III - Attività comunitarie e internazionali - Relazione 2001

Il recepimento delle direttive comunitarie

75. Le direttive sulla protezione dei dati
Il processo di recepimento della direttiva generale in materia di protezione dei dati personali, intrapreso con la legge n. 675/1996 (e proseguito con ulteriori successive modifiche ed integrazioni della stessa, delle quali si è reso conto nelle precedenti relazioni annuali), ha registrato un ulteriore passo in avanti con il d.lg. 28 dicembre 2001, n. 467: in particolare, come si è già accennato, con esso sono stati disciplinati gli aspetti relativi al bilanciamento degli interessi (art. 7, lett. f) della direttiva) ed è stato attribuito al Garante il compito di individuare ulteriori casi nei quali il titolare potrà effettuare il trattamento dei dati personali in mancanza del consenso dell´interessato. Il decreto ha inoltre introdotto nell´ordinamento italiano l´istituto del controllo preliminare (prior checking) sui trattamenti che potenzialmente presentano rischi specifici per i diritti e le libertà delle persone, attribuendone al Garante la competenza. In altra sede si sono precisate le condizioni alle quali la disciplina nazionale può trovare applicazione nel caso di trattamenti svolti da soggetti stabiliti al di fuori dell´Unione europea, derivandone in tal caso l´obbligo in capo al titolare di nominare un suo rappresentante in Italia.

La direttiva sulla protezione dei dati nelle telecomunicazioni (97/66/CE) è stata già sostanzialmente trasposta con il d.lg. 13 maggio 1998, n. 171, recante disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni.

Come già menzionato, con il d.lg. n. 467/2001 sono state altresì apportate le modifiche al d.lg. n. 171/1998 resesi necessarie alla luce dei rilievi mossi dalla Commissione europea, in particolare con riguardo all´articolo 5 del medesimo decreto, anche per adeguare la normativa vigente agli sviluppi intervenuti nel settore delle comunicazioni elettroniche. Esse attengono alle modalità di pagamento alternative alla fatturazione, all´informazione al pubblico sull´identificazione della linea chiamante e collegata e alle chiamate di emergenza.

76. Stato di recepimento delle direttive 95/46/CE e 97/66/CE negli Stati membri
La principale novità relativa al recepimento della direttiva 95/46/CE sulla protezione dei dati nel corso del 2001 riguarda l´approvazione della legge federale tedesca (Bundesdatenschutzgesetz del 23 maggio 2001), cui peraltro si è fatto cenno nella precedente relazione annuale. Dei quindici Paesi dell´Unione europea, pertanto, soltanto Francia, Irlanda e Lussemburgo devono ancora provvedere al recepimento. Rinviando al sito web della Commissione europea (http://europa.eu.int/comm/internal_market/en/dataprot/law/impl.htm) per l´aggiornamento in relazione allo stato del recepimento delle direttive in materia, si riassumono di seguito le novità intervenute nel corso del 2001 e dei primi mesi del 2002 nei Paesi da ultimo menzionati.

In Francia è stato approvato dall´Assemblea Nazionale, il 30 gennaio 2002, il progetto di legge, presentato dal Ministro della giustizia il 18 luglio 2001, relativo alla protezione delle persone fisiche rispetto al trattamento di dati personali, che modifica la legge "informatica e libertà" del 6 gennaio 1978 e sul quale l´Autorità francese per la protezione dei dati (CNIL) si era pronunciata in modo sostanzialmente favorevole nel settembre del 2001. Senza entrare nel merito del testo, va sottolineato che il progetto di legge conferisce alla Commissione poteri sanzionatori diretti dei quali la stessa era finora sprovvista.

In Irlanda è stato approvato il "Regolamento 2001 sulla protezione dei dati", firmato dal Ministro della giustizia il 19 dicembre 2001, entrato in vigore il 1° aprile 2002, con il quale sono state recepite alcune disposizioni della direttiva relative, in particolare, al diritto applicabile (art. 4), alle misure di sicurezza che i titolari sono tenuti ad adottare (art. 17), ai trasferimenti di dati all´estero (artt. 25 e 26). In sostanza, le disposizioni della legge sulla protezione dei dati (che risale al 1988) si applicheranno a tutti i titolari stabiliti in Irlanda anche attraverso un intermediario; dovranno essere adottate le misure di sicurezza necessarie alla luce delle attuali conoscenze tecnologiche, indicando per iscritto i compiti affidati all´eventuale responsabile del trattamento (cosa che finora non era prevista); i trasferimenti di dati personali dal territorio irlandese verso Paesi terzi potranno avvenire in presenza di un livello adeguato di protezione dei dati (o ricorrendo ad altri strumenti, quali il Safe Harbor e le clausole contrattuali standard).

Recentemente (25 febbraio 2002), il Ministro della giustizia irlandese ha annunciato la presentazione al Parlamento del progetto di legge per il recepimento integrale della direttiva, che potrebbe essere approvato definitivamente entro la metà del corrente anno.

Per quanto riguarda il Lussemburgo, il progetto di legge presentato dal Governo nel mese di ottobre 2000 è tuttora all´esame del Parlamento.

• Direttiva 97/66/CE

Non vi sono rilevanti novità rispetto al quadro tracciato nella precedente relazione annuale.

