Risoluzione del Parlamento europeo sulla prima relazione sull'applicazione della direttiva sulla tutela dei dati (95/46/CE) (COM(2003) 265 – C5-0375/2003 – 2003/2153(INI))
Il Parlamento europeo,
– vista la Prima relazione sull'applicazione della direttiva sulla tutela dei dati (95/46/CE) (COM(2003) 265 - C5-0375/2003),
– visti i testi di diritto internazionale a tutela del diritto alla vita privata e, in particolare, l'articolo 12 della dichiarazione universale dei diritti dell'uomo del 10 dicembre 1948, l'articolo 17 del patto internazionale relativo ai diritti civili e politici del 16 dicembre 1966, l'articolo 8 della convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali del 4 novembre 1950(1), la convenzione per la protezione delle persone rispetto al trattamento automatico dei personali del 28 gennaio 1981(2) e le raccomandazioni adottate dal Consiglio d'Europa,
– visti l'articolo 6 del trattato UE sul rispetto dei diritti dell'uomo e delle libertà fondamentali nell'Unione, l'articolo 286 del trattato CE, nonché gli articoli 7 e 8 della Carta europea dei diritti fondamentali dell'Unione dedicati rispettivamente al rispetto della vita privata e della vita familiare e alla protezione dei dati di carattere personale,
– viste le disposizioni del diritto comunitario a tutela del diritto alla vita privata e alla protezione dei dati, in particolare la direttiva 95/46/CE, 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(3), e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)(4),
– visti gli altri strumenti UE relativi alla protezione dei dati nell'ambito del terzo pilastro, in particolare il progetto di documento di lavoro della Presidenza greca su norme comuni per la protezione dei dati personali nel quadro del terzo pilastro e l'annuncio del Commissario Vitorino relativo alla presentazione, nel 2004, di uno strumento giuridico in proposito(5),
– visti i pareri del gruppo di lavoro sulla privacy istituito dall'articolo 29 della direttiva 95/46/CE (gruppo "Articolo 29"),
– visti i documenti relativi al trasferimento di dati personali dei passeggeri transatlantici agli USA, ed in particolare: i pareri del Gruppo di lavoro articolo 29, le Comunicazioni della Commissione, gli Undertakings degli USA, l'opinione della Commissione belga per la protezione della vita privata sulle denunce di alcuni passeggeri, la denuncia depositata presso la Commissione per violazione del regolamento (CEE) n. 2299/89 del Consiglio, del 24 luglio 1989, relativo ad un codice di comportamento in materia di sistemi telematici di prenotazione(6),
– vista la sentenza della Corte di Giustizia nella causa Österreichscher Rundfunk e altri del 20 maggio 2003(7),
– visti l'articolo 47, paragrafo 2 e l'articolo 163 del suo regolamento,
– visti la relazione della commissione per le libertà e i diritti dei cittadini, la giustizia e gli affari interni e i pareri della commissione giuridica e per il mercato interno e della commissione per l'industria, il commercio estero, la ricerca e l'energia (A5-0104/2004),
A. considerando che il diritto alla vita privata è un diritto fondamentale dell'uomo, sancito da tutti i principali strumenti giuridici che garantiscono le libertà e i diritti dei cittadini a livello internazionale, europeo e nazionale,
B. considerando che l'UE ha elaborato un regime giuridico volto a garantire la vita privata dei cittadini mediante un alto livello di protezione dei dati nei settori del primo pilastro,
C. considerando che, a causa dell'attuale struttura in pilastri dell'UE, attività che rientrano nel campo del secondo e del terzo pilastro sono escluse da questo regime giuridico e sono parzialmente coperte da frammentarie disposizioni specifiche, che il Parlamento europeo è solo parzialmente consultato o informato e che la Corte di Giustizia ha poteri limitati al riguardo,
D. considerando che la direttiva 95/46/EC incarica la Commissione di riferire periodicamente al Consiglio e al Parlamento europeo sull'applicazione della direttiva stessa, presentando, se del caso, opportune proposte di modifica,
