzione delle divergenze applicative che si registrano tra gli Stati membri,
• di uno sforzo maggiore per promuovere l´uso delle tecnologie di protezione della privacy;
• di una più chiara ed uniforme interpretazione delle norme della direttiva e di accordi per rendere più agile il trasferimento
• della promozione di codici di autoregolamentazione ed in particolare di codici di condotta, anche attraverso una maggiore cooperazione tra le autorità di protezione dei dati.

79. Privacy nelle telecomunicazioni
Come già riferito nella precedente Relazione, fin dalla metà del 2000 la Commissione aveva presentato diverse proposte di direttive tendenti a modificare quelle esistenti in materia di telecomunicazioni.

Uno dei principi informatori dell´intervento della Commissione consisteva nella necessità di tener conto del rapido sviluppo tecnologico e, pertanto, del mutato quadro dei servizi di comunicazione elettronica.

Anche la direttiva 97/66/CE doveva essere adeguata agli sviluppi verificatisi nei mercati e nelle tecnologie dei servizi di comunicazione elettronica, per fornire un pari livello di tutela dei dati personali e della vita privata agli utenti dei servizi di comunicazione elettronica accessibili al pubblico, indipendentemente dalle tecnologie utilizzate.

Con la nuova proposta di direttiva la Commissione ha inteso promuovere regole neutrali rispetto alla tecnologia, che non impongano, né discriminino il ricorso ad un particolare tipo di tecnologia (da qui anche il mutamento della terminologia da "telecomunicazioni" a "comunicazioni elettroniche"). L´obiettivo ricercato era di garantire a consumatori e utenti lo stesso elevato livello di tutela indipendentemente dalla tecnologia con la quale viene fornito un determinato servizio.

La proposta di direttiva è stata discussa nel gruppo "Telecomunicazioni" del Consiglio, anche con la partecipazione attiva di rappresentanti del Garante.

Dopo l´adozione della posizione comune raggiunta dal Consiglio affari generali dell´UE il 28 gennaio 2002 ed il dialogo apertosi con il Parlamento europeo, quest´ultimo, nella sessione plenaria del 29-30 maggio, ha adottato una serie di emendamenti che riflettevano largamente una proposta di compromesso formulata dalla presidenza spagnola, in particolare in relazione all´invio di comunicazioni elettroniche non sollecitate.

Il testo è stato successivamente approvato senza discussione dal Consiglio il 25 giugno e dopo le verifiche di ordine linguistico è stato pubblicato sulla G.U.C.E. come direttiva 12 luglio 2002, n. 58 (2002/58/CE). Gli Stati membri dovranno trasporla entro il 31 ottobre 2003.

Tra i contenuti più importanti della direttiva, che si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica su reti pubbliche di comunicazione nella Comunità, si segnalano:

• le definizioni dei termini chiamata, comunicazione, dati relativi al traffico, dati relativi all´ubicazione (localizzazione), servizio a valore aggiunto, posta elettronica;
• l´introduzione delle definizioni e delle regole da rispettare in relazione all´utilizzo di cookies ed altri dispositivi simili;
• la riaffermazione dell´obbligo di cancellare o rendere anonimi i dati relativi al traffico non più necessari ai fini della trasmissione di una comunicazione e l´autorizzazione della loro memorizzazione solo nella misura necessaria per la fornitura del servizio ai fini della fatturazione e del pagamento per l´interconnessione.
• l´introduzione della nozione di dati relativi all´ubicazione diversi dai dati relativi al traffico e la definizione delle condizioni che ne possono legittimare il trattamento. Si tratta di dati che le reti mobili digitali possono avere la capacità di trattare e che possiedono un grado di precisione molto maggiore di quello necessario per la trasmissione delle comunicazioni. Questi dati vengono utilizzati per fornire servizi a valore aggiunto, come ad esempio i servizi di informazioni individuali sul traffico e di radioguida.

In particolare, due scelte contenute originariamente nella proposta della Commissione sono state confermate dal Consiglio: si tratta della scelta del consenso preliminare ai fini dell´inserimento dei dati personali in elenchi telefonici (art.12) che comporta, per gli abbonati, il diritto di determinare se i loro dati personali possano essere pubblicati in un elenco e, in caso affermativo, quali debbano figurarvi. La ragione della scelta si basa sulla considerazione che per i nuovi servizi di comunicazione elettronica come il Gsm e la posta elettronica non risulta più opportuno dare per scontato che gli utenti di tali servizi devono figurare negli elenchi pubblici in modo automatico, cioè in assenza di ulteriore loro determinazione.

La seconda scelta condivisa concerne la protezione contro le comunicazioni indesiderate effettuate, anche a mezzo della posta elettronica (inclusi Sms e Mms) a fini di "direct marketing".

Questo comporta il divieto di inviare messaggi elettronici non richiesti tranne nei confronti degli abbonati che abbiano dichiarato di voler ricevere tali messaggi elettronici (art.13).

La direttiva 2002/58/CE in questo caso armonizza a livello dei quindici Stati membri il criterio del consenso preventivo (opt in) già introdotto in alcuni Stati, tra cui l´Italia, come criterio che legittima il trattamento. Come chiarito nella direttiva, infatti, tali forme di comunicazioni commerciali indesiderate possono da un lato essere relativamente facili ed economiche da inviare e dall´altro imporre un onere e/o un costo al destinatario. Inoltre, in taluni casi il loro volume può causare difficoltà per le reti di comunicazione elettronica e le apparecchiature terminali. Per tali forme è giustificato prevedere che le relative chiamate possano essere inviate ai destinatari solo previo consenso esplicito di questi ultimi.

Altre novità nel diritto comunitario e nel settore giustizia-affari interni

80. Profili generali
Nel confermare quanto già segnalato nella precedente Relazione riguardo al venir meno, in ambito europeo, delle occasioni di dibattito e discussione istituzionali nel settore della protezione dei dati, nel 2002 si è notata, più in generale, una disattenzione a tale tema da ricollegarsi in gran parte agli effetti dei tragici eventi dell´11 settembre, che hanno posto all´attenzione di tutte le istituzioni comunitarie il tema del terrorismo e, quindi, della lotta alla criminalità ed alla cybercriminalità, richiedendo alle stesse la concentrazione di gran parte delle risorse nello studio ed elaborazione di strumenti efficaci a contrastare il fenomeno. Ciò in contrasto con l´introduzione di uno specifico articolo nella Carta dei diritti fondamentali (art. 8) ed il conseguente pieno riconoscimento del ruolo che la protezione dei dati personali assume nella realizzazione e sviluppo dell´integrazione europea attraverso l´inserimento del diritto alla protezione dei dati personali nel testo di trattato che la Convenzione europea sta elaborando.

Come si è già evidenziato, non vi sono più state convocazioni del gruppo di lavoro protezione dati del Consiglio dell´UE, mentre il gruppo c.d. di "terzo pilastro", denominato "Sistemi di informazione e protezione dei dati", è stato soppresso a seguito di una generale revisione dei gruppi operanti nel citato pilastro, pur essendovi stato il tempestivo intervento del Garante volto a rappresentare al Rappresentante permanente d´Italia presso l´UE la necessità che l´attività di revisione tenesse doverosamente conto -anche nel contesto della creazione di uno spazio di libertà, sicurezza e giustizia- del riconoscimento dell´importanza e della specificità della protezione dai dati personali, in quanto strettamente attinente ai diritti fondamentali della persona umana.

In questo quadro, necessariamente sono aumentati il ruolo e le competenze del Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall´art. 29 della direttiva 95/46/CE, ed il lavoro da esso svolto per interpretare, segnalare e indirizzare, attraverso l´adozione di pareri, raccomandazioni ad altre iniziative, l´attività della Commissione europea (e, di riflesso, degli Stati membri) in relazione all´applicazione dei principi della direttiva generale in materia di protezione dei dati personali e delle specifiche ulteriori disposizioni per il settore delle comunicazioni elettroniche.

È aumentata quindi -come meglio si vedrà nel paragrafo successivo- la visibilità del Gruppo stesso il quale, sotto la presidenza del Presidente del Garante italiano, è stato più volte richiesto di partecipare ad audizioni ed a pubblici incontri promossi dal Parlamento europeo per discutere ed approfondire temi di particolare rilevanza (l´Accordo sul Safe Harbor con gli Stati Uniti e, più di recente, i trattamenti di dati effettuati nell´ambito delle cooperazioni di polizia e giudiziaria, nonché i riflessi che l´introduzione di norme di ordine pubblico a seguito degli eventi dell´11 settembre da parte degli USA determina sulla protezione dei dati in Europa – caso APIS-PNR).