77. Privacy nelle telecomunicazioni
Nel corso del 2000 il settore delle comunicazioni elettroniche è stato oggetto, a livello comunitario, di proposte di direttive volte a modificare il precedente quadro normativo. Tali proposte, che originariamente facevano parte del cd. "pacchetto Telecom" (direttiva quadro, direttive su interconnessione, accesso, servizio universale), sono state definitivamente approvate e sono state di recente pubblicate sulla G.U. delle Comunità europee. Non è stata ancora adottata, invece, la proposta di direttiva del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, che maggiormente interessa questa Autorità.

Sulla base di un accordo politico raggiunto nella riunione del 6 dicembre 2001 in seno al Consiglio dei ministri telecomunicazioni, il 28 gennaio 2002 il Consiglio affari generali dell´Unione europea ha adottato a maggioranza qualificata (con il voto contrario della delegazione lussemburghese) la posizione comune sulla proposta di direttiva. In particolare, il Consiglio, non accogliendo alcuni emendamenti del Parlamento, ha confermato la scelta del consenso preliminare dell´interessato ai fini dell´inserimento dei dati personali in elenchi telefonici (art. 12) e per l´invio di comunicazioni commerciali non sollecitate (art. 13), anche a mezzo della posta elettronica e di sms.

Su tali aspetti il Parlamento europeo aveva già espresso un diverso avviso, impedendo l´adozione del testo in prima lettura. Allo stato, il testo è nuovamente al vaglio del Parlamento che appare fermo nelle richieste emendative precedentemente presentate.

Altre novità nel diritto comunitario e nel settore giustizia-affari interni

78. Profili generali
In ambito europeo, nel corso del 2001, si è assistito ad un progressivo diradamento delle occasioni di dibattito e discussione istituzionale nel settore della protezione dei dati personali.

I tragici eventi legati all´attentato dell´11 settembre hanno richiamato con forza l´attenzione di tutte le istituzioni comunitarie sul tema del terrorismo e, quindi, della lotta alla criminalità ed alla cybercriminalità, privando l´aspetto della tutela dei dati personali dell´attenzione che esso merita nella realizzazione e nello sviluppo dell´integrazione europea.

Questo atteggiamento sembra, tuttavia, in controtendenza rispetto all´importante affermazione contenuta nell´articolo 8 della Carta dei diritti fondamentali dell´Unione europea proclamata a Nizza, contestualmente alla firma dell´omonimo Trattato, nel dicembre del 2001 e alla cui redazione ha lavorato anche il prof. Stefano Rodotà.

La Carta contribuisce a fissare e definire il nucleo di diritti, libertà e principi che potranno essere posti alla base del futuro trattato costituzionale europeo.

Nel testo approvato a Nizza, il diritto alla tutela dei dati personali si afferma in via autonoma, affiancandosi al diritto alla tutela della vita privata e familiare (previsto all´art. 7 della Carta), precedentemente enunciato dall´art. 8 della Convenzione europea dei diritti dell´uomo del 1950. L´art. 8 della Carta dei diritti fondamentali, infatti, non solo ne specifica il contenuto, ma affida anche ad una autorità indipendente la verifica del rispetto delle regole da esso fissate.

Tuttavia, a fronte del grande impegno per l´affermazione del principio, non vi è stata alcuna attività concreta nel settore, non essendo state convocate né riunioni del gruppo di lavoro protezione dati del Consiglio dell´Unione, né del gruppo cd. di "terzo pilastro", denominato "Sistemi di informazione e protezione dei dati".

A seguito di segnali di una possibile volontà di soppressione di quest´ultimo, il Garante è intervenuto, rivolgendosi al Rappresentante permanente d´Italia presso l´Unione europea per manifestare le proprie preoccupazioni rispetto ad una tale eventualità. L´Autorità ha auspicato che l´eventuale revisione dei gruppi di lavoro, operanti in seno al Consiglio dell´Unione, tenga doverosamente conto dell´importanza e della specificità della protezione dei dati personali – anche alla luce del riconoscimento operato nella Carta dei diritti fondamentali dell´Unione – ed assicuri alla stessa una adeguata visibilità all´interno delle strutture di lavoro del Consiglio.

Infatti, il Gruppo sistemi di informazione e protezione dei dati, nato nel 1998 su iniziativa italiana, ha ricevuto un ampio mandato dai Ministri ed ha operato – anche con la partecipazione di rappresentanti del Garante e di altre autorità di protezione dei dati personali dei Paesi dell´Unione – al fine di coordinare e razionalizzare, in considerazione della particolare delicatezza della materia, l´approccio seguito nelle diverse convenzioni, elaborate nel settore della giustizia ed affari interni, che prevedono lo scambio di dati personali e la creazione di sistemi informatizzati.

Va osservato infine che le varie istanze competenti per la protezione dei dati non risultano coinvolte nei processi che hanno portato le autorità comunitarie ad adottare importanti atti in materia di antiterrorismo (posizioni comuni nn. 2001/930/Pesc e 2001/931/Pesc del 27 dicembre 2001; regolamento n. 2580/2001 in pari data).

Vanno però segnalati importanti aspetti che interessano anche indirettamente la protezione dei dati personali posti in luce dal Parlamento europeo in una risoluzione adottata il 5 settembre 2001 a proposito del sistema Echelon, nonché in una raccomandazione sulla lotta al crimine informatico (n. 2001/1970).

La cooperazione tra autorità garanti in Europa

79. Il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali
Considerevole è stata l´attività svolta dal Gruppo istituito in base all´art. 29 della direttiva 95/46/CE, di cui il Presidente del Garante è stato recentemente riconfermato presidente per un secondo mandato.

