Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

4. Attività comunitarie e internazionali - Relazione 1998 - 12 aprile 1999

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1341717
Data:
12/04/99
Tipologia:
Relazione annuale

Indice

Relazione annuale 1998

4. Attività comunitarie e internazionali  

4.1 Premessa
Nel periodo considerato l´impegno del Garante per seguire le attività in corso a livello europeo e internazionale è cresciuto ulteriormente a causa dell´intensificarsi del carattere di "orizzontalità " che l´esigenza di una tutela adeguata dei dati personali assume riguardo alle iniziative tendenti a predisporre strumenti di coordinamento, anche normativo, delle azioni dei Governi e degli altri soggetti interessati allo sviluppo della Società dell´Informazione. La necessità di un bilanciamento degli interessi di volta in volta coinvolti si pone in maniera sempre più stringente, proprio per evitare il predominio delle esigenze del "mercato" e dei soggetti pubblici che trattano i dati su quelle dei consumatori e degli altri individui da tutelare.

È proseguita, inoltre, da parte del Garante l´opera di promozione della conoscenza negli altri Paesi della Comunità della normativa italiana che ha in buona misura attuato la direttiva 95/46/CE e la direttiva 97/66 sulla tutela della vita privata nel settore delle telecomunicazioni. Per entrambe il termine di recepimento era fissato al 24 ottobre 1998, ma allo stato attuale solo alcuni Stati membri hanno completato l´iter parlamentare per la trasposizione della prima direttiva e quattro quello della seconda direttiva (per un quadro comparativo delle singole legislazioni nazionali, si rinvia al successivo § 42.2.)

Altri importanti avvenimenti hanno caratterizzato l´attività del Garante per il 1998 per le notevoli implicazioni sotto il profilo della tutela dei dati personali: in particolare l´entrata in funzione dell´Ufficio europeo di Polizia (EUROPOL), avvenuta il 1° ottobre 1998 e la Conferenza ministeriale svoltasi a Ottawa, il 7-9 ottobre 1998, organizzata dall´OCSE sullo sviluppo del commercio elettronico.

Proprio il tema del commercio elettronico e dei modi per favorirne la diffusione a livello europeo e mondiale, salvaguardando o definendo i necessari livelli di tutela della riservatezza, è considerato oggi cruciale. Diverse sono le iniziative e le sedi che sono state individuate per aprire un confronto: oltre ai lavori già citati svolti in seno all´OCSE, occorre menzionare il completamento della lunga fase di elaborazione che ha portato il Consiglio d´Europa a predisporre "Linee-guida" sull´uso di Internet e ad approvare il 23 febbraio 1999 una "Raccomandazione" per consentirne la diffusione e l´applicazione. Il Garante, come già detto (v. cap. 2.13 e § 3.2.5), si è fatto promotore di un convegno internazionale, svoltosi a Roma nei giorni 8 e 9 maggio, proprio per riflettere e tenere conto delle diverse elaborazioni e soluzioni adottate dai diversi Paesi in relazione ai rapporti tra "Internet e privacy" (gli atti del convegno sono pubblicati a cura della Presidenza del Consiglio dei ministri, Dipartimento per l´informazione e l´editoria, Roma, 1999).

Le Comunità europee, attente agli sviluppi della Società dell´Informazione e dei riflessi sul mercato interno della globalizzazione dell´economia, hanno presentato poi due proposte di direttive, rivolte ad armonizzare l´una il quadro legale per l´utilizzo della firma elettronica, l´altra alcuni aspetti giuridici del commercio elettronico. Le proposte sono entrambe in discussione nei gruppi di lavoro del Consiglio.

Altro importante settore di attenzione, ancorché ancora non completamente definito nelle sue concrete implicazioni, riguarda l´entrata in vigore del Trattato di Amsterdam e la definizione del cd. acquis di Schengen.

 

42 Normativa comunitaria

42.1 La direttiva-quadro n. 95/46/CE e la direttiva n. 97/66/CE sulla tutela della vita privata nel settore delle telecomunicazioni
Gli aspetti relativi alla tutela dei dati personali sono affrontati, come già indicato nella Relazione per l´anno 1997, dal "Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali" (organismo a carattere consultivo e indipendente composto dai rappresentanti delle Autorità di controllo nazionali e istituito dall´art. 29 della direttiva) e da un Comitato previsto dall´art. 31 della stessa (che assiste la Commissione ed esprime il suo parere su progetti da essa sottoposti).

La vicepresidenza del Gruppo è affidata al Presidente del Garante, prof. Stefano Rodotà, che ha presieduto la riunione del 25 gennaio 1999.

Il Gruppo ha adottato, in particolare, i seguenti atti (v. Allegati, cap. 5.7):

  • Raccomandazione 1/98, adottata il 28 aprile 1998, in materia di sistemi telematici di prenotazione (CRS) nel trasporto aereo;
  • Parere 1/98, adottato il 16 giugno 1998, sulla piattaforma per le preferenze in materia di protezione della vita privata (P3P- Platform for Privacy Preferences) e la "norma aperta per i profili" (OPS-Open Profiling Standard);
  • Documento di lavoro sul trasferimento dei dati personali verso Paesi terzi approvato il 24 luglio 1998: applicazione degli artt. 25 e 26 della direttiva europea sulla tutela dei dati;
  • Documento sull´attività futura riguardante i codici di condotta, con particolare riferimento alla definizione della procedura relativa alla valutazione dei codici di condotta comunitari a opera del Gruppo, approvato il 10 settembre 1998;
  • Parere 1/99 relativo al livello di protezione dei dati negli Stati Uniti e al dibattito in corso fra la Commissione europea e il Governo degli Stati Uniti, adottato il 26 gennaio 1999.

Il termine del 24 ottobre per il recepimento è scaduto e, come già anticipato, solo una parte dei Paesi ha provveduto alla trasposizione. Anche l´Italia non ha ultimato la trasposizione della direttiva e dovrà pertanto completare l´iter con sollecitudine, utilizzando lo strumento dei decreti delegati che possono essere adottati entro il 31 luglio 1999.