Il Gruppo, già in un parere adottato alla fine del 2001, aveva ribadito l´esigenza di un approccio equilibrato nella lotta al terrorismo, in particolare dopo gli eventi dell´11 settembre 2001, per far sì che il diritto alla sicurezza e il diritto alla privacy coesistano in maniera equilibrata, suggerendo pertanto di abbandonare l´equazione "più sicurezza meno privacy", di evitare forme generalizzate di sorveglianza, di valutare le conseguenze delle misure antiterrorismo sulle libertà delle persone. Nel parere si sottolineava come la lotta al terrorismo non dovesse ridurre il livello di tutela dei diritti fondamentali che caratterizza ogni società democratica, ma che occorresse sempre rispettare determinate condizioni che costituiscono anche il fondamento delle società democratiche in cui viviamo: da questo punto di vista le numerose iniziative legislative e di altra natura approvate o in discussione a livello comunitario e nazionale in molti casi sembrano destinate ad avere un ambito di applicazione molto più ampio della lotta contro il terrorismo. Come esempio, nel parere del Gruppo viene citata la proliferazione di strumenti per il riconoscimento dell´identità, anche attraverso dispositivi biometrici, o la previsione dei reati di "criminalità informatica", la cui definizione -a giudizio del Gruppo- è molto ampia e lascia spazio a interpretazioni non rispettose del principio di legalità.

L´introduzione di misure legislative negli USA volte ad imporre sanzioni alla compagnie aeree che operano voli da e per gli Stati Uniti qualora non forniscano in anticipo alle autorità statunitensi una serie di dati relativi ai passeggeri ed ai membri dell´equipaggio, anche attraverso l´accesso diretto ai dati trattati nei sistemi di prenotazione e controllo delle partenze (che non si limitano ai dati relativi ai tragitti da o verso gli USA, ma includono anche preferenze personali dei passeggeri abituali iscritti a programmi "frequent flyer" tra cui informazioni di tipo sanitario), ha nuovamente e specificamente determinato l´intervento del Gruppo che, nell´ottobre 2002, ha adottato un parere (n. 6/2002) nel quale ha ritenuto che, pur nel rispetto della sovranità degli Stati, una previsione normativa di tal genere (ed i conseguenti obblighi per i destinatari) ingenera difficoltà nell´applicazione della direttiva 95/46/CE cui le compagnie aeree che operano sul territorio comunitario sono soggette.

Successivamente, dopo un intervento della Commissione europea che ha ritenuto di poter negoziare una sorta di sostanziale accordo "ponte" con autorità amministrative USA, si è avuto un ampio dibattito nel Parlamento europeo, che ha chiesto un  fermo ripensamento ed un vero negoziato su basi giuridiche solide ed appropriate. Il 25 marzo la Commissione "Libertà pubbliche" del Parlamento europeo ha organizzato un seminario per dibattere ulteriormente il tema con i diversi soggetti: Commissione europea, autorità americane, compagnie aeree, organizzazioni rappresentative dei consumatori/utenti. Al seminario sono intervenuti, anche in considerazione del ruolo rivestito di Presidente del Gruppo, il Presidente del Garante e, in qualità di Presidente dell´Autorità di controllo Schengen, il segretario generale del Garante.

Alla luce di quanto evidenziato ed anche in considerazione delle proposte finora maturate nel corso del lavori della Convenzione europea, che portano alla previsione di un nuovo articolo specificamente rivolto alla protezione dei dati personali, superando quindi la divisione tra materie di primo e terzo pilastro, potrebbe allora porsi la questione di una diversa e migliore collocazione del Gruppo stesso all´interno del quadro delle competenze comunitarie.

Per quanto concerne gli ulteriori aspetti di novità legati al diritto comunitario, si segnala poi la presentazione, nel giugno del 2002, da parte della Commissione europea di una proposta di direttiva relativa al riutilizzo dei documenti del settore pubblico e al loro sfruttamento a fini commerciali.

La proposta di direttiva è stata esaminata dal gruppo di lavoro del consiglio "Telecomunicazioni" ed alle discussioni ha preso parte attiva, nell´ambito della delegazione italiana, l´Ufficio del Garante. Nel corso del Consiglio dei Ministri delle telecomunicazioni del 27-28 marzo 2003 sul testo della proposta è stato raggiunto un accordo politico.

L´intento alla base della direttiva è quello di agevolare il riutilizzo delle informazioni del settore pubblico al fine di favorire la crescita di un mercato di servizi informativi a valore aggiunto estesi in maniera omogenea a tutti gli stati membri dell´Unione, anche nella prospettiva della diffusione di nuove piattaforme di comunicazione. Secondo la Commissione, la realizzazione di servizi informativi a livello europeo è di fatto ostacolata dall´esistenza di norme e prassi diverse negli Stati membri in materia di tariffe, tempi di risposta, accordi di esclusiva e disponibilità generale dei dati ai fini del riutilizzo. Per favorire lo sviluppo di prodotti informativi a valore aggiunto e limitare le distorsioni della concorrenza sul mercato europeo, la Commissione si propone di definire attraverso la direttiva un quadro di garanzie, relative alla definizione di condizioni di mercato eque e trasparenti, tariffazione, tempi e modalità di risposta, compatibile con le normative nazionali, senza interferire sulle previsioni nazionali riguardanti il diritto di accesso e nel pieno rispetto delle disposizioni in materia di protezione dei dati personali.

Un´altra iniziativa legislativa promossa dalla Commissione, sulla quale è iniziata la discussione in seno al Consiglio e riguardo la quale il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali ha espresso, il 2 luglio 2002, un parere preliminare, riguarda l´armonizzazione delle disposizioni legislative, regolamentari ed amministrative degli Stati membri in materia di credito al consumo.

Si tratta di una proposta di notevole ampiezza ed impatto, che prevede la creazione e gestione di banche dati ed introduce talune disposizioni per il trattamento dei dati, pur nella generale salvaguardia e richiamo delle disposizioni della direttiva 95/46/CE. L´Ufficio ne segue attentamente l´iter, anche al fine di formulare proposte emendative e soppressive di talune parti del testo proposto che potrebbero avere riflessi su emanandi provvedimenti interni (codici di deontologia).

Nel settore giustizia ed affari interni si segnala inoltre l´effettiva costituzione ed entrata in funzione di Eurojust e si registrano diverse richieste, dibattute nel gruppi di lavoro di terzo pilastro ed in ambito del Consiglio GAI, volte a consentire l´accesso al sistema informativo Schengen da parte di Europol e di consentire allo stesso di accedere ai dati della banca dati Eurodac. Sono anche allo studio i sistemi per rendere Eurojust parte di questi sistemi.

La cooperazione tra Autorità garanti in Europa

81. Il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali

Come anticipato nel precedente paragrafo, molto ampia ed attenta è stata l´attività svolta dal Gruppo, di cui il Presidente del Garante è stato riconfermato all´unanimità Presidente.

La conferma rappresenta un riconoscimento al lavoro svolto nei due anni del primo mandato, che ha visto, tra l´altro, la chiusura del negoziato tra USA ed UE riguardo alla tutela della privacy da assicurare ai cittadini europei i cui dati personali devono essere trasferiti oltreoceano, l´elaborazione delle linee guida sulla privacy in Internet, la presa di posizione sulla necessità di un approccio equilibrato nella lotta al terrorismo, l´emanazione di vari pareri sul genoma umano, sulle comunicazioni elettroniche, sul cybercrime, sul trattamento dei dati nel rapporto di lavoro.

L´attività del Gruppo nel corso del 2002 ha affrontato, in particolare, il rapporto tra sicurezza e privacy, l´uso dei dati genetici, l´espandersi delle nuove tecnologie a fini di controllo e sorveglianza, l´impatto della società elettronica e la tutela dei diritti fondamentali dei cittadini europei, il trasferimento di dati verso Paesi terzi, l´uso delle clausole contrattuali standard e l´approfondimento delle esigenze rappresentate dall´industria e dalle società multinazionali per avere un quadro di riferimento il più possibile uniforme rispetto ai principi ed ai criteri per effettuare il trasferimento stesso. Nella definizione del calendario dei lavori e nella definizione dei temi da approfondire si è tenuto in particolare conto del lavoro di "controllo" sullo stato d´applicazione della direttiva da parte della Commissione, cui si è fatto cenno nel par. 76.

Una parte rilevante dell´attività è stata concentrata sull´attenta valutazione delle sfide poste dalle nuove tecnologie, dallo sviluppo della società dell´informazione e in particolare di Internet. Si segnalano i pareri sulla "standardizzazione" della privacy in Europa (parere 1/2002 WP 57 del 30 maggio 2002), sull´uso di un identificativo unico negli apparecchi terminali di telecomunicazioni (parere 2/2002 WP 58 del 30 maggio 2002) ed i documenti di lavoro riguardanti: la determinazione dell´applicazione internazionale della normativa comunitaria in materia di tutela dei dati al trattamento di dati personali su Internet da parte di siti non stabiliti nell´UE (WP 56 del 30 maggio 2002); primi orientamenti del Gruppo in merito ai servizi d´autenticazione on line (tema sul quale i lavori del Gruppo sono continuati ed hanno portato all´adozione di un più corposo documento di lavoro il 20 gennaio 2003 WP 68); la vigilanza sulle comunicazioni elettroniche sul posto di lavoro (WP 55 del 29 maggio 2002); il trattamento di dati personali tramite videosorveglianza, promosso dai componenti italiani del Gruppo, documento che, una volta adottato, è stato aperto alla pubblica consultazione sul sito della Commissione dedicati ai lavori del Gruppo (WP 67 del 25 novembre 2002).

