|
IL GARANTE EUROPEO DELLA
PROTEZIONE DEI DATI,
visto il trattato che
istituisce la Comunità europea, in particolare
l'articolo 286,
vista la carta dei diritti
fondamentali dell'Unione europea, in particolare
l'articolo 8,
viste la direttiva 95/46/CE del
Parlamento europeo e del Consiglio, del 24 ottobre
1995, relativa alla tutela delle persone fisiche
con riguardo al trattamento dei dati personali,
nonché alla libera circolazione di tali dati (1),
e la direttiva 2002/58/CE del Parlamento europeo e
del Consiglio, del 12 luglio 2002, relativa al
trattamento dei dati personali e alla tutela della
vita privata nel settore delle comunicazioni
elettroniche (direttiva relativa alla vita privata
e alle comunicazioni elettroniche) (2),
visto il regolamento (CE) n.
45/2001 del Parlamento europeo e del Consiglio,
del 18 dicembre 2000, concernente la tutela delle
persone fisiche in relazione al trattamento dei
dati personali da parte delle istituzioni e degli
organismi comunitari, nonché la libera
circolazione di tali dati (3), in particolare
l'articolo 41,
vista la richiesta di parere a
norma dell'articolo 28, paragrafo 2, del
regolamento (CE) n. 45/2001 ricevuta il 23
settembre 2005 dalla Commissione,
HA ADOTTATO IL SEGUENTE PARERE:
I. Introduzione
1. Il GEPD si compiace di
essere stato consultato in base all'articolo 28,
paragrafo 2, del regolamento (CE) n. 45/2001.
Tuttavia, considerato il
carattere vincolante dell'articolo 28, paragrafo
2, del regolamento (CE) n. 45/2001, il presente
parere dovrebbe essere citato nel preambolo della
direttiva.
2. Il GEPD riconosce che per le
forze dell'ordine degli Stati membri è importante
disporre di tutti gli strumenti giuridici
necessari, in particolare nella lotta contro il
terrorismo e le altre forme gravi di criminalità.
Una disponibilità adeguata di taluni dati
relativi al traffico e all'ubicazione dei servizi
elettronici pubblici può essere uno strumento
fondamentale per tali forze dell'ordine e può
contribuire alla sicurezza fisica delle persone.
Va inoltre rilevato che ciò non implica
automaticamente la necessità dei nuovi strumenti
previsti dalla presente proposta.
3. È altresì evidente che la
proposta ha un impatto notevole sulla protezione
dei dati personali. Se si considera la proposta
soltanto dal punto di vista della protezione dei
dati, i dati relativi al traffico e all'ubicazione
non dovrebbero essere affatto conservati per
finalità legate alle attività delle forze
dell'ordine. È per motivi di protezione dei dati
che la direttiva 2002/58/CE stabilisce, come
principio di diritto, che i dati relativi al
traffico siano cancellati non appena la loro
memorizzazione non è più necessaria a fini
connessi con la comunicazione stessa (incluso a
fine di fatturazione). Le deroghe a detto
principio di diritto sono soggette a condizioni
rigorose.
4. Nel presente parere, il GEPD
evidenzia l'impatto della proposta sulla
protezione dei dati personali. Il GEPD tiene
inoltre conto del fatto che la proposta,
nonostante la sua importanza per le forze
dell'ordine, non può comportare la privazione del
diritto fondamentale alla tutela della vita
privata.
5. Il presente parere del GEPD
deve essere visto alla luce di queste
considerazioni. Il GEPD prevede un approccio
equilibrato in cui la necessità e la
proporzionalità dell'interferenza con la
protezione dei dati svolgono un ruolo centrale.
6. Quanto alla proposta in sé,
essa va considerata una reazione all'iniziativa
della Repubblica francese, dell'Irlanda, del Regno
di Svezia e del Regno Unito relativa a una
decisione quadro sulla conservazione dei dati
trattati e memorizzati nel quadro della fornitura
di servizi di comunicazioni elettroniche
accessibili al pubblico o dei dati sulle reti
pubbliche di comunicazione a fini di prevenzione,
ricerca, accertamento e perseguimento della
criminalità e dei reati, compreso il terrorismo
("progetto di decisione quadro")
respinta dal Parlamento europeo (nel quadro della
procedura di consultazione).
7. Il GEPD non è stato
consultato sul progetto di decisione né ha reso
un parere di propria iniziativa. Il GEPD non
intende per ora formulare un parere sul progetto
di decisione quadro, ma farà riferimento nel
presente parere a detto progetto di decisione ove
lo ritenga utile.
II. Osservazioni generali
L'impatto della proposta sulla
protezione dei dati personali
8. Per il GEPD è essenziale
che la proposta rispetti i diritti fondamentali.
Un atto di carattere legislativo che comprometta
la protezione garantita dal diritto comunitario, e
più in particolare dalla giurisprudenza della
Corte di giustizia e della Corte europea dei
diritti dell'uomo, è non solo inaccettabile ma
anche illegale. Gli attentati terroristici possono
aver cambiato la situazione della società, ma non
ne possono risultare compromessi gli elevati
livelli di protezione assicurati dallo Stato di
diritto. La protezione è garantita per legge,
indipendentemente dalle esigenze contingenti delle
forze dell'ordine. Inoltre, la stessa
giurisprudenza prevede eccezioni, ove necessario
in una società democratica.
9. La proposta ha un impatto
diretto sulla protezione prescritta dall'articolo
8 della Convenzione europea di salvaguardia dei
diritti dell'uomo e delle libertà fondamentali (CEDU).
Secondo la giurisprudenza della Corte europea dei
diritti dell'uomo :
– la memorizzazione di
informazioni concernenti una persona è stata
considerata un'ingerenza nella vita privata benché
non fossero riportati dati sensibili (Amann (4)),
– lo stesso dicasi per la
pratica del "metering" delle chiamate
telefoniche, che implica l'uso di un dispositivo
che registra automaticamente i numeri composti su
un telefono e l'ora e la durata di ciascuna
chiamata (Malone (5)),
– le motivazioni
dell'ingerenza dovrebbero superare per importanza
l'effetto negativo che l'esistenza stessa delle
disposizioni legislative in questione potrebbe
avere sui cittadini (Dudgeon (6)).
10. L'articolo 6, paragrafo 2,
del trattato UE prevede che l'Unione europea
rispetti i diritti fondamentali, quali sono
garantiti dalla CEDU. Nel precedente paragrafo si
è mostrato che, secondo la giurisprudenza della
Corte europea dei diritti dell'uomo, l'obbligo di
conservazione dei dati rientra nel campo di
applicazione dell'articolo 8 della CEDU ed è
necessaria una motivazione pressante che rispetti
il criterio della sentenza Dudgeon. La necessità
e la proporzionalità dell'obbligo di
conservazione dei dati – in tutta la sua portata
– devono essere dimostrate.
