Home
Direttore Gianluigi Ciacci
Il primo organo di informazione giuridica su Internet per gli operatori del diritto
Redazione | Scrivi a Jei | Per rimanere informati

Infogiuridica

23-11-2009

Il 31° Vertice mondiale dei Garanti della privacy approva a Madrid gli standard internazionali per la protezione dei dati personali

Dott.ssa Chiara Civitelli -

Dal  4 al 6 Novembre 2009, si è svolto a Madrid il Vertice mondiale dei Garanti della privacy. Le Autoritá per la protezione dei dati personali di 50 paesi, esperti provenienti da tutto il mondo e rappresentanti dell’industria tecnologica e digitale si sono riuniti nel Palacio de Congresos di Madrid per celebrare la 31ª conferenza internazionale della privacy e delle Autoritá per la protezione dei dati personali.
Nell’ambito della menzionata conferenza é stato approvato un documento, denominato “Resolución de Madrid”, che raccoglie gli standard internazionali in materia di privacy.
In questo modo si é data risposta all’esigenza espressa dalle Autoritá  nella precedente 30ª Conferenza della privacy, celebrata a Strasburgo nel 2008, circa la necessitá di adottare una disciplina comune che garantisse una regolazione globale della privacy in un mondo ormai senza frontiere a causa dell’avvento di Internet[1].
La “Resolución de Madrid” é  frutto di una proposta elaborata dalle Autoritá di 50 paesi[2], coordinate dalla Agencia Española de Protección de Datos (AEPD) ed  ha l’obiettivo di plasmare le legislazioni di cinque continenti in materia di protezione dei dati personali al fine di indicare regole comuni per tutto il pianeta.
Detti standard internazionali rappresentano il minimo legale della protezione dei dati personali che dovrebbe essere rispettato in ogni Stato. Rappresentano inoltre un punto di riferimento per quei paesi che sono privi di una regolazione in materia o per l’industria e le organizazioni internazionali.
Tuttavia il documento non ha forza vincolante diretta su scala internazionale anche se potrebbe diventare un importante strumento di soft law soprattutto avuto riguardo alle imprese multinazionali.
In questo senso, la stessa “Resolución de Madrid”, affida alla Agencia Española de Protección de datos, organizzatrice della 31° Conferenza,  e all’Autoritá per la protezione dei dati personali incaricata di organizzare il prossimo vertice mondiale dei garanti della privacy, il compito di coordinare la diffusione e promozione di tali standard tra esperti, enti privati, pubblici ed internazionali per l’elaborazione su tali basi di una Convenzione Universale vincolante in materia di protezione dei dati personali.
La proposta degli standard internazionali definisce, in primo luogo, un insieme di diritti e di principi che garantiscono la riservatezza di qualsiasi cittadino e che facilitano il flusso internazionale di dati, ormai necessario in un modo globalizzato.
Tra i principi comuni a tutti gli ordinamenti gliuridici che offrono una regolazione in materia di protezione dei dati personali, la proposta di standard internazionali individua:
 

  • Principle of lawfulness and fairness[3]: Personal data must be fairly processed, respecting the applicable national legislation as well as the rights and freedoms of individuals as set out in this Document and in conformity with the purposes and principles of the Universal Declaration of Human Rights and the International Covenant on Civil and Political Rights. In particular, any processing of personal data that gives rise to unlawful or arbitrary discrimination against the data subject shall be deemed unfair.
  • Purpose specification principle[4]: The processing of personal data should be limited to the fulfilment of the specific, explicit and legitimate purposes of the responsible person. The responsible person should not carry out any processing that is non-compatible with the purposes for which personal data were collected, unless he has the unambiguous consent of the data subject.
  • Proportionality principle[5]: The processing of personal data should be limited to such processing as is adequate, relevant and not excessive in relation to the purposes set out in the previous section. In particular, the responsible person should make reasonable efforts to limit the processed personal data to the minimum necessary.
  • Data quality principle[6]: The responsible person should at all times ensure that personal data are accurate, as well as sufficient and kept up to date in such a way as to fulfil the purposes for which they are processed. The responsible person shall limit the period of retention of the processed personal data to the minimum necessary. Thus, when personal data are no longer necessary to fulfil the purposes which legitimized their processing they must be deleted or rendered anonymous.
  • Openness principle[7]: 1.Every responsible person shall have transparent policies with regard to the processing of personal data. 2.The responsible person shall provide to the data subjects, as a minimum, information about the responsible person’s identity, the intended purpose of processing, the recipients to whom their personal data will be disclosed and how data subjects may exercise the rights provided in this Document, as well as any further information necessary to guarantee fair processing of such personal data. 3.When personal data have been collected directly from the data subject, the information must be provided at the time of collection, unless it has already been provided. 4.When personal data have not been collected directly from the data subject, the responsible person must also inform him/her about the source of personal data. This information must be given within a reasonable period of time, but may be replaced by alternative measures if compliance is impossible or would involve a disproportionate effort by the responsible person. 5. Any information to be furnished to the data subject must be provided in an intelligible form, using a clear and plain language, in particular for any processing addressed specifically to minors. 6. Where personal data are collected on line by means of electronic communications networks, the obligations set out in the first and second paragraphs of this section may be satisfied by posting privacy policies that are easy to access and identify and include all the information mentioned above.
  • Accountability principle[8]: The responsible person shall: a. Take all the necessary measures to observe the principles and obligations set out in this Document and in the applicable national legislation, and b. have the necessary internal mechanisms in place for demonstrating such observance both to data subjects and to the supervisory authorities in the exercise of their powers, as established in section 23.