Altri pareri hanno riguardato la proposta di direttiva in materia di credito al consumo (parere 3/2002 WP 60 del 2 luglio 2002, già richiamato), l´adeguatezza della protezione dei dati in Argentina (parere 4/2002 WP63 del 3 ottobre 2002), la determinazione adottata dai Garanti europei della protezione dei dati nel corso della conferenza internazionale di Cardiff (9-11 settembre 2002) sull´obbligo di conservazione sistematica dei dati di traffico delle telecomunicazioni (parere 5/2002 WP 64 dell´11 ottobre 2002). Il parere si riferisce alle richieste formulate dalle forze di polizia tendenti ad una preliminare, generalizzata, conservazione di tali dati e richiama al rispetto dei principi sanciti in materia, da ultimo, dall´articolo 15 della direttiva 2002 /58/Ce.

Nei primi mesi del 2003 il Gruppo ha adottato un parere sulla conservazione dei dati di traffico a fini di tariffazione (parere 1/2003 WP 69 del 29 gennaio 2003), proprio per chiarire gli ambiti che la citata direttiva offre alla possibilità di derogare al principio generale fissato all´articolo 6 in base al quale i dati relativi al traffico devono essere cancellati o resi anonimi al termine della comunicazione (chiamata o connessione).

Il Gruppo ha continuato ad occuparsi ed a seguire con grande attenzione l´applicazione ed il funzionamento dell´accordo con gli Stati Uniti (cd. Safe Harbor). Una prima, provvisoria valutazione, effettuata dalla Commissione nei primissimi mesi del 2002, aveva dato risultati non soddisfacenti e, in una successiva visita negli USA i rappresentanti del Gruppo avevano confermato la necessità che l´accordo fosse applicato con serietà.

Il rapporto della Commissione offriva diversi spunti di riflessione, evidenziando come, pur essendo presenti tutti. i requisiti necessari per darvi applicazione vi fosse in realtà, da parte delle non numerose imprese che avevano aderito su base volontaria al Safe Harbor, un deficit di trasparenza sia riguardo alle informazioni messe a disposizione dei cittadini sia riguardo alla completezza delle informazioni stesse (ad esempio, per quanto riguarda il diritto di accedere ai dati e di farli cancellare in determinati casi). Inoltre, i sei organismi per la risoluzione delle controversie (tra gli altri, BBBOnline, TRUSTe, DMA), ai quali le imprese USA possono demandare la gestione degli eventuali ricorsi presentati da cittadini UE, non risultavano fornire informazioni complete su come istruire i ricorsi ed autocertificare l´adesione ai meccanismi previsti dal Safe Harbor. Questo nonostante l´impegno profuso dalla Federal Trade Commission e dal Dipartimento per il commercio degli USA per diffondere la conoscenza dell´accordo e promuoverne la corretta applicazione.

I Garanti europei, hanno deciso lo scorso 2 luglio a Bruxelles di condurre un´analisi approfondita sull´attuazione dell´accordo.

Il Gruppo ha ritenuto, infatti, necessario disporre di informazioni più approfondite e aggiornate per meglio assolvere il proprio ruolo rispetto alle questioni attinenti alla protezione dei dati personali. L´obiettivo di quest´attività informativa è soprattutto quello di valutare, in uno spirito costruttivo, come superare eventuali divergenze rispetto all´attuazione di alcune disposizioni del Safe Harbor e colmare le lacune esistenti in termini di prassi applicative. Ciò risulta tanto più necessario se si vuole estendere l´ambito di applicazione dell´accordo ad altre tipologie di trattamento, o magari ad altri Paesi.

Il Gruppo ha richiamato, in tale situazione, la risoluzione adottata dal Parlamento europeo il 5 luglio 2000 a proposito dell´accordo di Safe Harbor, ed ha invitato tutte le autorità, gli enti e le associazioni interessate a collaborare per fornire informazioni aggiornate e specifiche su:

• misure per aumentare la trasparenza del funzionamento dell´Accordo;
• possibilità di definire strumenti di verifica ulteriori per quanto riguarda l´adesione all´Accordo e l´eventuale perdita dei benefici da esso derivanti (in caso di comportamenti non conseguenti);
• iniziative per migliorare fra le imprese la conoscenza dei requisiti da soddisfare per rimanere nel Safe Harbor;
• misure necessarie per perfezionare i meccanismi di risoluzione delle controversie, favorirne la conoscenza su entrambe le sponde dell´Atlantico e armonizzare le modalità di informazione rispetto agli esiti di tali controversie;
• iniziative da intraprendere per potenziare la cooperazione fra il "panel" costituito dalle autorità europee con il compito di esaminare eventuali controversie (al quale possono decidere di rivolgersi anche le imprese USA), gli organismi USA di risoluzione delle controversie previsti dall´Accordo e la Federal Trade Commission.

Sulla base delle informazioni raccolte il Gruppo si è riservato di adottare in tempi rapidi un parere con il quale indicare alla Commissione profili utili ai fini della valutazione complessiva del funzionamento del Safe Harbor. Nel prendere atto che ancora non sono stati compiutamente forniti gli elementi richiesti, il Gruppo ha dovuto riconoscere che al momento non dispone di informazioni tali da far ritenere ottimale il funzionamento dell´accordo, poi successivamente sollecitate.

Un altro tema di grande interesse sul quale i Garanti si sono pronunciati nell´autunno del 2002 ha riguardato la trasmissione da parte delle compagnie aeree di informazioni sugli elenchi dei passeggeri e di altri dati agli Stati Uniti (parere 6/2002 WP 66 del 24 ottobre 2002).

L´obbligo per le compagnie operanti voli da, verso ed in transito gli Stati Uniti è stato introdotto nella legislazione americana a seguito degli attentati dell´11 settembre 2001. L´imposizione di un tale vincolo, accompagnato inoltre da sanzioni che possono giungere al divieto di sorvolo ed alla perdita dei diritti di atterraggio, oltre a quelle di natura pecuniaria, ha determinato seri riflessi riguardo all´applicazione della direttiva europea in materia di protezione dei dati personali.

Il parere del Gruppo ha evidenziato i rischi della normativa statunitense ed ha richiamato al rispetto delle normative europee.

Per evitare l´entrata in vigore del sistema sanzionatorio, alcuni mesi più tardi, rappresentanti della Commissione europea e delle Dogane USA hanno iniziato un negoziato per definire le condizioni da rispettare a tal fine. Le immediate, forti reazioni del Parlamento europeo e del Gruppo hanno imposto che l´eventuale fornitura dei dati fosse il frutto di un accordo formale. Il Gruppo sta attualmente lavorando alla definizione dei tempi e modi per discutere in ordine alle soluzioni ipotizzabili.

In materia di videosorveglianza, come si è ricordato, i Garanti europei, lo scorso 2 ottobre, hanno approvato in via preliminare un importante documento in cui sono state affermate alcune regole fondamentali che tutti i titolari di trattamenti pubblici e privati effettuati attraverso sistemi di videosorveglianza dovrebbero adottare. Il documento è stato pubblicato sul sito del Garante e su quello dell´UE ed è stato messo a disposizione per raccogliere suggerimenti ed osservazioni nell´ambito di una ampia consultazione pubblica.

Scopi leciti e chiaramente definiti, raccolta dei dati personali ridotta al minimo, adeguata informazione dei cittadini europei. Questi alcuni dei pilastri del "decalogo" messo a punto dal Gruppo per un uso delle telecamere nel pieno rispetto della riservatezza degli individui.

Il "decalogo" europeo nasce dall´esigenza di definire un quadro di riferimento uniforme ed armonico a livello comunitario riguardo all´installazione di tali sistemi, e contiene indicazioni generali (da specificare ulteriormente nei singoli settori di applicazione) che rappresentano un denominatore comune minimo al quale fare riferimento.

Le indicazioni riguardano in parte anche i trattamenti di dati che non ricadono sotto le disposizioni della direttiva sulla protezione dei dati, come ad esempio, i trattamenti effettuati per scopi di sicurezza pubblica o per il perseguimento di reati, oppure trattamenti effettuati da una persona fisica per scopi esclusivamente privati o familiari.

Come nel decalogo italiano (Provv. 29 novembre 2000) e in quello in adozione presso il Consiglio d´Europa, le regole messe a punto riguardano aspetti fondamentali quali l´effettiva necessità del ricorso ai sistemi di videosorveglianza, la definizione di precisi scopi in base ai quali raccogliere le immagini, la necessità di informare i cittadini circa l´installazione delle telecamere, l´adozione di misure di sicurezza.

82. La partecipazione ad altri comitati e gruppi di lavoro
Sempre nell´ambito della definizione di forme di collaborazione e scambio tra le autorità di protezione dei dati, va ricordato l´International Working group on data protection in telecommunicatios (cd. Gruppo di Berlino), che si propone come luogo di discussione ed approfondimento, non solo a livello europeo, tra esperti in materia di tecnologie ed informazione su temi quali Internet, crittografia, comunicazioni elettroniche.

Il gruppo nel periodo considerato ha tenuto due riunioni: la prima a Berlino e la seconda a Zurigo.