E. considerando che, dopo gli attacchi terroristici del settembre 2001, a livello nazionale, europeo e internazionale sono state adottate o sono previste misure volte a rafforzare la sicurezza intervenendo sui diritti alla vita privata e alla protezione dei dati,
F. considerando che il trasferimento di dati a paesi e organizzazioni terzi costituisce motivo di preoccupazione, non solo per le disparità tra le normative degli Stati membri, talune eccessivamente permissive e altre eccessivamente rigide, ma soprattutto perché la valutazione vincolante dell'adeguatezza della protezione fornita dai destinatari a un diritto fondamentale dei cittadini europei è riservata alla Commissione, organo esecutivo, e non al Parlamento europeo,
G. considerando che sono tuttora in corso negoziati fra l'UE e gli USA con riferimento al trasferimento illegale agli USA dei dati dei passeggeri transatlantici, e che questo Parlamento ha sollecitato la Commissione ad agire ai sensi dell'articolo 232 del trattato CE,
H. considerando che la Commissione belga per la protezione della privacy ha appurato che i dati personali di alcuni passeggeri transatlantici europei - tra cui quelli di un deputato europeo - sono stati trasferiti agli USA illegalmente, in violazione della legge belga, e delle direttive europee,
I. considerando che il Gruppo di lavoro "articolo 29" ha affermato nel suo parere sul trasferimento di dati relativi ai passeggeri transatlantici agli USA che i progressi realizzati non consentono di pervenire a una soluzione favorevole ("the progress made does not allow a favourable adequacy finding to be achieved") e che numerosi ulteriori questioni sono da risolvere prima che la Commissione possa giungere ad una decisione di adeguatezza,
J. considerando che l'UE, le sue istituzioni e gli Stati membri devono rispettare la Carta dei diritti fondamentali dell'UE - in particolare, l'articolo 8 -, la Convenzione europea sulla salvaguardia dei diritti dell'uomo e delle libertà fondamentali, nonché i principi generali del diritto internazionale, e che le politiche attualmente condotte di "data retention" (retenzione delle informazioni) e di trasferimento di dati a Stati terzi rischiano di violarli gravemente,
K. considerando che la Commissione e gli Stati membri, nonché le Autorità garanti per la privacy nazionali, sono i responsabili per l'applicazione effettiva delle leggi nazionali ed europee sulla privacy e per sanzionare le violazioni di queste,
L. considerando che le leggi nazionali ed europee, in tema di trasferimento dei dati personali a paesi terzi, sono state violate in modo flagrante nel caso del trasferimento dei dati personali dei passeggeri transatlantici alle autorità responsabili per l'applicazione della legge negli USA, e che il comportamento della Commissione, degli Stati membri, nonché di alcune Autorità garanti per la Privacy - in particolare di quelle alle quali le leggi nazionali attribuiscono poteri di blocco del trasferimento dei dati - é stato di sostanziale connivenza con la violazione della legge e del principio di legalità;
M. considerando che nel contesto globale della società dell'informazione via Internet non possono essere trovate soluzioni soltanto nell'ambito dell'UE,
Necessità di un regime europeo generale interpilastri di protezione della vita privata e dei dati
1. criticando i gravissimi ritardi accumulati dalla Commissione al riguardo, la esorta a proporre entro la prima metà del 2004 , come annunciato, uno "strumento giuridico" sulla protezione della vita privata nell'ambito del terzo pilastro; ritiene che tale strumento debba avere carattere vincolante e mirare a garantire, nell'ambito del terzo pilastro, lo stesso livello di protezione dei diritti alla vita privata e dei dati esistente per il primo pilastro; ritiene che tale strumento debba armonizzare a questi alti livelli le attuali norme in materia di vita privata e protezione dei dati relative a Europol, Eurojust e tutti gli altri organismi e azioni del terzo pilastro, nonché lo scambio di dati tra essi e con paesi e organizzazioni di paesi terzi;
