del responsabile del trattamento Violazione della riservatezza dei dati , inclusi fughe di dati, accessi non autorizzati e trasferimenti illegali Tipi di presunte violazioni
I principali tipi di violazioni di norme in materia di protezione dei dati presunte dagli autori dei reclami nel 2009 erano: violazione della riserva-tezza dei dati, incluse fughe di dati, accessi non autorizzati e trasferimenti illegali (31 %) e raccolta eccessiva di dati od uso illegale di dati da parte del
responsabile del trattamento (28 %). Altre presunte violazioni erano state meno frequenti, nello speci-fico, l’accesso ai dati (20 %), la rettifica dei dati (12 %), la cancellazione di dati (10 %), la videosor-veglianza (2 %), il trasferimento di dati al di fuori dell’UE (2 %) e la perdita di dati (2 %).
2.4.4.5. Tipi di presunte violazioni
2.4.4.6. Risultati delle indagini del GEPD
In 12 casi risolti durante il 2009, il GEPD non ha riscontrato alcuna violazione delle norme di prote-zione dei dati.
12 10 8
6 4 2
0
Risultati delle indagini del GEPD
3 Violazione delle norme
sulla protezione dei dati non riscontrata
Violazione delle norme
sulla protezione
dei dat riscontrata
Soluzione
amichevole Mancanza di
competenza Trasferimento al responsabile del trattamento
dei dati
Trasferimento al Mediatore
europeo
In un caso contro la Commissione europea, un ex membro del personale ha presentato un reclamo in merito ad un rifiuto di fornirgli una copia di una relazione riguardante un’indagine amministrativa condotta dalla Commissione. La Commissione si è rifiu-tata di fornire accesso al testo integrale della relazione, giustificando il proprio rifiuto con la necessità di proteggere i diritti e le libertà altrui, in particolare, in questo caso, dei testimoni che avevano fornito la loro deposizione. Tuttavia, ha fornito all’autore del reclamo l’accesso ai fatti che lo riguardano ed alle conclusioni finali della relazione.
Considerando che la messa a disposizione del testo integrale potrebbe davvero influire negativamente su alcune delle persone interessate, il GEPD ha considerato che le azio-ni della Commissione fossero conformi alle disposizioazio-ni dell’articolo 13 del regolamen-to, preservando al contempo i diritti e le libertà degli altri.
Al contrario, in otto casi, si sono verificate delle mancate conformità con le norme di protezione dei dati e sono state formulate raccomandazioni rivolte al responsabile del trattamento dei dati.
In un caso, un membro del personale ha presentato un reclamo in merito all’irregolari-tà commessa da un organismo in relazione ad un’indagine sulle qualifiche professio-nali del membro del personale. L’autore del reclamo sosteneva che il suo datore di lavo-ro aveva trasferito illegalmente alcuni documenti «riservati» evidenziando le qualifiche ad alcuni destinatari sia all’interno che all’esterno delle istituzioni dell’UE.
Sulla base delle informazioni fornite dal responsabile del trattamento dei dati, il GEPD ha concluso che i trasferimenti interni all’UE fossero necessari affinché i desti-natari potessero esercitare legittimamente le proprie funzioni. Riguardo ai trasferimen-ti alle terze partrasferimen-ti, mentre il GEPD era soddisfatto che tali trasferimentrasferimen-ti fossero statrasferimen-ti effettuati in conformità all’articolo 8, egli ha riscontrato che il trasferimento ad un servizio di consulenza per i media (contattato per occuparsi della possibile copertura dell’indagine da parte della stampa) era eccessivo in vista delle funzioni svolte da tale destinatario. Il GEPD ha pertanto concluso che tale trasferimento di dati violava il principio di qualità dei dati e che l’organismo dell’UE rilevante aveva pertanto violato l’articolo 4, paragrafo 1, lettera c).
In due casi, il GEPD ha contribuito a una soluzione informale tra l’autore del reclamo e l’istituzione interessata e non è stato firmato alcun accordo.
2.4.5. Ulteriore lavoro nell’ambito dei reclami
L’adozione del manuale interno per la gestione del reclamo nel dicembre 2009 ha agevolato la revisione delle pagine pertinenti del sito Internet del GEPD. La nuova pagina descrive gli elementi principali della procedura ed include un formulario scaricabile per la presentazione dei reclami, insieme alle informazioni sull’ammissibilità. Tali informazioni sono state rese disponibili sul sito Internet del GEPD all’inizio del 2010 ed aiutano i potenziali autori dei reclami a presentare un reclamo. Si prevede di limi-tare il numero di reclami chiaramente inammissibili e di fornire al GEPD informazioni più complete e rilevanti che consentano una gestione più effi-ciente del reclamo. Si auspica l’introduzione di una versione interattiva del modulo per i reclami, che consenta agli utenti di completarlo sullo schermo e quindi di inviarlo automaticamente al GEPD.
2.5. Monitoraggio della con-formità
Il GEPD ha la responsabilità di monitorare ed assicurare l’applicazione del regolamento (CE) n. 45/2001 (articolo 41, paragrafo 2, del regolamento). In particolare, il monitoraggio è stato effettuato tramite un rapporto informativo intitolato «Primavera 2009». Questo rapporto informativo è stata la continuazione di
un’iniziativa simile («Primavera 2007») e ha assunto la forma di lettere ai direttori delle istituzioni e degli organismi dell’UE per richiedere aggiornamenti sui progressi realizzati in certi campi. Oltre a questo monitoraggio generale, sono state condotte indagini su alcuni organismi ed istituzioni per verificare la conformità a questioni specifiche.
2.5.1. Rapporto informativo
«Primavera 2009»
In seguito al rapporto informativo, il GEPD ha emesso una seconda relazione generale per misu-rare il progresso realizzato nell’attuazione delle norme e principi in materia di protezione dei dati da parte delle istituzioni e degli organismi dell’UE.
La relazione mostra che, in generale, le istituzioni dell’UE hanno realizzato buoni progressi nel confor-marsi alle disposizioni in materia di protezione dei dati, nonostante presso le agenzie sia stato osser-vato un livello di conformità minore.
Principali risultati presso le istituzioni
• Inventario delle operazioni di trattamento: il GEPD è soddisfatto che tutte le istituzioni tranne una hanno redatto un inventario delle operazioni di trattamento che coinvolgono dati personali, il che consente un approccio più sistematico all’implementazione.
• Notificazione delle operazioni di trattamento dai responsabili del trattamento dei dati ai responsabili della protezione dei dati: il GEPD osserva un aumento nel numero di istitu-zioni che hanno completato il processo. Entro la fine del 2008, almeno sei istituzioni hanno potuto affermare che tutte le operazioni di trat-tamento dei dati erano state notificate al responsabile della protezione dei dati, rispetto a due sole istituzioni all’inizio del 2008.
• Notificazione delle operazioni di trattamento al GEPD per il controllo preventivo: finora, solo due istituzioni sono riuscite a notificare tutte le operazioni di trattamento esistenti al GEPD per il controllo preventivo. Tuttavia, la maggior parte delle istituzioni ha indicato che tutte le operazioni di trattamento identificate sarebbero state notificate al GEPD entro la fine del 2009.