In tali incontri, oltre ai consueti aggiornamenti sullo stato di attuazione e sul completamento della disciplina inerente alla tutela dei dati personali, sono stati affrontati alcuni temi, tra cui quello delle frodi poste in essere on line, su cui si è soffermato il rappresentante della Federal Trade Commission (FTC) statunitense, che ha sollecitato lo sviluppo di forme di cooperazione transfrontaliere, caratterizzate da celerità ed efficacia e basate su una ampia conservazione dei dati di traffico e la loro disclosure (a prescindere dal consenso dell´interessato) in caso di richiesta da parte dei soggetti incaricati di svolgere le indagini. Da parte europea sono stati rappresentati gli ostacoli alla realizzazione di questa attività dal punto di vista della tutela della privacy individuale, con particolare riguardo alla data retention (pur nell´ambito di un bilanciamento con le esigenze di enforcement).

Altri temi hanno riguardato la diffusione di dati personali via Internet, l´invio di Mms (tema sul quale il Garante si è recentemente pronunciato e che ha fornito lo spunto per un intervento del rappresentante dell´Autorità presente all´incontro, l´invio di comunicazioni commerciali non sollecitate, sul quale le Autorità di protezione dei dati belga e francese hanno richiesto al pubblico di inviare segnalazioni e denunce (è in corso di completamento l´analisi di quelle ricevute).

Nel 2002 sono proseguiti gli incontri organizzati con cadenza semestrale ai fini dello scambio di informazioni e della definizione di un modus operandi comune per la trattazione dei ricorsi e delle segnalazioni presentati alle autorità nazionali per la protezione dei dati, con particolare riguardo ai casi che, per la loro rilevanza o per la natura delle parti interessate, travalichino l´ambito nazionale. I due seminari si sono tenuti rispettivamente a Dublino il 14-15 marzo 2002 ed a Berlino il 25-26 novembre 2002 ("Complaints Handling Workshops").

Nel seminario di Dublino è stata dedicata particolare attenzione al tema dei flussi transfrontalieri di dati, con un approfondimento in merito ai poteri ispettivi e di controllo delle autorità nazionali. In particolare, sono stati presentati i risultati di un questionario sull´argomento fatto circolare fra tutte le autorità dell´UE. Ne è emerso un quadro piuttosto variegato, soprattutto per quanto concerne i criteri di effettuazione delle indagini ispettive in loco ed i poteri sanzionatori delle Autorità. Una tabella comparativa dei risultati è stata resa disponibile attraverso CIRCA ed è stata anche presentata alla Spring Conference di Bonn delle Autorità europee di protezione dei dati.

Il tema ha avuto ulteriori approfondimenti nel successivo incontro tenutosi a Berlino nel mese di novembre 2002, con un´analisi dei risultati del questionario. È stata anche presentata la procedura seguita in Germania, in coordinamento tra le autorità dei singoli Laender, ai fini della valutazione di codici di condotta per il trasferimento di dati da parte di multinazionali.

Al seminario, che ha visto la partecipazione di un numero elevato di delegazioni (circa 24) in rappresentanza di tutte le Autorità garanti dell´UE e dei Paesi candidati all´adesione, sono stati anche oggetto di confronto altri temi, quali:

• la videosorveglianza, con una rassegna dei principali casi nei vari Paesi (il Garante ha illustrato i princìpi indicati del c.d. "decalogo");
• la procedura di trattazione dei ricorsi da parte dell´Autorità inglese, incentrata sull´obbligatoria compilazione di un modello per la presentazione di tali atti e sulla risoluzione preventiva dei problemi segnalati, in modo da evitare il contenzioso o l´applicazione di sanzioni, ed il trasferimento di dati all´estero.

Particolare interesse ha suscitato la trattazione del tema relativo alle cosiddette "centrali dei rischi creditizi": la Francia ha illustrato la situazione normativa esistente in Usa, Germania e UK, mentre il Garante ha presentato il provvedimento adottato in materia nel mese di novembre 2001.

Nel marzo del 2003, si è tenuto a Varsavia il VII seminario, cui hanno partecipato anche rappresentanti dei futuri Paesi membri dell´UE. Ad essi sono state fornite alcune indicazioni di metodo basate sull´esperienza sinora raccolta ed è stata condotta un´analisi delle modalità di trattazione di ricorsi e segnalazioni a livello nazionale, evidenziando le tipologie dei principali problemi incontrati e le soluzioni messe in atto.

Fra i temi esaminati in modo più specifico, occorre menzionare le cosiddette "black lists", rispetto alle quali sono state evidenziate alcune importanti discrepanze anche nella normativa dei singoli Paesi UE. In parte connesso a tale tematica è il funzionamento delle cosiddette "centrali rischi": le delegazioni hanno sottolineato l´opportunità di elaborare una serie di indicazioni a livello comunitario, eventualmente attraverso il coinvolgimento del Gruppo per la tutela delle persone con riguardo ai dati personali.

Un terzo punto affrontato riguarda i trasferimenti di dati personali all´estero, anche alla luce degli sviluppi più recenti a livello comunitario. La delegazione italiana ha sintetizzato quattro casi emblematici relativi ad importanti società multinazionali alle quali erano stati chiesti chiarimenti in merito alle metodologie adottate; ne è emerso che i molteplici strumenti già oggi disponibili sembrano consentire di rispondere in modo adeguato alle esigenze di circolazione dei dati prospettate da aziende anche di grandi dimensioni. Si è concordato sull´esigenza di individuare un approccio uniforme, soprattutto onde evitare il rischio di un authority shopping da parte delle aziende; a tale scopo, si è proposto di potenziare l´uso degli strumenti offerti dallo spazio web di discussione CIRCA. Questo ed altri temi (trattamento di dati biometrici, bilanciamento di interessi, iniziative di sensibilizzazione) saranno approfonditi nel corso del prossimo workshop, che si terrà a Roma.

L´Autorità di controllo comune Schengen

83. L´attività dell´Autorità
L´Autorità comune di controllo (Acc), attualmente presieduta dal segretario generale del Garante, ha proseguito la sua attività di verifica e controllo del funzionamento della parte centrale del Sistema di informazione Schengen, nel perseguimento delle finalità che la Convenzione le attribuisce.

Una parte importante delle riunioni dell´Autorità è stata rivolta ad approfondire e discutere i progetti di sviluppo del sistema consistenti nell´introduzione di nuove funzioni, in particolare al fine di combattere il terrorismo, le quali dovrebbero prevedere l´accesso e l´uso dei dati contenuti nel SIS da parte di altri organismi, quali Europol ed Eurojust.

L´Autorità in due pareri, del 1 ottobre e del 3 dicembre, ha ribadito le sue perplessità riguardo a tali progetti ed ha  segnalato per  alcuni aspetti la carenza di idonee motivazioni e basi legali per poter esaminare nel merito la richiesta, attese le precise disposizioni della Convenzione relative all´accesso ed all´uso dei dati.

È stato adottato inoltre un parere, nel giugno 2002, concernente le segnalazioni nel SIS delle persone la cui identità è stata usurpata ed il modo per evitare che le stesse subiscano conseguenze negative dall´abuso perpetrato da altri. Questo parere è stato richiamato in occasione del parere sul cd. "SIS II" proprio per sottolineare come la previsione di un ampliamento delle categorie di dati cui accedere e dei soggetti ai quali tale accesso ed uso è consentito non deve provocare una limitazione dei diritti delle persone che hanno subito il furto dei documenti di identità.

La disamina relativa ai problemi nascenti dal previsto passaggio al nuovo Sistema d´informazione Schengen, è stata compiuta dall´Autorità anche con riferimento ad altri aspetti quali il fatto che lo stesso sarà basato su nuove piattaforme informatiche, che conterrà ulteriori categorie di informazioni e sarà costruito in vista del futuro ampliamento ed allargamento dell´Unione europea: sarà quindi compito dell´autorità sorvegliare il processo e ricordare che, in parallelo, deve esservi una corrispondente estensione delle garanzie previste dall´originaria Convenzione.

Un altro importante parere adottato dall´Autorità riafferma che la valutazione in merito alla durata della conservazione delle segnalazioni concernenti dati personali inserite nel Sistema debba essere effettuata con esclusivo riferimento all´articolo 112 della Convenzione.

L´Autorità ha inoltre deciso di rendere biennale la redazione e la conseguente pubblicazione del rapporto di attività.

Il mantenimento del dialogo aperto con il Parlamento europeo (in particolare con la Commissione "diritti e libertà pubbliche" che ha invitato il Presidente dell´Acc ad un´audizione pubblica l´8 ottobre 2002 ed ha recepito in dicembre le proposte dell´Acc sul SIS II), ed anche con il Comitato parlamentare cui è affidato in Italia il controllo sull´attuazione delle Convenzioni Schengen ed Europol, ha consentito al Presidente dell´Autorità Schengen di essere ascoltato riguardo alle questioni emergenti.

È stato inoltre approvato l´avvio dell´istituzione di una newsletter dell´Acc ed il rinnovo del sito web su impulso della presidenza italiana.

Nel periodo considerato è proseguita l´opera di controllo svolta dal Garante sul funzionamento dell´archivio della sezione nazionale del Sistema d´informazione, anche attraverso le numerose segnalazioni pervenute da privati.

