g-docweb-display Portlet

20 - Le relazioni internazionali

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1638227]

Relazione 2008

Relazione 2008 - 2 luglio 2009
Parte II - L´attività svolta dal Garante

   
 

Indice generale 

Paragrafo precedente

Paragrafo successivo

20. Le relazioni internazionali   [ Relazione 2008 - Parte II - par. 20 (p. 229 - 262).pdfRelazione 2008 - Parte II - par. 20 (p. 229 - 262).pdf  130 Kb.]

La mancata entrata in vigore del Trattato di Lisbona ha rallentato i progetti delle autorità di protezione dei dati personali europee, riunite nel Gruppo art. 29 e nel Gruppo di lavoro Polizia e Giustizia, di valutare l´impatto delle nuove previsioni in materia di protezione dei dati personali. Il Trattato infatti richiama espressamente ed ingloba nel quadro giuridico le disposizioni della "Carta dei diritti fondamentali", che, com´è noto, all´art. 8 ha introdotto il diritto fondamentale delle persone alla tutela dei dati personali, affiancandolo all´art. 7 che riguarda il diritto alla riservatezza. Sempre il Trattato, nel prevedere la fine della divisione in pilastri dell´ordinamento comunitario, chiede un quadro di riferimento tendenzialmente unico in materia di trattamento dei dati personali. Giova ricordare che oggi nell´ambito del cd. "primo pilastro" – che riguarda i settori coperti dal diritto comunitario – esiste un quadro armonizzato di princìpi che, nel garantire la libera circolazione dei dati personali tra i Paesi dell´Unione europea, assicura agli individui un elevato livello di tutela, costituito dalla Direttiva 95/46/Ce sulla tutela delle persone rispetto al trattamento di dati personali e sulla libera circolazione di tali dati e dalla 2002/58/Ce che specifica i princìpi della direttiva generale in relazione al trattamento dei dati personali nell´ambito delle comunicazioni elettroniche. Nessun principio esiste al momento per quanto riguarda i trattamenti di dati che si svolgono nel cd. "secondo pilastro" (politica estera e di sicurezza comune), mentre è recentemente stata adottata una decisione quadro sulla protezione dei dati personali trattati nell´ambito della cooperazione giudiziaria e di polizia in materia penale che dovrà essere attuata dai Paesi dell´Unione entro la fine di novembre 2010. L´attenzione delle Autorità si è comunque mantenuta sul quadro giuridico generale per valutarne la tenuta e migliorarne l´attuazione, ovvero intervenire sulle modifiche proposte, ad esempio alla direttiva sulla privacy nelle comunicazioni elettroniche, o al nuovo programma di lavoro in materia di polizia e sicurezza, che sostituirà il cd. "Programma de L´Aja".

Il Garante ha attivamente partecipato a diversi gruppi di lavoro cooperando con le autorità europee e mondiali di protezione dei dati personali (v. par. 20.1 e seguenti). In alcuni casi ha anche svolto, come per il Gruppo di lavoro polizia e giustizia, un determinante e propositivo ruolo di iniziativa.

Da segnalare che il cons. Giovanni Buttarelli, che ha svolto il ruolo di segretario generale dal momento dell´istituzione dell´Autorità, nel dicembre 2008 è stato nominato Garante europeo aggiunto dei dati personali.

Occorre evidenziare gli importanti contatti intercorsi tra il Garante e il Parlamento europeo, nonché con il Commissario per i diritti umani del Consiglio d´Europa in particolare in relazione alle iniziative del Governo italiano per utilizzare i poteri di emergenza di protezione civile in alcune aree metropolitane (Napoli, Roma, Milano) in cui vivono popolazioni nomadi. L´annuncio del censimento rom ha destato preoccupazioni forti in tutta Europa e la Commissione europea è intervenuta richiedendo non solo al Governo, ma anche al Garante, di indicare l´impatto di tali iniziative sui diritti fondamentali ed in particolare sul diritto alla protezione dei dati personali. Il Parlamento europeo, dopo aver adottato una risoluzione critica nel luglio 2008 ha inviato componenti della Commissione Libe, per incontri con le autorità. Il Garante ha nell´occasione descritto al Comitato le azioni svolte per accertare il tipo di trattamento di dati e, successivamente, per definire le modalità idonee ad assicurare il rispetto dei princìpi di protezione dei dati.

Il Garante, infatti, anche sulla base di notizie di stampa circa l´eventuale ricorso a forme di rilevazione anche biometriche (impronte digitali) estese ai minori, per finalità di identificazione o di censimento di comunità di nomadi, ha chiesto informazioni, in particolare ai Prefetti di Roma, Milano e Napoli, rilevando tra l´altro che l´adozione di tali misure potrebbe determinare l´insorgere di delicati problemi discriminatori, potenzialmente lesivi della dignità delle persone e specialmente dei minori.

Al riguardo, il Ministero dell´interno ha informato l´Autorità dell´intenzione di promuovere l´adozione di alcune linee-guida rivolte ai prefetti in merito alla raccolta dei dati relativi al censimento delle comunità nomadi.

Con il provvedimento del 17 luglio 2008 [doc. web n. 1537659] l´Autorità ha quindi espresso il proprio parere favorevole sullo schema di linee-guida messe a punto dal Ministero dell´interno per l´attuazione delle ordinanze adottate dal Presidente del Consiglio dei ministri il 30 maggio 2008 concernenti insediamenti di comunità nomadi nelle regioni Campania, Lazio e Lombardia. Le linee-guida stabiliscono i princìpi fondamentali e le modalità da seguire nell´identificazione di chi risiede nei campi nomadi e tengono conto delle indicazioni e delle raccomandazioni in precedenza formulate dall´Autorità.

Anche l´incontro con il Commissario Hammarberg ha avuto come oggetto l´iniziativa del Governo italiano ed il ruolo svolto dal Garante.

L´Ufficio ha anche seguito con particolare attenzione le attività dei ministeri degli affari esteri e dell´interno sia per definire ed attuare le misure necessarie per l´emissione dei passaporti elettronici ed integrare nel chip le impronte digitali del titolare, come prescritto dai regolamenti comunitari, sia per la costruzione della parte nazionale del sistema Vis (sistema informativo visti) e la preparazione degli uffici consolari alle relative procedure.

Ha inoltre posto in essere le azioni necessarie per gli accertamenti preliminari sulla legittimità dei trattamenti svolti nella parte nazionale dei sistemi europei di informazione, partecipando alle decisioni adottate dalle Autorità di controllo Europol, Schengen, Eurodac ed alle azioni di enforcement avviate dal Gruppo art. 29.

 

 

La 30ma Conferenza internazionale delle autorità di protezione dati si è tenuta a Strasburgo dal 15 al 17 ottobre, organizzata congiuntamente dall´Autorità francese per la protezione dei dati (Cnil) e dall´Autorità federale tedesca (Bfd), per celebrare il trentennale dell´istituzione dei due organismi. La partecipazione è stata consistente, con oltre cinquecento iscritti provenienti da sessanta Paesi che si sono confrontati su tematiche legate da un unico filo conduttore: "come tutelare la privacy in un mondo che non conosce più frontiere".

 

 

 


Conferenze
delle autorità
su scala
internazionale

Le prime due giornate, articolate in sei sessioni, hanno affrontato temi assai diversi quali l´equilibrio fra privacy e sicurezza, le opportunità di trasformare la tutela della privacy in un bene primario anche per le imprese, i rischi legati alle social network, le debolezze e i punti di forza dell´attuale quadro normativo regionale ed internazionale.

La terza giornata è stata riservata, come è prassi, alla discussione fra le sole autorità di protezione dei dati e all´adozione di documenti e risoluzioni.

Fra queste ultime ricordiamo, in particolare, la Risoluzione sulla privacy on-line dei minori e la Risoluzione sull´urgenza di tutelare la privacy in un mondo senza frontiere. La prima sottolinea la necessità di educare e sensibilizzare alla protezione dei dati personali ed invita provider e operatori in genere, ad applicare il principio di minimizzazione nel trattamento di dati relativi a minori. La seconda mira alla creazione di un gruppo di lavoro, comprendente anche l´Autorità italiana e coordinato dall´Autorità nazionale spagnola, per definire standard internazionali in materia di privacy sulla base dei princìpi già definiti in altri strumenti di varie regioni del mondo – in particolare la Convenzione 108/1981 del Consiglio d´Europa ed i princìpi Ocse ed Apec.

Ancora va menzionata la Risoluzione sulla costituzione di un Comitato che rappresenti la conferenza in occasione di incontri internazionali, che prevede la creazione di un Comitato ristretto (comprendente anche l´Autorità italiana) per far ottenere alla Conferenza lo status di "osservatore" presso vari organismi internazionali quali Ocse, Iso, Apec, Itu, Unesco.

Infine, la Risoluzione sulla tutela della privacy nei servizi di social network, all´interno della quale, anche alla luce del cosiddetto "Memorandum di Roma", adottato dal Gruppo di Berlino durante l´incontro ospitato a Roma nel mese di marzo 2008 (v. Relazione 2007 p. 173), si invitano gli utenti a valutare con attenzione se e cosa pubblicare in rete, e si ricorda ai fornitori di tali servizi l´obbligo di informare adeguatamente gli utenti sulla natura dei trattamenti effettuati in rete e sui rischi possibili. Inoltre, la Risoluzione suggerisce l´applicazione di idonee misure (anche tecniche) per evitare che i dati personali siano estratti dai profili contenuti all´interno di siti di social network senza il consenso degli utenti (ad es., attraverso gli algoritmi dei motori di ricerca esterni). La Risoluzione, infine, contiene ulteriori raccomandazioni che riguardano, in particolare, la necessità di consentire agli utenti di limitare la visibilità dell´intero profilo e di recedere facilmente dal servizio cancellando ogni informazione pubblicata sul social network; cautele ancora maggiori devono essere messe in atto qualora l´utente (come spesso avviene in questi casi) sia un minore.

201 La cooperazione tra autorità garanti nell´ue: il gruppo art. 29
Il Gruppo art. 29 (che riunisce i rappresentanti delle autorità europee in materia di protezione dei dati personali, ed è stato istituito ai sensi dell´art. 29 della Direttiva 95/46/Ce), ha proseguito l´attuazione del programma biennale di attività adottato nel 2007 (cfr. Relazione 2007 , p. 160).