Peraltro, secondo un orientamento informale della Commissione europea che si basa sulla più generale giurisprudenza elaborata dalla Corte di giustizia delle Comunità europee, la direttiva sarebbe direttamente applicabile per taluni aspetti in virtù dell´effetto verticale diretto, attribuito ad alcune parti chiaramente e immediatamente dispositive.

Da quanto emerso nelle riunioni dei gruppi di lavoro, le difficoltà maggiori dei Paesi Ue sembrano legate alla soluzione di aspetti relativi al trasferimento dei dati da e verso Paesi terzi (artt. 25 e 26 della direttiva), nonché alla determinazione della legge applicabile, alla nozione di stabilimento (art. 4 della direttiva), al "bilanciamento degli interessi" secondo l´art. 7, lett. b), al cd. prior-checking (art. 20 della direttiva) e alla natura e all´adeguatezza delle sanzioni. Il Garante ha pertanto proposto ai rappresentanti delle autorità di controllo che compongono il Gruppo di riflettere e confrontare le proprie esperienze. Dopo ampia valutazione, il Gruppo ha stabilito alcune priorità di azione che comporteranno approfondimenti da curare anche attraverso un seminario di lavoro in Italia.

Il Gruppo si è anche occupato della definizione del regolamento che dovrà portare alla istituzione di un organo di controllo indipendente, incaricato, secondo l´art. 286 del Trattato di Amsterdam, di sorvegliare l´applicazione degli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali - in sostanza le direttive citate - alle istituzioni e agli organismi comunitari. Tale autorità avrebbe dovuto essere già operante alla data del 1‚ gennaio 1999, ma i ritardi nella ratifica del Trattato di Amsterdam da parte di alcuni Paesi dell´Unione ne hanno finora impedito l´entrata in vigore.

Anche le istituzioni comunitarie, quindi, saranno tra breve chiamate ad applicare pienamente al loro interno i princìpi delle direttive, incaricando un apposito organismo di svolgere un controllo indipendente sul loro rispetto.

A seguito dell´entrata in vigore della direttiva 97/66/CE del 15 dicembre 1997, il cui termine di recepimento, come si è detto, era fissato anch´esso al 24 ottobre 1998 (e che è stata attuata dall´Italia con il decreto n. 171 del 13 maggio 1998) il Gruppo ha visto estendere i suoi compiti "alla tutela dei diritti e delle libertà fondamentali, nonché dei legittimi interessi nel settore delle telecomunicazioni", ai sensi dell´art. 14, § 3 della direttiva.

Il Comitato previsto dall´art. 31, nell´imminenza dell´entrata in vigore della direttiva, ha invece incentrato i suoi lavori soprattutto sugli aspetti legati alla definizione del concetto di adeguatezza ai fini del trasferimento di dati verso Paesi terzi. Particolare delicatezza ha assunto a questo riguardo il dialogo con gli Stati Uniti, considerando le diversità esistenti tra le due parti nel considerare questo tema. Numerosi sono stati i colloqui e gli incontri, tra cui assume indubbio rilievo la visita effettuata in Italia il 26 gennaio 1999 dal Sottosegretario al commercio estero americano, ambasciatore Aaron, e l´incontro con il Garante avutosi nell´occasione.

Altri temi di interesse attengono ai lavori del gruppo di lavoro "problemi economici - protezione dati" del Consiglio: nel corso dell´anno l´attenzione è stata posta sulla definizione dei modi per consentire l´adesione delle Comunità europee alla Convenzione n. 108 del Consiglio d´Europa e alla connessa posizione comunitaria, espressa attraverso la Commissione riguardo al progetto di "Linee-guida" su Internet e, soprattutto, al protocollo aggiuntivo alla Convenzione n. 108 con il quale si intendono apportare alla stessa importanti modificazioni per renderla più in linea con il contenuto della direttiva 95/46/CE. Il protocollo disciplina la creazione di autorità di controllo nazionali e la trasmissione di dati verso Paesi terzi.

Altro importante tema che ha caratterizzato i lavori del Gruppo, soprattutto nella prima metà dell´anno, è stato quello della definizione della posizione dei quindici Paesi dell´Unione in relazione al progetto di dichiarazione dei ministri partecipanti alla conferenza di Ottawa sul commercio elettronico relativa alla tutela della privacy.

La Commissione europea ha infatti partecipato ai lavori preparatori in seno all´OCSE, rappresentando, di volta in volta il punto di vista dell´Ue rispetto ai testi proposti.

  

42.2 Quadro comparativo sul recepimento delle direttive 95/46/CE e 97/66/CE nei Paesi membri dell´Ue
L´elemento caratterizzante il 1998 in chiave di normativa sovranazionale applicabile ai dati personali è stata la scadenza del termine di recepimento della direttiva 95/46 al giorno 24 ottobre. Alla stessa data era prevista anche l´analoga scadenza per un´altra direttiva strettamente legata alla precedente (tanto da essere detta comunemente "direttiva-figlia"), ossia la 97/66 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni.

Le posizioni dei singoli Stati appartenenti all´Unione europea possono quindi essere utilmente collocate in rapporto a tale scadenza, nel senso che non tutti hanno recepito in tempo le disposizioni comunitarie attraverso la legislazione nazionale. Possiamo dunque esaminare in prima battuta gli sviluppi legati alla direttiva "madre"; vedremo successivamente il quadro legislativo nazionale per quanto riguarda la direttiva "figlia".

In particolare, tre Stati (Portogallo - Lei da Protecçâo de Dados Pessoais no.67/98; Regno Unito - Data Protection Act (DPA) of 16th July 1998; Svezia - Personuppgiftslag ov 29 april 1998) hanno completato per primi i lavori parlamentari per il recepimento della direttiva 95/46 entro il termine previsto, e in un quarto (il Belgio - Loi relative à la protection de la vie privée à l´égard des traitements de données à caractè re personnel) il Parlamento ha licenziato il testo definitivo della nuova legge nel mese di dicembre 1998. Essi si sono così aggiunti all´Italia e alla Grecia, che avevano già recepito in gran parte la normativa comunitaria rispettivamente attraverso la l. n. 675/1996 e la l. n. 2472/1997.