Europol

84. L´attività dell´Autorità comune di controllo e i primi casi di contenzioso
L´Autorità comune di controllo, prevista dall´art. 24 della Convenzione di applicazione dell´Accordo di Schengen, ha continuato la sua attività di verifica e controllo sulla gestione degli archivi Europol, che dal luglio 1999 comprendono gli archivi di analisi.

L´Autorità ha seguito con attenzione i progetti di negoziato sottoposti dal Direttore dell´Europol per ottenere il consenso ad iniziare le trattative ai fini di effettuare lo scambio di dati con alcuni Paesi terzi. Particolare impegno è stato posto nel seguire il negoziato per pervenire ad un accordo formale che disciplinasse, nel rispetto dei principi in materia di protezione dei dati personali sanciti nella Convenzione stessa, la fornitura di dati da Europol agli Stati Uniti.

L´Autorità, interessata da Europol in attuazione della decisione di fornire dati agli USA a seguito degli attentati dell´11 settembre, aveva infatti rappresentato la necessità di stipulare con le competenti autorità americane un accordo formale, contenente le garanzie necessarie per poter operare in piena legittimità ed aveva espresso la volontà di essere interessata al relativo negoziato. L´attività dell´Autorità è testimoniata, in particolare, dalla nota verbale aggiuntiva all´accordo per lo scambio di dati.

Sono stati inoltre espressi pareri in relazione all´apertura di file di analisi, alla modifica dell´Atto che definisce la trasmissione di dati da Europol a Stati ed organismi terzi, nonché in relazione alle proposte di modifica della Convenzione presentate dal regno di Danimarca.

È stata compiuta una ulteriore ispezione alla sede dell´Europol che, in particolare, si è incentrata sugli archivi di analisi e sugli sviluppi tecnologici del sistema.

È stata approvata la prima relazione di attività e sono in corso contatti per la stampa e la presentazione della stessa.

Si sta lavorando per l´apertura di una pagina dedicata all´interno del sito di Europol.

Il Comitato di appello ha ricevuto i primi ricorsi, di cui uno attualmente in trattazione.

Il controllo sul Sistema informativo doganale

85. La creazione dell´Autorità di controllo
Con la legge 30 luglio 1998, n. 291, l´Italia ha autorizzato la ratifica e l´esecuzione della Convenzione sull´uso dell´informatica nel settore doganale, elaborata in base all´articolo K3 del Trattato sull´Unione europea del 26 luglio 1995.

La convenzione mira ad intensificare la cooperazione tra le amministrazioni doganali dei diversi Paesi dell´UE, particolarmente attraverso lo scambio di dati personali.

A tal fine è stata prevista la creazione di un sistema informativo automatizzato comune (Sistema informativo doganale-SID) che dovrebbe facilitare la prevenzione, la ricerca ed il perseguimento delle infrazioni alle leggi nazionali.

La convenzione istituisce una autorità comune di controllo, composta di due rappresentanti per ciascun Paese delle autorità nazionali di protezione dei dati.

L´Autorità ha iniziato i suoi lavori nel corso della primavera del 2002 ed ha provveduto alla nomina del Presidente e del vice presidente (quest´ultimo nella persona di un dirigente dell´Ufficio del Garante). Ha poi adottato il regolamento interno ed un parere sull´istituzione di un archivio di identificazione dei fascicoli a fini doganali.

Eurodac

86. Collaborazione tra Stati membri e garanzie per gli interessati
L´autorità comune di controllo Eurodac per il confronto delle impronte digitali dei richiedenti asilo è stata istituita ed ha tenuto la sua prima riunione nel dicembre 2002, pervenendo alla nomina del Presidente ed all´adozione del regolamento interno.

La funzionalità dell´organismo è però ben lungi dall´essere effettiva in quanto, all´atto dell´ormai imminente istituzione dell´organo di controllo indipendente di cui all´art. 286, par. 2 del Trattato di Amsterdam i compiti di supervisione e controllo provvisoriamente svolti da tale organo, saranno attribuiti al Garante europeo.

All´autorità di controllo indipendente, in attuazione appunto dell´art. 286 del Trattato di Amsterdam, il regolamento n. 45/2001 conferisce il compito di controllare la correttezza dei trattamenti di dati effettuati dalle istituzioni e dagli organismi dell´UE.

Consiglio d´Europa

87. La convenzione sul cybercrime
La Convenzione del Consiglio d´Europa sul cybercrime, sottoscritta da 30 Paesi il 23 novembre 2001, è stata finora ratificata da soli due Stati (Albania e Croazia); pertanto non è ancora entrata in vigore non essendo stato raggiunto il numero minimo richiesto di 5 ratifiche, di cui almeno 3 di Stati membri del Consiglio d´Europa.

Si ricorda che tra i firmatari figurano Paesi non membri del Consiglio d´Europa (Stati Uniti, Canada, Giappone e Sud Africa).

Successivamente è stato negoziato, ad aperto alla firma il 21 gennaio 2003, un Protocollo aggiuntivo che prevede l´estensione del campo d´applicazione della Convenzione, incluse tutte le disposizioni sostanziali e procedurali, nonché quelle che disciplinano la cooperazione internazionale, agli atti di natura razzista o xenofoba commessi per mezzo di strumenti informatici.

A cagione, e successivamente agli attentati dell´11 settembre 2001, anche il Consiglio d´Europa ha iniziato una intensa attività rivolta a rendere più efficace la reazione internazionale contro il terrorismo ed, in questo quadro, a sviluppare strumenti legali per combattere lo stesso.

Il Consiglio d´Europa aveva già, fin dal 1977, adottato una specifica Convenzione sull´eliminazione del terrorismo.

Dopo gli attentati dell´11 settembre, il Comitato dei ministri aveva richiesto uno sforzo più incisivo. Tutti i 44 Stati membri hanno firmato la citata Convenzione ed è stato conferito un formale incarico di rivedere gli strumenti adottati dal Consiglio d´Europa in materia di lotta al terrorismo ad un Gruppo -il GMT o Gruppo multidisciplinare per un´azione internazionale contro il terrorismo- di cui fanno parte, oltre ai rappresentanti degli Stati membri del Consiglio d´Europa, anche Stati Uniti, Canada, Giappone, Messico e Santa Sede.

Il Gruppo ha presentato il rapporto finale delle attività formulando una proposta di protocollo emendativo della Convenzione del 1977. Nel gennaio 2003 l´Assemblea parlamentare ha adottato un parere sul testo ed il Comitato dei ministri ha formalmente approvato la proposta il 13 febbraio 2003. L´apertura alla firma è prefissata per il 15 maggio 2003.

Le proposte emendative riguardano sostanzialmente la de-politicizzazione di alcuni atti criminosi, che divengono quindi oggetto di estradizioni, oltre ad una semplificazione delle procedure per ampliare la lista dei crimini estradabili.

Il Consiglio d´Europa, ha nel contempo incaricato il Comitato diritti umani di studiare e proporre delle linee guida sulla lotta al terrorismo ed i diritti umani. Le linee-guida, che sono state adottate dal Comitato dei Ministri nel luglio 2002, costituiscono certamente il primo testo internazionale in questo campo, anche se non direttamente vincolante per gli Stati.

In esse è riaffermato l´obbligo degli Stati di proteggere chiunque nei confronti del terrorismo, di evitare arbitrarietà, di adottare misure di contrasto solo nel pieno rispetto dei principi di legalità e legittimità, ed è ribadito il divieto assoluto di sottoporre chiunque a tortura e/o trattamenti inumani e degradanti. Il quadro legale disegnato dalle linee guida -che comprende regole riguardo all´arresto, fermo e custodia da parte della polizia, detenzione preventiva, estradizione- attribuisce particolare attenzione alla raccolta e all´elaborazione di dati personali, alle misure che interferiscono con la riservatezza (come le perquisizioni, l´intercettazione di comunicazioni, ecc).

Di seguito si riporta il testo delle linee guida V e VI che riguardano più specificamente il trattamento dei dati personali e la tutela della riservatezza, segnalando che il testo completo, in francese ed in inglese, è pubblicato sul sito web del Consiglio d´Europa www.coe.int.

V. Collection and processing of personal data by any competent authority in the field of State security

Within the context of the fight against terrorism, the collection and the processing of personal data by any competent authority in the field of State security may interfere with the respect for private life only if such collection and processing, in particular:

(i) are governed by appropriate provisions of domestic law;

(ii) are proportionate to the aim for which the collection and the processing were foreseen;

(iii) may be subject to supervision by an external independent authority.

VI. Measures which interfere with privacy

1. Measures used in the fight against terrorism that interfere with privacy (in particular body searches, house searches, bugging, telephone tapping, surveillance of correspondence and use of undercover agents) must be provided for by law. It must be possible to challenge the lawfulness of these measures before a court.

2. Measures taken to fight terrorism must be planned and controlled by the authorities so as to minimise, to the greatest extent possible, recourse to lethal force and, within this framework, the use of arms by the security forces must be strictly proportionate to the aim of protecting persons against unlawful violence or to the necessity of carrying out a lawful arrest.