In particolare, il Gruppo ha continuato a seguire le delicate problematiche legate all´applicazione dell´Accordo con gli Stati Uniti, relativo alle condizioni che consentono il trasferimento dei dati verso quel Paese. Come segnalato dalla Commissione europea in un recente documento di sintesi basato su uno studio realizzato per suo conto (SEC 2002/196 del 13 febbraio 2002), sono emersi diversi elementi di insoddisfazione relativi alle modalità di effettivo funzionamento e applicazione dell´Accordo, che saranno approfonditi dal Gruppo nelle prossime settimane tenedo conto dei risultati di un´apposita visita ufficiale che il Gruppo ha curato a Washington nel marzo del 2002, partecipando a incontri con qualificati esponenti delle amministrazioni interessate, del Congresso e degli organismi privati di risoluzione delle controversie.

Il Gruppo ha inoltre espresso pareri in ordine all´adeguatezza della legge canadese sui dati personali e i documenti elettronici (parere 2/2001 WP 39) e della modifica alla legge australiana sulla tutela della vita privata (parere 3/2001 WP40), ed in merito a due progetti di decisione della Commissione europea relativi alle clausole contrattuali tipo per il trasferimento dei dati personali verso Paesi terzi (parere 1/2001 WP38, concernente i trasferimenti a titolari situati in paesi terzi, e parere 7/2001 WP 47, relativo ai trasferimenti di dati da titolari situati nell´Unione europea a responsabili del trattamento situati in Paesi terzi), progetti adottati in via definitiva dalla Commissione, rispettivamente, il 15 giugno ed il 17 dicembre 2001.

Il Gruppo di lavoro ha anche approvato un documento relativo alle disposizioni impartite dalla IATA in materia di protezione della riservatezza e flussi transfrontalieri di dati personali utilizzati per il trasporto aereo internazionale (WP 49).

In materia di sfide poste dalle nuove tecnologie, il parere 9/2001 WP 51 offre la valutazione del Gruppo in relazione alla comunicazione della Commissione europea intitolata "Creare una società dell´informazione più sicura rafforzando la sicurezza delle infrastrutture, dell´informazione e lottando contro la criminalità informatica".

Il Gruppo si è soffermato anche sul tema del trattamento dei dati nel contesto lavorativo (v. parere 8/2001 WP 48) e, in tale ambito, in modo particolare sulle problematiche relative alla sorveglianza delle comunicazioni elettroniche sui luoghi di lavoro. Un apposito gruppo di lavoro, infatti, è stato costituito per approfondire i vari aspetti del tema nella prospettiva di pervenire nel maggio del 2002, all´adozione di una raccomandazione in materia che dovrebbe essere approvata contestualmente ad una importante presa di posizione del Gruppo sul diritto applicabile in relazione ai flussi di dati personali gestiti da titolari di siti web, che ha impegnato i componenti riuniti in un apposito sottogruppo.

A seguito degli attentati dell´11 settembre, il Gruppo ha espresso il parere 10/2001 WP 53, con cui ha sottolineato la necessità di garantire nella lotta contro il terrorismo, un approccio equilibrato, che rispetti i diritti umani e le libertà fondamentali, di cui la protezione dei dati personali è parte integrante.

Le attività del Gruppo sono esaustivamente menzionate nel rapporto annuale richiamato negli allegati alla presente Relazione.

80. La partecipazione ad altri comitati e gruppi di lavoro
Nel quadro delle forme di collaborazione e scambio tra le autorità di protezione dei dati, va ricordato anche l´International Working group on data protection in telecommunications (cd. Gruppo di Berlino) – luogo di discussione ed approfondimento, non solo a livello europeo, tra esperti in materia di tecnologie ed informazione – che si occupa di temi quali Internet, crittografia, comunicazioni elettroniche.

Tale gruppo ha tenuto due riunioni, la prima a Bangalore (India) e la seconda a Berlino: nel corso di questi incontri, oltre ai consueti aggiornamenti sullo stato di attuazione e sul completamento delle normative inerenti alla tutela dei dati personali, si è proseguito nell´analisi delle problematiche connesse all´uso di Internet – e, in particolare, della posta elettronica – sul posto di lavoro. Tutti i delegati, consapevoli della delicatezza del tema, hanno convenuto sulla necessità di trovare un giusto compromesso tra le esigenze di controllo nell´uso degli strumenti telematici da parte dei datori di lavoro e il diritto alla protezione dei dati personali dei lavoratori. Trasparenza e proporzionalità delle misure adottate sono stati i concetti che hanno caratterizzato il dialogo.

Altro tema di grande interesse è stato quello relativo al bilanciamento tra sicurezza e privacy in merito allo sviluppo dei sistemi di votazione elettronica, di imminente adozione in diversi Paesi. In particolare, è stata rilevata la necessità di effettuare alcuni test sul campo prima di adottare in via definitiva tali sistemi.

Va infine ricordato l´avvio di uno studio sulle implicazioni relative alla protezione dei dati personali derivanti dall´adozione dell´Internet Protocol versione 6-IPV6, atteso che, nel prossimo futuro, alla luce della crescita esponenziale dei terminali d´utente e della progressiva integrazione nella rete di apparati terminali, in passato autonomi o comunque funzionanti su reti differenziate, sarà necessario l´ampliamento considerevole della disponibilità di indirizzi Internet.

