Il Parlamento europeo,

–  visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,

–  viste la Carta dei diritti fondamentali dell'Unione europea, in particolare gli articoli 7 e 8, e la Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU), in particolare l'articolo 8 sul rispetto della vita privata e familiare e l'articolo 13 sul diritto ad un ricorso effettivo,

–  vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(1),

–  vista la decisione quadro 2008/977/GAI del Consiglio del 27 novembre 2008 sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale(2),

–  visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati(3),

–  vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)(4),

–  visti la Convenzione 108 del Consiglio d'Europa, del 28 gennaio 1981, per la tutela delle persone fisiche con riguardo al trattamento automatizzato di dati personali che la direttiva 95/46/CE sviluppa e il relativo protocollo addizionale dell'8 novembre 2001 concernente le autorità di controllo e i flussi transfrontalieri, nonché le raccomandazioni del Comitato dei ministri agli Stati membri, in particolare la raccomandazione n. R(87) 15 che disciplina l'uso dei dati di carattere personale nel settore della polizia e la raccomandazione CM/Rec.(2010)13 sulla protezione delle persone fisiche con riguardo al trattamento automatizzato di dati personali nel contesto di attività di profilazione,

–  visti gli orientamenti per la regolamentazione degli schedari informatizzati contenenti dati a carattere personale, stabiliti nel 1990 dall'Assemblea generale delle Nazioni Unite,

–  vista la comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni intitolata «Un approccio globale alla protezione dei dati personali nell'Unione europea» (COM(2010)0609),

–  viste le conclusioni del Consiglio relative alla comunicazione della Commissione intitolata «Un approccio globale alla protezione dei dati personali nell'Unione europea»(5),

–  visto il parere del Garante europeo della protezione dei dati (GEPD), del 14 gennaio 2011, sulla comunicazione della Commissione intitolata «Un approccio globale alla protezione dei dati personali nell'Unione europea»,

–  visto il contributo comune del Gruppo di lavoro Articolo 29 per la protezione dei dati e del Gruppo di lavoro Polizia e Giustizia alla consultazione della Commissione europea sul quadro giuridico del diritto fondamentale alla protezione dei dati a carattere personale intitolato «Il futuro della privacy»(6),

–  visto il parere 8/2010 del Gruppo di lavoro Articolo 29 per la protezione dei dati sul diritto applicabile(7),

–  viste le sue precedenti risoluzioni sulla protezione dei dati e la sua risoluzione sul Programma di Stoccolma(8),

–  visto l'articolo 48 del suo regolamento,

–  visti la relazione della commissione per le libertà civili, la giustizia e gli affari interni e i pareri della commissione per l'industria, la ricerca e l'energia, della commissione per il mercato interno e la protezione dei consumatori, della commissione per la cultura e l'istruzione e della commissione giuridica (A7-0244/2011),

A.  considerando che la direttiva 95/46/CE sulla protezione dei dati e la direttiva 2009/140/CE del pacchetto Telecom UE rendono possibile la libera circolazione dei dati personali nel mercato interno,

B.  considerando che la legislazione in materia di protezione dei dati nell'UE, negli Stati membri e altrove ha sviluppato una tradizione giuridica che va mantenuta e ulteriormente elaborata,

C.  considerando che il principio di base della direttiva 95/46/CE sulla protezione dei dati resta valido, ma che sono stati osservati diversi approcci a livello dell'applicazione e dell'attuazione da parte degli Stati membri; che l'UE deve dotarsi – dopo avere effettuato una valutazione d'impatto approfondita – di un quadro globale, coerente, moderno e di alto livello in grado di proteggere efficacemente i diritti fondamentali delle persone, segnatamente la privacy, per quanto attiene al trattamento dei dati personali dei cittadini all'interno e all'esterno dell'UE in ogni circostanza, in modo da far fronte alle numerose sfide cui è confrontata la protezione dei dati, come quelle risultanti dalla globalizzazione, dallo sviluppo tecnologico, dal rafforzamento dell'attività online e dagli usi connessi con attività sempre più numerose nonché dalle preoccupazioni legate alla sicurezza (ad esempio, la lotta contro il terrorismo); che un quadro di protezione dei dati di questo tipo può accrescere la certezza giuridica, mantenere l'onere amministrativo a livelli minimi, fornire condizioni di parità agli operatori economici, potenziare il mercato unico digitale e far nascere la fiducia nel comportamento dei responsabili del trattamento dei dati e delle autorità responsabili dell'applicazione,