88. L´attività dei gruppi di esperti
Il Protocollo addizionale alla Convenzione n. 108 del 1991, che prevede l´istituzione con compiti di verifica e controllo dei trattamenti ad autorità di controllo indipendenti e disciplina i flussi transfrontalieri di dati, aperto alla firma l´8 novembre 2001, è stato finora ratificato da tre Stati (Germania, Slovacchia, Svezia) e non è ancora entrato in vigore essendo necessarie almeno cinque ratifiche.

L´Italia è tra i Paesi firmatari, ma non ancora presentato in Parlamento il disegno di legge di ratifica.

Per quanto riguarda le modifiche alla Convenzione per consentire l´adesione alla stessa da parte delle Comunità europee, l´Italia non risulta aver firmato il relativo Protocollo emendativo.

A seguito della celebrazione del ventesimo anniversario della Convenzione, che ha fornito occasione per una verifica dell´attualità e della tenuta dei principi ivi fissati, si è deciso di concentrare maggiormente i lavori dei gruppi specializzati, il CJ-PD ed, in qualche misura anche il T-PD, o comitato "convenzionale", nell´individuazione ed adozione degli strumenti, vincolanti o meno in relazione alle materie trattate, resisi necessari per adeguare e specificare i principi della Convenzione rispetto, in particolare, agli sviluppi tecnologici ed all´uso crescente delle tecnologie elettroniche.

Il CJ-PD -il comitato che ha lavorato alla predisposizione della Convenzione n. 108 e, in seguito, all´elaborazione delle Raccomandazioni dirette a disciplinare i singoli settori in cui garantire l´applicazione della normativa in materia di tutela dei dati- ha concluso definitivamente i suoi lavori riguardo la proposta di Raccomandazione sul trattamento dei dati personali raccolti e trattati a fini assicurativi. Il testo della Raccomandazione, adottato dal Comitato dei Ministri il 18 settembre 2002 (Racc. 2002/9) specifica e dettaglia, con riferimento ai delicati aspetti sollevati da quel tipo di trattamento, i principi della Convenzione. Il lungo negoziato che ha portato all´adozione del testo, ed in un certo senso il progressivo alleggerimento di alcuni degli obblighi previsti, testimoniano appunto dell´importanza di affermare dei principi specifici cui riferire l´attività svolta in materia.

Nella riunione dell´ottobre 2002, il CJ-PD ha anche approvato il progetto di linee guida in materia di video sorveglianza con modificazioni di minore rilievo rispetto al testo già contenuto nella precedente Relazione. Il testo dovrà quindi essere approvato definitivamente dal Comitato dei Ministri.

Si sono inoltre conclusi, con la presentazione di un corposo rapporto, i lavori di un gruppo specializzato cui era stato affidato il non semplice compito di effettuare la terza ed ultima valutazione dell´applicazione della Raccomandazione n. 87 (15) concernente il trattamento dei dati personali nell´attività svolta a fini di polizia e di affrontare il tema dell´applicazione dei principi della Convenzione rispetto all´attività svolta per finalità giudiziarie in materia penale.

Infatti, a differenza della direttiva comunitaria, la Convenzione del Consiglio d´Europa non esclude dal campo d´applicazione tali trattamenti, rimasti di fatto finora esclusi sulla base di una "restrittiva" interpretazione che limitava ai trattamenti automatizzati il rispetto di quei principi (ad eccezione di quei Paesi che, come l´Italia, avessero fin dalla firma predicato di volerne estendere l´applicazione anche ai trattamenti manuali o cartacei) o proprio perché all´epoca non automatizzati.

Il Gruppo ha pertanto lavorato al fine di valutare se e come le regole del processo penale vigenti nei diversi Paesi potessero essere considerate in qualche misura rispondenti ai principi della Convenzione ed ha redatto una sorta di decalogo con cui richiama l´attenzione sugli aspetti fondamentali della tutela dei dati personali.

Una parte specifica è stata dedicata ai trasferimenti di dati ed a tal fine sono stati presi in esami gli obblighi scaturenti dalle convenzioni relative all´assistenza giudiziaria in materia penale ed alla convenzione per la lotta al cybercrime.

Temi attualmente in trattazione concernono l´uso delle smart card e della biometria.

Il T-PD si è lungamente dedicato all´approfondimento del sistema legato alla definizione di clausole contrattuali tese a facilitare gli scambi di dati con Paesi non legati alla convenzione e che non dispongono di una legislazione che garantisca il richiesto livello di protezione (equivalente nel testo originario, adeguato nella dizione usata dal Protocollo aggiuntivo).

Il T-PD nelle priorità del 2003 ha inserito un approfondimento in ordine ai seguenti temi:

• i diritti della persona interessata, con possibile eventuale redazione di una sorta di guida ai diritti e doveri;
• l´applicazione dei principi della Convenzione in relazione agli sviluppi tecnologici: il gruppo si propone -ad esempio- di esaminare, alla luce della definizione data dalla Convenzione, se un indirizzo di posta elettronica o il numero di un telefono cellulare sia da considerare "dato personale" e di valutare i rischi che derivano dalla diffusione di nuove tecnologie (molteplicità dei fini, conservazione dei dati da parte dei "nuovi" media) come pure le opportunità (PETs, tecnologie non invasive ecc);
• i flussi transfrontalieri;
• l´applicazione dei principi di protezione dei dati ad Internet.

Prosegue inoltre l´esame delle modalità da intraprendere per razionalizzare i lavori del Consiglio d´Europa in materia di protezione dei dati personali, eventualmente anche attraverso la fusione degli stessi comitati in un´unica struttura.

89. Linee-guida in materia di sorveglianza
In particolare per le attività di videosorveglianza, che presentano specifiche problematiche per la protezione dati, il Consiglio d´Europa ha adottato, sulla base del rapporto predisposto dal segretario generale del Garante cui era stato conferito apposito incarico, un documento che individua e descrive le regole di base da rispettare da parte di qualunque soggetto, pubblico o privato, che intenda porre in essere tale attività.

Le linee-guida del documento, ampiamente illustrate nella Relazione 2001 (v. p. 145), nel richiamare il principio secondo cui l´attività di videosorveglianza deve svolgersi su base legale per fini leciti, espliciti e legittimi, afferma l´esigenza che siano adottate tutte le misure volte ad assicurare che tale attività sia conforme alla normativa in materia di protezione dei dati personali e che il ricorso alla stessa possa darsi solo quando non sia possibile utilizzare sistemi meno invasivi ed intrusivi della privacy.

L´attività di videosorveglianza deve, poi, conformarsi ai principi di selettività e proporzionalità rispetto agli scopi perseguiti nei singoli casi, nonché a quelli di pertinenza e non eccedenza rispetto a immagini, suoni e dati biometrici raccolti, con particolare riguardo alle modalità di raccolta e ai tempi di conservazione dei dati.

Tra le altre linee-guida individuate dal documento, figura anche il divieto di diffusione e di comunicazione dei dati a soggetti non interessati all´attività di videosorveglianza.

Di particolare rilievo sono, inoltre, le prescrizioni volte ad evitare che l´attività di videosorveglianza possa determinare discriminazioni, basate sulle opinioni, convinzioni o comportamentio di tipo sessuale, ovvero possa configurare un controllo a distanza dei lavoratori interessati. La tutela delle posizioni soggettive coinvolte può essere validamente perseguita, sulla base delle indicazioni del documento, con un´adeguata informativa ai lavoratori interessati (ed una eventuale intesa con le organizzazioni sindacali che contemperi i diritti dei lavoratori con le esigenze organizzativo-produttive o le ragioni di sicurezza sottese all´introduzione della videosorveglianza) e con una regolamentazione del diritto di accesso ai dati personali e degli altri diritti dei soggetti interessati.

O.C.S.E.

90. I risultati conseguiti nel 2002
Il Garante per la protezione dei dati personali ha partecipato anche nel 2002 ai lavori del Working Party on Information Security and Privacy (WPISP) all´interno del Committee for Information, Computer and Communication Policy (ICCP).

Il gruppo nei primi sei mesi del 2002 ha concentrato i propri sforzi per portare a termine il lavoro sulle linee-guida per la sicurezza dei sistemi informativi e delle reti, poi approvate dal Consiglio dell´O.C.S.E. il 25 luglio 2002. Il testo si propone di sensibilizzare i governi, le imprese e gli utenti rispetto ad una nuova cultura della sicurezza partendo dal riconoscimento del fatto che i sistemi informativi e le reti hanno un ruolo sempre più rilevante rispetto alla stabilità e all´efficienza delle economie nazionali e del commercio internazionale, nonché della vita sociale, culturale e politica.

L´aumento delle opportunità e delle modalità di interconnessione comporta però maggiori rischi e una maggiore vulnerabilità di tutti coloro che partecipano "alla nuova società dell´informazione". Per tale ragione è opportuno e necessario un impegno particolare al fine di tutelare la vita privata e promuovere la fiducia nei confronti dei sistemi informativi e delle reti, anche attraverso una crescente consapevolezza dei rischi e dunque una maggiore attenzione alle politiche, alle misure e alle procedure per far fronte a questi rischi.