In particolare, con riferimento al miglioramento dell´applicazione della Direttiva 95/46/Ce, sono stati previsti interventi volti a chiarire l´interpretazione di alcuni aspetti chiave, primi tra tutti la nozione di "data controller" e quella di "data processor". L´analisi, approfondita nell´ambito di uno specifico gruppo di lavoro, si è posta l´obiettivo di meglio definire la portata applicativa delle nozioni di "titolare" e di "responsabile" del trattamento, in particolare in vista dell´allocazione della relativa responsabilità, dell´individuazione dei rispettivi ruoli in caso di outsourcing, nonché delle ipotesi di contitolarità del trattamento.

In ordine alla protezione dei dati nell´ambito dei trasferimenti internazionali, particolare rilevanza è stata attribuita all´analisi di strumenti quali le binding corporate rules e l´accordo Safe Harbor. In questo contesto, si sono inserite le attività di approfondimento e di riflessione volte alla delineazione di linee-guida per le imprese e alla modifica della procedura di cooperazione in materia di Bcr (v. prosieguo), nonché le valutazioni relative all´implementazione dell´accordo Safe Harbor, intensificatesi in occasione del Workshop on international transfers of personal data (Bruxelles, 21.10.08). Parimenti, è stato confermato l´impegno del Gruppo ad esprimersi, come richiesto dalla Commissione, in merito alla valutazione di adeguatezza di Israele, Andorra, Nuova Zelanda ed Ecuador.

In materia di nuove tecnologie, diversi sono gli obiettivi rilanciati dai Garanti europei; in particolare, si ricorda l´impegno a completare il lavoro già intrapreso con riferimento ai motori di ricerca e ai social network; quello di giungere a una seconda opinione sulla direttiva e-privacy; quello di proseguire le riflessioni in materia di Rfid e di profilazione.

Tra gli impegni assunti, si collocano anche alcuni di carattere interno, relativi al miglioramento dell´efficacia dell´attività con azioni volte, in particolare, all´instaurazione di buone pratiche di lavoro, al perfezionamento della comunicazione tra le autorità, all´implementazione del regolamento sulle procedure interne di funzionamento dei sottogruppi (cfr. WP 157).

Infine, tra le priorità del programma di lavoro, sono state inserite le tematiche relative a dati sanitari e trattamenti per finalità epidemiologiche, "pre-trial discovery", protezione dei dati e minori, "credit histories".

Per migliorare ed affinare le verifiche interne della corretta applicazione dei princìpi di protezione dei dati, è stato inserito nel programma di attività l´avvio di una nuova azione comune di verifica nel settore della conservazione dei dati di traffico telefonico e telematico, scelto in connessione con l´entrata in vigore della cd. "direttiva Frattini" 2006/24/Ce.

Diversi sono stati i documenti adottati dal Gruppo art. 29: di seguito si segnalano i principali.

 

Il Gruppo art. 29 ha espresso un parere sul progetto di standard internazionale elaborato dall´Agenzia mondiale anti-doping (World Anti-Doping Agency-Wada), volto a fissare le regole in materia di protezione dei dati trattati da organizzazioni e soggetti che operano nel settore dell´anti-doping sportivo (cfr. WP 156).

 

 

 


Parere 3/2008
sugli standard Wada
in materia
di anti-doping

Il Gruppo ha accolto con favore l´iniziativa della Wada anche alla luce dell´estensione geografica (globale) della sua applicazione. Tuttavia, non ha sostenuto interamente le previsioni degli Standard, considerata la presenza al loro interno di non poche lacune rispetto al livello minimo di tutela richiesto dalla normativa europea in materia di protezione dei dati.

Particolari raccomandazioni sono state suggerite con riguardo alle definizioni, ai princìpi di necessità e di proporzionalità, al trattamento dei dati sensibili, al consenso dell´interessato, all´informativa, alle attività di comunicazione e di conservazione dei dati e all´esercizio dei diritti da parte degli interessati.

Inoltre, particolare attenzione è stata dedicata all´implementazione della banca dati Adams, con sede in Canada, nella quale dovrebbero confluire ed essere conservati i dati che gli atleti sono tenuti a comunicare alle diverse organizzazioni anti-doping.

Sempre nell´ambito del progetto di standard internazionale per la protezione dei dati personali, il Gruppo art. 29 ha istituito un sottogruppo, per approfondire gli aspetti maggiormente problematici ed elaborare un secondo parere in materia.

Tra tali questioni si sono in particolare segnalate: il funzionamento del database Adams; l´individuazione della base giuridica del trattamento; le modalità del trattamento di dati sensibili e le tipologie dei dati trattati; la pubblicazione in Internet delle decisioni in materia di anti-doping; il trasferimento dei dati; la tipologia delle informazioni richieste agli atleti da inserire nel cd. "modulo whereabouts" volto a consentire la reperibilità degli atleti ai fini di controlli anti-doping; l´individuazione del titolare del trattamento; l´informativa da prestare agli interessati (v. par20.3)

 

 

Il Gruppo dei Garanti europei ha adottato un documento di lavoro (cfr. WP 158) volto a delineare le linee-guida in materia di trattamento di dati personali nell´ambito delle richieste di informazioni, provenienti per lo più dagli Stati uniti, relative alle attività di "pre-trial discovery" (ovvero le attività di ricerca della prova connesse all´instaurazione di un procedimento giudiziario).

 

 

 


Parere
sulla ricerca
di "pre-trial discovery"

Tale intervento è stato reso necessario dal crescente aumento delle attività di trasferimento transfrontaliero di dati personali collegato all´attuazione di ordini di trasmissione o di esibizione dei documenti emanati da giudici statunitensi.

La questione ha coinvolto in particolare società, spesso sussidiarie o controllate di gruppi multinazionali aventi sede legale negli Stati uniti, cui è stato richiesto, dalla capogruppo, di fornire informazioni (comprensive anche di dati personali relativi a dipendenti, clienti o fornitori) considerate rilevanti nell´ambito delle investigazioni difensive o delle attività pre-contenziose di ricerca della prova connesse all´instaurazione di un procedimento giudiziario. Il recente aumento di richieste di tal tipo, che, tra l´altro, comportano un trasferimento di dati personali, anche sensibili, verso paesi che non offrono adeguate garanzie di protezione, ha evidenziato la presenza di non poche problematiche in considerazione dell´applicazione della disciplina prevista dalla 95/46/Ce.

I Garanti europei hanno, dunque, rappresentato l´esigenza di contemperare le esigenze difensive, come disciplinate dalla normativa statunitense in materia di "pre-trial discovery", con i princìpi europei di protezione dei dati personali sanciti dalla Direttiva 95/46/Ce.

Sono state così emanate alcune linee-guida, indirizzate ai titolari del trattamento stabiliti in uno Stato membro, volte a ribadire che alle richieste di informazioni connesse ad esigenze difensive nell´ambito di procedimenti civili si applicano le norme in materia di protezione dei dati personali (il documento non si riferisce al processo penale).

Il testo (cfr. WP 158) dedica particolare attenzione alle finalità del trattamento, individuate con riferimento all´utilizzo delle informazioni così raccolte (conservazione, comunicazione, successivi trasferimenti o usi ulteriori), soprattutto in vista dell´applicazione dei princìpi di proporzionalità e di stretta finalità del trattamento, nonché delle previsioni della direttiva in materia di conservazione dei dati.

Speciale rilevanza è, inoltre, riservata alla determinazione della base giuridica del trattamento, la quale può essere alternativamente individuata, a seguito di un´analisi effettuata caso per caso, nel consenso dell´interessato (purché sia possibile dimostrarne la manifestazione libera e informata), nell´adempimento di un obbligo di legge (nei soli casi in cui all´interno dello Stato membro, in cui i dati sono raccolti, viga un obbligo normativo di conformarsi ad un ordine giudiziario proveniente da un giudice straniero), nel perseguimento di un legittimo interesse del titolare o di un terzo a condizione che non siano pregiudicati i diritti e le libertà fondamentali dell´interessato (operando una valutazione che tenga conto della effettiva rilevanza dell´informazione personale rispetto alle esigenze di difesa in giudizio).

Inoltre, il documento ribadisce i princìpi in materia di modalità del trattamento (art. 6 della Direttiva 95/46/Ce), di rilascio di una preventiva informativa agli interessati, in particolare tenendo conto della circostanza che i dati, nella maggior parte delle ipotesi, non sono raccolti presso l´interessato (artt. 10-11 della Direttiva 95/46/Ce), di esercizio dei diritti (artt. 12-15 della direttiva) e di adozione di adeguate misure di sicurezza (art. 17).

Infine, un´attenta riflessione è stata condotta con riferimento all´applicazione degli artt. 25-26 della direttiva in materia di trasferimenti transfrontalieri di dati personali. In tale contesto, il Gruppo dei Garanti europei ha incoraggiato l´adesione all´accordo Safe Harbor, nonché l´adozione di standard contractual clauses o di binding corporate rules, precisando però la necessità che il trasferimento di tali dati per finalità di difesa in giudizio sia espressamente ricompreso tra quelli coperti dagli strumenti sopracitati. La deroga di cui all´art. 26 (1), lett. d), della direttiva ("trasferimento per finalità di esercizio di un diritto in giudizio") non può, infatti, costituire una base giuridica sufficiente a legittimare trasferimenti "in massa" di dati personali verso paesi che potrebbero non assicurare una tutela adeguata.

 

Particolarmente intensa è stata l´attività del Gruppo dei Garanti europei in materia di "Binding corporate rules (Bcr)"

 

 

 


La Binding
corporate rules

Tale strumento, che trae la propria efficacia giuridica dal rilascio di specifiche autorizzazioni nazionali al trasferimento dei dati personali verso Paesi terzi, ha richiesto un´attenta riflessione volta a chiarirne la natura giuridica e a meglio definirne le modalità di applicazione.

Il lavoro del Gruppo art. 29 è stato, in particolare, dedicato all´analisi dello strumento delle Bcr e alla sua effettiva diffusione nell´ambito dei grandi gruppi multinazionali d´impresa. In questo contesto è stata valutata l´opportunità di rilanciarne l´efficacia, semplificare gli oneri connessi al loro utilizzo e rendere una maggiore trasparenza con riferimento alle relative procedure di adozione.