D.  considerando che le violazioni delle disposizioni in materia di protezione dei dati possono far correre seri rischi ai diritti fondamentali delle persone e ai valori degli Stati membri, ragion per cui l'Unione e gli stessi Stati membri devono prendere misure efficaci contro tali violazioni; che le violazioni in questione portano a una mancanza di fiducia delle persone che indebolirà il ricorso vantaggioso alle nuove tecnologie, e che l'uso scorretto e l'abuso dei dati personali dovrebbero quindi essere punibili con sanzioni appropriate, severe e dissuasive, ivi compreso con sanzioni penali,

E.  considerando che, nell'assicurare il diritto fondamentale alla protezione dei dati personali, occorre tenere pienamente conto di altri importanti diritti fondamentali sanciti dalla Carta e di altri obiettivi previsti dai trattati UE, quali il diritto alla libertà di espressione e di informazione e il principio di trasparenza,

F.  considerando che la nuova base giuridica enunciata all'articolo 16 TFUE e il riconoscimento, all'articolo 8 della Carta dei diritti fondamentali, del diritto alla protezione dei dati personali e, all'articolo 7, del rispetto della vita privata e della vita familiare quali diritti autonomi impongono e sostengono pienamente un approccio globale alla protezione dei dati in tutti gli ambiti in cui i dati a carattere personale sono trattati, compreso il settore della cooperazione di polizia e giudiziaria in materia penale, il settore della politica estera e di sicurezza comune (PESC) – ferme restando le norme specifiche stabilite all'articolo 39 del TUE – e il settore dell'elaborazione dei dati da parte delle istituzioni e degli organi dell'UE,

G.  considerando che è della massima importanza che una serie di elementi chiave siano presi in considerazione al momento di esaminare soluzioni legislative, che consistano in una protezione efficace garantita in ogni circostanza, a prescindere dalle preferenze politiche entro un certo arco di tempo; che il quadro deve essere stabile sul lungo periodo e che può rivelarsi necessario porre limiti all'esercizio del diritto, ma deve trattarsi di casi eccezionali, in conformità della legislazione, strettamente necessari e proporzionati e che non incidano mai sugli elementi essenziali del diritto stesso,

H.  considerando che la raccolta, l'analisi, lo scambio e l'uso improprio di dati nonché il rischio di profilazione, prassi stimolate dai progressi tecnici, hanno raggiunto dimensioni senza precedenti e necessitano pertanto di solide norme in materia di protezione dei dati, ad esempio di un diritto applicabile e della definizione delle responsabilità di tutte le parti interessate in termini di esecuzione della legislazione UE in materia di protezione dei dati; considerando che le carte di fedeltà (quali le carte club, le carte sconto, le carte premio ecc.) vengono utilizzate sempre più spesso dalle imprese e nel commercio, e sono, o possono essere, utilizzate per la profilazione dei clienti,

I.   considerando che i cittadini non effettuano acquisti online con la stessa sicurezza con cui comprano offline, poiché temono i furti di identità e la mancanza di trasparenza circa il trattamento e l'utilizzo dei loro dati personali,

J.  considerando che la tecnologia permette sempre più di creare, inviare, trattare e conservare i dati personali in qualsiasi momento e ovunque in molte forme diverse, e che, in tale contesto, è di fondamentale importanza che le persone interessate possano esercitare un controllo effettivo sui loro propri dati,

K.  considerando che i diritti fondamentali alla protezione dei dati e alla privacy includono la protezione delle persone da eventuali controlli e utilizzazioni abusive dei loro dati da parte dello Stato stesso, come pure da parte di organismi privati,

L.  considerando che la privacy e la sicurezza sono possibili ed entrambe di fondamentale importanza per i cittadini, il che significa che non è necessario scegliere tra l'essere liberi e l'essere sicuri,

M.  considerando che i minori meritano una protezione specifica, in quanto sono probabilmente meno consapevoli dei rischi, delle conseguenze, delle garanzie e dei diritti inerenti al trattamento dei dati personali; che i giovani divulgano i loro dati personali su siti di «social networking», che si stanno diffondendo rapidamente su Internet,