È bene premettere che tutti e quattro i Paesi citati disponevano già di leggi in materia di protezione dei dati e di autorità incaricate di vigilare su tale protezione. Il recepimento della direttiva comunitaria ha quindi comportato un adeguamento della legislazione preesistente attraverso integrazioni o modifiche delle disposizioni già in vigore.

Le leggi nazionali di recepimento in linea di massima presentano forti analogie in termini sia di struttura sia di contenuti. I princì pi fondamentali della direttiva trovano ovviamente tutti attuazione, a partire dai diritti dell´interessato (accesso, opposizione, informazione) fino all´obbligo di notifica preventiva del trattamento a una Autorità indipendente, al divieto di trasferire dati verso Paesi terzi tranne in casi determinati, alla definizione dei compiti e dei poteri dell´Autorità di controllo, alle sanzioni previste per le inadempienze. Tuttavia, i legislatori dei singoli Paesi hanno fatto uso del margine di manovra loro riconosciuto nell´attuazione delle disposizioni comunitarie, per cui esistono alcune significative differenze fra le varie leggi che sarà interessante evidenziare, anche in rapporto alla scelta operata dal legislatore italiano.

Tutti e quattro i testi approvati nel corso del 1998 prevedono che il trattamento dei dati personali possa avvenire solo con il consenso dell´interessato o in base ad altri precisi presupposti, in ciò uniformandosi al principio sancito dagli artt. 7 e 8 della direttiva. Mentre però la legge belga distingue fra dati personali (art. 5), per i quali occorre che l´interessato abbia "indubitablement donnéson consentement" e dati "sensibili" (art. 6), per i quali occorre il consenso "par ecrit", negli altri testi non si fa menzione di un consenso "per iscritto" - uniformandosi al dettato degli artt. 7 e 8 della direttiva. La legge inglese, ad esempio, parla di "explicit consent" nel caso dei dati sensibili, mentre usa il solo termine "consent" per i dati personali in genere.

Considerazioni analoghe valgono per la legge portoghese, ove si parla di "consentimento expresso" e di "consentimento", rispettivamente. Si realizza dunque un livello diverso di tutela non sempre del tutto omogeneo rispetto a quanto previsto dal legislatore italiano, che ha scelto di introdurre una garanzia ulteriore ai fini della manifestazione della libera volontà degli interessati.

Anche per quanto riguarda l´informativa all´interessato le indicazioni della direttiva sono recepite nel dettaglio in rapporto all´obbligo di indicare l´identità del responsabile del trattamento e le finalità di quest´ultimo, fornendo per il resto indicazioni puramente esemplificative ("any further information which is necessary", DPA, Schedule I, Part II, 2(3); "outras informacoes, tais como: (?)", Lei 67/98, Art. 10(1); "all ôvrig information", Personuppgiftslag art. 25). La legge belga menziona invece esplicitamente anche il diritto di opposizione dell´interessato fra le informazioni da fornire a quest´ultimo.

La direttiva riconosce alcune esenzioni per quanto riguarda gli obblighi di informativa degli interessati, in particolare rispetto ai trattamenti per scopi di pubblica sicurezza e per finalità di giornalismo o espressione artistica o letteraria. Le legislazioni nazionali hanno recepito tali esenzioni, seppure in modo non uniforme. Ad esempio, la legge inglese (DPA) prevede in una apposita sezione esenzioni più o meno ampie a seconda che i dati attengano alla salvaguardia della sicurezza nazionale (con una deroga a princì pi di legittimità , adeguatezza, pertinenza, esattezza, ecc.), alla prevenzione e repressione di reati (limiti al principio di liceità e correttezza e ai diritti di accesso dell´interessato) o ai dati trattati nell´ambito di finalità giornalistiche o sanitarie o di ricerca storica e statistica (artt. 27-33).

La legge portoghese afferma chiaramente l´applicabilità delle disposizioni della legge stessa ai dati il cui trattamento sia finalizzato alla sicurezza pubblica, la difesa nazionale e la sicurezza dello Stato (art. 4(7)), ma è previsto che si possa fare riferimento a norme di legge specifiche. La dispensa dall´obbligo dell´informativa è esplicitamente prevista, oltre che in questi casi, per i trattamenti di natura giornalistica (art. 10(5) e 10(6)). Come si vede, si tratta di una materia che deve essere ulteriormente precisata attraverso la legislazione secondaria. Quest´ultima esigenza viene esplicitamente richiamata anche nella legge belga in rapporto ai trattamenti effettuati dal "Centre européen pour enfants disparus et sexuellement exploités" istituito nel 1997.

Anche in tema di notificazione del trattamento, pur prevedendosi in tutti i casi l´obbligo di notificare i trattamenti di dati personali (con determinate eccezioni) e di istituire un registro dei trattamenti, esistono alcune differenze nelle modalità specifiche di attuazione. Ad esempio, il DPA prevede che la notificazione effettuata sia mantenuta nel registro per un periodo determinato (di regola non superiore a un anno) e venga poi cancellata in mancanza del pagamento della prescritta tassa (art. 19 DPA).

Per quanto riguarda le esenzioni, la legge portoghese demanda all´Autorità nazionale di controllo il compito di autorizzare notificazioni in forma semplificata o esenzioni tramite provvedimenti da pubblicare sul Dià rio da Repù blica, mentre nel caso del Belgio è un´ordinanza reale, sentito il parere dell´Autorità nazionale di controllo, a stabilire i casi nei quali la notificazione può essere presentata in forma semplificata o può non essere presentata.

In tutti i casi il criterio-guida comune è quello enunciato nell´art. 18 (2) della direttiva e ripreso in modo letterale nei singoli testi di legge, ossia che si tratti di categorie di trattamento che non rechino pregiudizio ai diritti e alle libertà della persona interessata. Anche in questo campo occorrerà dunque attendere l´intervento di normative secondarie che daranno effettiva attuazione alle disposizioni della legge di recepimento.