La Proposta prevede inoltre una definizione di dati sensibili e limita il trasferimento internazionale di dati personali agli Stati che offrano il livello di protezione minimo espresso nel documento o che garantiscano tale livello di protezione mediante clausole contrattuali appropiate.
Altro capitolo rilevante della proposta di standard internazionali è quello riferito alle misure pro-attive. Tali misure hanno l’obbiettivo di promuovere una migliore applicazione della legislazione in materia di protezione dei dati personali  attraverso procedimenti diretti a prevenire le infrazioni o la realizzazione periodica di campagne di sensibilizzazione, educazione e formazione.
In vista dell’approvazione della proposta di standard internazionali, un gruppo di 10 grandi imprese (Oracle, Walt Disney, Accenture, Microsoft, Google, Intel, Procter & Gamble, General Electric, IBM y Hewlett-Packard) aveva firmato anteriormente una dichiarazione[9] nella quale si esprime il supporto all’iniziativa adottata dalle Autoritá per la protezione dei dati personali. Nella dichiarazione si esprime inoltre la volontá di collaborazione allo sviluppo di sistemi trasparenti che permettano l’assunzione di responsabilitá e che offrano una informazione adeguata al cittadino in modo da consegnargli un maggiore potere di decisione.

---------------------------

[1] Si tratta del documento approvato il 17 Ottobre 2008 a Strasburgo dal titolo“Draft resolution on the urgent need for protecting privacy in a borderless world, and for reaching a Joint Proposal for setting International Standards on Privacy and Personal Data Protection” , disponibile all’indirizzo http://www.privacyconference2009.org/privacyconf2009/dpas_space/space_reserved/documentos_adoptados/common/proposal_international_standards_en.pdf

[2] “AUTHORITIES BELONGING TO THE WORKING GROUP: CDATA PROTECTION COMMISSION (Austria),PRIVACY PROTECTION COMMISSION (Belgium),, COMMISSION ON COMPUTERS AND LIBERTIES (Burkina-Fasso),,OFFICE OF THE PRIVACY COMMISSIONER OF CANADA, INFORMATION ACCESS COMMISSION OF QUEBEC (Canada), OFFICE FOR PERSONAL DATA PROTECTION (Czech Republic), EUROPEAN DATA PROTECTION SUPERVISOR, NATIONAL COMMISSION ON COMPUTERS AND LIBERTIES (France),FEDERAL DATA PROTECTION COMMISSIONER (Germany), DATA PRO TECTION AND FREEDOM OF INFORMATION COMMISSIONER OF BERLIN (Germany), DATA PROTECTION COMMISSIONER OF SCHLESWIG-HOLSTEIN (Germany),  PRIVACY COMMISSIONER FOR PERSONAL DATA (Hong Kong), IRISH DATA PROTECTION COMMISSIONER, ITALIAN DATA PROTECTION AUTHORITY, DATA PROTECTION COMMISSION (Netherlands), NEW ZEALAND PRIVACY COMMISSIONER, NATIONAL DATA PROTECTION COMMISSION (Portugal), INFORMATION COMMISSIONER OF THE REPUBLIC OF SLOVENIA, SPANISH DATA
PROTECTION AGENCY (Spain), CATALAN DATA PROTECTION AUTHORITY (Spain), DATA PROTECTION AGENCY OF MADRID (Spain), BASQUE DATA PROTECTION AGENCY (Spain), FEDERAL DATA PROTECTION COMMISSIONER (Switzerland), INFORMATION COMMISSIONER’S OFFICE (United Kingdom)” Estratto dalla Resoluciòn de Madrid, disponibile all’indirizzo http://www.privacyconference2009.org/privacyconf2009/dpas_space/space_reserved/documentos_adoptados/common/2009_MADRID/estandares_resolucion_madrid_en.pdf?privsession=ffede33202cd8fd7a619a162d69a8205