Una ulteriore occasione per favorire ed ampliare la cooperazione tra le autorità nazionali per la protezione dei dati, secondo quanto previsto dall´art. 28, punto 6, par. 2 della direttiva 95/46/CE, è stata rappresentata dai seminari internazionali sulla trattazione dei ricorsi e delle segnalazioni (Complaints Handling Workshops).

Essi sono stati avviati nel febbraio 2000, a Manchester – facendo seguito ad un´esigenza manifestata nel corso della Spring Conference of European Data Protection Commissioners di Helsinki (aprile 1999) – con il primo di una serie di seminari dedicati allo scambio di informazioni e alla definizione di un modus operandi comune per quanto concerne la trattazione dei ricorsi e delle segnalazioni presentati alle autorità nazionali per la protezione dei dati, con particolare riguardo a quei casi che, per la loro rilevanza o per la natura delle parti interessate, travalichino l´ambito nazionale.

Ad oggi, si sono tenuti cinque incontri su questo tema, con cadenza semestrale (primavera-autunno), secondo le indicazioni emerse nella Conferenza di Stoccolma (aprile 2000). Rappresentanti di tutte le autorità garanti degli Stati membri dell´Ue, oltre alla Norvegia e, a partire dal secondo seminario, anche dell´autorità svizzera e di quella ungherese, hanno partecipato ai singoli incontri, unitamente ad un rappresentante della Commissione europea.

Nel corso dei seminari sono stati sviluppati alcuni temi fondamentali. Dopo una prima individuazione delle linee-guida comuni che devono ispirare la trattazione di questi ricorsi e/o segnalazioni, si è deciso di costituire un gruppo di discussione, all´interno del sito web europeo CIRCA, per facilitare lo scambio di informazioni e documenti su casi specifici. Le modalità operative di tale gruppo di discussione, protetto da UserID e password e da appositi protocolli crittografici, sono state concordate in sede di seminario. L´utilizzo del forum CIRCA si è dimostrato particolarmente proficuo, costituendo un canale privilegiato che mette direttamente in comunicazione funzionari delle singole autorità, operanti su casi concreti, e favorisce l´elaborazione di prassi comuni.

È emersa, in questo contesto, l´esigenza di confrontarsi su alcune tematiche (sorveglianza sul luogo di lavoro, flussi transfrontalieri, trattamento dei dati relativi a minori, attività ispettive) che presentano particolare rilevanza per i risvolti transnazionali che le caratterizzano e per l´impatto che hanno sulla percezione pubblica dei poteri e dell´azione delle autorità di protezione dati. In particolare, attraverso questionari elaborati congiuntamente, si è pervenuti a chiarire le modalità procedurali utilizzate nei singoli Paesi in rapporto alle tematiche indicate. Una sintesi delle informazioni raccolte rispetto al tema della sorveglianza sul luogo di lavoro ed a quello dei poteri di ispezione e controllo delle autorità nazionali di protezione dati, con le rispettive incongruenze e/o difficoltà, è stata presentata alla Spring Conference delle autorità di protezione dati, tenutasi a Bonn il 24/26 aprile 2002.

L´analisi dei casi presentati di volta in volta nei singoli incontri ha permesso inoltre di verificare l´effettiva esigenza, al di là dell´armonizzazione legislativa offerta dallo spazio comune europeo, di elaborare e sviluppare un approccio comune alla gestione di questioni che tendono a travalicare, in misura crescente, l´ambito nazionale – soprattutto per quanto concerne il tema dei flussi transfrontalieri di dati, che appare destinato ad assumere sempre maggiore importanza nel contesto della circolazione internazionale di merci e servizi. Le recenti decisioni della Commissione europea, relative all´adeguatezza di sistemi quali il Safe Harbor o l´impiego di clausole contrattuali standard, hanno invitato a riflettere sull´opportunità di definire strategie comuni per evitare che le singole autorità nazionali si presentino, di fatto, in ordine sparso rispetto all´applicazione delle linee-guida generali definite in sede comunitaria.

L´Autorità di controllo comune Schengen

81. Il rapporto per il 2000-2001
L´Autorità comune di controllo prevista dall´art. 115 della Convenzione di applicazione dell´Accordo di Schengen, che dalla fine del 2001 è presieduta dal Segretario generale del Garante, ha proseguito l´attività di verifica e controllo del funzionamento della parte centrale del Sistema di informazione Schengen.

Nel periodo considerato è inoltre proseguita l´analoga attività svolta dal Garante sul funzionamento dell´archivio della sezione nazionale del Sistema d´informazione, anche in ragione delle numerose segnalazioni pervenute (v. par. 19).

A seguito dell´entrata in vigore del Trattato di Amsterdam, l´attività di cooperazione svolta in ambito Schengen è stata ricollocata nel Consiglio e con una decisione del maggio 1999 lo stesso Consiglio ha ritenuto di disporre analoga collocazione anche per l´Autorità di controllo comune. Questo ha comportato alcune difficoltà di azione per l´Acc, come documentato nell´allegata relazione relativa al periodo 2000-2001, e solo l´entrata in funzione del segretariato unico delle autorità comuni di controllo, avvenuta nell´autunno del 2001, ha consentito un lieve miglioramento del relativo funzionamento, dotandola di una struttura amministrativa stabile, ancorché di esile spessore (solo due unità di personale per tre Acc) e non supportata dalla pur richiesta autonomia di bilancio.