Un altro ambito di rilevante interesse è rappresentato dalle norme che regolano il trasferimento di dati personali verso Paesi terzi. Il tema è particolarmente delicato, ed è oggetto di numerose riflessioni e discussioni a livello Comunitario che vertono, in modo particolare, sui criteri per valutare l´"adeguatezza" del livello di protezione offerto nel Paese terzo (v. cap. 2.13). I legislatori nazionali hanno recepito il testo della direttiva in modo pressochéletterale, adottando il criterio dell´adeguatezza quale requisito per il trasferimento. È interessante osservare, inoltre, che in varie leggi nazionali si fa esplicito riferimento all´esistenza nel Paese terzo di codici di condotta quale circostanza da prendere in esame nel valutare l´adeguatezza del livello di protezione.

Peraltro, nel DPA si prevede che i Paesi terzi non sono i Paesi non appartenenti all´Ue, bensì quelli che non appartengono allo Spazio economico europeo così come definito dall´accordo di Oporto del 1992. In pratica, oltre ai Paesi dell´Ue, è ammesso il trasferimento di dati verso i Paesi membri della CECA, la Svizzera, il Liechtenstein, l´Islanda e la Norvegia. Un´analoga disposizione è contenuta anche nel Personuppgiftslag svedese.

Per completare il quadro relativo all´Ue è bene fare un cenno alla situazione del processo legislativo negli altri Paesi, che fino al febbraio 1999 non avevano ancora recepito la direttiva 95/46. Va detto che in tutti erano già precedentemente in vigore leggi relative alla protezione dei dati personali; tuttavia, mentre alcuni (Austria, Danimarca, Paesi Bassi e Spagna) hanno già elaborato disegni di legge che prevedono emendamenti alla legislazione esistente in rapporto alle indicazioni della direttiva, i restanti (Francia, Germania, Irlanda e Lussemburgo) stanno provvedendo in tal senso - per motivazioni di varia natura legate alla complessità della materia, alla difficoltà delle scelte e, in taluni casi, a riserve e resistenze emerse.

In Francia - ove peraltro esiste una legge che dal 1978 disciplina la materia e ha istituito la Commission Nationale de l´Informatique et des Libertés - non è stato ancora elaborato un disegno di legge anche se il Governo intende muoversi con rapidità sulla base del dibattito stimolato dal "rapporto Braibant". Per quanto riguarda la Germania, il Governo dovrà ripresentare un disegno di legge dopo che il precedente (dell´8 aprile 1998) non è stato oggetto di esame a causa delle elezioni tenutesi il 27 settembre 1998. Anche in Irlanda e Lussemburgo il Governo deve tuttora presentare un disegno di legge. In Finlandia, invece, la legge approvata di recente entrerà in vigore il 1° aprile 1999.

Strettamente connessa alla direttiva 95/46 è l´altra direttiva cosiddetta "figlia" (97/66 del 15 dicembre 1997) che, come si è detto, è entrata in vigore egualmente il 24 ottobre 1998. La direttiva è finalizzata ad armonizzare le disposizioni degli Stati membri per garantire un livello "equivalente" di tutela dei diritti e delle libertà fondamentali, "ed in particolare del diritto alla vita privata", rispetto al trattamento di dati personali nel settore delle telecomunicazioni (art. 1, comma 1).

Di fatto, come stabilito dal comma 2 dell´art. 1, le disposizioni di questa direttiva "precisano e integrano la direttiva 95/46/CE" - tanto che vengono riprese le stesse definizioni contenute nell´art. 2 della direttiva "madre" con l´aggiunta di alcune specificamente riferite al settore delle telecomunicazioni (abbonato, utente, rete pubblica di telecomunicazione, servizio di telecomunicazione).

La direttiva indica in sostanza le modalità atte a garantire i princì pi sanciti nella 95/46 rispetto ai servizi offerti sulle reti pubbliche di telecomunicazioni, anche conriguardo alle persone giuridiche. Esse sono relative ai seguenti temi:

  • sicurezza del trattamento;
  • riservatezza delle comunicazioni (divieto di intercettazione senza consenso, tranne che per gli scopi indicati all´art. 14 - v. qui di seguito);
  • conservazione dei dati solo per scopi determinati e non oltre il periodo necessario;
  • diritto degli abbonati all´informazione sulla linea chiamante e collegata (o alla soppressione di tali informazioni);
  • diritto alla cancellazione (parziale o totale) dei propri dati contenuti in elenchi degli abbonati a disposizione del pubblico;
  • necessità del consenso dell´abbonato per l´invio di chiamate a scopi pubblicitari.

La direttiva prevede inoltre (art. 14) l´estensione del campo di applicazione di alcune disposizioni della direttiva 95/46; in particolare, ciò si applica alla limitazione degli obblighi sopra indicati per finalità di sicurezza dello Stato, difesa, pubblica sicurezza, prevenzione, ricerca, accertamento e perseguimento di reati.

Si tratta, come si vede, di una serie di obblighi ai quali gli Stati membri sono chiamati a far fronte attraverso disposizioni legislative, regolamentari e amministrative che incidono su settori particolarmente delicati: basti pensare, ad esempio, alla fornitura di servizi via Internet. È quest´ultimo punto, in effetti, ad avere suscitato le maggiori perplessità e incertezze, che l´Italia ha risolto (seppure in parte) attraverso il d.lg. n. 171 del 13 maggio 1998 (v. § 2.12.1).

Le stesse perplessità e incertezze hanno caratterizzato il recepimento della normativa comunitaria negli altri Stati membri, cosicchéalla data prevista per l´entrata in vigore della direttiva soltanto quattro Paesi, oltre all´Italia, avevano provveduto a emanare disposizioni nazionali per la trasposizione della direttiva (Austria, Germania, Finlandia, Portogallo). Un progetto di legge è stato presentato nel Regno Unito.

 

42.3 Lo sviluppo della Società dell´Informazione e l´attività della Commissione europea: le proposte di direttiva relative a un quadro comune sulle firme elettroniche e all´armonizzazione di alcuni aspetti del commercio elettronico
La proposta di direttiva relativa a un quadro comune sulle firme elettroniche, presentata dalla Commissione il 22 giugno 1998, doc. COM (98) 0297, è finalizzata a introdurre una cornice di regole armonizzate tra i Paesi membri delle Comunità europee per l´utilizzo delle firme elettroniche. L´intervento è stato ritenuto necessario per favorire lo sviluppo del commercio elettronico e si riferisce principalmente, anche se non esclusivamente, alle transazioni tra privati.