[3] Principio di liceitá e correttezza : il trattamento dei dati personali deve essere realizzato nel rispetto della buona fede, della legislazione nazionale applicabile, della Dichiarazione universale dei diritti umani e del Patto internazionale sui diritti  civili e politici. Si considera contrario alla correttezza  il trattamento che da luogo ad una discriminazione arbitraria o ingiusta a danno dell’interessato.

[4] Principio di finalitá: il trattamento dei dati personali deve essere limitato alla finalitá determinata, esplicita e lecita perseguita dal responsabile del trattamento. Il Responsabile non dovrá effettuare trattamenti non compatibili con le finalitá per le quali i dati sono stati raccolti a meno che sussista  il consenso inequivocabile dell’interessato.

[5] Principio di proporzionalitá: il trattamento dei dati personali è limitato ai dati che risultino adeguati, rilevanti e non eccessivi in relazione al perseguimento della finalità dello stesso. In particolare Il responsabile dovrá realizzare uno sforzo ragionevole per limitare Il trattamento dei dati personali al mínimo necessário.

[6] Principio della qualitá dei dati: Il responsabile del trattamento deve garantire che i dati siano esatti, integri ed aggiornati in relazione con le finalitá perseguite. Il responsabile dovrá limitare il periodo di conservazione dei  dati personali trattati al minimo necessario. In questo modo,  quando i dati di carattere personali non siano piú necessari al perseguimento delle finalitá che legittimarono il loro trattamento,  dovranno essrere cancellati o convertiti in anonimi.

[7] Principio della trasparenza: 1.Tutti i responsabili devono adottare politiche trasparenti  riguardo al trattamento dei dati personali che realizzano.2. il responsabile dovrá facilitare agli interessati  informazioni riguardanti la sua identitá, le finalitá del trattamento, l’identitá dei destinatari a cui i dati saranno ceduti, le modalitá di esercizio dei diritti contenuti nel presente documento e qualsiasi altra informazione necessaria a garantire un trattamento conforme al principio di correttezza. 3. Quando i dati di carattere personale sono stati ottenuti direttamente dall’interessato, l’informazione dovrá essere rilasciata al momento della raccolta, salvo che fosse stata rilasciata anteriormente. 4. Quando i dati personali non siano stati ottenuti direttamente dall’interessato l’informativa dovrá essere rilasciata entro un prudente termine di tempo, benché potrebbe essere sostiuita da misure alternative quando l’adempimento risulti impossibile o richeda uno sforzo sporporzionato per il responsabile del trattamento. 5. Qualsiasi informazione rilasciata all’interessato deve essere presentata in una forma intelleggibile ed in un linguaggio chiaro e semplice, soprattutto per quei trattamenti rivolti ai minori d’etá. 6. Quando i dati di carattere personale siano raccolti online attraverso reti di comunicazione elettronica, le obbligazioni stabilite dal presente principio possono essere adempiute attraverso la pubblicazione di privacy policy  facilmente accessibili ed identificabili e che includano tutti gli estremi previsti anteriormente.

[8] Principio di responsabilitá: La persona responsabile dovrá: a) adottare le misure necessarie al rispetto ed adempimento dei principi e obbligazioni stabilite nel presente documento e nella legislazione nazionale applicabile, e b) dotarsi dei meccanismi necessari a facilitare il controllo di tale adempimento, sia nei confronti degli interessati, sia davanti alle Autoritá di supervisione nell’esercizio delle proprie competenze, in conformitá al punto 23.
 
INFOGIURIDICA
 
NOVITA'
GIURISPRUDENZIALI
APPROFONDIMENTI
GIURIDICI
NOVITA'
EDITORIALI
INFORMAZIONE
PARLAMENTARE

ARCHIVIO di Jei


INFOGIURIDICA
Visualizza le notizie di Infogiuridica del mese di:

settemnbre 2010
agosto 2010
luglio 2010
giugno 2010

Cerca nell'archivio delle notizie di Infogiuridica


Cerca in Jei



Ricerca avanzata
Copyright © 1996/2008 Associazione G.E.I. v. di S. Costanza 7 00198 Roma Cod. Fisc. e P. IVA: 05199931006
 
Home