L´Autorità continua a lamentare la scarsa attenzione riservata da parte degli organi competenti del Consiglio ai pareri e alle raccomandazioni da essa emesse, alle richieste di maggiore e diretto coinvolgimento, ad esempio, nei lavori relativi alla valutazione delle legislazioni dei Paesi nordici, che recentemente sono entrati a pieno titolo a far parte dell´Accordo, ed in prospettiva, dei Paesi candidati all´adesione.

Elemento sicuramente positivo rimane, comunque, il dialogo aperto con il Parlamento europeo (in particolare con la Commissione diritti e libertà pubbliche) e, da ultimo, con la presidenza di turno del Consiglio.

Particolare attenzione è stata e verrà prestata nei prossimi mesi, nel quadro delle inziative per il rilancio dell´attività dell´Acc, ai diversi problemi nascenti dal previsto passaggio al nuovo Sistema d´informazione Schengen "Sis II", che sarà probabilmente basato su nuove piattaforme informatiche, ulteriori categorie di informazioni e di organismi aventi accesso ai dati anche nei nuovi Paesi via via aderenti all´Accordo, con conseguente necessità di una simmetrica estensione delle garanzie previste dall´originaria Convenzione.

è altresì in programma nelle prossime settimane l´avvio dell´istituzione di una newsletter dell´Acc, da inviare a diversi organismi e organi di stampa, e del rinnovamento del sito web su impulso della presidenza italiana.

Un ulteriore tema che ha continuato ad impegnare l´Autorità riguarda le segnalazioni nel Sis delle persone la cui identità è stata usurpata ed il modo per evitare che le stesse subiscano pregiudizi dall´abuso perpetrato a loro danno.

Europol

82. L´attività dell´Autorità di controllo comune  e i primi casi di contenzioso

L´Autorità di controllo comune, composta da due rappresentanti (di regola appartenenti alle autorità nazionali di protezione dei dati) di ogni Paese parte della Convenzione, è prevista dall´art. 24 della stessa ed ha continuato la sua attività esercitando un´incisiva azione di verifica e controllo sulla gestione degli archivi Europol, comprendenti in particolare gli archivi di lavoro per fini di analisi previsti dall´art. 10.

L´Autorità ha proseguito la valutazione dei progetti di negoziato che il Direttore dell´Europol è abilitato a svolgere in relazione allo scambio di dati con Paesi terzi e, in particolare nell´ultimo periodo dell´anno, ha affrontato il problema della trasmissione di dati da Europol agli Stati Uniti; in questa occasione l´Acc, sottolineando la necessità di pervenire ad un accordo formale che definisca le garanzie necessarie per operare in piena legittimità, ha richiesto un proprio coinvolgimento nel negoziato in corso.

La menzionata Conferenza di Bonn dell´aprile 2002 ha permesso alle autorità interessate di sviluppare un bilancio dei contatti e dei negoziati con le autorità americane.

Nell´ambito dell´attività svolta, sono stati espressi pareri in relazione all´apertura di files di analisi ed è stata effettuata, presso la sede dell´Europol, un´ispezione incentratasi sugli archivi in funzione, in occasione della quale sono state presentate le iniziative in corso sugli sviluppi tecnologici del sistema.

È attualmente in corso la predisposizione della prima relazione di attività e l´individuazione delle categorie di documenti che possono essere resi accessibili al pubblico e, tra le attività informative, è altresì in programma l´apertura di una pagina web e la pubblicazione di un opuscolo divulgativo.

Sono, infine, ancora in trattazione i primi due ricorsi ricevuti dal comitato di appello.

Il controllo sul Sistema informativo doganale

83. La creazione dell´Autorità di controllo
Con la legge 30 luglio 1998, n. 291, l´Italia ha autorizzato la ratifica e l´esecuzione della convenzione sull´uso dell´informatica nel settore doganale – elaborata in base all´art. K3 del Trattato sull´Unione europea del 26 luglio 1995 – con la quale si mira ad intensificare la cooperazione tra le amministrazioni doganali dei diversi Paesi dell´Unione europea, in particolare attraverso lo scambio di dati personali.

A tal fine è stata prevista la creazione di un sistema informativo automatizzato comune (Sistema informativo doganale "SID") che dovrebbe facilitare la prevenzione, la ricerca ed il perseguimento delle infrazioni alle leggi nazionali.

La convenzione istituisce un´autorità comune di controllo, composta da due rappresentanti delle autorità nazionali di protezione dei dati per ciascun Paese.

L´Autorità ha tenuto la sua prima riunione nel mese di marzo, nel corso della quale, dopo aver provveduto alla nomina del Presidente e del vice presidente (quest´ultimo nella persona del dr. Giuseppe Busia, dirigente dell´Ufficio del Garante), è stato discusso il regolamento interno senza, tuttavia, giungere alla sua approvazione definitiva.

Eurodac

84. Collaborazione tra Stati membri e garanzie per gli interessati
A seguito dell´adozione del regolamento che istituisce l´Eurodac per il confronto delle impronte digitali dei richiedenti asilo – al fine di rendere efficace l´applicazione della Convenzione per la determinazione dello Stato competente per l´esame delle domande di asilo, firmata a Dublino il 15 giugno 1995 – i compiti di supervisione e controllo spettano provvisoriamente all´autorità comune di controllo individuata all´articolo 20 del regolamento stesso. Il regolamento prevede infatti la soppressione dell´autorità di controllo "all´atto dell´istituzione dell´organo di controllo indipendente di cui all´articolo 286, paragrafo 2 del Trattato. L´organo di controllo indipendente sostituisce l´autorità comune di controllo ed esercita tutti i poteri ad essa attribuiti nell´atto istitutivo".