La direttiva prende infatti in considerazione anche l´uso delle firme elettroniche nei rapporti con la pubblica amministrazione o, meglio, con il settore pubblico. Essa, inoltre, detta regole per garantire il riconoscimento giuridico delle firme elettroniche, stabilendone l´equiparazione a quelle autografe. Il principio cardine delle direttiva consiste nell´evitare qualsiasi forma di discriminazione delle firme elettroniche sulla sola base dell´essere le firme stesse sotto forma elettronica, assicurando, in presenza di precisi requisiti di sicurezza, che esse siano considerate come pienamente equivalenti alle firme apposte manualmente.

I princìpi su cui si basa la direttiva sono quelli della neutralità tecnologica, evitando di legare la direttiva a uno o più prodotti in commercio e tenendo conto del rapido evolversi delle tecnologie e della libertà d´impresa. È pertanto escluso che gli Stati possano introdurre o mantenere regimi di autorizzazione preventiva, mentre hanno facoltà di mantenere o introdurre regimi di "accreditamento" facoltativi per garantire un più alto livello di sicurezza e affidabilità dei prestatori di servizi di certificazione e dei certificati da questi emessi.

Particolare importanza riveste per il Garante, che partecipa alle riunioni del gruppo di lavoro a Bruxelles, la parte relativa alla protezione dei dati personali, all´uso dello pseudonimo, agli aspetti transfrontalieri, alla definizione delle responsabilità dei prestatori di servizi di certificazione e alla individuazione degli specifici requisiti, tecnici e professionali, che gli stessi debbono possedere. Il testo inizialmente proposto dalla Commissione è stato largamente modificato nel corso delle riunioni ed è stato presentato al Consiglio dei ministri delle telecomunicazioni dell´Unione europea il 27 novembre per un accordo di massima; successivamente ripreso dal gruppo di lavoro, è stato ulteriormente e profondamente modificato sia nella parte relativa alla definizioni, ove sono stati introdotti riferimenti alle firme elettroniche avanzate e ai dispositivi "sicuri" di creazione e verifica delle firme stesse sia, soprattutto, in una più chiara identificazione degli elementi necessari per poter fondare una presunzione di equivalenza con le firme manoscritte.

Nel novembre 1998 è stata presentata dalla Commissione la proposta di direttiva del Parlamento europeo e del Consiglio COM (1998) 586 def. relativa a taluni aspetti del commercio elettronico nel mercato interno. Si tratta di una proposta di tipo orizzontale, in quanto si aggiunge alle direttive che già disciplinano i diversi settori interessati, dettando delle norme solo per la parte che rileva ai fini del commercio elettronico. La proposta - che intende armonizzare il quadro di riferimento, in particolare rispetto a cinque aspetti ritenuti cruciali, per evitare che gli Stati membri adottino in materia legislazioni divergenti, creando ostacoli e turbative al mercato interno - ha destato sia nelle riunioni di coordinamento interministeriali sia in seno al gruppo di lavoro del Consiglio che la sta discutendo, diverse perplessità. Gli aspetti che la direttiva intende armonizzare riguardano:

  • la definizione del luogo di stabilimento dei fornitori di servizi della Società dell´Informazione;
  • la definizione della nozione di comunicazione commerciale e misure per incoraggiarne l´uso;
  • la stipulazione di contratti on-line (collegata all´approvazione della proposta di direttiva sulle firme elettroniche);
  • la definizione di princìpi comuni di responsabilità per i fornitori di servizi on-line;
  • la previsione di sistemi volti a favorire l´effettiva attuazione delle norme comunitarie.

La proposta si presenta poi di difficile lettura per i molteplici richiami e rinvii operati ad altre direttive, nonché per le esclusioni e deroghe ivi previste.

Il Garante è interessato più direttamente alle parti che attengono alla tutela dei dati personali, per i quali si ritiene del tutto insoddisfacente la clausola di esclusione approntata dall´art. 22.Infatti accanto alla estrema specificità delle previsioni della direttiva, questo articolo, intitolato "Deroghe", si limita a prevedere che la direttiva non si applica "alle materie regolate dalla direttiva 95/46/CE" e, quindi, risulta del tutto inadeguato per tenere conto di una disciplina che intende garantire una tutela generale.

La disciplina del rapporto tra il commercio elettronico e la tutela dei dati personali, se demandata a una mera clausola di deroga apposta in calce a una direttiva (quella sul commercio elettronico) che però reca disposizioni non sempre convergenti con quelle in materia di dati personali, potrebbe infatti ingenerare serie difficoltà in sede applicativa.


 

43 La cooperazione europea nei settori giustizia e affari interni

43.1 Consiglio giustizia e affari interni (Trattato di Amsterdam e proposta italiana per una omogeneizzazione )
Come già evidenziato nella precedente relazione, l´esistenza, nell´ambito del titolo VI del trattato di Maastricht, dedicato alla cooperazione in materia di affari interni e giustizia, di diversi strumenti basati su scambi informatizzati di dati personali, ha fatto ritenere opportuno, anche ai fini degli sviluppi derivanti dall´imminente entrata in vigore del nuovo Trattato, aprire una riflessione tendente a valutare l´opportunità di una razionalizzazione di quanto sinora realizzato o in via di realizzazione, soprattutto riguardo ai sistemi di tutela previsti, alle disposizioni in materia di responsabilità, ai compiti degli organi di supervisione e controllo.

Su proposta del Ministro dell´interno italiano, il Consiglio dei Ministri europei della giustizia e affari interni ha deciso di far effettuare una ricognizione puntuale dei diversi strumenti esistenti e in corso di definizione, di studiare le forme più idonee per ridurre le disarmonie esistenti nei diversi testi e il rischio di disparità di trattamento nel riconoscimento agli interessati dei diritti previsti in materia di protezione dei dati, e di razionalizzare la complessa tematica pervenendo a un grado più elevato di armonizzazione ed evitando duplicazioni di personale e mezzi. La ricognizione, curata dal servizio giuridico, e presentata in un documento dello scorso settembre, contiene anche interessanti riflessioni e specifici orientamenti.