2. ritiene che, a lungo termine, la direttiva 95/46/EC dovrà essere applicata, con i dovuti adeguamenti, a tutti i settori d'attività dell'UE, al fine di garantire un alto livello di norme armonizzate e comuni in materia di protezione della vita privata e dei dati;
3. reputa che il rispetto delle norme in materia di protezione della vita privata e dei dati debba essere garantito da autorità di controllo nazionali, da un'autorità comune dell'UE, alla quale i cittadini avranno il diritto di fare appello, nonché dalla Corte di giustizia delle Comunità europee; ritiene inoltre che il Parlamento europeo debba essere consultato con poteri decisionali su ogni proposta relativa a, o che abbia un impatto su, la protezione della vita privata nell'UE, come accordi internazionali di suoi organismi, adequacy findings, e altro;
4. ritiene che sia necessario fin da subito agevolare per i cittadini il godimento dei loro diritti rispetto alla privacy e la protezione dei dati personali (accesso ai dati, correzione, modifica, cancellazione, etc) attraverso la previsione di una procedura unica presso le Autorità per la privacy nazionali relativamente ai dati stoccati nelle banche dati nazionali ed europee, di primo e terzo pilastro;
5. si rallegra del fatto che la Commissione abbia condotto una consultazione e un dibattito franchi e approfonditi con tutte le parti interessate (governi e autorità di vigilanza degli Stati membri, organizzazioni, società, cittadini), anche in forma elettronica, sull'attuazione della direttiva, e prende atto dei risultati di tale consultazione;
L'applicazione della direttiva 95/46/EC sulla protezione dei dati
6. deplora che alcuni Stati membri non abbiano attuato la direttiva prima della scadenza prevista del 24 ottobre 1998, obbligando la Commissione ad avviare, l'11 gennaio 2000, procedure d'infrazione nei confronti di Francia, Lussemburgo, Paesi Bassi, Germania e Irlanda; prende atto del fatto che tutti gli Stati membri hanno ora recepito la direttiva e invita l'Irlanda a notificare immediatamente alla Commissione la sua recente legge di applicazione; deplora il fatto che l'applicazione tardiva della direttiva da parte degli Stati membri e le persistenti differenze nelle modalità della sua applicazione a livello nazionale abbiano impedito agli operatori economici di trarne pienamente vantaggio ed abbiano ostacolato alcune attività transfrontaliere in seno all'Unione europea;
7. invita tutte le parti interessate, istituzioni europee, Stati membri e autorità di tutela dei dati, nonché i settori economici e della società civile, a fornire il proprio contributo e cooperare per consentire una corretta applicazione dei principi di protezione dei dati disciplinati dalla direttiva;
8. condivide l'opinione della Commissione secondo la quale, visto che l'applicazione della direttiva è stata lenta e l'esperienza acquisita in proposito è ancora molto limitata, è preferibile non modificare la direttiva per il momento - ad eccezione di quanto indicato al paragrafo 16 - e che le attuali lacune di applicazione della direttiva potranno essere colmate mediante azioni avviate a livello europeo e nazionale dagli Stati membri e dalle autorità di tutela dei dati sulla base del programma annunciato nella comunicazione della Commissione;
9. ricorda che è la garanzia della tutela dei dati a condizionare il completamento del mercato interno; in tale ottica chiede alla Commissione di individuare i settori in cui le divergenze d'interpretazione della direttiva ostacolano il buon funzionamento del Mercato interno e di riferire al riguardo a questo Parlamento;