Sono state così predisposte alcune linee-guida esemplificative per le società, comprensive di una check list contenente tutti gli elementi necessari alla redazione delle Bcr da parte degli organismi coinvolti (cfrWP 153); la redazione di specifiche Faq volte a chiarire caratteristiche e contenuto delle Bcr medesime (cfrWP 155); l´individuazione di un "modello" esemplificativo di Bcr, in grado di costituire una guida utile per le società interessate (cfrWP 154).

Parimenti, è stato intrapreso un lavoro di approfondimento e di semplificazione della procedura amministrativa di rilascio delle autorizzazioni nazionali al trasferimento dei dati personali tramite Bcr, soprattutto con riferimento alla fase di "cooperazione" tra le Autorità in materia di protezione dei dati prevista dai documenti del Gruppo art. 29 (cfrWP 107 e WP 133). L´applicazione concreta ha, infatti, reso evidente l´opportunità di prevedere meccanismi di cooperazione più rapidi e trasparenti, in grado di velocizzare anche i tempi di definizione delle procedure di autorizzazione. È stata, in questo senso, intrapresa un´attività di revisione del WP 107, volta a migliorarne l´efficacia.

In tale linea alcune Autorità, tra cui il Garante, hanno aderito ad un accordo volto alla predisposizione di una procedura di "stretta cooperazione" in materia di procedura di rilascio delle autorizzazioni ai trasferimenti di dati personali tramite Bcr, con l´obiettivo di semplificare gli adempimenti posti a carico delle società e di definire in tempi più rapidi le attività di analisi dei testi di Bcr sottoposti a valutazione.

 

Il Gruppo ha approvato il documento di lavoro n. 1/2008 sulla tutela dei dati relativi ai minori (WP 147).

Il documento è stato sottoposto a consultazione pubblica, e ha costituito la base del successivo parere 2/2009 (WP 160) adottato l´11 febbraio 2009.

 

 

 


Privacy
e minori

Come nel documento di lavoro, il parere è suddiviso in due parti: la prima volta ad individuare i princìpi fondamentali in materia di protezione del minore con specifico riferimento alla tutela dei dati, e la seconda relativa all´attuazione dei princìpi di protezione dati nell´ambito scolastico, luogo assai significativo per lo sviluppo del minore e in cui si svolgono molte delle sue attività quotidiane.

Particolare attenzione è prestata al principio dell´interesse primario del minore (cd. "best interest of the child"), elemento fondamentale per la risoluzione dei conflitti che possono insorgere anche tra i minori e i loro rappresentanti. Ampio spazio è inoltre dedicato al principio di rappresentanza (da parte dei genitori o di chi abbia titolo) nonché alla necessità che nelle decisioni concernenti il minorenne si tenga conto del suo livello di maturità, coinvolgendolo progressivamente nelle scelte che lo riguardano.

Con specifico riferimento alla protezione dei dati, il parere ricorda che i princìpi di protezione dati e, in particolare, di qualità dei dati, di correttezza e di proporzionalità del trattamento devono essere rispettati soprattutto laddove il trattamento riguardi i minori. A tal proposito viene anche menzionato il diritto all´oblìo, particolarmente significativo considerato che le informazioni che riguardano il minorenne sono suscettibili di divenire presto obsolete ed eccedenti rispetto all´originario scopo della raccolta.

Con riferimento all´informativa, il parere si sofferma sulla necessità di utilizzare criteri di sinteticità e di semplicità in grado di accrescere, con un linguaggio adeguato, la consapevolezza del minore sul trattamento dei dati che lo riguardano.

La seconda parte del parere riguarda principalmente l´applicazione delle regole in materia di protezione dei dati nelle scuole. In particolare, sono enunciati i princìpi ai quali si devono ispirare i trattamenti dei dati che confluiscono nei dossier scolastici suscettibili di causare discriminazione tra gli studenti. Il parere si sofferma inoltre sulla comunicazione a soggetti terzi da parte delle scuole dei dati relativi agli alunni per finalità di marketing, nonché sulla disciplina dei risultati scolastici, caratterizzata da una certa difformità tra gli Stati membri che optano per il principio di trasparenza dei risultati e quelli che ne privilegiano invece la confidenzialità.

Grande attenzione è prestata all´impiego delle nuove tecnologie nella vita scolastica. L´impiego di dispositivi biometrici per l´accesso alle scuole, di videosorveglianza, e di badge muniti di Rfid devono ispirarsi al rigoroso rispetto del princìpi di necessità e di proporzionalità, anche tenendo conto che forme di controllo eccessive possono incidere sullo sviluppo del minore stesso.

Vengono dettati princìpi sull´uso di siti web scolastici, sulla pubblicazione di foto di minori anche su Internet, e apposite precauzioni per l´uso di videofonini.

Il parere richiama l´attenzione dei diversi soggetti coinvolti (insegnanti, scuole, autorità competenti, ecc.) sulla necessità di garantire un´adeguata protezione dei dati relativi ai minori e di avviare un processo di sensibilizzazione dei minori stessi riguardo ai rischi derivanti dal trattamento dei dati che li riguardano e all´esercizio dei loro diritti.

 

Del parere del 4 aprile 2008 (WP 148), sulla protezione dei dati in relazione alle attività dei motori di ricerca si è riferito nella Relazione 2007 (p. 164).

Dopo la pubblicazione del parere tutti i principali gestori dei motori di ricerca hanno contattato il Gruppo per manifestare la propria disponibilità a valutare con attenzione le indicazioni fornite dalle autorità europee. Google, inoltre, ha iniziato un dialogo molto serrato con il Data Protection Commissioner irlandese, avendo stabilito in Irlanda il proprio data center. Attraverso tale dialogo, Google ha inteso affrontare in modo dettagliato molte delle questioni sulle quali il Gruppo aveva sollecitato una presa di posizione da parte dei motori di ricerca. Le risposte di Google si sono concretizzate in una "lettera aperta" in cui l´azienda informava di aver ridotto il periodo di conservazione dei file di log degli utenti da diciotto a nove mesi, per venire incontro alle sollecitazioni del Gruppo art. 29 (che comunque aveva indicato un periodo non superiore ai sei mesi). Google affrontava tutti i punti sollevati nel parere del Gruppo art. 29 sui "motori di ricerca", con particolare riguardo alla natura di dato personale dell´indirizzo Ip (contestata da Google, che comunque non escludeva la necessità di un´analisi specifica, caso per caso, al fine di valutare l´effettiva rintracciabilità dell´interessato attraverso l´indirizzo Ip); all´applicazione delle disposizioni della Direttiva 2002/58/Ce rispetto ai cookie utilizzati per tenere traccia degli utenti ed alla titolarità del trattamento (Google Inc. non riteneva che i trattamenti effettuati dalle controllate europee, principalmente per finalità di natura commerciale, consentissero di estendere le norme della direttiva Ue ai trattamenti effettuati attraverso il motore di ricerca, pur riconoscendo che vi è un margine di apprezzamento in materia); alla liceità delle operazioni di trattamento effettuate da Google. Il Gruppo art. 29 ha quindi deciso di tenere un´audizione pubblica per sollecitare chiarimenti su queste ed altre problematiche (ad es., le modalità di anonimizzazione delle stringhe di ricerca), invitando i principali gestori di motori di ricerca (Google, Yahoo! e Microsoft) ed un meta-motore di ricerca (Ixquick); l´audizione si è tenuta durante la riunione plenaria del febbraio 2009.

 

 

 


Protezione
dei dati
e attività
dei motori
di ricerca

Il Gruppo si è successivamente dato alcune settimane di tempo per riflettere sulle risposte fornite e valutare l´opportunità di altre iniziative congiunte. Va rilevato che nel frattempo anche Microsoft e Yahoo! hanno segnalato la propria disponibilità a ridurre i tempi di conservazione dei file di log degli utenti, pari a diciotto mesi per quanto riguarda Microsoft (che si è dichiarata disposta a scendere a sei mesi) e a novanta giorni per quanto concerne Yahoo! (anche se i log, di fatto, vengono conservati in forma non anonima per sei mesi per finalità di lotta contro frodi ed altre forme di criminalità).

 

Come accennato nella Relazione 2007 (v. p. 165), il Gruppo art. 29 si è occupato delle proposte di revisione della Direttiva 2002/58/Ce, presentate dalla Commissione il 13 novembre 2007, in materia di privacy e comunicazione elettroniche. Va sottolineato che il pacchetto di proposte della Commissione comprendeva anche una "proposta di Regolamento" concernente l´istituzione di un´Autorità europea di regolazione del mercato delle comunicazioni, fra i cui compiti rientrerebbe la definizione di standard di sicurezza paneuropei (con ciò accogliendo in parte la proposta formulata dal Gruppo art. 29 nel suo contributo alla consultazione pubblica del 2006). Tale proposta è stata, però, successivamente bocciata dal Consiglio e dal Parlamento europeo.

 

 

 


Privacy
e comunicazioni
elettroniche

Il Gruppo ha pubblicato quindi un parere (WP 150 del 15 maggio 2008) indirizzato in via primaria alla Commissione europea, ma rivolto anche al Parlamento ed al Consiglio. In sintesi, il parere sottolinea la necessità di garantire più efficacemente la sicurezza delle reti e facilitare l´esercizio dei diritti degli utenti. In particolare, esso condivide alcune delle osservazioni contenute nel documento pubblicato sullo stesso tema dal Garante europeo per la protezione dei dati (10 aprile 2008); i Garanti concordano sull´opportunità di guardare alle reti in una prospettiva più ampia, data la natura sempre più spesso "mista" (pubblica/privata) delle reti di comunicazione elettronica, nonché sulla valutazione positiva di alcuni emendamenti proposti dalla Commissione – soprattutto il chiarimento relativo all´applicabilità delle disposizioni della direttiva a tecnologie quali l´Rfid, in quanto utilizzino "reti di comunicazione elettronica disponibili al pubblico" per veicolare i segnali di trasmissione, e l´attribuzione del diritto di intraprendere azioni legali in caso di violazioni della normativa nazionale (ad es., in materia di spam) anche a soggetti non direttamente colpiti, ma comunque direttamente interessati, quali i fornitori di servizi Internet.