11. Inoltre, la proposta ha un
impatto enorme sui principi relativi alla
protezione di dati riconosciuti dal diritto
comunitario:
– i dati devono essere
conservati per un periodo molto più lungo di
quello abitualmente previsto per la conservazione
da parte dei fornitori di servizi di comunicazioni
elettroniche accessibili al pubblico o da una rete
pubblica di comunicazioni (entrambi i servizi di
seguito denominati "fornitori"),
– ai sensi della direttiva
2002/58/CE, più in particolare dell'articolo 6, i
dati possono essere raccolti e memorizzati
unicamente per finalità direttamente connesse con
la comunicazione stessa, incluso a fine di
fatturazione (7).
Successivamente i dati devono
essere cancellati (salvo eccezioni). Ai sensi
della presente proposta, la conservazione al fine
di applicazione del diritto penale è
obbligatoria. Il punto di partenza è pertanto
opposto, – la direttiva 2002/58/CE garantisce
sicurezza e riservatezza.
La presente proposta non può
introdurre scappatoie in questo settore; sono
necessarie garanzie rigorose e dovrebbe essere
precisata la limitazione della finalità,
– l'introduzione dell'obbligo
di conservazione dei dati, previsto dalla
proposta, determina la creazione di consistenti
basi di dati e comporta particolari rischi per la
persona cui si riferiscono i dati. Si potrebbe
pensare all'uso commerciale dei dati nonché
all'uso dei dati per "operazioni di
pesca" e/o per data mining da parte delle
forze dell'ordine o dei servizi di sicurezza
nazionali.
12. Infine, la tutela della
vita privata e la protezione dei dati personali
sono state entrambe riconosciute nella Carta dei
diritti fondamentali, come menzionato nella
relazione illustrativa.
13. L'impatto della proposta
sulla protezione dei dati personali richiede
un'analisi approfondita. In tale analisi, il GEPD
terrà conto degli elementi sopraindicati e
concluderà che sono necessarie maggiori garanzie.
Un semplice riferimento al quadro giuridico
vigente sulla protezione dei dati (in particolare
le direttive 95/46/CE e 2002/58/CE) non è
sufficiente.
La necessità di conservare i
dati relativi al traffico e all'ubicazione
14. Il GEPD ricorda la
conclusione del 9 novembre 2004 del Gruppo per la
tutela delle persone con riguardo al trattamento
dei dati personali (Gruppo dell'articolo 29) sul
progetto di decisione quadro. Il Gruppo ha
dichiarato che la conservazione obbligatoria dei
dati relativi al traffico, alle condizioni
previste nel progetto di direttiva quadro, non è
accettabile. Tale conclusione era tra l'altro
basata sulla mancata prova della necessità della
conservazione a fini di ordine pubblico, in quanto
l'analisi mostrava che la quantità più rilevante
dei dati relativi al traffico richiesti dalle
forze dell'ordine non risaliva a più di sei mesi.
15. Secondo il GEPD, le
considerazioni del Gruppo dell'articolo 29 di cui
sopra dovrebbero essere il punto di partenza per
la valutazione della presente proposta. Tuttavia
il risultato di tali considerazioni non può
essere trasposto tout court nella presente
proposta. Si deve tener conto del fatto che le
condizioni possono cambiare. Secondo il GEPD, i
seguenti sviluppi possono influire sulla
valutazione.
16. In primo luogo, sono state
presentate alcune cifre che dimostrano che in
pratica i dati relativi al traffico richiesti
dalle forze dell'ordine risalgono al massimo a un
anno. La Commissione e la presidenza del Consiglio
annettono importanza a uno studio realizzato dalla
polizia del Regno Unito (8) secondo cui, benché
l'85 % dei dati relativi al traffico richiesti
dalla polizia risalisse a meno di sei mesi, i dati
compresi tra 6 mesi e un anno prima erano
utilizzati in indagini complesse su reati più
gravi. Ne sono stati presentati anche alcuni
esempi. Il periodo di conservazione che figura
nella proposta – un anno per i dati telefonici
– rispecchia queste prassi delle forze
dell'ordine.
17. Il GEPD non è sicuro che
queste cifre costituiscano la prova della necessità
della conservazione dei dati relativi al traffico
fino a un anno. Il fatto che in alcuni casi la
disponibilità di dati relativi al traffico e/o
all'ubicazione abbia contribuito a individuare
l'autore di un reato non significa automaticamente
che tali dati siano necessari (in generale) come
strumento per le forze dell'ordine. Le cifre non
possono tuttavia essere ignorate. Esse
rappresentano almeno un tentativo serio di
dimostrare la necessità della conservazione.
Inoltre, le cifre indicano chiaramente che un
periodo di conservazione superiore a un anno non
è necessario se si considerano le attuali prassi
delle forze dell'ordine.
18. In secondo luogo, le
attuali possibilità previste per i fornitori
dalla direttiva 2002/58/CE di conservare i dati
relativi al traffico a fini di fatturazione non
sono sempre utilizzate, in quanto in un numero
crescente di casi la conservazione dei dati a fine
di fatturazione non avviene affatto (le carte
prepagate per le comunicazioni mobili, gli
abbonamenti forfettari, ecc.). In questi casi –
che sono diventati concretamente più frequenti
– i dati relativi al traffico e all'ubicazione
non sono memorizzati affatto ma cancellati subito
dopo la comunicazione. Lo stesso dicasi per le
chiamate perse. Ciò può incidere sull'efficacia
delle forze dell'ordine.
19. Inoltre, questo sviluppo
nei servizi di telecomunicazioni può comportare
perturbazioni nel funzionamento del mercato
interno, tra l'altro a causa della (imminente)
adozione di misure legislative negli Stati membri
ai sensi dell'articolo 15 della direttiva
2002/58/CE. Ad esempio il governo italiano ha
recentemente pubblicato un decreto che obbliga i
fornitori a memorizzare i dati telefonici per
quattro anni. Detto obbligo comporterà notevoli
costi in taluni Stati membri, ad esempio l'Italia.
20. In terzo luogo, i metodi di
lavoro delle forze dell'ordine si sono altresì
evoluti: le indagini proattive e l'utilizzo di
supporto tecnico sono diventati più importanti.
Questi sviluppi richiedono che le autorità
dispongano di strumenti adeguati e definiti
accuratamente che consentano loro di svolgere il
proprio lavoro nel debito rispetto dei principi
della protezione dei dati. Uno degli strumenti
normalmente a disposizione delle autorità degli
Stati membri è la preservazione dei dati o il
congelamento su richiesta, in una determinata
indagine, dei dati sulle comunicazioni. Si è
sostenuto che tale strumento, che in sé ha un
impatto minore su tali principi rispetto allo
strumento ora proposto (conservazione dei dati),
possa non sempre essere sufficiente, in
particolare per rintracciare persone implicate in
attività terroristiche o in altri reati gravi non
sospettate precedentemente di attività
terroristiche. Occorrono tuttavia maggiori prove
per stabilire se sia effettivamente così.