10. condivide l'opinione della Commissione rispetto al fatto che, se tale cooperazione non avrà dato i risultati sperati entro un termine di 6 mesi, essa avvierà un procedimento giudiziario nei confronti degli Stati membri che omettano o rifiutino di rispettare la direttiva; a tal riguardo, ritiene che la Commissione debba riservare una particolare attenzione e determinazione quanto al rispetto effettivo delle eccezioni legali alla privacy, vegliando al rispetto della Convenzione europea sulla salvaguardia dei diritti dell'uomo e delle libertà fondamentali e della relativa giurisprudenza;
Trasferimenti di dati a Stati o organizzazioni terzi
11. si compiace del fatto che la Commissione intenda semplificare il quadro regolamentare per le imprese nel campo delle disposizioni sui trasferimenti internazionali di dati;
12. ricorda che non devono essere consentite eccezioni al principio secondo il quale i dati connessi al primo pilastro possono essere trasferiti a paesi e organizzazioni terzi solo se il livello di protezione dei dati è analogo a quello applicato dall'UE;
13. ricorda, soprattutto ad Europol, Eurojust e agli altri organismi del terzo pilastro, che i dati raccolti a fini di ordine pubblico possono essere trasferiti solo caso per caso verso paesi o organismi che rispettino i diritti dell'uomo e le libertà fondamentali, la democrazia, lo Stato di diritto e le norme europee in materia di protezione dei dati, quali i principi relativi alla protezione dei dati indicati nella raccomandazione del Consiglio d'Europa R(87) 15 sull'uso dei dati personali nel settore della polizia; chiede inoltre di essere consultato prima di tali trasferimenti di dati, e di ricevere relazioni in proposito dopo tali trasferimenti; chiede urgentemente a Europol ed Eurojust di chiarire e mettere a disposizione dei cittadini e del Parlamento europeo le informazioni necessarie relative allo scambio di dati, personali e non, con Stati e organismi terzi;
14. ribadisce che le norme UE in materia di protezione dei dati sono gravemente violate - come peraltro confermato dal parere della Commissione belga per la protezione della vita privata, dalle opinioni del Gruppo di lavoro "articolo 29" e dal rapporto della rete di esperti sui diritti umani dell'UE- quando i dati personali vengono trasferiti o consultati direttamente e sistematicamente da organismi o autorità di polizia di uno Stato terzo, senza informare e senza ottenere il consenso della persona oggetto dei dati, in particolare quando i dati sono raccolti per uno scopo diverso e senza autorizzazione di un giudice, com'è il caso delle autorità statunitensi che consultano i dati relativi ai passeggeri transatlantici raccolti nell'UE dalle compagnie aeree e attraverso sistemi di prenotazione elettronici;
15. concorda con l'opinione del Gruppo di lavoro "articolo 29" rispetto all' inadeguatezza del regime sulla privacy negli Stati Uniti allo stato attuale e anche rispetto all'ultima versione degli Undertakings, e sugli elementi problematici che persistono e rispetto ai quali i progressi ottenuti nel corso di un anno di negoziati della Commissione con le autorità USA sono assolutamente insufficienti;
16. Propone che la direttiva sia modificata nel senso che la valutazione circa l'adeguatezza della protezione dei dati personali dei cittadini europei da parte di un paese terzo, nel quale tali dati siano destinati ad essere trasferiti, possa essere adottata solo previa approvazione del Parlamento europeo;
17. Chiede che gli accordi che si stanno negoziando o sono stati negoziati in materia di trasmissione di dati personali fra la UE e parti terze o paesi terzi garantiscano un livello adeguato di protezione dei dati e che, comunque, mantengano il livello garantito dalla direttiva 95/46/CE;
Eccezioni alle leggi in materia di vita privata