Il Gruppo art. 29 ha proposto, tuttavia, ulteriori emendamenti che riguardano, in modo particolare, l´estensione dell´obbligo per i fornitori di servizi di comunicazione di notificare violazioni e/o rischi per la sicurezza delle reti a tutti gli "utenti" dei servizi di comunicazione elettronica (anziché ai soli "abbonati" a tali servizi); ciò dovrà avvenire secondo un approccio equilibrato che tenga conto dei costi e dell´impatto che tali notifiche possono esplicare sull´attività dei fornitori (ad es., in termini di danno di immagine). Inoltre, il Gruppo ha segnalato l´opportunità di ampliare la definizione di "sistemi di chiamata" contenuta nella Direttiva 2002/58/Ce (art. 13) includendovi i sistemi di "comunicazione" (per tenere conto degli sviluppi tecnologici legati, ad esempio, alla tecnologia Bluetooth, il cui funzionamento è difficilmente assimilabile ad una "chiamata" sul terminale dell´utente); ciò consentirebbe di garantire una protezione più efficace nei confronti delle comunicazioni indesiderate. Per lo stesso motivo, l´estensione del "diritto di intraprendere azioni legali" dovrebbe comprendere le violazioni dell´articolo 5.3 della direttiva, ossia l´uso e l´installazione, per esempio, di spyware.

Il parere ricorda, inoltre, l´esigenza di garantire l´applicazione del principio di necessità (o minimizzazione) nell´utilizzo e nella gestione dei servizi di comunicazione elettronica, attraverso la realizzazione dell´approccio definito "privacy by design", nonché l´obbligo per i provider di assicurare, più in generale, la riservatezza delle comunicazioni a prescindere dalla configurazione fisica delle reti utilizzate per la trasmissione di tali comunicazioni – quindi tenendo conto di eventuali accordi tecnologici stipulati con soggetti o imprese di Paesi terzi rispetto ai flussi di dati in partenza dall´Ue.

iter comunitario è successivamente proseguito con l´adozione da parte del Parlamento europeo, il 24 settembre 2008, delle proposte di modifica del pacchetto comunicazioni elettroniche. Riguardo alla Direttiva 2002/58/Ce, il Parlamento ha seguito solo parte delle indicazioni contenute nel parere del Gruppo articolo 29; peraltro, alcune delle proposte presentate dai gruppi parlamentari introducevano obblighi ulteriormente stringenti (ad es., relativamente alla segnalazione di rischi o violazioni reali della sicurezza in rete da parte dei provider di servizi di comunicazione elettronica). Come accennato, il Parlamento ha respinto la proposta di costituire un´autorità unica europea incaricata di vigilare e legiferare sulla sicurezza delle reti di comunicazione elettronica. Le modifiche del Parlamento, inoltre, proponevano di estendere il campo di applicazione della direttiva ai "servizi della società dell´informazione", e non ai soli servizi di comunicazione elettronica accessibili al pubblico, e consentivano agli Isp di utilizzare i dati di traffico anche per finalità connesse alla "sicurezza" delle reti e delle comunicazioni.

Conformemente alla procedura di codecisione, si è quindi avuta, il 28 novembre 2008, l´adozione della proposta modificata del Consiglio Ue relativa al pacchetto normativo in oggetto. Il Consiglio ha recepito solo una parte degli emendamenti del Parlamento ed ha tenuto conto in misura ridotta delle osservazioni contenute in un documento di compromesso presentato dalla Commissione il 7 novembre 2008. In base al testo del Consiglio, le principali modifiche al testo attuale della Direttiva 2002/58/Ce riguarderebbero gli obblighi di notifica delle violazioni della sicurezza che coinvolgano dati personali (limitate alle violazioni "gravi", non meglio definite, secondo un meccanismo in tre tempi che prevede anche la notifica alle autorità di protezione dati, e solo con riguardo agli "abbonati" interessati); l´estensione della possibilità di trattare dati di traffico per non meglio precisati "scopi di sicurezza" (secondo quanto indicato nel nuovo comma 6a dell´articolo 6); l´estensione della possibilità di ottenere tutela (giuridica o di altra natura) contro violazioni degli obblighi concernenti le comunicazioni indesiderate (spam: articolo 13) a tutte le persone fisiche e giuridiche, compresi quindi gli stessi fornitori dei servizi di comunicazione elettronica, e con riguardo agli "utenti" di tali servizi (non soltanto, dunque, agli "abbonati" come attualmente previsto). Il Consiglio ha specificato l´ambito delle comunicazioni indesiderate (indicando che "electronic mail" comprende anche Sms e Mms). La Commissione europea, attraverso il Commissario Reding, si è espressa negativamente su tale proposta di compromesso, ritenuta troppo timida; il Garante europeo ha successivamente reso pubblico un secondo parere sulle proposte di modifica (9 gennaio 2009) contenente numerose e dettagliate osservazioni, in buona parte critiche.

Anche il Gruppo art. 29 ha adottato un nuovo parere, il 10 febbraio 2009, relativo al testo licenziato dal Consiglio e, in parte minore, agli emendamenti proposti dal Parlamento europeo.

I Garanti plaudono all´estensione (proposta dal Parlamento europeo) dell´ambito di applicazione della direttiva ai "servizi della società dell´informazione"; inoltre, chiedono di chiarire sia le modalità di notificazione delle violazioni della sicurezza dei sistemi telematici, sia i soggetti coinvolti (suggerendo di indirizzare la notifica anche agli utenti solo in caso di violazioni che comportino "conseguenze avverse" per la protezione dei loro dati personali), sia il concetto di "grave" violazione della sicurezza informatica. Peraltro, il parere giudica superflua e potenzialmente lesiva della privacy individuale l´introduzione, da parte del Consiglio, del comma 6a nell´art. 6 della direttiva; tale comma prevederebbe la possibilità di trattare dati di traffico "per scopi di sicurezza delle reti e delle informazioni" non meglio precisati. Vengono ritenuti inopportuni anche alcuni emendamenti proposti dal Parlamento europeo (e non accettati dal Consiglio) quali, in particolare, la previsione di ritenere la configurazione di default dei programmi di navigazione (browser) come manifestazione del consenso espresso dell´interessato rispetto alla ricezione di, ad esempio, cookies o altri programmi; quanto all´obbligo di segnalare alle autorità di protezione dati le richieste di accesso ai dati di traffico telematico da parte delle autorità giudiziarie e di polizia, che il Parlamento proponeva di introdurre su base automatica nei confronti dei provider, il Gruppo ha ritenuto preferibile chiedere la predisposizione di un rapporto annuale, redatto sulla base di criteri comuni e uniformi, così da consentire alle singole autorità di valutare la necessità di accertamenti ulteriori. Fra gli aspetti del testo del Consiglio sui quali il Gruppo esprime il proprio apprezzamento, occorre ricordare la possibilità per le persone giuridiche di far valere i propri diritti in caso di comunicazioni indesiderate ed i chiarimenti, contenuti nei "considerando" aggiunti al testo della direttiva, relativi alla natura di Sms, Mms ed altre modalità di comunicazione elettronica.

 

Il Gruppo ha conferito mandato al sottogruppo Enforcement di impostare l´attività di verifica relativa all´applicazione della direttiva sulla conservazione dei dati a fini di lotta alla criminalità (Direttiva 2006/24/Ce sulla data retention). Sono stati designati come rapporteurs l´autorità italiana e quella cipriota. Superate le iniziali difficoltà sull´impostazione dell´azione di enforcement (la direttiva non è stata attuata ancora in molti paesi), il sottogruppo ha acquisito, attraverso le autorità di protezione dei dati, informazioni di base sull´organizzazione del settore, sul tipo di società – nazionali o transnazionali – che erogano i servizi, sui poteri delle autorità stesse di supervisione e controllo dei trattamenti di dati. Successivamente ha definito i criteri per la selezione delle società fornitrici di reti e di servizi di comunicazioni elettroniche cui rivolgersi. Il campione selezionato sarà chiamato a fornire adeguata risposta alle domande formulate in un apposito questionario comune. Nel caso specifico il Gruppo ha scelto un campione rappresentativo limitato nel numero e formulato questioni molto precise soprattutto sulla sicurezza dei dati e dei sistemi. La prima fase a livello nazionale sarà basata sulla somministrazione di un questionario, conciso e preciso, e sarà seguita da una seconda fase di controllo in loco delle risposte fornite, ove ritenuto necessario dall´autorità di protezione dei dati. L´azione si svolgerà nel corso del 2009 e dovrebbe concludersi, con il rapporto finale e le considerazioni del Gruppo art. 29, nei primi mesi del 2010.

 

 

 


Enforcement

Diverse le attività svolte in connessione alle vicende Pnr.

Pnr Usa: il Gruppo art. 29 ha approvato il nuovo testo dell´informativa breve, lunga ed extrabreve per le compagnie aeree e le agenzie di viaggio, anche ai fini delle prenotazioni effettuate telefonicamente, in rapporto al nuovo accordo Pnr del luglio 2007.

 

 

 


Trattamento
dei dati
di passeggeri
aerei (Pnr)

 

 

 

 

La visita negli Usa per la revisione congiunta dell´applicazione degli accordi non si è effettuata, perché la nuova amministrazione americana ha chiesto tempo per prepararsi. Peraltro non è chiaro quale presenza e ruolo assumeranno nella delegazione europea le autorità di protezione dei dati personali.

Pnr europeo: continuano i lavori di follow up del parere congiunto adottato nel dicembre 2007 dal Gruppo art. 29 e dal Working Party on Police and Justice (Wppj) sulla proposta di "proposta di decisione-quadro" che istituisce un sistema europeo di raccolta ed analisi delle informazioni che obbliga i vettori aerei a mettere a disposizione delle autorità competenti per la prevenzione e repressione dei reati in anticipo rispetto all´effettuazione dell´imbarco i dati dei passeggeri raccolti fin dal momento della prenotazione del volo. Da segnalare il parere legale dell´ufficio giuridico del Consiglio, che ha indicato l´opportunità di modificare la base giuridica scelta per la redazione della proposta di decisione-quadro sul Pnr europeo e di garantire un migliore rispetto dei diritti di protezione dati; in questo caso, il servizio giuridico suggerisce una modifica della Direttiva 95/46/Ce che estenda il suo ambito di applicazione ai trattamenti di terzo pilastro. I lavori di analisi e discussione della proposta sono in corso presso il Consiglio, che intenderebbe mantenere la base giuridica scelta. Il Gruppo ha deciso la preparazione di un secondo parere, sempre congiuntamente al Wppj.