Di conseguenza è stato deciso di dare uno specifico mandato a un gruppo di lavoro per proseguire la riflessione e presentare soluzioni.

La prima riunione del Gruppo ha avuto luogo l´11 febbraio 1999.
 

43.2 Schengen
Nel 1998 è proseguita l´opera di controllo svolta dal Garante sul funzionamento dell´archivio della sezione nazionale del Sistema d´informazione di Schengen, anche attraverso le segnalazioni pervenute da privati.

Con i propri rappresentanti dell´Autorità comune di controllo istituita ai sensi dell´art. 115 della Convenzione di applicazione dell´Accordo di Schengen, il Garante ha contribuito poi all´adozione di specifiche raccomandazioni e pareri.

Si allega alla presente relazione il Rapporto dell´ACC relativo al periodo marzo 1997-marzo 1998. Si differisce invece la pubblicazione di quello relativo al periodo marzo 1998-marzo 1999 la cui predisposizione è ancora in corso.

Di particolare interesse la relazione dell´ACC relativa alla sicurezza degli uffici SIRENE (scaturita da una acquisizione illecita di dati verificatasi in un ufficio SIRENE, cui avevano fatto seguito ispezioni e verifiche da parte delle autorità nazionali per verificare le misure di sicurezza adottate in tutti gli uffici dei Paesi membri), datata 11 dicembre 1998 e presentata dall´ACC al Comitato esecutivo;

Sono stati adottati i seguenti pareri:

  • 98/1 sulla conservazione dei dossier ad avvenuta cancellazione di una segnalazione nel SIS;
  • 98/2 relativo alla segnalazione nel SIS di persone la cui identità è stata usurpata, il Protocollo per le visite e i controlli presso il C.SIS definito con le autorità francesi e l´ACC, definito dal Comitato di orientamento SIS nel dicembre scorso;
  • 98/3 sulle eventuali relazioni tra il SIS e il progetto ASF (automated search facility) di INTERPOL;
  • 98/4 relativo alle registrazioni delle consultazioni di cui all´articolo 103 della Convenzione.

Tema di grande attualità è quello dell´imminente trasposizione del quadro normativo fissato dagli Accordi di Schengen all´interno del sistema di integrazione europeo fissato dal Trattato di Amsterdam: quest´ultimo prevede infatti, in uno specifico protocollo, che l´acquis di Schengen sia integrato nell´ambito dell´Unione europea a decorrere dall´entrata in vigore, prevista per il prossimo mese di maggio. Entro quella data quindi le attività, l´organizzazione, le strutture e i mezzi finanziari dedicati alla cooperazione Schengen dovranno trovare una collocazione all´interno delle corrispondenti strutture delle Comunità e dell´Unione in relazione alla base giuridica che sarà identificata come idonea per collocare e proseguire le suddette attività.

Delicati problemi si pongono, con riguardo alla struttura e al funzionamento del SIS, alla collocazione dell´ACC e, più in generale, alla identificazione di idonee soluzioni per garantire il sistema di tutela dei dati personali delineato.

Il tema è stato da ultimo evidenziato nell´audizione di un componente dell´Autorità avanti il Comitato parlamentare di controllo Schengen, svoltasi il 23 febbraio 1999.

Va segnalato infine che con l. 18 febbraio 1999, n. 47, è stato ratificato il protocollo recante modifica degli articoli 40, 41 e 65 della convenzione di applicazione dell´accordo di Schengen del 14 giugno 1985, firmata a Schengen il 19 giugno 1990, fatto a Lisbona il 24 giugno 1997.

A seguito poi della deliberazione del´ACC di curare la pubblicazione di un opuscolo illustrativo delle modalità per esercitare il diritto di accesso ai dati detenuti nel Sistema informativo Schengen da parte dei soggetti interessati, è stato definito il testo e l´immagine della campagna informativa, che dovrà svolgersi nei vari Paesi Schengen secondo modalità uniformi. Al riguardo il Garante, che figura come l´autorità nazionale cui gli interessati potranno rivolgersi per gli accertamenti da svolgere in Italia, definirà in tempi brevi la stampa e la distribuzione degli opuscoli e dei pannelli informativi, anche attraverso l´eventuale collaborazione, finanziaria od organizzativa, di altre amministrazioni interessate.

 

43.3 Europol
La l. 23 marzo 1998, n. 93, ha autorizzato la ratifica e l´esecuzione della Convenzione basata sull´art. K3 del Trattato sull´Unione europea del 25 luglio 1995, che istituisce un Ufficio europeo di polizia (Europol). La stessa legge ha affidato al Garante per la protezione dei dati personali il ruolo di Autorità di controllo nazionale ai sensi dell´art. 23 della convenzione stessa.

Spetta quindi al Garante accertare che l´introduzione, la consultazione, la trasmissione, in qualsiasi forma, all´Europol di dati personali da parte dell´Italia avvengano nel rispetto delle norme; a tale fine il Garante avrà accesso ai dati e agli archivi. Sulla base dei princìpi dettati nelle ll. nn. 675/1996 e 676/1996, il Garante dovrà inoltre controllare le attività svolte dall´unità nazionale e dagli ufficiali di collegamento per la parte concernente le tutela dei dati personali. In base al disposto della Convenzione, che ha attribuito a chiunque il diritto di chiedere all´autorità di controllo nazionale di verificare la legittimità dell´introduzione e della trasmissione all´Europol di dati che lo riguardano, al Garante spetta inoltre di provvedere sulle specifiche istanze, nel rispetto delle procedure previste dalla l. n. 675/1996.

L´entrata in vigore della Convenzione al 1‚ ottobre 1998 ha determinato altresì l´inizio della funzionalità dell´Autorità comune di controllo prevista dall´art. 24 della Convenzione: questa Autorità, composta di due rappresentanti per Paese delle autorità nazionali di controllo, esercita controlli incisivi sulla gestione degli archivi Europol, decidendo anche sulle questioni sottoposte a mezzo di specifici ricorsi, esaminati in apposita composizione ristretta - dal comitato per i ricorsi -.