Tale organo di controllo indipendente è il Garante europeo istituito dal regolamento n. 45/2001 su cui ci si è soffermati largamente nella precedente relazione annuale.

Poiché, tuttavia, l´individuazione del suddetto Garante e l´effettiva applicazione del regolamento, prevista per il 1° febbraio 2002, non è stata ancora realizzata, la Commissione ha richiesto alle autorità garanti degli Stati membri di procedere all´individuazione di due rappresentanti per Paese, al fine di favorire la funzionalità provvisoria del sistema di controllo previsto dal regolamento Eurodac, che costituisce elemento imprescindibile ai fini della messa in funzione del sistema.

L´avvio imminente del sistema è confermato dall´avvenuta pubblicazione sulla Gazzetta ufficiale delle Comunità europea di un ulteriore regolamento che definisce alcune modalità di applicazione del regolamento Eurodac.

Consiglio d´Europa

85. La convenzione sul cybercrime
Il 23 novembre 2001, nel corso di una solenne cerimonia svoltasi a Budapest, è stata firmata da 30 Paesi la convenzione sul cybercrime, predisposta nell´ambito del Consiglio d´Europa.

Si tratta del primo strumento internazionale a carattere cogente che disciplina i crimini commessi contro o con l´ausilio di reti telematiche, che segue una Raccomandazione del 1989 del Consiglio d´Europa già attuata dall´Italia con la legge n. 547/1993 sui reati informatici. La convenzione, adottata dal Comitato dei Ministri del Consiglio d´Europa l´8 novembre 2001, entrerà in vigore tre mesi dopo il deposito di cinque ratifiche, di cui almeno tre di Paesi aderenti al Consiglio d´Europa.

Il testo attuale tiene conto in parte delle forti preoccupazioni espresse dal Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali nel parere 4/2001, di cui dovrà tenersi conto in sede di eventuale ratifica da parte dell´Italia.

86. L´attività dei gruppi di esperti
Il Consiglio d´Europa ha svolto e svolge tuttora un importante ruolo in materia di protezione dei dati personali. Il primo strumento internazionale cogente in materia è infatti la Convenzione del 28 gennaio 1981, n. 108, frutto dei lavori svoltisi per lunghi anni in quel consesso. La Convenzione trae diretta ispirazione dall´articolo 8 della Convenzione europea dei diritti umani del 1950 ed ha carattere tendenzialmente universale: l´articolo 23 della stessa prevede infatti che possano essere invitati ad aderire anche Stati non membri del Consiglio d´Europa.

Un protocollo addizionale alla Convenzione, facoltativo per i Paesi che intendano accedere ad essa, è stato aperto alla firma l´8 novembre 2001 (l´Italia è tra i Paesi firmatari). Esso integra e specifica le disposizioni della Convenzione n. 108, da un lato, recependo le soluzioni introdotte a livello comunitario con la direttiva 95/46/CE, relativamente all´attribuzione dei compiti di verifica e controllo dei trattamenti in ciascun Paese ad autorità di controllo indipendenti e, dall´altro, in materia di disciplina dei flussi transfrontalieri di dati.

Inoltre, nel corso della Conferenza di Varsavia sulla protezione dei dati – promossa dal Consiglio d´Europa e dall´autorità garante polacca, il 19/20 novembre 2001 – che ha celebrato il ventesimo anniversario della Convenzione, è stata riaffermata la permanente centralità dei principi dalla stessa sanciti. Le conclusioni della Conferenza, cui ha preso parte il Segretario generale del Garante, hanno confermato la scelta di lasciare immutato il testo della Convenzione e di operare invece, laddove necessario, per adeguare – attraverso strumenti vincolanti o meno, a seconda delle materie trattate – i principi sanciti alle "nuove emergenze", quali quelle legate agli sviluppi tecnologici ed all´uso crescente delle tecnologie elettroniche (ad esempio videosorveglianza, digitalizzazione, smart card, Internet, comunicazioni elettroniche).

Proseguirà in tal modo l´attività dei due comitati (o gruppi di lavoro a carattere permanente) che si occupano della protezione dei dati: il T-PD, comitato detto "convenzionale" in quanto previsto dall´articolo 18 della stessa Convenzione, ed il CJ-PD, costituito nell´ambito del comitato cui fa capo la cooperazione giudiziaria (CD-CJ), anche se, in considerazione delle recenti ristrettezze di bilancio, essi hanno avviato lo studio di modalità per la razionalizzazione dei lavori, incaricando a tal fine un sotto gruppo ad hoc, a composizione mista. Le proposte, che potrebbero includere anche la fusione degli stessi comitati in un´unica struttura, saranno poi vagliate in seduta plenaria dal T-PD e dal CJ-PD e, se approvate, dovranno essere sottoposte ai competenti organi decisionali del Consiglio d´Europa.

Il T-PD, formato da rappresentanti dei 27 Paesi aderenti alla Convenzione n. 108 (gli Stati membri dell´Unione europea, oltre Islanda, Lettonia, Lituania, Norvegia, Slovacchia, Slovenia, Ungheria, Svizzera, Cipro, Romania, Estonia e Repubblica Ceca), ha il compito di interpretare le disposizioni della Convenzione e di assicurarne l´effettiva applicazione. L´art. 19 conferisce al comitato ampie possibilità di intervento, che comprendono la formulazione di proposte per facilitare o migliorare l´applicazione della disciplina, anche emendandone il testo, e l´emissione di pareri sia in ordine ad ipotesi emendative sottoposte da uno Stato parte o dal Comitato dei Ministri, sia su ogni questione comunque relativa all´applicazione della convenzione.