Follow-up Pnr Canada: la revisione congiunta dell´applicazione degli accordi si è svolta nell´autunno del 2008 con la collaborazione delle autorità canadesi.

La delegazione era formata anche da rappresentanti delle autorità di protezione dei dati personali. Nell´occasione, anche su sollecitazione scritta rivolta dal Gruppo alla Commissione per chiedere chiarimenti e sottolineare che le attività di matching, controlli, ecc. previste dal Memorandum non sembrano essere conformi all´accordo Pnr raggiunto fra Ue e Canada, è stato sollevato anche il problema del Memorandum of understanding Canada (Passenger Protect Program) / Compagnie aeree europee.

Il Gruppo ha anche adottato un documento che fissa alcuni standard generali rispetto al trasferimento di dati relativi a passeggeri (Pnr) (WP 151). Il documento si era reso necessario considerate le crescenti richieste di tali dati formulate da diversi Paesi (quali India, Corea, Australia) e le conseguenti pressioni sulle compagnie aeree. Il documento potrebbe servire non solo per i negoziatori comunitari (Consiglio e Commissione) con i Paesi summenzionati, ma anche per influenzare l´Icao a migliorare i global standard già elaborati.

Il Gruppo ha anche espresso dubbi e perplessità in una lettera alla Commissione relativamente alle richieste americane di un nuovo sistema di controllo degli ingressi (Esta: Electronic System for Travel Authorization).

Il sistema prevede che chi intende recarsi negli Usa invii in anticipo un formulario elettronico contenente gli stessi elementi oggi richiesti in formato cartaceo. Il passaggio da un sistema cartaceo ad uno elettronico, anche per gli effetti sulla legge applicabile, presenta alcune criticità, evidenziate alla Commissione per consentirle le opportune iniziative prima che la proposta entri in vigore.

Anche per quanto riguarda l´introduzione in Europa di un analogo sistema, che sembra potersi evincere dal sopra ricordato pacchetto di iniziative per il rafforzamento dei controlli alle frontiere esterne, il Gruppo ha inviato una lettera al Commissario Barrot per richiamare l´attenzione della Commissione sulla necessità di valutare l´effettiva applicazione di disposizioni comunitarie già in essere prima di procedere all´introduzione di ulteriori obblighi in materia di raccolta e trattamento dei dati relativi a passeggeri.

202 La cooperazione delle autorità di protezione dei dati nel settore libertà, giustizia e affari interni
Da segnalare in particolare due elementi: da un lato l´intensificarsi e lo strutturarsi dei lavori del Gruppo di lavoro Polizia e giustizia (Wppj) sotto la guida del presidente del Garante; dall´altro, il crescente coordinamento con il Gruppo art. 29, volto a favorire una valutazione possibilmente completa degli aspetti di protezione dei dati personali delle iniziative che non si esauriscono nell´ambito di uno dei pilastri in cui si articolano le competenze dell´Unione: un caso classico riguarda l´uso dei dati dei passeggeri aerei, raccolti per la prestazione del servizio di trasporto, ma oggetto di crescenti pressioni ed interventi normativi per rendere i relativi database di immediato e pieno accesso per le forze di polizia e giudiziarie a fini di "valutazione del rischio" e profilazione. Analogamente per i tabulati relativi alle utenze e al traffico telefonico e telematico.

Come si è già rilevato, per il modo di elaborazione e per la frammentarietà delle competenze in materia in seno all´Unione, molte nuove iniziative dell´Unione europea che riguardano dati personali sono tuttora sottratte al controllo delle autorità di protezione dei dati, alcune perché riguardano materie di terzo pilastro, altre perché non rientrano in modo netto in uno dei tradizionali pilastri dell´Ue.

Il Gruppo art. 29 ed il Gruppo di lavoro polizia e giustizia, oltre a rivolgersi al Parlamento europeo che svolge peraltro un ruolo ancora limitato nelle materie non facenti parti del cd. "primo pilastro" hanno, come ricordato sopra, cooperato ad iniziative congiunte.

Le autorità di protezione dei dati hanno segnalato con preoccupazione sempre maggiore il progressivo venir meno di "momenti istituzionalizzati" presso il Consiglio ed anche, in parte, presso la Commissione, che favorissero la necessaria valutazione dell´impatto delle nuove iniziative sui diritti fondamentali della persona e, più specificamente, sulla tutela dei dati personali; il ritardo dell´entrata in vigore del nuovo trattato non ha certamente giovato.

Tra le iniziative legislative in ambito europeo va finalmente registrata la decisione quadro sui princìpi per il trattamento dei dati personali nel terzo pilastro, elemento richiamato dal "Programma de L´Aja" come necessario di riferimento per le attività di cooperazione tra forze di polizia e magistratura, al fine di prevenire e reprimere reati (GU L350 del 30 dicembre 2008).

Il testo della decisione quadro tuttavia, come ricordato, è stato modificato in pejus durante la discussione in Consiglio, rispetto all´originaria proposta della Commissione, e non contiene più alcuna previsione circa la creazione di un organismo parallelo a quello del Gruppo art. 29 con ruolo indipendente e consultivo. Altri aspetti su cui le autorità di protezione dati hanno rilevato la debolezza dell´impianto normativo e delle tutele previste, riguardano: il campo di applicazione, limitato a disciplinare i soli scambi di dati tra i Paesi Ue e non direttamente applicabili ai trattamenti di dati nazionali, i meccanismi che consentono l´ulteriore trasferimento dei dati a Paesi ed organismi terzi, i diritti di accesso ed informazione delle persone interessate e le modalità del trattamento dei dati sensibili. Si tratta di aspetti di grande rilievo, suscettibili di incidere negativamente sul raggiungimento di quell´elevato livello di tutela che la decisione quadro dichiara di voler garantire agli interessati, ribaditi nel comunicato stampa del Gruppo polizia e giustizia, soprattutto allo scopo di ricordare che i princìpi devono essere coerenti in tutti gli Stati.

Va menzionato poi che nel terzo pilastro, a parte l´attività del Gruppo polizia e giustizia, è continuata l´attività in particolare delle Autorità comuni di controllo Schengen, Europol e Dogane, organismi di supervisione e controllo istituiti da specifiche convenzioni.

È continuata anche l´attività di supervisione a livello europeo sul funzionamento del sistema Eurodac, coordinata dal Garante europeo.

Questo modello di supervisione sarà applicato, una volta entrati in funzione, anche per il Vis (sistema informativo visti) – la cui entrata in funzione è prevista per la fine del 2009 – nonché per il SIS II che sarà invece operativo verso la seconda metà del 2010, essendo emersi problemi di notevole complessità.

Sulle modalità attuative del Vis sembra essere stato raggiunto l´accordo interistituzionale per assoggettare all´obbligo di fornire le impronte digitali i bambini a partire dai dodici anni, sia per la richiesta di visti, sia per altri tipi di documenti, attraverso la definizione di "modelli standard" europei e per disciplinare le procedure presso gli uffici consolari e gli altri uffici abilitati al rilascio dei visti di breve soggiorno (cd. "visti Schengen").

L´Italia ha presentato, ed è tuttora in discussione presso il Parlamento, il disegno di legge di ratifica del cd. "Trattato di Prüm" (d.l. n. 586) che prevede tra l´altro l´istituzione della banca dati Dna. Nel frattempo, su forte pressione della presidenza di turno del Consiglio sono stati adottati e pubblicati i testi delle due decisioni del Consiglio che trasformano in iniziativa legislativa dell´Unione gran parte delle disposizione del Trattato di Prüm e delle disposizioni applicative (Decisione 2008/615/GAI del 23 giugno 2008 in GU L210 - Decisione 2008/616/GAI del 23 giugno 2008 in GU L210).

Le relative disposizioni entreranno in vigore nel luglio 2009.

Su tali temi il Garante ha elaborato spunti e proposte per garantire il necessario rispetto dei princìpi di protezione dei dati personali nell´elaborazione e nell´attuazione delle disposizioni suindicate.

 

Nel periodo considerato l´Acc ha continuato la sua attività sulla proposta di decisione per l´integrazione di Europol tra le strutture dell´Unione e sulla definizione del quadro generale di riferimento per lo svolgimento della sua attività e le norme attuative della proposta medesima.

Il testo della proposta ha tenuto nella giusta considerazione le osservazioni formulate dall´Acc, in particolare per quanto concerne le garanzie per l´accesso ai dati da parte degli interessati e l´esercizio effettivo dei diritti conferiti. Complessivamente gli aspetti relativi al trattamento dei dati personali da parte di Europol sono sostanzialmente immutati rispetto alle previsioni contenute nella Convenzione Europol. Il Consiglio ha raggiunto l´accordo sul testo che è stato quindi adottato senza discussione e pubblicato nel mese di aprile 2009 (Decisione 2009/371/GAI del 6 aprile 2009 in GU L121). L´entrata in vigore è prevista per il 1° gennaio 2010 e per quella data dovranno essere completate le modifiche per adattare le vigenti disposizioni alle nuove previsioni: si tratta ad esempio delle regole per l´apertura del file di analisi, per la trasmissione a Stati ed organismi terzi di dati nell´ambito di una procedura che richiede il parere dell´Acc Europol, ma che determinano anche la necessità per la stessa Acc di modificare il suo regolamento interno.

 

 

 


Europol:
l´attività
dell´Autorità
di controllo comune
e i casi
di contenzioso

Per quanto in particolare riguarda il lavoro di supervisione, si conferma l´importanza dell´attività ispettiva, condotta annualmente, dell´Acc e affidata ad un gruppo che comprende esperti degli aspetti tecnologici.

L´ispezione si svolge di regola nel mese di marzo. Nel corso dell´ultima i partecipanti hanno focalizzato le verifiche sul contenuto e qualità dei dati trattati nei file di analisi e nel sistema di informazione Europol, sulla valutazione del funzionamento di quest´ultimo, sull´infrastruttura tecnica utilizzata e sull´attuazione delle raccomandazioni formulate dall´Acc nelle precedenti ispezioni. Con l´occasione sono stati svolti accertamenti sui dati detenuti da Europol relativi a procedure di ricorso aperte presso l´apposito comitato dell´Acc, nonché nel funzionamento e contenuti dei progetti "Check the web" ed Oasis.