21. In quarto luogo, sono
cresciute le preoccupazioni rispetto agli
attentati terroristici. Il GEPD condivide il
parere espresso nel contesto delle proposte sulla
conservazione dei dati secondo cui la sicurezza
fisica è in sé di importanza primaria. La società
deve essere protetta. Per questa ragione, i
governi sono tenuti, in caso di attentati nei
confronti della società, a dimostrare di prendere
seriamente in considerazione questa necessità di
protezione e a valutare l'opportunità di reagire
introducendo nuove misure legislative. Va da sé
che il GEPD appoggia senza riserve il compito dei
governi, a livello sia nazionale sia europeo, di
proteggere la società e dimostrare di fare tutto
il necessario per garantire la protezione, incluso
l'adozione di nuove misure, legittime ed efficaci,
a seguito di tale valutazione.
22. Il GEPD riconosce i
mutamenti intervenuti, ma non è ancora convinto
della necessità della conservazione dei dati
relativi al traffico e all'ubicazione per finalità
legate alle attività delle forze dell'ordine,
come stabilito nella proposta. Sottolinea
l'importanza del principio di diritto stabilito
dalla direttiva 2002/58/CE secondo cui i dati
relativi al traffico devono essere cancellati non
appena la memorizzazione non è più necessaria
per finalità che non sono connesse con la
comunicazione stessa. Inoltre, le cifre fornite
non provano che il quadro giuridico esistente non
offra gli strumenti necessari per tutelare la
sicurezza fisica, né che gli Stati membri
utilizzino appieno le loro competenze ai sensi del
diritto europeo per cooperare come consentito loro
dal quadro giuridico vigente (ma senza i risultati
necessari).
23. Tuttavia, se il Parlamento
europeo e il Consiglio – dopo aver soppesato
attentamente gli interessi in gioco – traggono
la conclusione che la necessità della
conservazione dei dati relativi al traffico e
all'ubicazione è sufficientemente dimostrata, il
GEPD ritiene che la conservazione possa essere
giustificata ai sensi del diritto comunitario
soltanto a condizione che sia rispettato il
principio di proporzionalità e siano previste
garanzie adeguate, in conformità al presente
parere.
La proporzionalità
24. La proporzionalità della
stessa nuova misura proposta dipende dalla
sostanza delle disposizioni in essa contenute:
contiene una risposta adeguata e proporzionata
alle esigenze della società?
25. La prima considerazione
riguarda l'adeguatezza della proposta: si può
prevedere che la proposta aumenti la sicurezza
fisica degli abitanti dell'Unione europea? Uno dei
motivi di dubbio circa la sua adeguatezza, spesso
citato nel dibattito pubblico, è che i dati
relativi al traffico e i dati relativi
all'ubicazione non sono sempre legati a una
determinata persona, pertanto la conoscenza di un
numero telefonico (o di un indirizzo IP) non
rivela necessariamente l'identità di una persona.
Un altro – e persino più serio – motivo di
dubbio è se l'esistenza di una base di dati
enorme consenta o no alle forze dell'ordine di
trovare agevolmente ciò di cui hanno bisogno in
un caso specifico.
26. Il GEPD ritiene che la sola
conservazione dei dati relativi al traffico e
all'ubicazione non sia di per sé una risposta
adeguata o efficace. Sono necessarie ulteriori
misure, in modo da garantire alle autorità un
accesso mirato e rapido ai dati richiesti in un
caso specifico. La conservazione dei dati è
adeguata ed efficace solo in presenza di motori di
ricerca efficaci.
27. La seconda considerazione
riguarda la proporzionalità della risposta. La
proposta, per essere proporzionata, dovrebbe:
– limitare i periodi di
conservazione. I periodi devono rispecchiare le
necessità provate delle forze dell'ordine,
– limitare il numero di dati
da memorizzare. Tale numero deve rispecchiare le
necessità provate delle forze dell'ordine e deve
essere garantita l'impossibilità di accedere ai
dati sui contenuti,
– contenere adeguate misure
di sicurezza, in modo da limitare l'accesso e
l'ulteriore uso, garantire la sicurezza dei dati e
assicurare che le stesse persone cui si
riferiscono i dati possano esercitare i loro
diritti.
28. Il GEPD sottolinea
l'importanza di queste limitazioni rigorose, con
adeguate garanzie ai fini di un accesso limitato.
Ritiene che, in considerazione dell'importanza dei
tre elementi menzionati nel punto precedente, gli
Stati membri non possano – in relazione a questi
tre elementi – adottare misure nazionali
aggiuntive che pregiudichino la proporzionalità.
Questa esigenza di
armonizzazione sarà sviluppata nella parte IV.
Adeguate misure di sicurezza
29. L'effetto prodotto dalla
proposta sarà che i fornitori disporranno di basi
di dati in cui sarà memorizzata una rilevante
quantità di dati relativi al traffico e
all'ubicazione.
30. In primo luogo, la proposta
dovrà assicurare che l'accesso e l'ulteriore uso
di questi dati siano limitati soltanto a
determinate circostanze e per un limitato numero
di scopi specifici.
31. In secondo luogo, le basi
di dati dovranno essere adeguatamente protette
(sicurezza dei dati). A tal fine, deve essere
garantito che, al termine dei periodi di
conservazione, i dati siano cancellati
effettivamente. Non dovrebbero verificarsi
"scarico di dati" o utilizzazione di
dati. In breve, ciò richiede un'elevata sicurezza
dei dati e misure di sicurezza adeguate a livello
tecnico e organizzativo.
32. Un'elevata sicurezza dei
dati è ancora più importante in quanto la mera
esistenza dei dati può comportare richieste di
accesso e uso da parte di almeno tre gruppi di
soggetti interessati:
– gli stessi fornitori.
Possono essere tentati di usare i dati per i
propri fini commerciali. Sono necessarie garanzie
che impediscano la copiatura di questi file,
– le forze dell'ordine: la
proposta accorda loro un diritto di accesso, ma
solo in casi specifici e conformemente alla
legislazione nazionale (articolo 3, paragrafo 2,
della proposta). Non dovrebbe esservi accesso a
fini di data mining o per "operazioni di
pesca". Lo scambio di dati con le autorità
di altri Stati membri dovrebbe essere
regolamentato chiaramente,
– i servizi di intelligence
(responsabili della sicurezza nazionale).
33. Per quanto riguarda
l'accesso da parte dei servizi di intelligence, il
GEPD osserva che, ai sensi dell'articolo 33
trattato UE e dell'articolo 64 trattato CE, gli
interventi nel quadro del terzo pilastro e del
primo pilastro non ostano all'esercizio delle
responsabilità incombenti agli Stati membri per
il mantenimento dell'ordine pubblico e la
salvaguardia della sicurezza interna. Secondo il
GEPD, da queste disposizioni risulta che l'Unione
europea non ha la competenza di controllare
l'accesso dei servizi di sicurezza e di
intelligence ai dati conservati dai fornitori. In
altre parole, né l'accesso di tali servizi ai
dati relativi al traffico e all'ubicazione
conservati dai fornitori né l'ulteriore uso delle
informazioni acquisite da tali servizi sono
soggetti al diritto dell'Unione europea. Occorre
tener conto di questo elemento nella valutazione
della proposta. Spetta agli Stati membri adottare
le misure necessarie a disciplinare l'accesso da
parte dei servizi di intelligence.