Gli altri Stati membri del Consiglio d´Europa – che sono attualmente 45 – e la Comunità europea, attraverso la Commissione, possono prendere parte alle riunioni in qualità di osservatori, senza tuttavia diritto di voto, non essendo state ancora approvate le necessarie modifiche alla convenzione. Inoltre, la composizione attuale è mista in quanto alcuni Paesi, come l´Italia, hanno rappresentanti provenienti dalle Autorità nazionali di protezione dei dati, altri, inclusi alcuni Paesi dell´Unione europea, sono presenti con funzionari designati dai ministeri della giustizia o dell´interno.

Il T-PD sta elaborando il testo di clausole contrattuali standard miranti a facilitare il trasferimento di dati verso Paesi che non hanno proceduto alla ratifica della convenzione e che non dispongono di una legislazione che garantisca il richiesto livello di protezione ("equivalente" nel testo originario, "adeguato" nella dizione usata dal protocollo aggiuntivo).

Il CJ-PD è il comitato che ha lavorato alla predisposizione della convenzione n. 108 e, successivamente, all´elaborazione delle Raccomandazioni volte a disciplinare i singoli settori in modo da garantire l´applicazione della normativa in materia di tutela dei dati.

L´attività più recente del comitato è stata, in particolare, rivolta allo studio ed alla predisposizione della Raccomandazione sulla protezione della vita privata su Internet (Racc. 99/5) e della proposta di Raccomandazione sul trattamento dei dati personali raccolti e trattati a fini assicurativi, il cui testo è stato recentemente approvato dal Comitato dei Ministri.

Altri argomenti all´esame del Comitato, sviluppati anche attraverso la costituzione di specifici gruppi di lavoro ristretti, riguardano l´applicazione dei principi della protezione dei dati in materia di videosorveglianza ed in relazione all´uso delle smart card.

È stato inoltre costituito un qualificato gruppo di lavoro – di cui fa parte anche il Segretario generale del Garante – per approfondire, anche alla luce dei risultati del "Progetto Falcone" (v. Relazione 2000, par. 97, p. 131), gli aspetti relativi all´applicazione dei principi di protezione dei dati all´attività di polizia (e giudiziaria) e per una valutazione della Raccomandazione 87/15 del Consiglio d´Europa.

87. Linee-guida in materia di sorveglianza
Con riguardo alle attività di videosorveglianza, che presentano specifiche problematiche per la protezione dati, il Consiglio d´Europa, sulla base del rapporto commissionato al Segretario generale del Garante italiano, sta definendo un intervento in materia.

Per il momento è stata esclusa l´ipotesi di adottare una raccomandazione, orientandosi piuttosto il CJ-PD verso la predisposizione di uno strumento di indirizzo più flessibile per i destinatari, in modo che le esigenze di sicurezza e di controllo anticrimine tengano in debito conto il diritto dei cittadini di difendere la propria sfera privata e la propria libertà ed in modo da assicurare che le attività di videosorveglianza si svolgano nel pieno rispetto dei principi della convenzione n. 108 e delle specifiche raccomandazioni.

Il documento, presentato sotto forma di linee-guida, individua le regole di base che chiunque intenda porre in essere tale attività è tenuto a rispettare, di tal che:

• l´attività di sorveglianza si esplichi su base legale per fini leciti, espliciti e legittimi;
• "siano adottate tutte le misure volte ad assicurare che questa attività sia conforme alla normativa in materia di protezione dei dati personali";
• il ricorso alla videosorveglianza possa darsi solo quando non sia possibile utilizzare sistemi meno invasivi ed intrusivi della privacy;
• si rispetti il principio di selettività e di proporzionalità in rapporto agli scopi perseguiti nei singoli casi, in modo da prevenire conseguenze irragionevoli sulle libertà e sui comportamenti degli interessati;
• si rispetti il principio di pertinenza e di non eccedenza rispetto a immagini, suoni e dati biometrici raccolti, con particolare attenzione alle modalità di raccolta, onde evitare che le informazioni raccolte siano registrate, indicizzate o conservate per lunghi periodi;
• si eviti che l´attività di videosorveglianza possa determinare discriminazioni o possa essere disposta nei confronti di soggetti per il solo fatto di avere determinate opinioni, convinzioni o comportamenti di tipo sessuale;
• l´attività si svolga nel rispetto del principio di trasparenza e di pubblicità;
• si escluda, in linea di principio, la diffusione e la comunicazione dei dati personali a soggetti non interessati all´attività di sorveglianza;
• si regolamenti il diritto di accesso, nonché gli altri diritti delle persone interessate;
• si assicuri un´adeguata informativa ai lavoratori interessati e una possibile intesa con le organizzazioni sindacali per esigenze organizzative e/o produttive o per ragioni di sicurezza del lavoro che possano comportare un controllo a distanza.

88. I risultati conseguiti nel 2001
Nel corso del 2001, il Garante ha partecipato ai lavori del Working Party on Information Security and Privacy (WPISP) all´interno del Committee for Information, Computer and Communication Policy (ICCP).