N.  considerando che un efficace controllo da parte della persona interessata e delle autorità nazionali responsabili della protezione dei dati richiede un comportamento trasparente da parte dei responsabili del trattamento dei dati,

O.  considerando che non tutti i responsabili del trattamento dei dati operano online e che quindi le nuove norme sulla protezione dei dati devono coprire gli ambienti sia online che offline, tenendo conto nel contempo delle eventuali differenze tra di essi,

P.  considerando che le autorità nazionali responsabili della protezione dei dati sono soggette a norme ampiamente divergenti nei 27 Stati membri, in particolare in materia di status, risorse e poteri,

Q.  considerando che un regime forte di protezione dei dati europeo e internazionale costituisce il fondamento necessario per la circolazione di dati a carattere personale attraverso le frontiere e che le attuali disparità nella legislazione in materia di protezione dei dati e nella sua attuazione influiscono sulla protezione dei diritti fondamentali e delle libertà individuali, sulla certezza giuridica e la chiarezza nei rapporti contrattuali, sullo sviluppo dell'e-commerce e dell'e-business, sulla fiducia dei consumatori nel sistema, sulle transazioni transfrontaliere, sull'economia globale e sul mercato unico; che, in tale contesto, lo scambio di dati è importante per consentire e garantire la pubblica sicurezza a livello nazionale e internazionale; che la necessità, la proporzionalità, la limitazione delle finalità, la sorveglianza e l'adeguatezza sono prerequisiti per lo scambio,

R.  considerando che le attuali norme e condizioni che disciplinano il trasferimento dei dati personali dall'UE a paesi terzi hanno portato ad approcci e pratiche diversi nei differenti Stati membri; che è assolutamente necessario che i diritti degli interessati siano pienamente applicati nei paesi terzi in cui i dati personali sono trasferiti ed elaborati,

Impegnarsi pienamente con un approccio globale

1.  accoglie molto favorevolmente e sostiene la comunicazione della Commissione intitolata «Un approccio globale alla protezione dei dati personali nell'Unione europea» e l'accento che essa pone sul rafforzamento delle modalità esistenti, proponendo nuovi principi e meccanismi e assicurando la coerenza e norme elevate in materia di protezione dei dati nel nuovo contesto offerto dall'entrata in vigore del trattato di Lisbona (articolo 16 TFUE) e dalla Carta dei diritti fondamentali, ora vincolante, in particolare dall'articolo 8;

2.  sottolinea che le norme e i principi stabiliti nella direttiva 95/46/CE rappresentano un punto di partenza ideale e dovrebbero essere ulteriormente elaborati, estesi e applicati, quale parte di una legislazione moderna in materia di protezione dei dati;

3.  sottolinea l'importanza dell'articolo 9 della direttiva 95/46/CE, che fa obbligo agli Stati membri di prevedere deroghe alle disposizioni in materia di protezione dei dati quando i dati personali sono utilizzati esclusivamente per scopi giornalistici o di espressione artistica o letteraria; invita in tale contesto la Commissione a garantire che tali deroghe siano mantenute e che si faccia tutto il possibile per valutare la necessità di svilupparle ulteriormente alla luce di ogni nuova disposizione, al fine di tutelare la libertà di stampa;

4.  sottolinea che è opportuno mantenere l'approccio neutro a livello tecnologico della direttiva 95/46/CE come principio per un nuovo quadro giuridico;

5.  riconosce che gli sviluppi tecnologici, da un lato, hanno creato nuove minacce per la protezione dei dati personali e, dall'altro, hanno anche comportato un notevole incremento nell'uso delle tecnologie dell'informazione per scopi normalmente innocui e legati alla vita quotidiana, e che questi sviluppi significano che è necessaria una valutazione esauriente delle attuali norme in materia di protezione dei dati per garantire che: i) le norme forniscano sempre un elevato livello di protezione, ii) le norme assicurino sempre un giusto equilibrio fra il diritto alla protezione dei dati personali e il diritto alla libertà di espressione e di informazione, e iii) le norme non ostacolino inutilmente il trattamento quotidiano dei dati personali, che normalmente è inoffensivo;