34. In terzo luogo, gli effetti
descritti nel precedente paragrafo presentano
potenziali implicazioni per la persona cui si
riferiscono i dati. Sono necessarie garanzie
aggiuntive per assicurare che essa possa
esercitare, in modo semplice e rapido, i suoi
diritti in quanto persona cui si riferiscono i
dati.
Il GEPD rileva la necessità di
un controllo effettivo sull'accesso e l'ulteriore
uso, preferibilmente da parte delle autorità
giudiziarie degli Stati membri. Le garanzie
dovrebbero valere anche per l'accesso e
l'ulteriore uso dei dati relativi al traffico da
parte delle autorità di un altro Stato membro.
35. In tale contesto, il GEPD
fa riferimento alle iniziative volte a introdurre
un nuovo quadro giuridico sulla protezione dei
dati nelle attività delle forze dell'ordine (nel
quadro del terzo pilastro del trattato UE). A suo
parere, un siffatto quadro giuridico richiede
garanzie aggiuntive e non può limitarsi alla
riaffermazione dei principi generali della
protezione dei dati nel terzo pilastro (9).
36. In quarto luogo, esiste un
nesso diretto tra l'adeguatezza delle misure di
sicurezza e i costi delle stesse. Una normativa
adeguata sulla conservazione dei dati deve
pertanto prevedere incentivi affinché i fornitori
investano nell'infrastruttura tecnica. Siffatti
incentivi potrebbero consistere nel risarcimento
dei costi aggiuntivi per misure di sicurezza
adeguate sostenuti dai fornitori.
37. In sintesi, misure adeguate
di sicurezza dovrebbero:
– limitare l'accesso ai dati
e l'ulteriore uso degli stessi,
– prevedere misure di
sicurezza adeguate a livello tecnico e
organizzativo per la protezione delle basi di
dati. Ciò include una cancellazione adeguata dei
dati al termine del periodo di conservazione e la
presa datto delle richieste di accesso ed uso da
parte di diversi gruppi di soggetti interessati,
– garantire l'esercizio dei
diritti delle persone cui si riferiscono i dati,
non soltanto riaffermando i principi generali
della protezione dei dati,
– prevedere incentivi affinché
i fornitori investano nell'infrastruttura tecnica.
III. La base giuridica e il
progetto di decisione quadro
38. La proposta è basata sul
trattato CE, in particolare l'articolo 95, e mira,
conformemente all'articolo 1, ad armonizzare gli
obblighi dei fornitori riguardo al trattamento e
alla conservazione dei dati relativi al traffico e
all'ubicazione.
Prevede che i dati siano
forniti alle autorità nazionali competenti solo
in singoli casi, connessi a reati, ma lascia alla
discrezione gli Stati membri la definizione più
precisa della finalità e dell'accesso ai dati e
dell'ulteriore uso degli stessi, fatte salve le
garanzie previste dal quadro comunitario vigente
sulla protezione dei dati.
39. Al riguardo, la proposta ha
un campo di applicazione più limitato rispetto al
progetto di decisione quadro che si basa
sull'articolo 31, paragrafo 1, lettera c), del
trattato UE e contiene disposizioni aggiuntive
sull'accesso ai dati conservati e sulle richieste
di accesso di altri Stati membri. La relazione
illustrativa fornisce una motivazione di questa
limitazione del campo di applicazione della
proposta. Afferma che l'accesso alle informazioni
e lo scambio delle stesse tra le pertinenti forze
dell'ordine non rientrano nel campo di
applicazione del trattato CE.
40. Il GEPD non è convinto
dell'esattezza di questa affermazione contenuta
nella relazione introduttiva. Un intervento della
Comunità basato sull'articolo 95 del trattato CE
(mercato interno) deve avere per oggetto
principale l'eliminazione degli ostacoli agli
scambi. Secondo la giurisprudenza della Corte di
giustizia, tale intervento deve costituire un
contributo realmente appropriato all'eliminazione
di siffatto ostacolo. Tuttavia, nel suo
intervento, il legislatore comunitario deve
garantire il rispetto dei diritti fondamentali
(articolo 6, paragrafo 2, del trattato UE; cfr.
parte II del presente parere). Per questi motivi,
l'istituzione a livello comunitario di norme sulla
conservazione dei dati nell'interesse del mercato
interno può richiedere che anche il rispetto dei
diritti fondamentali sia trattato al livello della
Comunità europea. Il legislatore comunitario, se
non potesse stabilire norme sull'accesso ai dati e
l'uso degli stessi, non potrebbe adempiere
all'obbligo che gli incombe ai sensi dell'articolo
6 del trattato UE, in quanto queste norme sono
indispensabili per garantire che i dati sono
conservati nel debito rispetto dei diritti
fondamentali. In altri termini, secondo il GEPD,
le norme sull'accesso ai dati e sull'uso e lo
scambio degli stessi sono inscindibili
dall'obbligo stesso di conservazione dei dati.
41. Quanto all'istituzione di
autorità competenti, il GEPD riconosce che ciò
rientra nelle competenze degli Stati membri.
Lo stesso dicasi per
l'organizzazione delle forze dell'ordine e della
tutela giurisdizionale. Tuttavia un atto
comunitario può imporre condizioni agli Stati
membri per quanto concerne la designazione delle
autorità competenti, il controllo giurisdizionale
e l'accesso alla giustizia da parte dei cittadini.
Dette disposizioni assicurano l'esistenza, a
livello nazionale, di meccanismi idonei a
garantire la piena efficacia dell'atto, inclusa la
piena osservanza della legislazione sulla
protezione dei dati.
42. Il GEPD solleva un'altra
questione, relativa alla base giuridica. Spetta al
legislatore comunitario scegliere la base
giuridica adeguata e, di conseguenza, la procedura
legislativa adeguata. La scelta va oltre i compiti
del GEPD. Tuttavia, in considerazione delle
importanti questioni fondamentali in gioco, il
GEPD esprime nell'attuale situazione una forte
preferenza per la procedura di codecisione.
Soltanto questa procedura rappresenta un processo
decisionale trasparente che garantisce la piena
partecipazione delle tre istituzioni interessate e
il debito rispetto dei principi sui cui si fonda
l'Unione.