Dall´esito dell´ispezione e dagli accertamenti svolti anche in sede nazionale dalle autorità di protezione dei dati, incluso il Garante, è risultato che va maggiormente verificata la legittimità dell´inserimento di dati nel sistema di informazione Europol legata ad operazioni Frontex. Pertanto pur se l´Acc ha riconosciuto l´alto grado di adeguamento alle raccomandazioni formulate da parte di Europol, sono state rappresentate preoccupazioni per un uso del sistema che potrebbe essere non pienamente rispettoso delle regole esistenti.

L´Acc ha continuato a seguire, anche attraverso i risultati dell´ispezione, l´uso del sistema "check the web", un portale che mette a disposizione degli Stati partecipanti le informazioni ed i link ai siti web utili ai fini della lotta alla criminalità e l´uso di OASIS, progetto messo a punto per consentire analisi strategiche e di sistema al di là dei limiti imposti dai singoli file di analisi ritenuti troppo angusti.

Attività consultiva dell´Acc: l´Acc ha espresso parere sull´apertura di un file di analisi e su due richieste di autorizzare il direttore di Europol ad aprire negoziati con Paesi terzi per la trasmissione di dati personali. Nell´occasione l´Acc ha analizzato sulla base delle informazioni fornite da Europol il livello di adeguatezza dei due Paesi in questione, ravvisando problemi più importanti rispetto all´apertura di negoziati con uno di essi (la Russia); per l´altro, (Israele), invece, i pur rilevanti problemi riscontrati potrebbero incidere sulla stipula di un accordo per la trasmissione dei dati da Europol.

Nella conferenza, tenuta a Bruxelles il 9 ottobre, per celebrare i dieci anni di attività dell´Acc, i risultati finora raggiunti e le sfide future, il presidente del Garante, quale presidente del Gruppo polizia e giustizia ha offerto diversi spunti sulle attività svolte nel settore giustizia, sicurezza e libertà, evocando possibili futuri scenari per la cooperazione tra le autorità di protezione dei dati nel settore.

Attività del Comitato ricorsi: il Comitato ha definito un caso basato su una richiesta di accesso e verifica dei propri dati. In ragione delle circostanze emerse il Comitato ha chiesto ad Europol di riconsiderare la decisione iniziale di non rivelare l´esistenza o meno di dati relativi all´interessato ed ha ottenuto che questi ottenesse una risposta chiara in merito. Un altro caso è tuttora pendente. L´Acc ha quindi discusso ed approvato la relazione di attività relativa al biennio 2006-2008, in corso di pubblicazione.

Le attività dell´Acc, inclusi i pareri adottati e le iniziative svolte sono comunque disponibili anche in italiano sul sito dell´Acc.

 

In base alla Convenzione istitutiva, il Sistema informativo doganale (Sid) è formato da una base di dati centrale cui si può accedere tramite terminali in ogni Stato membro. Alla Commissione europea è affidata la gestione tecnica dell´infrastruttura del sistema.

La vigilanza sul corretto funzionamento del Sid è affidata ad una autorità comune di controllo, composta, per ciascun Paese, da due rappresentanti delle autorità nazionali di protezione dei dati.

 

 

 


Il Sistema
informativo
doganale:
l´attività
dell´Autorità
di controllo comune

L´Acc Dogane ha esaminato nel 2008 la bozza di rapporto sul funzionamento del sistema chiedendo di evidenziare alcuni aspetti di criticità emersi nell´ispezione svolta nel 2007, in particolare sui profili di sicurezza.

Le raccomandazioni dell´Acc richiedono di chiarire che ai fini del corretto adempimento degli obblighi del trattamento dei dati personali la responsabilità deve essere attribuita congiuntamente ad Olaf, l´organismo antifrode della Commissione europea, ed agli Stati membri; di migliorare la procedura per mantenere la registrazione dei diritti e credenziali attribuiti agli operatori e la valutazione periodica di queste, nonché una politica comune per la gestione delle password e il miglioramento della management policy del sistema per garantire la qualità e l´integrità dei dati. L´Acc ha anche richiesto di sviluppare azioni in materia di formazione del nuovo SIS basato sul web, fornendo la necessaria attenzione agli aspetti di protezione dei dati, preparando linee-guida ed istruzioni su aspetti specifici.

L´Acc ha inoltre completato la verifica del rispetto delle condizioni per la raccolta e trattamento dei dati personali iniziata lo scorso anno, sia con un audit sulla congruità delle misure di sicurezza adottate presso l´unità centrale, sia con la raccolta di informazioni a livello nazionale delle misure esistenti sulla scorta di un questionario comune; prima di intraprendere un´azione comune finalizzata a verificare la liceità dei trattamenti di dati personali, ha suggerito agli Stati di svolgere un ruolo più attivo per far individuare e se possibile, prevenire problemi di sicurezza.

A tal fine l´Acc ha sviluppato una sorta di kit di autovalutazione che il Regno Unito, la Grecia e la Slovacchia stanno sperimentando. Al termine della sperimentazione un nuovo questionario/test sarà messo a punto quale base, per le autorità di protezione dei dati, delle attività nazionali di supervisione.

Va infine segnalato che l´Acc sarà chiamata a fornire il suo parere su una proposta di atto comunitario, probabilmente una decisione, sull´uso delle tecnologie dell´informazione a scopi doganali che sostituirà la Convenzione indicata sopra.

 

L´attività dell´Acc Schengen pur continuando a seguire gli sviluppi del SIS ed il passaggio dal vecchio al nuovo sistema, si è maggiormente incentrata sul funzionamento dell´attuale sistema.

 

 

 


Schengen

L´integrazione di nove dei dieci Paesi entrati a far parte dell´Unione nel 2004 nel SIS e l´abolizione delle frontiere con questi nuovi Stati è il fatto più importante degli ultimi anni. Anche la Svizzera ed il Liechtenstein sono oggi considerati a pieno titolo nella cooperazione Schengen.

L´Acc Schengen ha pertanto ritenuto opportuno completare le verifiche nazionali sulla legittimità dei trattamenti di dati in relazione alle segnalazioni inserite nel SIS in base agli articoli 97 e 98, nonché procedere ad un aggiornamento della guida all´esercizio del diritto di accesso ai dati contenuti nel SIS, anche in vista dell´entrata in funzione del SIS II prevista per la seconda metà del 2010.

La Commissione europea, che avrà la responsabilità della gestione tecnica del SIS II sta predisponendo, con la collaborazione delle autorità nazionali di protezione dei dati, una campagna informativa per i cittadini.

L´Acc ha iniziato a seguire la migrazione dei dati dal SIS al SIS II e lo scenario futuro della supervisione e controllo (che passerà dall´Acc all´Edps con le autorità di protezione dati).

L´Acc ha inoltre adottato un parere in relazione all´attuazione dell´articolo 102 a) della Convenzione.

È stato altresì predisposto ed approvato il rapporto di attività, che copre il triennio 2005-2008 (Schengen Joint Authority - Activity Report - Dec. 2005 - Dec. 2008).

In relazione all´azione comune di verifica in ciascuno dei Paesi partecipanti della regolarità delle segnalazioni inserite nel sistema con riferimento all´art. 99 della Convenzione (sorveglianza discreta e controllo specifico), il Garante ha ampliato l´attività di verifica rispetto a quanto deliberato dall´Acc. A conclusione della parte nazionale dell´accertamento, è stato adottato un provvedimento con le prescrizioni ritenute necessarie a conformare il trattamento alle disposizioni della Convenzione. Si nota tuttavia una certa difficoltà da parte del Ministero dell´interno ad adeguarsi alle prescrizioni del Garante, in particolare per quanto riguarda la corretta individuazione dei casi in cui possono essere inserite nel SIS segnalazioni basate su questo articolo, che fa riferimento al concetto di "reati particolarmente gravi" assunto come non esistente in Italia. Altri aspetti tuttora aperti concernono la supervisione delle misure di sicurezza: si attende il completamento della migrazione in altra sede di tutto il sistema per procedere ad una verifica in loco.

 

L´attività di coordinamento del Garante europeo per la protezione dei dati personali, dopo l´adozione del primo rapporto, prosegue con gli approfondimenti necessari a valutare le procedure seguite dagli Stati sia per definire l´età (dodici anni) oltre la quale le impronte possono essere inserite nel sistema, sia per informare le persone dell´uso che sarà fatto delle impronte, nonché sulle modalità di trattamento dei dati in Dublinet.

 

 

 


Eurodac

Al termine degli accertamenti svolti (v. Relazione 2007, pp. 168-169) è stato adottato un provvedimento [doc. web n. 1537606] contenente le prescrizioni considerate per conformare il trattamento alle norme vigenti. Molte raccomandazioni formulate nel rapporto del Garante europeo sono state riprese dal Garante e fatte oggetto di apposita prescrizione.

Anche in questo caso gli accertamenti sono stati estesi alla procedura di applicazione della Convenzione di Dublino, che prevede la possibilità di rinvio del richiedente asilo ad altro Paese laddove risulti esistente una segnalazione di questo Paese.

Il Garante è intervenuto in particolare per verificare l´uso delle cd. "ricerche speciali" (richieste di accesso ai dati che il regolamento Eurodac consente permettere l´esercizio dei diritti della persona interessata). A seguito dell´intervento del Garante l´uso di tali categorie è cessato, risultando essere frutto di un errore. Tuttavia, il mancato esercizio da parte degli interessati del diritto di accesso ai propri dati determina incertezza sulla comprensione delle informazioni fornite per iscritto e sull´utilizzo di tale facoltà. Il provvedimento adottato dal Garante richiede specificamente che l´informativa sia data nei modi e nei tempi più idonei a far comprendere gli obiettivi e l´impatto del trattamento dei dati ed a consentire il pieno esercizio dei diritto di accesso e degli altri diritti collegati.

Altre prescrizioni hanno riguardato l´adeguamento delle misure di sicurezza.

La Commissione europea ha presentato all´inizio di dicembre due proposte di regolamento (Com (2008)825 e Com (2008)242) per modificare il quadro giuridico esistente, facendo seguito all´attività di valutazione svolta in relazione alla gestione della banca dati Eurodac ed alle procedure di asilo.