A seguito della Dichiarazione di Ottawa del 1998, relativa alla protezione della vita privata sulle reti, l´O.C.S.E. ha concentrato molte energie su tutti gli aspetti della privacy maggiormente collegati all´innovazione tecnologica. In quella sede, infatti, era emerso con molta chiarezza che il commercio elettronico avrebbe potuto sviluppare tutte le sue potenzialità solo se fossero state fornite, agli utilizzatori delle reti e ai consumatori, adeguate garanzie in materia di trattamento di dati personali. Oltre a riaffermare la validità e l´attualità delle linee-guida dell´O.C.S.E. sulla protezione della vita privata del 1980, sono stati invitati i Paesi membri a incoraggiare l´adozione di specifiche politiche in tema di riservatezza – attuabili con strumenti giuridici, amministrativi, tecnologici e di autoregolamentazione – e si è posto l´accento sulla necessità di prevedere, in caso di mancato rispetto di tali principi, meccanismi efficaci e supportati da idonee garanzie con riferimento ai mezzi di tutela. In quella occasione, si era auspicata, inoltre, una campagna di sensibilizzazione degli utilizzatori delle reti in merito ai problemi del rispetto della riservatezza e ai possibili mezzi di protezione on-line, soprattutto attraverso l´utilizzo di tecnologie che permettessero di migliorare la protezione della vita privata.

All´interno di questa cornice si devono collocare gli studi portati avanti in sede O.C.S.E. in relazione alla protezione dei dati personali.

Va innanzitutto ricordato che, in materia di risoluzione alternativa delle controversie (ADR), il segretariato ha sottoposto ai delegati un questionario relativo al ricorso a queste ultime nei singoli ordinamenti, al fine di avere un quadro complessivo della situazione esistente e di trovare spunti per incoraggiare gli operatori a ricorrere a tale tipo di risoluzione. Le ADR risultano, infatti, particolarmente vantaggiose sia in termini di costi, sia in termini di tempo, oltre ad essere un elemento decisivo per invogliare i cittadini a ricorrere al commercio elettronico. Il documento di sintesi sarà reso pubblico nei prossimi mesi.

Il tema delle tecnologie volte ad aumentare la privacy ("Privacy Enhancing Technologies") è stato oggetto di numerosi incontri, cui hanno partecipato anche consulenti esterni. Oltre alla volontà di aumentarne la diffusione tra le imprese e i consumatori, è emersa anche la necessità di rendere tali tecnologie più efficaci e più trasparenti.

L´aggiornamento e l´approvazione delle nuove linee-guida per la sicurezza dei sistemi informativi e delle reti è stato il tema centrale del lavoro del WPISP a partire dal mese di settembre del 2001. Tale documento ha assunto un valore simbolico dell´impegno dell´O.C.S.E. nella lotta al terrorismo, ed è proprio in quest´ottica che si è deciso di approvare il nuovo testo entro il settembre 2002, primo anniversario degli attentati a New York. Il contenuto non ha subito sostanziali modifiche rispetto alle linee-guida del 1992, salvo un profondo riorientamento alla luce delle nuove tecnologie emerse nel frattempo, soprattutto con riferimento alle reti. La filosofia che sottende questi nuovi principi è volta a sensibilizzare tutti gli utenti delle reti ad una nuova "cultura della sicurezza" che diventi in qualche modo "istintiva" per ogni utilizzatore di computer. I principi enunciati, che prenderanno la forma di una raccomandazione del Consiglio dell´O.C.S.E. ai Paesi membri, riguardano la consapevolezza dei rischi, la responsabilità, il rispetto dei legittimi interessi dei terzi, la compatibilità con i valori democratici, la capacità di reazione agli incidenti relativi alla sicurezza, la valutazione dei rischi, la salvaguardia e la gestione della sicurezza e l´aggiornamento costante dei sistemi di sicurezza.

Il segretariato, infine, nell´ambito di uno studio sugli strumenti giuridici e tecnici di regolamentazione e autoregolamentazione volti a garantire la privacy in rete, ha diffuso un questionario da sottoporre ai delegati, al fine di individuare tutti gli strumenti esistenti nel campo dell´autodisciplina. La finalità è quella di fare un inventario sia per il settore pubblico, sia per il settore privato, con particolare riferimento al grado di rispetto di queste norme oltre che alla reale possibilità di applicazione on-line.

89. Ulteriori iniziative
Il Garante ha inoltre partecipato con assiduità a numerose conferenze europee e di rilevanza mondiale che, per la loro importanza e la natura dei temi trattati, hanno rappresentato un significativo foro di discussione e hanno consentito un puntuale aggiornamento.

Sono state, in particolare, seguite le Conferenze internazionali ed europee delle Autorità garanti (a partire da quella di Parigi del settembre del 2001 che ha fatto seguito a quella di Venezia del precedente anno), le quali sono organizzate con criteri di periodicità, nella primavera e nell´autunno di ciascun anno.

Oltre alla Conferenza europea dell´aprile del 2001, tenutasi ad Atene, va tra l´altro ricordata la Conferenza di Varsavia del 19/20 novembre 2001 organizzata dal Consiglio d´Europa, cui ha partecipato il segretario generale dell´Autorità, nonché quella di rilevanza mondiale tenutasi di recente a San Francisco, cui hanno preso parte il prof. Gaetano Rasi e alcuni collaboratori del Garante (CFP2002, 12^ Conference on Computers, Freedom and Privacy, 16/19 aprile 2002).

Da segnalare infine la particolare attenzione rivolta in più circostanze dalle autorità europee al tema della conservazione dei dati di traffico ed in genere delle "tracce" di comunicazioni elettroniche ed alle esigenze in materia delle forze di polizia e della magistratura.