IV. La necessità di
armonizzazione
43. La proposta di direttiva
armonizza i tipi di dati da conservare, i periodi
di tempo durante i quali i dati dovrebbero essere
conservati e gli scopi per i quali i dati possono
essere forniti alle autorità competenti. La
proposta prevede la piena armonizzazione di questi
elementi. Al riguardo, diverge profondamente dal
progetto di decisione quadro, che prevede norme
minime.
44. Il GEPD sottolinea la
necessità di una piena armonizzazione di questi
elementi, tenuto conto del funzionamento del
mercato interno, delle esigenze delle forze
dell'ordine e – da ultimo ma non meno importante
– della CEDU e dei principi della protezione dei
dati.
45. Quanto al funzionamento del
mercato interno, l'armonizzazione degli obblighi
di conservare i dati giustifica la scelta della
base giuridica della proposta (articolo 95 del
trattato CE).
Se si consente la presenza di
differenze sostanziali tra le legislazioni degli
Stati membri, non si eliminano le attuali
perturbazioni del mercato interno delle
comunicazioni elettroniche dovute tra l'altro alla
(imminente) adozione di misure legislative negli
Stati membri ai sensi dell'articolo 15 della
direttiva 2002/58/CE (cfr. punto 19 del presente
parere).
46. Ciò risulta ancor più
importante in quanto una quantità notevole di
comunicazioni elettroniche ricade sotto la
giurisdizione di più di uno Stato membro. Ne sono
esempi illustrativi: le chiamate telefoniche
transfrontaliere, il roaming, l'attraversamento
delle frontiere durante le comunicazioni mobili e
l'uso di un fornitore di uno Stato membro diverso
dal paese di residenza della persona.
47. Inoltre, in tale contesto,
l'assenza di armonizzazione sarebbe dannosa per le
necessità delle forze dell'ordine, in quanto le
autorità competenti dovrebbero soddisfare
requisiti giuridici diversi. Ciò potrebbe
ostacolare lo scambio di informazioni tra le
autorità degli Stati membri.
48. Infine il GEPD sottolinea
– in riferimento al compito che gli incombe ai
sensi dell'articolo 41 del regolamento (CE) n.
45/2001 – che la piena armonizzazione dei
principali elementi contenuti nella proposta è
indispensabile per il rispetto della CEDU e dei
principi della protezione dei dati.
Qualsiasi misura legislativa
che imponga la conservazione dei dati relativi al
traffico e all'ubicazione deve limitare
chiaramente il numero di dati da conservare, i
periodi di conservazione e (gli scopi
del)l'accesso e l'ulteriore uso dei dati, per
essere accettabile dal punto di vista della
protezione dei dati e soddisfare i requisiti di
necessità e proporzionalità.
V. Osservazioni sugli articoli
della proposta
Articolo 3: Obbligo di
conservazione dei dati
49. L'articolo 3 è la
disposizione fondamentale della proposta.
L'articolo 3, paragrafo 1, introduce l'obbligo di
conservare i dati relativi al traffico e i dati
relativi all'ubicazione, mentre l'articolo 3,
paragrafo 2, attua il principio di limitazione
della finalità stabilendo tre importanti limiti.
I dati conservati sono forniti soltanto:
– alle autorità nazionali
competenti,
– in casi specifici,
– a fini di prevenzione,
ricerca, accertamento e perseguimento di reati
gravi, quali il terrorismo e la criminalità
organizzata.
L'articolo 3, paragrafo 2,
rinvia alla legislazione nazionale degli Stati
membri per la precisazione di ulteriori limiti.
50. Il GEPD considera
l'articolo 3, paragrafo 2, una disposizione
importante, ma ritiene che i limiti non siano
abbastanza precisi, che l'accesso e l'ulteriore
uso debbano essere regolamentati esplicitamente
dalla direttiva e siano necessarie garanzie
aggiuntive. Come indicato nella parte III del
presente parere, il GEPD non è convinto che il
mancato inserimento di disposizioni (dettagliate)
sull'accesso ai dati relativi al traffico e
all'ubicazione e sull'ulteriore uso degli stessi
sia una conseguenza inevitabile della base
giuridica della proposta (articolo 95 del trattato
CE). Ne conseguono le seguenti osservazioni.
51. In primo luogo, non viene
precisato che altri soggetti interessati, come lo
stesso fornitore, non hanno accesso ai dati.
Ai sensi dell'articolo 6 della
direttiva 2002/58/CE, i fornitori possono trattare
i dati relativi al traffico solo sino alla fine
del periodo i cui i dati sono conservati a fini di
fatturazione.
Secondo il GEPD non è
giustificato un accesso da parte dei fornitori o
di altri soggetti interessati diverso da quello
contemplato dalla direttiva 2002/58/CE e alle
condizioni ivi previste.
52. Il GEPD raccomanda di
aggiungere nel testo una disposizione volta a
garantire che le persone diverse dalle autorità
competenti non abbiano accesso ai dati. Questa
disposizione potrebbe essere formulata come segue:
"i dati possono essere estratti e/o trattati
soltanto per la finalità di cui all'articolo 3,
paragrafo 2" oppure "i fornitori
garantiscono effettivamente che l'accesso è
concesso soltanto alle autorità competenti".
53. In secondo luogo, la
limitazione a casi specifici sembra proibire
l'accesso sistematico per "operazioni di
pesca" o attività di data mining. Tuttavia
il testo della proposta dovrebbe specificare che i
dati possono essere forniti solo se necessario in
relazione a un reato specifico.
54. In terzo luogo, il GEPD
accoglie con favore il fatto che la finalità
dell'accesso è limitata ai reati gravi, quali il
terrorismo e la criminalità organizzata. Negli
altri casi meno gravi, l'accesso ai dati relativi
al traffico e all'ubicazione non sarà senza
dubbio proporzionato. Tuttavia il GEPD si chiede
se questa limitazione sia abbastanza precisa,
soprattutto quando l'accesso sarà chiesto in
relazione a reati gravi diversi dal terrorismo e
dalla criminalità organizzata. La prassi degli
Stati membri sarà diversa. Il GEPD ha
sottolineato, nella parte IV del presente parere,
la necessità di una piena armonizzazione degli
elementi principali contenuti nella proposta. Il
GEPD raccomanda pertanto di limitare la
disposizione a taluni reati gravi.
55. In quarto luogo,
diversamente dal progetto di decisione quadro, la
proposta non contiene una disposizione
sull'accesso.
Secondo il GEPD l'accesso ai
dati e l'ulteriore uso degli stessi non dovrebbero
essere trascurati dalla direttiva. Essi sono parte
integrante della materia (cfr. parte III del
presente parere).
56. Il GEPD raccomanda di
aggiungere alla proposta uno o più articoli
sull'accesso ai dati relativi al traffico e
all'ubicazione da parte delle autorità competenti
e sull'ulteriore uso dei dati. Questi articoli
dovrebbero mirare a garantire che i dati siano
utilizzati soltanto per i fini di cui all'articolo
3, paragrafo 2, che le autorità garantiscano la
qualità, la riservatezza e la sicurezza dei dati
ottenuti e che i dati siano cancellati quando non
sono più necessari per la prevenzione, la
ricerca, l'accertamento e il perseguimento del
reato specifico. Inoltre, si dovrebbe prevedere
che l'accesso in casi specifici debba essere posto
sotto il controllo giurisdizionale degli Stati
membri.