18. ritiene che le leggi degli Stati membri che consentono la conservazione su grande scala di dati relativi alle comunicazioni dei cittadini a fini di ordine pubblico non siano pienamente conformi alla convenzione europea sulla salvaguardia dei diritti dell'uomo e delle libertà fondamentali e alla relativa giurisprudenza, in quanto rappresentano un'ingerenza nel diritto alla vita privata e vengono meno all'obbligo di autorizzazione da parte della magistratura, caso per caso e per periodi limitati, alla distinzione tra categorie di persone che possono essere oggetto di sorveglianza, al rispetto della confidenzialità di comunicazioni protette (ad esempio le comunicazioni avvocato-cliente), alla specificazione della natura dei reati o delle circostanze che autorizzano tale interferenza; inoltre, vi sono gravi dubbi sulla loro necessità nell'ambito di una società democratica, oltre che, come specificato dall'articolo 15 della direttiva 2002/58/CE, sulla loro opportunità e proporzionalità;
19. invita la Commissione a elaborare un documento sul diritto alla vita privata e le condizioni in base alle quali le eccezioni possono essere legali, sulla base della convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, della giurisprudenza connessa e delle direttive UE in materia di protezione dei dati, ed esorta le istituzioni europee ad avviare una discussione aperta e trasparente sulla base di tale documento;
Altre considerazioni
20. chiede agli Stati membri di rispettare i criteri della chiarezza giuridica e della certezza del diritto ai fini di una migliore regolamentazione nell'applicazione della direttiva onde evitare oneri inutili alle imprese e in particolare alle PMI;
21. insiste sul fatto che la libera circolazione dei dati personali è essenziale ai fini dell'efficace svolgimento di quasi tutte le attività economiche a livello di Unione; ritiene che si tratti quindi di eliminare al più presto tali differenze d'interpretazione per consentire alle organizzazioni multinazionali di definire politiche paneuropee in materia di tutela dei dati;
22. sottolinea la necessità che, nell'applicazione della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati relativo alla protezione dei dati(8), gli Stati membri e le istituzioni europee attuino un livello equivalente di tutela dei diritti fondamentali e di protezione dei cittadini;
23. chiede alla Commissione di adottare un approccio di armonizzazione della direttiva in esame con gli altri testi legislativi, quali la proposta di direttiva del Parlamento europeo e del Consiglio relativa all'armonizzazione delle disposizioni legislative, regolamentari e amministrative degli Stati membri in materia di credito ai consumatori, onde evitare incoerenze fra tali proposte;
24. invita gli Stati membri e le rispettive autorità di controllo a creare un contesto meno complesso e gravoso per i responsabili del trattamento dei dati e concorda con la Commissione sull'esigenza di evitare l'imposizione di prescrizioni che potrebbero essere abolite senza effetti deleteri per l'elevato livello di tutela garantito dalla direttiva;
25. sottolinea che la gestione e la tutela dei dati sono attualmente un fattore decisivo di successo per le imprese;
26. concorda con la Commissione sul fatto che sono necessari miglioramenti affinché gli operatori economici abbiano una scelta più vasta di clausole contrattuali tipo nel campo della tutela dei dati, per quanto possibile basate sulle clausole presentate dai rappresentanti delle imprese;
27. invita gli Stati membri ad assicurare che le autorità di tutela dei dati dispongano dei mezzi necessari allo svolgimento dei compiti previsti dalla direttiva 95/46/EC e siano indipendenti ed autonome dai governi nazionali; ritiene che le autorità di tutela dei dati debbano rafforzare continuamente la propria efficienza ed efficacia e svolgere un ruolo più attivo a livello nazionale o europeo nel quadro del gruppo di lavoro "articolo 29", ad esempio per contribuire ad attuare il programma proposto dalla Commissione e per assicurare l'applicazione della legge;
28. deplora che sette Stati membri - Belgio, Germania, Grecia, Francia, Lussemburgo, Paesi Bassi e Portogallo - non abbiano rispettato la scadenza per l'applicazione della direttiva 2002/58/CE entro il 31 ottobre 2003, e li invita a compiere i passi necessari;