6.  ritiene assolutamente necessario estendere l'applicazione delle norme generali in materia di protezione dei dati ai settori della cooperazione di polizia e giudiziaria, anche per il trattamento dei dati a livello nazionale, tenendo particolarmente conto della discutibile tendenza a riutilizzare in modo sistematico i dati personali del settore privato ai fini dell'applicazione della legge, autorizzando anche, nel contempo, ove strettamente necessario e proporzionato in una società democratica, limitazioni armonizzate e rigorosamente circoscritte ad alcuni diritti degli individui riguardanti la protezione dei dati;

7.  sottolinea anche la necessità di integrare nel campo di applicazione del nuovo quadro giuridico il trattamento dei dati personali da parte delle istituzioni e degli organi dell'Unione europea, che è disciplinato dal regolamento (CE) n. 45/2001;

8.  riconosce che possono essere necessarie misure addizionali e potenziate al fine di specificare in che modo i principi generali fissati dal quadro globale si applicano alle attività e al trattamento dei dati di determinati settori, come già avvenuto con la cosiddetta direttiva e-Privacy, ma insiste sul fatto che tali norme settoriali non dovrebbero in alcun caso abbassare il livello di protezione garantito dalla legislazione quadro, definendo unicamente deroghe eccezionali, necessarie, giustificate e rigorosamente circoscritte ai principi generali in materia di protezione dei dati;

9.  invita la Commissione a garantire che la revisione in corso della legislazione dell'UE sulla protezione dei dati preveda:

10.  è del parere che, nell'applicare pienamente i diritti alla privacy e alla protezione dei dati, il regime rivisto di protezione dei dati dovrebbe mantenere gli oneri burocratici e finanziari al minimo e fornire strumenti che consentano ai gruppi imprenditoriali percepiti come entità uniche di agire come tali e non come una moltitudine di imprese distinte; incoraggia la Commissione a compiere valutazioni di impatto e a valutare attentamente i costi delle nuove misure;

Rafforzare i diritti delle persone

11.  invita la Commissione a rafforzare principi ed elementi in vigore come la trasparenza, la minimizzazione dei dati e la limitazione delle finalità, il consenso informato, preliminare ed esplicito, la notifica delle violazioni dei dati e i diritti delle persone interessate, quali stabiliti nella direttiva 95/46/CE, migliorandone l'applicazione negli Stati membri, in particolare per quanto concerne l'«ambiente globale online»;

12.  sottolinea che il consenso dovrebbe essere considerato valido solo quando è inequivocabile, informato, libero, specifico ed esplicito, e che devono essere applicati meccanismi adeguati per registrare il consenso degli utenti o la revoca del medesimo;

13.  rileva che non si può dare per scontato il carattere volontario del consenso nel settore dei contratti di lavoro;

14.  è preoccupato in relazione agli abusi legati al «targeting» comportamentale online, e ricorda che la direttiva relativa alla vita privata e alle comunicazioni elettroniche richiede il consenso esplicito preventivo della persona interessata per la visualizzazione dei «cookies» (marcatori) e per il successivo monitoraggio del suo comportamento di navigazione allo scopo di inviarle pubblicità personalizzata;

15.  sostiene pienamente l'introduzione di un principio generale di trasparenza come anche il ricorso a tecnologie che rafforzano la trasparenza e l'elaborazione di informative standard sulla privacy che consentano alle persone di esercitare un controllo sui dati che le riguardano; sottolinea che le informazioni sul trattamento dei dati devono essere fornite in un linguaggio chiaro e semplice, e in un modo che sia facilmente comprensibile e accessibile;

16.  sottolinea inoltre l'importanza di migliorare i mezzi per esercitare i diritti di accesso, rettifica, cancellazione e blocco dei dati, e la consapevolezza di tali diritti, come pure di chiarire nel dettaglio e di codificare il «diritto all'oblio»(9), nonché di consentire la portabilità dei dati(10), garantendo che siano sviluppati e posti in essere tutti i mezzi tecnici e organizzativi per consentire l'esercizio di tali diritti; sottolinea che gli individui necessitano di un controllo sufficiente dei loro dati online che consenta loro di usare Internet in modo responsabile;