57. In quinto luogo, la
proposta non contiene garanzie aggiuntive per la
protezione dei dati. I considerando si limitano a
menzionare le garanzie previste dalla legislazione
vigente, più in particolare dalla direttiva
95/46/CE e dalla direttiva 2002/58/CE. Il GEPD non
condivide questo approccio limitato alla
protezione dei dati nonostante la particolare
importanza delle garanzie (aggiuntive) (cfr. parte
II del presente parere).
58. Pertanto, il GEPD
raccomanda di introdurre un paragrafo sulla
protezione dei dati. In tale paragrafo potrebbero
essere inserite le precedenti raccomandazioni
concernenti l'articolo 3, paragrafo 2, e altre
disposizioni sulla protezione dei dati, ad esempio
quelle relative all'esercizio dei propri diritti
da parte della persona cui si riferiscono i dati (cfr.
parte II del presente parere), alla qualità dei
dati e alla sicurezza dei dati e ai dati relativi
al traffico e all'ubicazione concernenti persone
non sospettate di reato.
Articolo 4: Categorie di dati
da conservare
59. In generale, il GEPD
accoglie con favore l'articolo e l'allegato per:
– la tecnica legislativa
scelta, che presenta le descrizioni funzionali nel
dispositivo della direttiva e i dettagli tecnici
in un allegato. Essa è abbastanza flessibile da
rispondere adeguatamente agli sviluppi tecnologici
e offre certezza del diritto al cittadino,
– la distinzione tra dati
sulle telecomunicazioni e dati Internet,
nonostante questa distinzione diventi meno
importante dal punto di vista tecnologico.
Tuttavia dal punto di vista della protezione dei
dati, essa è importante perché su Internet la
linea di demarcazione tra dati sul contenuto e
dati relativi al traffico non è chiara (cfr., ad
esempio, il riconoscimento all'articolo 1,
paragrafo 2, che le informazioni consultate su
Internet sono dati sul contenuto),
– il livello di
armonizzazione: la proposta prevede un elevato
livello di armonizzazione con un elenco completo
di categorie di dati da conservare (diversamente
dal progetto di decisione quadro che contiene un
elenco minimo, che lascia agli Stati membri un
ampio margine per l'aggiunta di dati). Dal punto
di vista della protezione dei dati, la piena
armonizzazione è essenziale (cfr. parte IV).
60. Il GEPD raccomanda le
seguenti modifiche:
– l'articolo 4, secondo
comma, dovrebbe contenere criteri più sostanziali
per garantire che i dati sul contenuto non siano
inclusi. Dovrebbe essere aggiunta la seguente
frase:
"L'allegato non può
includere dati che rivelano il contenuto di una
comunicazione.",
– l'articolo 5 rende
possibile la revisione dell'allegato mediante una
direttiva della Commissione ("comitatologia
"). Il GEPD raccomanda che le revisioni
dell'allegato che presentano un impatto
sostanziale sulla protezione dei dati siano di
preferenza effettuate mediante una direttiva, in
conformità alla procedura di codecisione (10).
Articolo 7: Periodi di
conservazione
61. Il GEPD si compiace del
fatto che i periodi di conservazione indicati
nella proposta siano notevolmente più brevi di
quelli previsti dal progetto di decisione quadro:
– ricordando i dubbi espressi
nel presente parere sulla prova della necessità
della conservazione dei dati relativi al traffico
fino a un anno, il periodo di un anno rispecchia
le pratiche delle forze dell'ordine, quali
indicate dalle cifre fornite dalla Commissione e
dalla presidenza del Consiglio,
– dette cifre mostrano
inoltre che, tranne in casi eccezionali, la
conservazione dei dati per periodi più lunghi non
rispecchia le pratiche delle forze dell'ordine,
– un periodo più breve di
sei mesi per i dati relativi alle comunicazioni
elettroniche realizzate utilizzando unicamente o
principalmente il protocollo Internet è
importante dal punto di vista della protezione dei
dati, in quanto la conservazione delle
comunicazioni Internet comporta enormi basi di
dati (tali dati non sono normalmente conservati a
fini di fatturazione), la linea di demarcazione
con i dati sul contenuto è vaga e la
conservazione per più di sei mesi non rispecchia
le pratiche delle forze dell'ordine.
62. Nel testo si dovrebbe
precisare che:
– i periodi di conservazione
rispettivamente di 6 mesi e un anno sono periodi
massimi di conservazione,
– i dati sono cancellati al
termine del periodo di conservazione. Il testo
dovrebbe inoltre precisare in che modo dovrebbero
essere cancellati i dati. Secondo il GEPD un
fornitore deve cancellare i dati avvalendosi di
procedimenti automatizzati, almeno su base
giornaliera.
Articolo 8: Requisiti di
memorizzazione per i dati conservati
63. Questo articolo è
strettamente connesso all'articolo 3, paragrafo 2,
e contiene un'importante disposizione che può
garantire che l'accesso in casi specifici possa
essere limitato ai dati specificamente necessari.
L'articolo 8 e l'articolo 3, paragrafo 2,
presuppongono che i dati richiesti siano trasmessi
dai fornitori alle autorità e che queste ultime
non abbiano accesso diretto alle basi di dati. Il
GEPD raccomanda di far figurare esplicitamente
questa presupposizione nel testo.
64. La disposizione dovrebbe
essere precisata, indicando che:
– i dati richiesti sono
trasmessi dai fornitori alle autorità (cfr. punto
63),
– i fornitori dovrebbero
installare l'architettura tecnica necessaria,
inclusi i motori di ricerca, per facilitare
l'accesso mirato ai dati specifici,
– i fornitori dovrebbero
garantire che soltanto i membri del personale con
responsabilità tecniche specifiche abbiano
accesso alle basi di dati per motivi tecnici e che
detti membri del personale siano consapevoli del
carattere sensibile dei dati e operino nel
rispetto di rigorose norme interne di
riservatezza,
– la trasmissione dei dati
dovrebbe avvenire non solo senza ritardi
ingiustificati ma anche senza rivelare dati
relativi al traffico e all'ubicazione diversi da
quelli necessari ai fini della richiesta.
Articolo 9: Statistiche
65. L'obbligo per i fornitori
di presentare statistiche su base annuale facilita
il monitoraggio da parte delle istituzioni
comunitarie dell'efficacia dell'attuazione e
dell'applicazione della presente proposta. Sono
necessarie informazioni adeguate.