Le linee-guida sono composte da nove principi cardine cui si dovranno ispirare, nell´elaborazione di future politiche, misure e programmi in tema di sicurezza on-line, tutti i governi dei paesi membri dell´O.C.S.E.. L´elenco si apre con i principi di sensibilizzazione, responsabilità e capacità di reazione rispetto ai rischi che tutti gli utilizzatori dei sistemi informativi e delle reti dovrebbero aver sempre presenti soprattutto in relazione ai danni derivanti da deficit di sicurezza, anche nei confronti di terzi. Si prosegue, poi, con il principio dell´etica (le parti dovrebbero rispettare i legittimi interessi di terzi), e quello di democrazia, nel quale si afferma che la sicurezza dovrebbe essere compatibile con i valori riconosciuti dalle società democratiche, e in particolare, con la libertà di manifestazione del pensiero, la libera circolazione delle informazioni, la riservatezza delle informazioni e delle comunicazioni, la protezione adeguata dei dati personali, l´apertura e la trasparenza. Seguono, infine, i principi sull´analisi dei rischi, sulla progettazione e la gestione dei sistemi informativi e delle reti in un´ottica di sicurezza, e sulla necessità di riesaminare, rivedere e modificare gli aspetti legati alla sicurezza costantemente, in modo da poter fronteggiare le nuove vulnerabilità.

Immediatamente dopo l´approvazione, il Garante ha provveduto a tradurre il documento in italiano e a pubblicarlo nel sito web dell´Autorità.

Nel periodo autunnale il gruppo ha lavorato per individuare le misure più efficaci a livello nazionale per diffondere e dare attuazione ai principi contenuti nelle linee-guida. A questo proposito sembra opportuno sottolineare che all´interno dell´O.C.S.E. è stato avviato un dibattito su una possibile riforma dell´organizzazione internazionale, volta soprattutto ad aumentare il peso dei lavori prodotti in quella sede sulle politiche di sviluppo nazionali. Alla qualità dei lavori prodotti, infatti, non sembra corrispondere una effettiva incisività sulle politiche nazionali, oltre ad essere stata evidenziata la necessità di ridurre e razionalizzare un certo numero di comitati. È stata inoltre resa nota l´intenzione della Cina di candidarsi all´adesione.

Per quanto riguarda gli argomenti più strettamente relativi alla privacy, sono stati elaborati due documenti dal titolo Privacy on-line: policy and practical guidance e Report on compliance with, and enforcement of, privacy protection on-line.

Il primo documento fa un inventario di tutti i lavori promossi dopo la Conferenza ministeriale di Ottawa del 1998 al fine di adempiere al mandato di applicare i principi contenuti nelle linee-guida del 1980 anche alle reti mondiali di comunicazioni. In particolare, si sofferma sulla necessità di a) incrementare politiche di sensibilizzazione alla privacy on-line; b) garantire la disponibilità in rete di adeguati rimedi giuridici in caso di inosservanza dei principi (attraverso il ricorso a sistemi alternativi rispetto al ricorso giurisdizionale cd. ADR); c) incoraggiare l´uso delle PETs (privacy enhancing technologies); d) incoraggiare il ricorso a soluzioni contrattuali per i trasferimenti di dati all´estero on-line.

Nella parte finale si invitano gli Stati a ribadire l´importanza della cooperazione internazionale e della collaborazione con il settore privato per incrementare la fiducia degli utilizzatori nelle reti; le imprese a sviluppare privacy policies sulla base delle linee-guida del 1980, a valutare quali strumenti di autoregolamentazione siano idonei alle loro attività, a collaborare con i governi perché l´approccio normativo e autoregolamentativo induca a nuovi modelli flessibili di implementazione in grado di coniugare il libero flusso di informazioni con la protezione dei dati personali.

Il secondo documento presenta e analizza i meccanismi di attuazione previsti nei paesi O.C.S.E. sia in caso di mancata osservanza dei principi e delle politiche in materia di privacy, sia per garantire l´accesso a forme di risarcimento. Esso costituirà il fondamento della valutazione concernente l´applicazione pratica degli strumenti disponibili per garantire l´osservanza e l´attuazione di tali principi e politiche in ambito telematico, nonché la loro rispondenza agli obiettivi fissati nelle linee-guida del 1980.

Per quanto riguarda il programma di lavoro per il prossimo biennio sono state avanzate numerose proposte tutte attinenti alla trust-economy, con riferimento alle aspettative di privacy non tutelate dal mercato, alle azioni congiunte da parte dei settori pubblico e privato per accrescere la fiducia dei consumatori e al circolo virtuoso generato dall´incremento di fiducia dovuto all´applicazione di adeguate misure volte a tutelare la privacy.

91. Ulteriori iniziative
Il Garante ha costantemente partecipato a numerose conferenze europee e di rilievo mondiale nelle quali sono stati trattate importanti tematiche di rilevante attualità per il nostro Paese.

Il 25 e 26 aprile 2002 si è svolta a Bonn la Conferenza di primavera delle Autorità europee per la protezione dei dati personali, cui hanno preso parte 20 paesi. La prima sessione di lavori si è occupata del rapporto fra le disposizioni in materia di sicurezza – emanate in seguito agli eventi dell´11 settembre 2001 – e la tutela del diritto alla riservatezza. È stato ribadito, ancora una volta, che l´esigenza di maggiore sicurezza non confligge con un elevato livello di garanzie per i diritti fondamentali dei cittadini, e in particolare con il diritto alla privacy. Si è poi discusso del tema della biometria, soprattutto con riferimento alle procedure di identificazione che, grazie al progresso tecnologico, consentono di individuare l´identità personale a partire dalle impronte digitali, dai punti di riferimento facciali, dagli occhi, dal portamento etc., a costi sempre minori. La raccolta di dati personali attraverso queste tecniche, e la loro conservazione, è un problema emergente in tutti gli ordinamenti nazionali. Fra gli altri temi trattati, meritano una menzione i programmi di e-government, la certificazione delle politiche privacy portate avanti dalle imprese e la collaborazione con i paesi dell´est.

Dal 9 all´11 settembre 2002 si è tenuta a Cardiff la 24° Conferenza mondiale sulla privacy. Nell´incontro sono stati affrontati numerosi argomenti di particolare interesse, fra i quali devono essere menzionati l´impatto della privacy come leva per una maggiore efficienza del settore pubblico e privato, il ruolo della tecnologia al fine di proteggere la privacy nella diffusione delle informazioni, il trattamento di dati svolto al fine di valutare la solvibilità rispetto al credito e la difficoltà di preservare l´anonimato nell´era della globalizzazione, dell´informazione e del terrorismo internazionale. La sessione finale è stata dedicata al ruolo delle Autorità indipendenti come organismi che, pur mantenendo nella sfera pubblica decisioni socialmente ed economicamente rilevanti, si pongono fuori dalla tradizionale divisione dei poteri, e contribuiscono così ad incrementare il sistema di pesi e contrappesi fondamentale per la democraticità dei sistemi. È stato rilevato, inoltre, che il modello dell´Autorità indipendente non è una prerogativa solo dei sistemi europei, ma si è imposto anche in Canada, in America Latina, in Asia e perfino negli Stati Uniti sono state avanzate proposte in questo senso. La protezione dei dati personali è divenuta una componente essenziale del nuovo concetto di cittadinanza scaturito da una realtà dominata dai rischi dell´uso massiccio delle tecnologie dell´informazione e dalla creazione di grandi banche dati. Come ha sostenuto nel suo intervento il Presidente del Garante italiano "siamo sempre più conosciuti da soggetti pubblici e privati attraverso i nostri dati personali in forme che possono incidere sul principio di uguaglianza, sulla libertà di comunicazione, di espressione o di circolazione, sul diritto alla salute, sulla condizione di lavoratore, sull´accesso al credito e alle assicurazioni". I Garanti per la privacy europei si sono nell´occasione fermamente espressi in senso contrario circa l´introduzione generalizzata - e, quindi, senza tener conto delle garanzie e dei limiti previsti da vari strumenti internazionali e comunitari (da ultimo, la direttiva n. 2002/58/CE pubblicata il 31 luglio 2002) - di obblighi di conservazione di dati di traffico relativi a telefonate, e-mail, sms, collegamenti Internet, per generiche finalità di polizia e di giustizia. Le Autorità europee considerano infatti "sproporzionata ed inaccettabile" l´ipotesi avanzata dai governi europei di registrare sistematicamente tutte le forme di telecomunicazione e comunicazione elettronica, mettendo a rischio la privacy dei cittadini europei. Si riporta, di seguito, il testo della Dichiarazione sulla conservazione sistematica e obbligatoria dei dati di traffico:

Le Autorità europee per la protezione dei dati hanno rilevato con preoccupazione che nell´ambito del Terzo Pilastro dell´UE sono all´esame alcune proposte tali da comportare la conservazione sistematica e obbligatoria dei dati di traffico relativi a tutte le forme di telecomunicazione - durata, localizzazione, numeri utilizzati per chiamate telefoniche, fax, messaggi di posta elettronica, e per altri impieghi di Internet - per un periodo di un anno o più, allo scopo di consentire l´eventuale accesso da parte delle forze dell´ordine e degli organismi preposti alla sicurezza.