Un punto particolarmente delicato dell´agenda della Commissione, che non ha formato oggetto per il momento di una proposta di iniziativa legislativa specifica, concerne la possibilità per le forze di polizia di accedere ad Eurodac; le autorità di protezione dei dati personali hanno avuto modo di occuparsi di tale questione attraverso l´attività del Working Party Police and Justice (v. infra).

 

L´attività del Gruppo di lavoro polizia e giustizia è proseguita con grande intensità nel 2008 consolidando, sotto la presidenza del presidente del Garante, l´efficiente cooperazione tra le autorità di protezione dei dati europee ed accrescendo l´incisività dell´azione svolta. Molta attenzione è stata posta per cercare di accreditare la voce del Wppj nelle sedi appropriate e soprattutto stimolare ed intensificare i contatti con il Parlamento europeo, da sempre sensibile al tema del rispetto dei diritti che segue in particolare attraverso la Commissione Libe. 

 

 

 


Working Party
on Police
and Justice

Pur essendo ancora un organismo informale, con le opportune sinergie con le Acc sopra ricordate e la possibilità di fare riferimento al segretariato comune di queste il Wppj ha tenuto quattro riunioni plenarie nel corso dell´anno; ciò ha permesso di decidere le azioni da intraprendere ed adottare i relativi atti in tempi sufficientemente brevi. La strutturazione di appositi sottogruppi, secondo quanto previsto dal regolamento interno, ha anche consentito di poter contare su prime bozze di elevato livello qualitativo.

L´attività del Wppj, seppur con le limitazioni richiamate, consente alle autorità di protezione dei dati di esprimersi anche in mancanza di un quadro legale definito a livello europeo e di esplorare, con sempre maggior successo, le possibilità di sviluppare azioni (reazioni) congiunte con il Gruppo art. 29 sui temi che presentano una duplice valenza.

Il Wppj sempre per facilitare l´adempimento dei compiti attribuitigli dalle Spring Conference di Cipro ha adottato un programma di lavoro per il 2008 anche introducendo nuovi argomenti, quali ad esempio gli approfondimenti sugli accordi bilaterali tra gli Stati europei in materia di cooperazione giudiziaria e di polizia in materia penale (lotta al terrorismo, alla criminalità, allo sfruttamento dell´immigrazione illegale o alla pedo-pornografia) che prevedano forme di trasmissione di dati personali; le disposizioni nazionali di attuazione della Convenzione del Consiglio d´Europa sul cybercrime che possono avere un importante impatto nell´applicazione dei princìpi introdotti dalla decisione quadro sulla protezione dei dati personali nell´ambito della cooperazione giudiziaria e di polizia in materia penale (v. supra, par. 20).

Nella Spring Conference di Roma, il Wppj ha presentato una prima informale sintesi dell´attività svolta e la bozza di regolamento interno, che è stata formalmente approvata.

Nella stessa occasione il Wppj ha presentato la dichiarazione poi adottata dalla stessa Conferenza relativa alla proposta sulla strategia europea di sorveglianza generalizzata dei viaggiatori (v. Relazione 2007, p. 161).

Altri temi trattati:

- la conservazione ed utilizzo a fini di polizia dei dati Api e Pnr raccolti da vettori aerei per fornire servizi commerciali. Dopo l´adozione di un parere congiunto con il Gruppo art. 29 (WP 145), trasmesso alla Commissione ed al Consiglio Ue, il Wppj si è riservato di intervenire nuovamente sul punto. Si è riferito nella Relazione 2007 (p. 169) delle posizioni critiche assunte dal Gruppo sull´argomento, che resta prioritario nell´agenda europea.
 Su richiesta italiana è inoltre stato sollevato il problema della compatibilità con la Direttiva 2004/82/Ce, ed in generale con gli obblighi derivanti dal diritto comunitario, delle richieste – formulate a pena di sanzione – ai vettori aerei di fornire dati Api (e Pnr) relativi a passeggeri di voli intracomunitari;

- il potenziamento della cooperazione transfrontaliera, con particolare riguardo al contrasto del terrorismo e della criminalità transnazionale ("progetto di decisione del Consiglio sul Trattato di Prüm"). Come si è detto (v. supra, par. 20.2) sono state pubblicate nella Gazzetta Ufficiale della Unione europea il 6 agosto 2008 sia la decisione che reca disposizioni in materia di scambio di informazioni fra autorità giudiziarie e di polizia (cd. "Trattato di Prüm"), sia l´atto che ne fa applicazione (atti n. 615 e 616); le relative disposizioni dovranno essere applicate dagli Stati a partire dal luglio 2009. La discussione per la ratifica e l´entrata in vigore del Trattato di Prüm è in corso presso il Parlamento.

- il cd. "Pacchetto Frattini", di cui si è riferito nella Relazione 2007 (v. p. 170).

Sulla base dei risultati del questionario interno si è deciso di continuare a lavorare ad uno strumento comune per lo svolgimento di audit ed ispezioni nel settore, sottoposto per la definitiva approvazione alla Spring Conference del 2009, tenutasi ad Edimburgo, (23-24 aprile).

Il Wppj ha avviato, inoltre, sulla base di questionari predisposti dall´autorità italiana, un´attività di approfondimento e verifica dell´impatto a livello nazionale della ratifica della Convenzione del Consiglio d´Europa sulla criminalità informatica ed un inventario degli accordi bilaterali (o multilaterali) stipulati in materia di law enforcement dai singoli Stati nazionali.

Il Wppj ha definito ed approvato il primo rapporto annuale di attività, presentato per la definitiva adozione alla Spring Conference di Edimburgo.

Nell´occasione la relazione del presidente si è soffermata anche sul seguito del programma di lavoro per il 2008/2009 (con particolare riguardo all´impatto del Trattato di Lisbona sulla materia attinente al "terzo pilastro" ed all´attività delle autorità di protezione dati, all´entrata in vigore del nuovo quadro di princìpi relativi al trattamento dei dati nella cooperazione di polizia e giustizia ed all´impatto sugli accordi bi e multilaterali in vigore tra i Paesi dell´Unione).

La Spring Conference ha anche rinnovato il mandato del presidente del Garante italiano quale Presidente del WPPJ.

203 La partecipazione ad altri comitati e gruppi di lavoro
Il diciottesimo incontro del "Case Handling Workshop", organizzato dall´Autorità di protezione dei dati slovacca a Bratislava, ha costituito, come già in passato, l´occasione per focalizzare l´attenzione su una pluralità di temi, alcuni dei quali di particolare interesse per le autorità dei paesi di nuova adesione all´Ue.

L´agenda ha dato spazio dapprima, come consueto, a una presentazione dell´Autorità ospite e delle sue attività.

In tale ambito, particolare rilievo è stato dato alla descrizione delle attività ispettive, con riguardo sia all´avvio e allo svolgimento delle ispezioni (è stato costituito un registro nel quale vengono annotati i "ricorsi" che giungono e le attività che a seguito di questi vengono svolte), sia all´introduzione nell´ordinamento slovacco della figura del "data protection official" (incaricato aziendale per la protezione dei dati: obbligatorio nel caso di soggetti giuridici con più di 6 dipendenti). Quest´ultimo consente, a giudizio dell´autorità slovacca, di responsabilizzare i titolari del trattamento con riferimento alla protezione dei dati, pur con la difficoltà di individuare persone adeguate al ruolo che deve essere svolto (nessun particolare supporto è fornito dall´Autorità slovacca per la scelta e la formazione di tali figure) e che assicurino la dovuta indipendenza.

L´incontro ha quindi offerto l´occasione per analizzare l´esperienza che è derivata all´autorità slovacca dal suo ingresso nell´area Schengen: dopo la descrizione del funzionamento dell´ufficio SIRENE, sono stati presentati gli esiti di alcune ispezioni che l´Autorità ha condotto all´interno dei consolati slovacchi in alcuni Paesi terzi (Russia, Bielorussia) con riferimento alle modalità ivi utilizzate per il trattamento dei dati personali in occasione della richiesta e del rilascio di visti Schengen.

I lavori del workshop sono proseguiti con una discussione sul difficile rapporto tra protezione dei dati e mass media. Ha introdotto la sessione una breve analisi (presentata dall´autorità ceca) degli ordinamenti europei (pochi) nei quali la disciplina di protezione dei dati trova applicazione anche con riferimento ai trattamenti svolti per finalità di giornalismo e manifestazione del pensiero. Tra le presentazioni (oltre a quella spagnola che si è soffermata su due recenti raccomandazioni in materia di pubblicazione di dati personali nella Gazzetta Ufficiale di Madrid e trattamento dei dati nell´ambito dei servizi di e-government), interessante quella belga che ha manifestato la propria preoccupazione per il diffondersi di programmi televisivi sempre più invasivi delle libertà individuali (cfr., ad es., i classici programmi di candid camera o i sempre più diffusi reality show). La sessione è stata l´occasione per presentare tre recenti casi affrontati dall´Autorità italiana in materia di giornalismo e, in particolare, i delicati aspetti relativi alla pubblicazione on-line degli archivi storici delle principali testate italiane.

I lavori della prima giornata si sono chiusi con una sessione dedicata alle misure di sicurezza e con la presentazione dei servizi di due società di consulenza che operano nel settore.

Il whistleblowing (ossia la possibilità per i dipendenti di aziende o di altre strutture di segnalare, eventualmente in forma anonima o comunque protetta, irregolarità o violazioni delle quali vengano a conoscenza in rapporto all´attività lavorativa) è stato il tema più controverso affrontato nella seconda giornata di lavori del workshop. Dopo la presentazione delle esperienze svedese, danese e francese (incentrate per lo più su vicende che vedono interessate società con legami con gli Stati Uniti e quindi in qualche modo vincolate dal Sarbanes-Oxley Act, cfr. www.sarbanes-oxley.com), l´attenzione si è focalizzata sul crescente numero di richieste rivolte alle autorità nazionali da società "totalmente europee" al fine di introdurre tali schemi nella propria organizzazione aziendale e non solo per reati di natura fiscale e contabile. La questione, di forte interesse, sarà probabilmente argomento di discussione anche nel prossimo workshop.