L´Autorità ha definito in un regolamento interno le necessarie misure procedurali e i compiti della struttura, attualmente al vaglio del Consiglio dei ministri degli affari interni e della giustizia, organo al quale spetta l´approvazione definitiva.

Tra gli atti necessari a consentire la piena operatività della Convenzione vi è il protocollo relativo ai privilegi e immunità di Europol: il disegno di legge italiano di ratifica non ha tuttora completato il suo iter, essendosi ritenuto necessario, come anche fatto presente dal Garante (in particolare nel corso di una audizione in Parlamento del Presidente del Garante), approfondire gli aspetti relativi alle guarentigie riconosciute a Europol e ai suoi agenti e rappresentanti. Il protocollo conferisce infatti a Europol (art. 2, comma 1) l´immunità giurisdizionale per la responsabilità di cui all´art. 38, § 1 della Convenzione, rispetto al trattamento di dati illecito o effettuato in modo non corretto, disposizione che sembra introdurre una deroga alla normativa internazionale della protezione dei dati che ingenera il timore di una attenuazione delle garanzie contenute nella Convenzione. È stata pertanto fatta presente la necessità di avviare una consultazione, unitamente ai partner europei, riguardo all´opportunità di adottare misure idonee ad assicurare che in nessun modo l´attuazione delle disposizioni del Protocollo sui privilegi e le immunità di Europol possa determinare una diminuzione del livello di tutela offerto dalla Convenzione.

 

43.4 Sistema informativo doganale
Con la l. 30 luglio 1998, n. 291, l´Italia ha autorizzato la ratifica e l´esecuzione della Convenzione sull´uso dell´informatica nel settore doganale, elaborata in base all´articolo K3 del Trattato sull´Unione europea del 26 luglio 1995.

La Convenzione mira a intensificare la cooperazione tra le amministrazioni doganali dei diversi Paesi dell´Unione europea, particolarmente attraverso lo scambio di dati personali.

A tal fine è stata prevista la creazione di un sistema informativo automatizzato comune (Sistema informativo doganale, o SID) che dovrebbe facilitare la prevenzione, la ricerca e il perseguimento delle infrazioni alle leggi nazionali.

Nella legge di ratifica, a differenza delle scelte operate per la Convenzione Europol, non sono state introdotte disposizioni per individuare espressamente nel Garante l´Autorità nazionale di controllo, né le disposizioni specificamente applicabili.

Al riguardo sembra quindi opportuno il riferimento alla normativa esistente, secondo la quale il quadro interno di protezione dei dati sarà definito con i decreti delegati previsti dalla l. n. 676/1996, mentre la tutela nei confronti di trattamenti illeciti o irregolari sarà assicurata, a livello nazionale, dal Garante, in base alle procedure definite dalla l. n. 675/1996.Il Garante concorrerà poi, analogamente a quanto avviene per le altre Convenzioni di terzo pilastro che istituiscono sistemi informatizzati di raccolta e scambio di dati personali, alla composizione dell´Autorità comune di controllo, che in questa convenzione ha compiti prevalentemente di esame delle problematiche relative alla funzionalità del sistema di tutela previsto dalla Convenzione.

La Convenzione dovrebbe entrare in vigore al completamento delle procedure di ratifica nei vari Paesi, approssimativamente non prima dell´autunno del 1999.

 

435 Eurodac
Il progetto di Convenzione per l´istituzione di un sistema per la raccolta, la memorizzazione, il confronto e lo scambio di dati relativi alle impronte digitali dei richiedenti asilo, basata sull´art. 15 della Convenzione di Dublino relativa alla determinazione dello Stato competente per l´esame delle richieste d´asilo, prosegue i lavori nell´ambito dell´apposito gruppo.

Anche questo progetto di Convenzione rientra nella riflessione generale sull´opportunità di razionalizzare gli strumenti elaborati o in via di elaborazione nel settore della cooperazione affari interni e giustizia proposta dall´Italia.

 

44 Consiglio d´Europa
Il Consiglio d´Europa ha proseguito la sua attività di elaborazione e sviluppo della normativa europea in materia di tutela dei dati personali, in particolare attraverso i lavori dei comitati plenari T-PD e CJ-PD e del gruppo GT-15.

Il Comitato consultivo della Convenzione n. 108 - T-PD, nella riunione annuale svoltasi all´inizio del mese di settembre, si è occupato prevalentemente della definizione dei modi per permettere l´adesione delle Comunità europee alla Convenzione. La decisione adottata è nel senso di emendarne il testo seguendo la procedura ordinaria prevista dall´art. 21, in quanto questa risulta più flessibile e rapida.

Le modifiche consistono nell´inserimento del riferimento alle Comunità europee accanto a quello agli Stati e alla modifica delle procedure di voto del Comitato, prevedendosi che nelle materie di competenza comunitaria, le Comunità europee esercitino il diritto di voto esprimendo un numero di voti pari al numero dei Paesi membri dell´Unione che non si sono avvalsi della c.d. clausola dell´opting out prevista dal Trattato di Amsterdam, liberi questi ultimi (Regno Unito, Irlanda e Danimarca) di accettare caso per caso il coordinamento comunitario.

Sono state modificate di conseguenza le disposizioni del regolamento interno per tutelare gli Stati-parte che non sono membri dell´Unione qualora, vertendosi in materie attribuite alle competenze comunitarie, gli Stati dell´Ue votino attraverso la Commissione europea.

A seguito del mandato conferito dal T-PD a un gruppo ristretto di lavoro per elaborare proposte per migliorare l´applicazione della Convenzione, con specifico riferimento all´opportunità di introdurre disposizioni volte a favorire la creazione di autorità di controllo indipendenti, a disciplinare i flussi verso Paesi terzi e a estendere le disposizioni della Convenzione agli archivi non automatizzati, sono state prospettate diverse soluzioni sulle quali peraltro non è stato ancora definito un consenso.

In particolare il gruppo ha preparato un progetto di Protocollo addizionale alla Convenzione, facoltativo per i Paesi che intendano accedere alla Convenzione stessa, per gli aspetti relativi alle autorità di controllo e ai flussi transfrontalieri; ha proposto altresì una Raccomandazione per gli aspetti relativi all´estensione del campo di applicazione della Convenzione.