66. Secondo il GEPD tale
obbligo attua il principio di trasparenza. Il
cittadino europeo ha il diritto di essere
informato sull'efficacia della conservazione dei
dati. Per questa ragione, il fornitore dovrebbe
essere tenuto anche a tenere elenchi dei file di
log e a effettuare sistematicamente audit
(interni) per consentire alle autorità nazionali
incaricate della protezione dei dati di
controllare concretamente l'applicazione delle
norme in materia di protezione dei dati (1). La
proposta dovrebbe essere modificata in tal senso.
Articolo 10: Costi
67. Come già rilevato nella
parte II, esiste un nesso diretto tra
l'adeguatezza delle misure di sicurezza e i costi
delle stesse o, in altri termini, tra sicurezza e
costi. Il GEPD considera pertanto l'articolo 10
– che prevede il rimborso dei costi aggiuntivi
documentati – una disposizione importante che
potrebbe fungere da incentivo affinché i
fornitori investano nell'infrastruttura tecnica.
68. Secondo le stime riportate
nella valutazione d'impatto trasmessa dalla
Commissione al GEPD, i costi della conservazione
di dati sono rilevanti. Per un importante
fornitore di rete e di servizi, i costi
ammonterebbero a più di 150 milioni di EUR, per
un periodo di conservazione di 12 mesi, con costi
di gestione annui pari a circa 20 milioni di EUR
(2). Non esistono tuttavia dati sui costi delle
misure di sicurezza aggiuntive, ad esempio per
costosi motori di ricerca (cfr. le osservazioni
sull'articolo 6) né sulle conseguenze finanziarie
(stimate) del rimborso totale dei costi aggiuntivi
sostenuti dai fornitori.
69. Secondo il GEPD sono
necessarie cifre più precise per essere in grado
di valutare la proposta per intero. Egli propone
di chiarire le conseguenze finanziarie della
proposta nella relazione illustrativa.
70. Per quanto riguarda la
stessa disposizione dell'articolo 10, il nesso tra
l'adeguatezza delle misure di sicurezza e i costi
dovrebbe essere precisato nel testo della
disposizione. Inoltre la proposta dovrebbe
prevedere norme minime per le misure di sicurezza
che i fornitori dovrebbero adottare per aver
diritto al rimborso da parte di uno Stato membro.
Secondo il GEPD la definizione di tali norme non
dovrebbe essere lasciata totalmente alla
discrezione degli Stati membri. Ciò potrebbe
compromettere il livello di armonizzazione
previsto dalla direttiva. Si dovrebbe inoltre
tener conto del fatto che le conseguenze
finanziarie del rimborso sono a carico degli Stati
membri.
Articolo 11: Modifica della
direttiva 2002/58/CE
71. La relazione con l'articolo
15, paragrafo 1, della direttiva 2002/58/CE
dovrebbe essere chiarita, in quanto la presente
proposta priva questa disposizione di gran parte
del suo contenuto. I riferimenti presenti
nell'articolo 15, paragrafo 1, della direttiva
2002/58/CE agli articoli 6 e 9 (della stessa
direttiva) dovrebbero essere soppressi, o almeno
modificati per chiarire che gli Stati membri non
sono più competenti ad adottare normative sui
reati, in aggiunta alla presente proposta.
Deve essere eliminata ogni
ambiguità sulle loro restanti competenze – ad
esempio per quanto riguarda la conservazione di
dati per reati "non gravi".
Articolo 12: Valutazione
72. Il GEPD si compiace del
fatto che la proposta contenga un articolo sulla
valutazione della direttiva, entro tre anni
dall'entrata in vigore. Una valutazione è tanto
più importante in considerazione dei dubbi sulla
necessità della proposta e della sua
proporzionalità.
73. A questo proposito, il GEPD
raccomanda di prevedere un obbligo ancora più
rigoroso, che contenga i seguenti elementi:
– la valutazione dovrebbe
riguardare anche l'efficacia dell'attuazione della
direttiva, dal punto di vista delle forze
dell'ordine, e l'impatto sui diritti fondamentali
della persona cui si riferiscono i dati. La
Commissione dovrebbe inserire ogni prova che possa
incidere sulla valutazione,
– la valutazione dovrebbe
aver luogo regolarmente (almeno ogni due anni),
– la Commissione dovrebbe
essere tenuta a presentare modifiche della
proposta, se del caso (come all'articolo 18 della
direttiva 2002/58/CE).
VI. Conclusioni
Premesse
74. Per il GEPD è essenziale
che la proposta rispetti i diritti fondamentali.
Un atto di carattere legislativo che comprometta
la protezione garantita dal diritto comunitario e
più in particolare dalla giurisprudenza della
Corte di giustizia e dalla Corte europea dei
diritti dell'uomo è non solo inaccettabile, ma
anche illegale.
75. La necessità e la
proporzionalità dell'obbligo di conservazione dei
dati – in tutta la sua portata – devono essere
dimostrate.
76. Quanto alla necessità: il
GEPD riconosce i mutamenti intervenuti, ma non è
ancora convinto della necessità della
conservazione dei dati relativi al traffico e
all'ubicazione per finalità legate alle attività
delle forze dell'ordine, come stabilito nella
proposta.
77. Nondimeno, il GEPD espone,
nel presente parere, le sue considerazioni sulla
proporzionalità della proposta. In primo luogo,
la sola conservazione dei dati relativi al
traffico e all'ubicazione non è di per sé una
risposta adeguata o efficace.
Sono necessarie ulteriori
misure, in modo da garantire alle autorità un
accesso mirato e rapido ai dati richiesti in un
caso specifico. In secondo luogo, la proposta
dovrebbe:
– limitare i periodi di
conservazione. I periodi devono rispecchiare le
necessità delle forze dell'ordine,
– limitare il numero di dati
da memorizzare. Tale numero deve rispecchiare le
necessità delle forze dell'ordine e garantire
l'impossibilità di accedere ai dati sui
contenuti,
– contenere adeguate misure
di sicurezza.
Valutazione generale
78. Il GEPD sottolinea
l'importanza del fatto che il presente testo della
proposta preveda la piena armonizzazione dei
principali elementi contenuti nella proposta, in
particolare i tipi di dati da conservare, i
periodi di tempo durante i quali i dati dovrebbero
essere conservati e (gli scopi del)l'accesso e
ulteriore uso dei dati.
79. Sono necessarie ulteriori
precisazioni su alcuni punti, ad esempio per
garantire una cancellazione adeguata dei dati al
termine del periodo di conservazione e ostacolare
efficacemente l'accesso ed uso da parte di diversi
gruppi di soggetti interessati.