17.  sottolinea che i cittadini devono poter esercitare gratuitamente i propri diritti relativi ai dati; invita le imprese ad astenersi da ogni tentativo di ostacolare senza necessità il diritto di accedere, modificare o cancellare i dati personali; sottolinea che la persona interessata deve essere messa in grado di conoscere in ogni momento quali dati sono conservati e da chi, quando, per quale scopo, per quanto tempo e in che modo sono trattati; sottolinea che la persona interessata deve poter far cancellare, correggere o bloccare i dati in maniera non burocratica e deve essere informata in merito a qualsiasi uso improprio o violazione dei dati; chiede altresì che i dati siano comunicati su richiesta dell'interessato e siano cancellati, al più tardi, quando questi lo richieda; sottolinea la necessità di comunicare chiaramente ai diretti interessati il livello di protezione dei dati nei paesi terzi; sottolinea che il diritto all'accesso comprende non soltanto il completo accesso alle informazioni relative al trattamento dei propri dati, incluse le fonti e i destinatari, ma anche informazioni comprensibili sulla logica alla base di ogni trattamento automatizzato; sottolinea che quest'ultimo aspetto acquisirà ancora maggiore importanza nel caso del profiling (profilazione) e del data-mining (estrazione di dati);

18.  rileva che, non da ultimo a causa dell'importanza crescente dei «social network» e dei modelli commerciali integrati su Internet, lo studio dei profili rappresenta un'importante evoluzione del «mondo digitale»; invita pertanto la Commissione a includere disposizioni in materia di studio dei profili e a definire chiaramente i significati di «profilo» e «studio dei profili»;

19.  ribadisce la necessità di rafforzare gli obblighi dei responsabili del trattamento per quanto concerne l'informazione delle persone interessate e accoglie con favore l'attenzione rivolta dalla comunicazione alle attività di sensibilizzazione destinate al pubblico in generale e più specificamente ai giovani; sottolinea la necessità di trattare in modo specifico le persone vulnerabili, segnatamente i bambini e le persone anziane; invita i vari soggetti interessati ad intraprendere tali attività di sensibilizzazione e sostiene la proposta della Commissione di cofinanziare misure di sensibilizzazione sulla protezione dei dati mediante il bilancio dell'Unione; sollecita una divulgazione efficace, in ogni Stato membro, delle informazioni relative ai diritti e agli obblighi delle persone fisiche e giuridiche in relazione alla raccolta, al trattamento, alla conservazione e alla trasmissione di dati personali;

20.  sottolinea la necessità di prevedere forme specifiche di protezione per le persone vulnerabili, soprattutto i bambini, per esempio imponendo come impostazione predefinita (default setting) un livello elevato di protezione dei dati e adottando misure specifiche appropriate per proteggere i loro dati personali;

21.  sottolinea l'importanza della normativa sulla protezione dei dati e riconosce la necessità di proteggere in maniera specifica bambini e minori – alla luce, tra l'altro, del crescente accesso dei bambini a Internet ed ai contenuti digitali – ed evidenzia che l'alfabetizzazione mediatica deve diventare parte dell'istruzione ufficiale al fine di insegnare ai bambini ed ai minori come agire in modo responsabile nell'ambiente online; a tal fine occorre prestare particolare attenzione alle disposizioni relative alla raccolta ed al successivo trattamento dei dati concernenti i bambini, al rafforzamento del principio di limitazione delle finalità in relazione ai dati relativi ai bambini ed al modo in cui si cerca il consenso dei bambini nonché alla protezione dalla pubblicità comportamentale(11);

22.  invita a chiarire ulteriormente ed a rafforzare le garanzie del trattamento dei dati sensibili ed invita ad una riflessione sulla necessità di trattare nuove categorie, quali i dati genetici e i dati biometrici, in particolare nel contesto degli sviluppi tecnologici (ad esempio, il cloud computing) e della società;

23.  sottolinea che i dati personali relativi alla situazione professionale dell'utente che sono forniti al datore di lavoro non devono essere resi pubblici né trasmessi a terzi senza previa autorizzazione della persona interessata;

Far avanzare ulteriormente la dimensione del «mercato interno» e garantire un migliore rispetto delle norme sulla protezione dei dati