Entrambi i temi formano oggetto di previa concertazione comunitaria in seno al gruppo problemi economici-protezione dati dell´Ue: i Paesi dell´Unione si presentano quindi, ove il diritto comunitario non lasci discrezionalità ai singoli Stati, in forma unitaria ed esprimono le loro posizioni attraverso la Commissione.

Il Gruppo di progetto sulla protezione dei dati - CJ-PD, ha approvato le Linee-guida per la protezione della privacy in Internet e ha predisposto il progetto della Raccomandazione poi approvata con il n. N.R (99)5 già citata.

Il CJ-PD ha inoltre proseguito la discussione per giungere all´adozione di una Raccomandazione sulla protezione dei dati nel settore delle assicurazioni. Anche in questo caso la materia è oggetto di previa concertazione comunitaria presso il gruppo problemi economici-protezione dei dati del Consiglio.

Il Gruppo di lavoro sulle nuove tecnologie - GT-15, gruppo ristretto costituito all´interno del CJ-PD, si è infine occupato del progetto di Raccomandazione sulla protezione dei dati raccolti e trattati a fini di sorveglianza.
 

45 Organizzazione per la cooperazione e lo sviluppo (OCSE)
Particolarmente importanti i lavori svolti in seno al comitato ICCP per definire e predisporre il testo della dichiarazione sulla tutela della riservatezza da adottarsi da parte dei ministri partecipanti alla Conferenza mondiale di Ottawa sul commercio elettronico.

Nell´occasione sono state riviste, adeguandole, le linee-guida adottate dall´Organizzazione nel 1981.

La Conferenza, al di là degli specifici risultati raggiunti con l´approvazione di tre documenti e la definizione di un piano d´azione, ha avuto un ruolo molto importante, costituendo un momento di incontro e confronto tra Paesi portatori in materia di filosofie del tutto divergenti.

Al Garante è stato chiesto di presiedere, nella persona del suo Presidente, la delegazione italiana.

L´apporto fornito dai componenti del Garante ha permesso di tener conto di alcune esigenze in materia di tutela dei diritti fondamentali della persona, e di sviluppare riflessioni basate anche sui risultati delle Linee-guida approvate dall´OCSE nel 1980.

La dichiarazione finale della Conferenza sottolinea la necessità che le tematiche del commercio elettronico siano affrontate in modo da tenere conto dei diversi ruoli e dei diversi soggetti che vi partecipano (tra cui rappresentanti governativi, Autorità indipendenti, imprese private, associazioni rappresentative di utenti,) attraverso un approccio globale utile a favorire il più possibile la collaborazione e l´incontro delle volontà e degli interessi dei soggetti coinvolti.

 

46 Collaborazione con Autorità di garanzia di altri Paesi
Oltre agli obblighi di collaborazione con le altre Autorità di controllo nascenti dalla Convenzione n. 108 e da altri atti internazionali e comunitari, come ad esempio l´accordo di Schengen e la convenzione Europol, il Garante ha continuato a mante-nere nel corso dell´anno stretti contatti con tali istituzioni per favorire lo scambio di esperienze e opinioni, anche al fine di raggiungere, ove possibile, interpretazioni convergenti od omogenee.

Il Garante ha inoltre partecipato con assiduità a numerose conferenze europee e mondiali che, per la loro rilevanza e la natura dei temi trattati, hanno rappresentato un importante foro di discussione e hanno consentito un puntuale aggiornamento. Sono state, in particolare seguite le Conferenze internazionali ed europee delle Autorità garanti, che sono organizzate con criteri di periodicità, preferibilmente nella primavera e autunno di ogni anno.

Nel corso del 1998 la conferenza europea si è tenuta a Dublino il 23 e 24 aprile 1998 e quella mondiale a Santiago de Compostela il 16-18 settembre 1998.

Da segnalare la particolare attenzione rivolta dalle Autorità europee agli strumenti elaborati o in corso di elaborazione nell´ambito della cooperazione affari interni e giustizia che prevedono l´istituzione di sistemi di scambi di dati personali e la necessità di armonizzare le varie disposizioni, sostanziali e procedurali. A tal fine a Dublino, le Autorità hanno adottato una risoluzione con la quale auspicano l´adozione di iniziative in materia.(v. cap. 43).

In occasione dello svolgimento della conferenza internazionale, tenutasi a Santiago de Compostela, le Autorità garanti europee hanno approvato due dichiarazioni relative l´una allo sviluppo di Internet e alla tutela della privacy e, l´altra, al progetto del Governo islandese volto a istituire una base di dati di natura sanitaria, ivi compresi i dati genetici (nel quale si esprimono profonde preoccupazioni al riguardo e si riafferma l´esigenza di rispettare i principi contenuti nella convenzione n. 108 e nella Raccomandazione (97) 5 del Consiglio d´Europa, nonché quelli della direttiva 95/46/CE).

L´incontro periodico dell´Autorità comune di controllo Schengen si è svolto a Lisbona il 29 e 30 giugno 1998.

 

47 Partecipazione a convegni e incontri internazionali
Tra le varie iniziative di livello internazionale nelle quali il Garante ha avuto modo di fornire un proprio contributo alla discussione, oltre alla partecipazione alle Conferenze periodiche delle autorità di cui si è già fatto cenno, si possono citare le seguenti:

  • The Eight Annual Conference on Computers, Freedom and Privacy, Austin Tx, 18-20 febbraio 1998;
  • Convegno sulla firma digitale e cifratura Copenhagen, 23-24 aprile 1998; 
  • Riunione OCSE in materia di privacy e commercio elettronico, Parigi, 18 e 19 maggio 1998;
  • EPIC 98 - Cryptography and privacy Conference, Washington, 8 giugno 1998;
  • The Protection of Personal data and the Media, Seminario organizzato dall´Academy of European Law ERA di Trier/Treviri;
  • OECD Ministerial Conference "A borderless world: realising the potential of global electronic commerce", Ottawa, Canada, 7-9 ottobre 1998;
  • 24th Meeting of the International Working Group on data protection in telecommunication Berlino, 9 e 10 novembre 1998 (Internet; crittografia; legislazione in materia di telecomunicazioni).