80. Il GEPD ritiene essenziali
i seguenti punti perché la proposta sia
accettabile dal punto di vista della protezione
dei dati:
– l'aggiunta alla proposta di
disposizioni specifiche sull'accesso ai dati
relativi al traffico e all'ubicazione da parte
delle autorità competenti e l'ulteriore uso degli
stessi, quale parte fondamentale e integrante
della materia,
– l'aggiunta alla proposta di
garanzie supplementari per la protezione dei dati
(e non un semplice riferimento alle garanzie
previste dalla legislazione vigente, più in
particolare dalla direttiva 95/46/CE e dalla
direttiva 2002/58/CE), tra l'altro per garantire
l'esercizio dei diritti delle persone cui si
riferiscono i dati,
– l'aggiunta alla proposta di
ulteriori incentivi ai fornitori affinché
investano in un'infrastruttura tecnica adeguata,
compresi incentivi finanziari. Detta
infrastruttura può essere adeguata soltanto in
presenza di motori di ricerca efficaci.
Raccomandazioni di modifiche
della proposta
81. Per quanto riguarda
l'articolo 3, paragrafo 2:
– l'aggiunta di una
disposizione volta a garantire che le persone
diverse dalle autorità competenti non abbiano
accesso ai dati. Questa disposizione potrebbe
essere formulata come segue: "i dati possono
essere estratti e/o trattati soltanto per la
finalità di cui all'articolo 3, paragrafo 2"
oppure "i fornitori garantiscono
effettivamente che l'accesso è concesso soltanto
alle autorità competenti",
– la precisazione che i dati
possono essere forniti solo se necessario in
relazione a un reato specifico,
– la limitazione della
disposizione a taluni reati gravi,
– l'aggiunta alla proposta di
uno o più articoli sull'accesso ai dati relativi
al traffico e all'ubicazione da parte delle
autorità competenti e sull'ulteriore uso dei dati
e di una disposizione secondo cui l'accesso in
casi specifici dovrebbe essere posto sotto il
controllo giurisdizionale degli Stati membri,
– l'introduzione di un
paragrafo sulla protezione dei dati.
82. Per quanto riguarda gli
articoli 4 e 5:
– l'aggiunta all'articolo 4,
secondo comma, della seguente frase:
"L'allegato non può includere dati che
rivelano il contenuto di una comunicazione",
– la precisazione che le
revisioni dell'allegato che presentano un impatto
sostanziale sulla protezione dei dati dovrebbero
essere di preferenza effettuate mediante una
direttiva, in conformità alla procedura di
codecisione.
83. Per quanto riguarda
l'articolo 7, la precisazione nel testo che:
– i periodi di conservazione
di 6 mesi e un anno sono periodi massimi di
conservazione,
– i dati sono cancellati al
termine del periodo di conservazione. Il testo
dovrebbe inoltre precisare in che modo dovrebbero
essere cancellati i dati, segnatamente dal
fornitore mediante procedimenti automatizzati,
almeno su base giornaliera.
84. Per quanto riguarda
l'articolo 8, la precisazione nel testo che:
– i dati richiesti sono
trasmessi dai fornitori alle autorità,
– i fornitori dovrebbero
installare l'architettura tecnica necessaria,
inclusi i motori di ricerca, per facilitare
l'accesso mirato ai dati specifici,
– i fornitori dovrebbero
garantire che soltanto membri del personale con
responsabilità tecniche specifiche abbiano
accesso alle basi di dati per motivi tecnici e che
detti membri del personale siano consapevoli del
carattere sensibile dei dati e operino nel
rispetto di rigorose norme interne di
riservatezza,
– la trasmissione dei dati
dovrebbe avvenire non solo senza ritardi
ingiustificati ma anche senza rivelare dati
relativi al traffico e all'ubicazione diversi da
quelli necessari ai fini della richiesta.
85. Per quanto riguarda
l'articolo 9:
– l'aggiunta di una
disposizione che impone al fornitore di tenere
elenchi dei file di log e effettuare
sistematicamente audit (interni) per consentire
alle autorità nazionali incaricate della
protezione dei dati di controllare concretamente
l'applicazione delle norme in materia di
protezione dei dati.
86. Per quanto riguarda
l'articolo 10:
– il nesso tra l'adeguatezza
delle misure di sicurezza e i costi deve essere
chiarito nel testo della disposizione,
– l'aggiunta di norme minime
per le misure di sicurezza che i fornitori
dovrebbero adottare per aver diritto al rimborso
da parte di uno Stato membro,
– la precisazione delle
conseguenze finanziarie della proposta nella
relazione illustrativa.
87. Per quanto riguarda
l'articolo 11:
– modifica dell'articolo 15,
paragrafo 1, della direttiva 2002/58/CE per
sopprimere i riferimenti agli articoli 6 e 9
(della stessa) o almeno modificarli, al fine di
chiarire che gli Stati membri non sono più
competenti ad adottare normative sui reati, in
aggiunta alla presente proposta.
88. Per quanto riguarda
l'articolo 12, modifica della disposizione sulla
valutazione:
– la valutazione dovrebbe
riguardare anche l'efficacia dell'attuazione della
direttiva
– essa dovrebbe aver luogo
regolarmente (almeno ogni due anni),
– la Commissione dovrebbe
essere tenuta a presentare modifiche della
proposta, se del caso (come previsto all'articolo
18 della direttiva 2002/58/CE).
Fatto a Bruxelles, il 26
settembre 2005.
Peter HUSTINX
Garante europeo della protezione
dei dati
NOTE
(1) GU L 281 del 23.11.1995,
pag. 31.
(2) GU L 201 del 31.7.2002, pag. 37.
(3) GU L 8 del 12.1.2001, pag. 1.
(4) Sentenza della CEDU del 16 febbraio 2000,
Amann, 2000-II, ric. 27798/95.
(5) Sentenza della CEDU del 2 agosto 1984, Malone,
A82, ric. 8691/79.
(6) Sentenza della CEDU del 22 ottobre 1981,
Dudgeon, A45, ric. 7525.
(7) Cfr. anche punto 3 del presente parere.
(8) "Trovare il giusto equilibrio tra libertà
e sicurezza". Documento della presidenza del
Regno Unito dell'Unione europea del 7 settembre
2005.
(9) Cfr., nello stesso senso, il documento di
sintesi sull'applicazione della legge e lo scambio
di informazioni nell'UE, adottato nella conferenza
di primavera delle autorità europee incaricate
della protezione dei dati, Cracovia, 25-26 aprile
2005.
(10) Cfr., nello stesso senso, il parere del GEPD
del 23 marzo 2005 sulla proposta di regolamento
del Parlamento europeo e del Consiglio concernente
il sistema di informazione visti (VIS) e lo
scambio di dati tra Stati membri sui visti per
soggiorni di breve durata (paragrafo 3.12).
(11) Cfr., nello stesso senso, il parere del GEPD
del 23 marzo 2005 sulla proposta di regolamento
del Parlamento europeo e del Consiglio concernente
il sistema di informazione visti (VIS) e lo
scambio di dati tra Stati membri sui visti per
soggiorni di breve durata (paragrafo 3.9).
(12) La Commissione fa riferimento alle cifre
fornite dall'Associazione degli operatori di reti
di telecomunicazioni europei e alla relazione del
membro del Parlamento europeo, on. Alvaro, sul
progetto di decisione quadro.
|