24.  nota che la protezione dei dati dovrebbe svolgere un ruolo ancora maggiore nel mercato interno e sottolinea che la protezione efficace del diritto alla privacy è essenziale per ottenere la fiducia delle persone, necessaria per liberare appieno il potenziale di crescita del mercato unico digitale; ricorda alla Commissione che principi e norme comuni applicabili sia ai beni sia ai servizi sono un presupposto del mercato unico digitale in quanto i servizi costituiscono una parte importante del mercato digitale;

25.  ribadisce il suo invito alla Commissione a chiarire le norme relative alla legislazione applicabile al settore della protezione dei dati personali;

26.  ritiene essenziale rafforzare gli obblighi dei responsabili del trattamento dei dati di garantire il rispetto della normativa in materia di protezione dei dati introducendo, fra l'altro, meccanismi e procedure proattivi e accoglie favorevolmente gli altri orientamenti proposti nella comunicazione della Commissione;

27.  rammenta che, in tale contesto, deve essere accordata un'attenzione particolare ai responsabili del trattamento dei dati, che sono soggetti all'obbligo del segreto professionale e per i quali è opportuno prendere in considerazione la creazione di strutture speciali per il controllo della protezione dei dati;

28.  accoglie con favore e sostiene l'intenzione della Commissione di introdurre un principio di responsabilità, fondamentale per garantire che quanti sono preposti al trattamento dei dati agiscano in base alle loro responsabilità; invita nel contempo la Commissione ad esaminare attentamente le modalità pratiche di applicazione di tale principio ed a valutarne le conseguenze;

29.  plaude alla possibilità di rendere obbligatoria la nomina di responsabili della protezione dei dati, dato che l'esperienza degli Stati membri dell'UE che già dispongono di responsabili della protezione dei dati mostra che tale concetto ha dato risultati positivi; sottolinea, tuttavia, che tale aspetto deve essere valutato attentamente per quanto riguarda le piccole e microimprese onde evitare che esse incorrano in costi od oneri eccessivi;

30.  plaude anche, al riguardo, agli sforzi in atto per semplificare e armonizzare l'attuale sistema di notificazione;

31.  ritiene sia essenziale rendere obbligatorie le valutazioni di impatto sulla vita privata, al fine di individuare i rischi, prevedere i problemi e proporre soluzioni proattive;

32.  reputa della massima importanza il fatto che i diritti delle persone interessate siano applicabili; osserva che si potrebbero introdurre azioni legali collettive quale strumento di difesa collettiva dei diritti delle persone relativi alla protezione dei dati e per richiedere il risarcimento dei danni risultanti dalla violazione dei dati; rileva, tuttavia, che tali azioni legali collettive devono essere soggette a limitazioni onde evitare abusi; chiede alla Commissione di chiarire la relazione esistente tra questa comunicazione sulla protezione dei dati e l'attuale consultazione pubblica sui ricorsi collettivi; chiede pertanto un meccanismo di ricorso collettivo in caso di violazione delle norme sulla protezione dei dati, che consenta alle persone interessate di ottenere un risarcimento dei danni subiti;

33.  sottolinea la necessità di un'applicazione corretta e armonizzata in tutta l'UE; invita la Commissione a prevedere, nella sua proposta legislativa, sanzioni severe e dissuasive, comprese sanzioni penali, per l'uso improprio e l'abuso dei dati personali;

34.  esorta la Commissione ad introdurre un sistema generale ed obbligatorio di notifica della violazione dei dati personali, estendendolo a settori diversi da quello delle telecomunicazioni, garantendo nel contempo che (a) non si trasformi in un allarme di routine per tutti i tipi di violazione, ma sia collegato soprattutto alle violazioni che possono avere ripercussioni negative sulle persone e (b) che tutte le violazioni, senza eccezione, siano registrate e messe a disposizione delle autorità preposte alla protezione dei dati e di altre autorità competenti, per l'ispezione e la valutazione, garantendo così condizioni di parità e una protezione uniforme per tutti;

35.  ritiene che i concetti di «privacy by design» e «privacy by default» costituiscano un rafforzamento della protezione dei dati e sostiene la loro applicazione concreta e il loro futuro sviluppo, come pure la necessità di promuovere l'uso delle tecnologie di rafforzamento della tutela della vita privata; evidenzia la necessità che l'attuazione della «privacy by design» debba basarsi su criteri e definizioni sensati e concreti al fine di garantire il diritto degli utenti alla privacy e alla protezione dei dati nonché la certezza del diritto, la trasparenza, condizioni di parità e la libertà di circolazione; ritiene che la «privacy by design» debba basarsi sul principio di minimizzazione dei dati, secondo cui tutti i prodotti, servizi e sistemi dovrebbero essere realizzati in modo tale da raccogliere, utilizzare e trasmettere solo i dati personali assolutamente necessari al loro funzionamento;