Le Autorità europee per la protezione dei dati dubitano fortemente della legittimità e liceità di misure dotate di tale ampiezza. Desiderano inoltre richiamare l´attenzione sui costi eccessivi che ciò comporterebbe per le imprese operanti nel settore telecomunicazioni ed Internet e sull´assenza di misure analoghe negli USA.

Le Autorità europee per la protezione dei dati hanno più volte sottolineato che una conservazione siffatta costituirebbe un´indebita compressione dei diritti fondamentali garantiti ai singoli dall´articolo 8 della Convenzione europea sui diritti dell´uomo, così come ulteriormente sviluppati nella giurisprudenza della Corte europea dei diritti dell´uomo (v. Parere 4/2001 del Gruppo di lavoro ex Articolo 29, istituito dalla direttiva 95/46/CE, e la Dichiarazione di Stoccolma dell´aprile 2000).

La tutela dei dati di traffico delle telecomunicazioni è prevista attualmente anche dalla Direttiva 2002/58/CE del Parlamento europeo e del Consiglio in materia di privacy e comunicazioni elettroniche (Gazzetta Ufficiale CE L201/37), in base alla quale il trattamento dei dati di traffico è consentito, in linea di principio, ai fini della fatturazione e dei pagamenti di interconnessione.

All´esito di una lunga e franca discussione, la conservazione dei dati di traffico per scopi connessi all´attività delle forze dell´ordine dovrebbe essere conforme alle rigide condizioni previste dall´articolo 15(1) della Direttiva - ossia, caso per caso, solo per un periodo limitato e purché necessaria, opportuna e proporzionata all´interno di una società democratica

Da segnalare, inoltre, la Conferenza Internazionale "Privacy, da costo a risorsa". Il 5 e 6 dicembre 2002 l´Autorità ha organizzato una conferenza internazionale rivolta al mondo delle imprese, il cui sottotitolo enuncia già in qualche modo i contenuti e le finalità dell´incontro: "Garanzie per i cittadini, opportunità per le imprese; i vantaggi di un mercato privacy-oriented". Il convegno è stato articolato in quattro sessioni rispettivamente dedicate alla tutela dei dati personali nel mercato globale, alla privacy all´interno dell´impresa, alla tutela della riservatezza nei rapporti con utenti e consumatori e alla privacy come volano di sviluppo economico. Ai lavori sono intervenuti come relatori esponenti di aziende multinazionali, studiosi di fama internazionale, rappresentanti di istituzioni di paesi esteri, di associazioni di categoria, di associazioni di consumatori, di altre autorità indipendenti ed alte cariche istituzionali. Al convegno, che ha avuto una elevata partecipazione di pubblico, hanno partecipato numerosi soggetti che si occupano in modo professionale di questioni attinenti alla privacy soprattutto nel settore privato. Il convegno è partito dall´assunto che i dati personali rappresentano una risorsa fondamentale per le aziende che operano in un sistema economico caratterizzato da un incessante flusso di informazioni. La competizione nel mercato, la conquista dei clienti e la gestione dei rapporti di lavoro interni all´azienda devono svolgersi, però, nel rispetto dei diritti dei soggetti coinvolti, e in particolare del diritto alla riservatezza. Il rispetto della privacy, dunque, può rappresentare un valore aggiunto per le imprese, sia come impulso a organizzare più razionalmente i flussi informativi, sia come elemento fondamentale della qualità del servizio reso. La conferenza ha voluto sottolineare, inoltre, che il diritto alla protezione dei dati personali rientra nel novero dei diritti fondamentali, e che pertanto non può essere considerato esclusivamente in un´ottica di remunerazione economica. Il diritto alla riservatezza non è assimilabile ai diritti che hanno un contenuto patrimoniale e, pertanto, non si può applicare semplicisticamente l´analisi costi-benefici, trattandosi di beni non economici. Del resto, anche l´art. 41 della Costituzione afferma che l´iniziativa economica privata non possa svolgersi in modo da recare danno alla libertà e alla dignità umana. In tal senso si è affermato che il diritto alla riservatezza costituisce una precondizione di una società democratica, il cui contenuto essenziale non può essere azzerato né per motivi di sicurezza, né per ragioni di carattere economico.

Un altro tema cruciale affrontato durante la conferenza è stato quello del confronto fra il modello americano dell´autoregolamentazione e il modello europeo incentrato sulla direttiva comunitaria 95/46. Tale contrapposizione, in realtà, risulta affievolirsi sempre più, perché in Europa aumenta la rilevanza attribuita ai codici di autoregolamentazione, mentre negli Stati Uniti vengono presentati progetti di legge organici in materia di protezione dati. Il messaggio più rilevante a questo proposito và nella direzione del superamento delle differenze formali per rivolgersi alla condivisione dei diritti fondanti, ferma restando la necessità di avere una legge di riferimento entro cui inserire l´autoregolamentazione (regulated self-regulation).

Dal 3 al 4 aprile 2003 si è svolta a Siviglia la riunione annuale dei Garanti europei. In tale occasione l´Autorità, fra i diversi temi di grande rilievo, ha sottolineato la necessità di mantenere inalterato il livello di garanzie finora assicurato ai cittadini europei in materia di tutela dei dati personali.

Intervenendo nella sessione di apertura, il presidente Rodotà ha messo in guardia da qualsiasi modifica della direttiva europea rilevando che mentre da una parte si precisa e si rafforza il sistema di protezione giuridica dei dati personali, dall´altra "crescono e si fanno sempre più insistenti le pressioni perché questo livello di protezione sia concretamente ridotto per soddisfare richieste della business community e per rispondere ad esigenze di sicurezza interna ed internazionale". Ma l´indubbia importanza di questi diversi interessi non consente di passare a forme di bilanciamento diverse da quelle che stanno all´origine della direttiva "madre" sulla privacy, la 95/46, e che finirebbero per eliminare elementi essenziali della protezione dei cittadini.

Qualsiasi intervento nella materia dei dati personali deve sempre rispettare il principio di proporzionalità, mantenere sostanzialmente inalterato l´insieme dei diritti autonomamente esercitabili dal cittadino, prevedere l´esistenza di un controllo da parte di un soggetto pubblico indipendente.

I primi risultati dello studio avviato dalla Commissione europea sull´attuazione della Direttiva "smentiscono le tesi di un suo superamento e di una sua inadeguatezza soprattutto di fronte alle innovazioni tecnologiche. Questioni come lo spamming mostrano al contrario la lungimiranza di scelte essenziali come quelle riguardanti il consenso anche nella sua versione più rigorosa di opt-in". Quello che serve, allora, ha concluso il Presidente del Garante, è un´azione più decisa delle autorità nazionali, fornite di mezzi più adeguati e sostenute da un consenso europeo.

Un altro tema estremamente importante, sviluppato dal vicepresidente Santaniello, è quello riguardante i codici deontologici. È stata, infatti, posta in evidenza la loro rilevanza come modello di regolazione fondato sulla autoproduzione di regole da parte delle categorie interessate. Al riguardo l´Autorità ha dato un notevole impulso alla promozione di una numerosa serie di codici deontologici e di norme di condotta. Il primo di questi codici, quello riguardante il trattamento dei dati personali da parte dei giornalisti, ha costituito il sapiente bilanciamento tra due diritti fondamentali costituzionalmente garantiti, quale il diritto di informare e quello della riservatezza. Il codice ha incontrato largo consenso da parte degli operatori dell´informazione anche perché, "senza comprimere in alcun modo il diritto di cronaca, ha introdotto in esso un elemento qualitativo come i criteri di informazione leale, trasparente, rispettosa dei valori della dignità umana".

La terza fase di sviluppo di tale codificazione ha conferito all´Autorità il compito di promuovere e guidare la formazione di sette codici deontologici. Essi assumono particolare risalto perché incidono sul sistema comunicativo, attraverso le regole inerenti ai servizi di comunicazione e informazione per via telematica; sulla gestione dei rapporti di lavoro; sulle finalità previdenziali etc. Inoltre, dettano regole sull´innovazione tecnologica riguardo a strumenti automatizzati di rilevazione di immagini e disciplinano l´ampio settore del direct marketing.

Un argomento di particolare attualità ha riguardato, infine, la tutela della riservatezza nel settore delle telecomunicazioni. Quello che occorre, secondo il relatore Paissan, è una vera e propria "ecologia" delle comunicazioni: il Garante più volte è stato chiamato ad abbassare la soglia del "rumore" nelle comunicazioni e a far rispettare gli spazi individuali, a partire dal diritto di essere lasciati in pace. È stata richiamata, inoltre, l´attenzione sulla prossima realizzazione in Italia dell´elenco telefonico generale destinato a contenere i dati degli abbonati ai servizi di telefonia fissa e mobile, evidenziando la necessità di prevedere una serie di importanti garanzie quali la possibilità di limitare i dati inseriti negli elenchi a quelli necessari alla identificazione, di chiedere gratuitamente di non essere inclusi negli elenchi, di ottenere che il proprio indirizzo sia in parte omesso e, qualora ciò sia fattibile, di non essere contraddistinto da riferimenti che rivelino il sesso.