Le altre sessioni hanno affrontato il tema del trattamento dei dati personali sul luogo di lavoro (con due presentazioni del Garante europeo dedicate ai controlli proposti dalla Commissione europea sul funzionamento del meccanismo denominato "flexitime", che consente ai funzionari di indicare in modo flessibile le ore lavorate in ambito settimanale, e alla raccolta di dati relativi al fascicolo personale dei dipendenti per quanto attiene ad eventuali precedenti di natura penale e/o giudiziaria in genere) e le problematiche connesse alla videosorveglianza, anche con riguardo all´attività lavorativa (tema questo già più volte affrontato nel corso dei precedenti incontri). Interessante, a tale riguardo, il divieto del Commissario di protezione dei dati del Liechtenstein di proseguire l´utilizzo di un sistema di videosorveglianza che l´autorità municipale di Vaduz aveva installato nel centro storico della città per finalità di sicurezza di beni e persone. Il sistema è stato considerato sproporzionato dal momento che riprendeva costantemente tutta l´attività della zona senza che fosse stata data prova della sua effettiva necessità.

 

Il "Gruppo di Berlino" (International Working Group on Data Protection in Telecommunication) si è riunito il 13 e il 14 ottobre a Strasburgo.

 

 

 


Iwgdpt

In occasione dell´incontro è stato organizzato il seminario pubblico "Privacy in the age of social network services", dal quale è risultato confermato l´uso crescente dei social network quale strumento di socializzazione e comunicazione.

Il seminario è stato occasione per riflettere sulle diverse problematiche relative al trattamento dei dati nell´ambito delle reti sociali. In particolare, è stato posto l´accento sulla categorie di soggetti (diversi da quelli abilitati dall´interessato) che possono avere interesse ad acquisire informazioni personali attraverso i social network (datori di lavoro, insegnanti, genitori, forze di polizia, ecc.) e sulla necessità che i soggetti pubblici (in particolare le cd. "law enforcement agencies" e l´intelligence) assicurino basi legali per ogni raccolta di dati, evitando la creazione di profili segreti (ad es., associati all´elaborazione di "risk ratings").

È stato inoltre affrontato il tema della titolarità del trattamento in un ambito in cui gli stessi utenti immettono informazioni sul proprio conto e sui terzi. Sono stati ribaditi gli obblighi degli stessi servizi di social network di tener fede alle proprie privacy policies, procedere ad audit, essere trasparenti sulle pratiche seguite, prestare attenzione nel ricorrere a profilazione e scoring, segnalare, infine, i rischi connessi alla commercializzazione dei dati. È stato infine fatto riferimento anche alle interazioni tra il social network e altri servizi del web (ad esempio, le mappe offerte da Google che possono essere facilmente inserite in questi siti), nonché alla possibilità di esportate il proprio profilo in altri social network (cd. "open social").

Tra i problemi segnalati, si evidenziano il potenziale conflitto tra privacy e tutela della libertà di espressione, il diritto all´oblio, i profili attinenti alla legge applicabile e alla giurisdizione competente.

La riunione del Iwgdpt è stata l´occasione per riflettere sulle nuove tecniche di crittazione biometrica e di videosorveglianza, sui primi sistemi che si stanno presentando in attuazione della European electronic toll service directive 2004/52, alla luce dell´obbligatorietà di questo strumento, con particolare riferimento alla disposizione delle unità per procedere al pagamento (preferendo rispetto a sistemi centralizzati, on board unit con uso di Gps o di sistemi radio), nonché sulle questioni relative alla realizzazione di Google Street View, ed in particolare sulle assicurazioni della società che dalle mappature in corso nelle strade verranno rimossi i numeri di targa e anonimizzati i volti dei passanti.

 

Nel corso del 2008 l´autorità italiana ha continuato a seguire i lavori del Comitato consultivo (T-Pd) della Convenzione 108/1981 del Consiglio d´Europa, partecipando anche agli incontri del Bureau, gruppo ristretto che si riunisce ogni quattro mesi assicurando continuità ai lavori del T-Pd.

 

 

 


Consiglio d´Europa

 

Il T-Pd ha proseguito l´approfondimento del tema della profilazione, una particolare tecnica di trattamento che permette di desumere informazioni relative a una persona a partire dai dati (anonimizzati o meno) relativi ad un gruppo di individui al quale l´interessato appartiene o si suppone appartenga (v. Relazione 2007, p. 174). Sulla base dello studio commissionato ad esperti scientifici, il T-Pd ha lavorato alla predisposizione di un quadro di garanzie per gli individui oggetto di profilazione, in vista di una raccomandazione in materia. Il progetto di raccomandazione (che pure mira a fornire princìpi che valgano per i diversi settori) guarda con particolare attenzione alle nuove tecnologie che consentono di immagazzinare enormi quantità di dati e di procedere con estrema rapidità all´elaborazione automatica di decisioni e valutazioni sull´individuo sulla base di criteri predeterminati senza l´intervento dell´intelligenza umana. In un simile quadro si è discusso sull´opportunità di garantire il diritto di opposizione, di fornire agli individui una adeguata informativa sulla profilazione di cui siano oggetto, di vietare, di regola, profilazioni basate su dati sensibili, di realizzare un bilanciamento degli interessi coinvolti.

 

 

 


Profilazione

 

Del parere rilasciato sulla compatibilità del documento "International Standards for the Protection of Privacy and Data Protection", elaborato dalla "World Anti-doping Agency" (Wada), con i princìpi sulla protezione dei dati del Consiglio d´Europa (T-Pd-BUR(2008)04 fin), si è riferito nella Relazione 2007 (p. 174).

 

 

 


Agenzia mondiale
anti-doping
(Adams)

Nel corso dell´anno è stata anche avviata la discussione sull´opportunità di elaborare un protocollo addizionale alla Cedu per inserire nel catalogo dei diritti fondamentali il diritto alla protezione dati. Anche a fronte dei dibattiti complessi avviati a livello nazionale si è deciso di attendere le sorti del Trattato di Lisbona, e di ridiscutere il tema durante la riunione del T-Pd del 2009.

Il T-Pd è poi tornato a discutere delle iniziative volte a dare applicazione all´art. 1 del Protocollo addizionale alla Convenzione 108 sulle autorità indipendenti. È stata in particolare sottolineata l´esigenza di redigere un rapporto che faccia luce sulla situazione attuale delle diverse autorità nazionali e di concentrare l´analisi sui requisiti di indipendenza delle autorità.

Il T-Pd ha inoltre deciso di conferire lo status di osservatore alle proprie riunioni sia all´"Associazione delle autorità francofone di protezione dei dati personali" (Afapdp), sia alla "Rete Iberoamericana di protezione dei dati" (Ripd).

Anche nel 2008 il Consiglio d´Europa ha svolto la propria attività di coordinamento riguardo al "Data protection day". In particolare, il Consiglio d´Europa, con il supporto della Commissione europea, ha dato pubblicità, anche attraverso il proprio sito web, alle diverse iniziative intraprese dalle autorità interessate, tra cui il Garante, volte a sensibilizzare i cittadini sulle tematiche della privacy e della protezione dei dati (v. par. 21.6).

 

In ambito Ocse, particolarmente approfondita è stata la riflessione sulle tematiche di Internet, specie nelle sue interazioni con altre tecnologie come la Rfid.

 

 

 


Ocse

In tale settore, un evento rilevante, al quale il Working Party on Information Security and Privacy (Wpisp) ha dedicato particolare attenzione (v. Relazione 2007, p. 175), è stata la Conferenza Ministeriale di Seul del 17 e 18 giugno 2008, sul tema "Il futuro di Internet".

Durante la Conferenza è stata messa in evidenza l´importanza di rilanciare un dialogo di respiro internazionale sulle problematiche di Internet in relazione al settore privato.

In tale occasione, è stata adottata da trentanove paesi, tra cui l´Italia, la "Seul Declaration for the future of Internet economy", con la quale le Parti hanno affermato il loro impegno a lavorare insieme alle imprese, la società civile, e gli esperti tecnici per stimolare l´innovazione, la concorrenza, e gli investimenti nelle tecnologie della comunicazione, costruendo un clima di fiducia nell´economia di Internet. Nella Dichiarazione, tra l´altro, si sottolinea l´impegno delle Parti a: facilitare la convergenza delle reti e dei servizi digitali; promuovere la creatività nell´uso e nelle applicazioni di Internet garantendo un flusso libero di informazioni, di ricerca e di innovazione; rafforzare la sicurezza della rete e la fiducia nei suoi utilizzatori, in particolare assicurando la sicurezza dei sistemi e la protezione dell´identità digitale e della privacy dei navigatori della rete; garantire lo sviluppo di un´economia di Internet che sia realmente globale anche attraverso policy, frutto della cooperazione tra i diversi Paesi, volte a migliorare la privacy di utenti e in particolare dei minori.

Significativa, nel quadro delle attività dell´Ocse in materia di nuove tecnologie, anche l´elaborazione dei due documenti "Rfid application, impacts and country initiatives" (18 aprile 2008), che evidenzia le applicazioni e le iniziative prese dai diversi paesi in materia di Rfid, e "Measuring security and trust in the on-line environment" (29 gennaio 2008), che si propone di analizzare in quale misura le preoccupazioni riguardo alla sicurezza on-line siano di ostacolo allo sviluppo della rete e con quali modalità i soggetti (persone fisiche e società) che utilizzano la rete proteggono reti e dispositivi informatici.

Il Gruppo Wpisp nel 2008 ha proseguito la sua attività sulla Digital Identity, in particolare con riferimento al rapporto tra personalità e identità digitale nella società dell´informazione. Ha altresì seguito le tematiche relative alla protezione dei minori on-line anche in vista del Convegno organizzato dall´Apec e l´Ocse di Singapore del 15 aprile 2009 sulle iniziative volte a promuovere una Internet più sicura per i minori, tema che pure rientra tra gli obiettivi della Dichiarazione di Seul. I rappresentanti del Gruppo hanno concordato un ampio scambio di informazioni sulle politiche e le best practices dei diversi paesi riguardo la protezione dei minori dai rischi derivanti dall´uso di Internet, in particolare relativi ai contenuti lesivi della rete e ai problemi di privacy e sicurezza dei dati.

Scheda

Doc-Web
1638227
Data
02/07/09

Tipologie

Relazione annuale

Documenti citati