36.  rileva che lo sviluppo e la diffusione del «cloud computing» comportano nuove sfide in termini di tutela della vita privata e protezione dei dati personali; chiede pertanto un chiarimento riguardo alle capacità dei responsabili del trattamento dei dati, degli incaricati del trattamento e degli «host», ai fini di una migliore ripartizione delle rispettive responsabilità giuridiche e affinché gli interessati sappiano dove sono archiviati i loro dati, chi vi ha accesso, chi decide del loro utilizzo e quali procedure di back-up e recupero vengono utilizzate;

37.  invita pertanto la Commissione a tenere debitamente conto, in sede di revisione della direttiva 95/46/CE, delle problematiche attinenti alla protezione dei dati in riferimento al «cloud computing» ed a garantire che le norme in materia di protezione dei dati siano applicate a tutte le parti interessate, compresi gli operatori delle telecomunicazioni e di settori diversi dalle telecomunicazioni;

38.  esorta la Commissione a garantire che tutti gli operatori di Internet si assumano le proprie responsabilità in relazione ai dati personali ed esorta in particolare le imprese di pubblicità e gli editori ad informare chiaramente gli utenti del web prima di qualsiasi raccolta di dati che li riguardano;

39.  accoglie con favore la recente firma dell'accordo quadro per la valutazione dell'impatto delle applicazioni di identificazione a radiofrequenza (RFID) sulla protezione della vita privata e dei dati, avente lo scopo di assicurare la privacy dei consumatori prima dell'introduzione su un mercato specifico dei tag RFID;

40.  sostiene gli sforzi intesi a far avanzare le iniziative di autoregolamentazione – quali i codici di condotta – e la riflessione sull'istituzione di sistemi volontari di certificazione UE, a complemento delle misure legislative, ribadendo nel contempo che il sistema UE di protezione dei dati si basa su una normativa che stabilisce garanzie di alto livello; invita la Commissione ad eseguire una valutazione di impatto delle iniziative di autoregolamentazione, quali strumenti per conseguire una migliore applicazione delle norme sulla protezione dei dati;

41.  ritiene che qualsiasi sistema di certificazione o marcatura debba essere garantito sotto il profilo dell'integrità e dell'affidabilità, debba essere neutro sul piano tecnologico e riconoscibile a livello mondiale ed accessibile, al fine di non creare ostacoli all'accesso;

42.  è a favore di un ulteriore chiarimento, rafforzamento e armonizzazione dello status e dei poteri delle autorità nazionali di protezione dei dati e di un esame dei modi atti a garantire un'applicazione più coerente delle norme di protezione dei dati UE in tutto il mercato interno; sottolinea altresì l'importanza di garantire la coerenza tra le competenze del GEPD, delle autorità nazionali garanti della protezione dei dati e del Gruppo di lavoro articolo 29;

43.  sottolinea in tale contesto che il ruolo e i poteri del Gruppo di lavoro articolo 29 dovrebbero essere rafforzati al fine di migliorare il coordinamento e la cooperazione fra le autorità degli Stati membri preposte alla protezione dei dati, soprattutto per quanto riguarda la necessità di assicurare un'applicazione uniforme delle norme in materia di protezione dei dati;

44.  invita la Commissione a chiarire, nel nuovo quadro giuridico, la nozione essenziale dell'indipendenza delle autorità nazionali preposte alla protezione dei dati nel senso di assenza di qualsiasi influenza esterna(12); sottolinea che le autorità nazionali preposte alla protezione dei dati dovrebbero disporre delle risorse necessarie ed essere investite di poteri investigativi e sanzionatori armonizzati;