29. chiede che la Commissione, gli Stati membri e le Autorità nazionali per la privacy compiano valutazioni annuali, del rispetto delle norme nazionali ed europee sulla privacy, a prescindere dal pilastro di riferimento, proponendo se necessario modifiche alla legislazione, le trasmettano agli organi - in particolare parlamentari - competenti e le rendano pubbliche, specialmente su Internet;
30. si inquieta per gli sviluppi del SIS e per i piani del Consiglio per i quali il SIS II dovrebbe consentire l'aggiunta di nuove categorie di segnalazione (persone e oggetti), di nuovi settori, la messa in relazione delle segnalazioni, la modifica della durata di conservazione delle segnalazioni, nonché la registrazione e il trasferimento di dati biometrici, segnatamente fotografie e impronte digitali, così come l'accesso a nuove autorità, vale a dire Europol, Eurojust e autorità giudiziarie nazionali, se necessario, per ragioni differenti da quelle inizialmente definite, come ad esempio per la segnalazione di mandati di cattura europei, nonché stigmatizza la confusione giuridica creata dal fatto che il SIS riguarda sia il primo che il terzo pilastro, con livelli di protezione della privacy differenti;
31. si inquieta per l'orientamento generale adottato dal Consiglio sulle proposte volte a integrare dati biometrici (foto digitali e impronte digitali) su visti e i titoli di soggiorno mediante un chip elettronico, in particolare perché i dati potrebbero essere facilmente copiati in banche dati centralizzate in caso di controllo; teme che nuovi sviluppi nel settore della protezione dei dati, quale il possibile impiego della biometrica, rendano maggiormente gravosa l'opera delle autorità di vigilanza le quali attualmente esplicano "uno sforzo di applicazione senza le necessarie risorse" per svolgere "una vasta serie di compiti" (COM (2003) 265); chiede agli Stati membri di mettere risorse supplementari a disposizione delle autorità di vigilanza sulla protezione dei dati per garantire un funzionamento efficace del sistema;
32. invita gli Stati membri e le autorità nazionali ed europee a vigilare affinché la legislazione sulla privacy non venga utilizzata abusivamente al fine o con il risultato di ostacolare il diritto all'accesso ai documenti, la trasparenza amministrativa e la pubblicità istituzionale, o anche di rendere eccessivamente complesso l'esercizio individuale della "libertà di essere conosciuti": invita la Commissione a presentare un rapporto, sulla base di un parere del Gruppo di lavoro articolo 29, su questo tipo di pratiche abusive, proponendo linee guida ed eventuali accorgimenti legislativi per prevenire tali pratiche;
33. invita la Commissione a continuare a monitorare la questione della videosorveglianza, anche in virtù delle giurisprudenze nazionali, e rimane in attesa di potere esaminare la proposta annunciata in materia di protezione della vita privata nell'ambito del lavoro;
34. chiede urgentemente ad Eurojust di chiarire quali norme nazionali ed europee ha fino ad oggi applicato e sta applicando, dato che al riguardo permangono una grande confusione e gravi dubbi;
35. ritiene che l'autoregolamentazione sia un buon dispositivo per evitare una legislazione eccessivamente dettagliata e invita il mondo imprenditoriale a creare un codice di condotta sulla tutela dei dati personali;
36. chiede alle istanze nazionali, europee e internazionali di compiere uno sforzo supplementare in direzione dei principi internazionalmente concordati, al fine di migliorare l'applicazione delle linee guida dell'OCSE e della Convenzione del Consiglio d'Europa;
37. sottolinea che la protezione dei dati personali e della vita privata dovrebbe far parte dei programmi d'insegnamento con riferimento all'informatica e ad Internet; invita gli Stati membri e la Commissione a sensibilizzare i cittadini per quanto concerne il diritto alla protezione dei dati.
o o o
38. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio, alla Commissione, ai governi e parlamenti degli Stati membri, alle Autorità per la privacy nazionali, ad Europol ed Eurojust, nonché al governo degli Stati Uniti.