Rafforzare la dimensione globale della protezione dei dati

45.  invita la Commissione a ottimizzare e rafforzare le attuali procedure di trasferimento internazionale dei dati – accordi giuridicamente vincolanti e regole societarie vincolanti – e a definire, sulla base dei principi di protezione dei dati personali di cui sopra, gli ambiziosi aspetti essenziali della protezione dei dati UE da utilizzare negli accordi internazionali; evidenzia che le disposizioni degli accordi UE sulla protezione dei dati personali con i paesi terzi devono attribuire ai cittadini europei un livello di protezione dei dati personali pari a quello previsto all'interno dell'Unione europea;

46.  è del parere che la procedura della Commissione per la valutazione dell'adeguatezza trarrebbe beneficio da ulteriori chiarimenti e da un'applicazione, un'attuazione e un controllo più rigorosi, e che i criteri e i requisiti per valutare il livello di protezione dei dati offerto da un paese terzo o da un'organizzazione internazionale dovrebbero essere meglio specificati, tenendo conto delle nuove minacce alla vita privata e ai dati personali;

47.  invita la Commissione a valutare attentamente l'efficacia e la corretta applicazione dei principi di approdo sicuro;

48.  plaude alla posizione della Commissione riguardo alla reciprocità dei livelli di protezione nei confronti delle persone i cui dati sono esportati dall'UE verso paesi terzi o ivi detenuti; invita la Commissione ad adottare provvedimenti decisivi miranti ad una maggiore cooperazione normativa con i paesi terzi, al fine di chiarire le norme applicabili, e al ravvicinamento della legislazione dell'UE e dei paesi terzi in materia di protezione dei dati; invita la Commissione a proporre tale tema come punto prioritario all'ordine del giorno in seno al Consiglio economico transatlantico, al quale è stato dato un nuovo impulso;

49.  appoggia gli sforzi della Commissione volti a rafforzare la cooperazione con i paesi terzi e le organizzazioni internazionali, fra cui le Nazioni Unite, il Consiglio d'Europa e l'OCSE nonché con gli organismi di normazione come il Comitato europeo di normazione (CEN), l'Organizzazione internazionale di formazione (ISO), il Consorzio World Wide Web (W3C) e l'Internet Engineering Task Force (IETF); incoraggia lo sviluppo di standard internazionali(13), garantendo nel contempo la coerenza tra le iniziative per gli standard internazionali e le attuali revisioni in seno a UE, OCSE e Consiglio d'Europa;

o
o   o

50.  incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione.

(1) GU L 281 del 23.11.1995, pag. 31. (2) GU L 350 del 30.12.2008, pag. 60. (3) GU L 8 del 12.1.2001, pag. 1. (4) GU L 201 del 31.7.2002, pag. 37. (5) 3071a sessione del Consiglio «Giustizia e Affari interni», Bruxelles, 24 e 25 febbraio 2011, consultabile all'indirizzo http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/119461.pdf (6) 02356/09/EN WP 168. (7) 0836/10/IT WP 179. (8) Ad esempio: posizione del Parlamento europeo del 23 settembre 2008 sul progetto di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale (GU C 8 E del 14.1.2010, pag. 138); raccomandazione del Parlamento europeo del 26 marzo 2009 destinata al Consiglio sul rafforzamento della sicurezza e delle libertà fondamentali su Internet (GU C 117 E del 6.5.2010, pag. 206); risoluzione del Parlamento europeo del 25 novembre 2009 sulla comunicazione della Commissione al Parlamento europeo e al Consiglio dal titolo «Uno spazio di libertà, sicurezza e giustizia al servizio dei cittadini – Programma di Stoccolma» (GU C 285 E del 21.10.2010, pag. 12). (9) È necessaria un'identificazione chiara e precisa di tutti i pertinenti elementi che sottendono tale diritto. (10) La portabilità dei dati personali agevolerà il corretto funzionamento sia del mercato interno che di Internet e la sua caratteristica apertura e interconnettività. (11) Si potrebbe valutare l'introduzione di un'età minima per i bambini al di sotto della quale è necessario il consenso dei genitori e di meccanismi di verifica dell'età. (12) In linea con l'articolo 16 TFUE e l'articolo 8 della Carta. (13) Si veda la Dichiarazione di Madrid: Norme globali sulla privacy per un mondo globale, ottobre 2009, e risoluzione sulle norme internazionali, adottata dalla 32a conferenza internazionale dei commissari in materia di protezione dei dati e della vita privata, Gerusalemme, 27-29 ottobre 2010.