Camera dei deputati

Torna all'elenco delle indagini Torna all'elenco delle sedute Commissione I 18.
Mercoledì 30 marzo 2011 INDICE

Sulla pubblicità dei lavori:

Bruno Donato, Presidente ... 3

INDAGINE CONOSCITIVA SULLE AUTORITÀ AMMINISTRATIVE INDIPENDENTI

Audizione del Garante europeo per la protezione dei dati, Peter Hustinx:

Bruno Donato, Presidente ... 3 9 10 12
Hustinx Peter, Garante europeo per la protezione dei dati ... 3 10
Lorenzin Beatrice (PdL) ... 10
Tassone Mario (UdC) ... 9
Zaccaria Roberto (PD) ... 9
Sigle dei gruppi parlamentari: Popolo della Libertà: PdL; Partito Democratico: PD; Lega Nord Padania: LNP; Unione di Centro: UdC; Futuro e Libertà per l’Italia: FLI; Italia dei Valori: IdV; Iniziativa Responsabile (Noi Sud-Libertà ed Autonomia, Popolari d'Italia Domani-PID, Movimento di Responsabilità Nazionale-MRN, Azione Popolare, Alleanza di Centro-AdC, La Discussione): IR; Misto: Misto; Misto-Alleanza per l'Italia: Misto-ApI; Misto-Movimento per le Autonomie-Alleati per il Sud: Misto-MpA-Sud; Misto-Liberal Democratici-MAIE: Misto-LD-MAIE; Misto-Minoranze linguistiche: Misto-Min.ling.

COMMISSIONE I
AFFARI COSTITUZIONALI, DELLA PRESIDENZA DEL CONSIGLIO E INTERNI

Resoconto stenografico

INDAGINE CONOSCITIVA

---

Seduta di mercoledì 30 marzo 2011

---

Pag. 3

---

PRESIDENZA DEL PRESIDENTE
DONATO BRUNO

La seduta comincia alle 14,10.

(La Commissione approva il processo verbale della seduta precedente).

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso l'attivazione di impianti audiovisivi a circuito chiuso, la trasmissione televisiva sul canale satellitare della Camera dei deputati e la trasmissione diretta sulla web-tv della Camera dei deputati.

Audizione del Garante europeo per la protezione dei dati, Peter Hustinx.

PRESIDENTE. L'ordine del giorno reca, nell'ambito dell'indagine conoscitiva sulle autorità amministrative indipendenti, l'audizione del Garante europeo per la protezione dei dati, Peter Hustinx.
Prima di tutto ringrazio, anche a nome della Commissione, il signor Hustinx per aver accettato il nostro invito.
La missione generale del Garante europeo per la protezione dei dati è quella di assicurare che i diritti fondamentali e le libertà individuali, con particolare riferimento al diritto alla privacy, siano rispettati dalle istituzioni e dagli organi europei sia nel trattamento dei dati personali che nello sviluppo di nuove politiche. Peter Hustinx ricopre la carica di garante dal 2004 e con la sua lunga esperienza darà sicuramente un notevole contributo alla nostra indagine.
Ricordo, infatti, che il programma dell'indagine conoscitiva prevede anche l'esame del fondamento comunitario dell'istituzione di autorità nazionali e del rapporto tra queste e l'Unione europea. Ci avviamo alla fine della nostra indagine, dopo aver approfondito, con l'audizione, tra l'altro, dei Presidenti delle Autorità indipendenti nazionali e del Primo Presidente della Corte di cassazione, il versante nazionale delle tematiche relative alle autorità amministrative indipendenti, credo, quindi, sia di grande utilità, anche per il nostro futuro lavoro legislativo, l'approfondimento del versante europeo.
Do senz'altro la parola al nostro ospite.

PETER HUSTINX, Garante europeo per la protezione dei dati. Innanzitutto, desidero ringraziarvi dell'invito in seno a questa Commissione. Mi scuso di non poter esporre la mia presentazione in italiano: parlo la vostra lingua a un livello troppo elementare, quindi in maniera non sufficiente per questo incontro.
Come garante europeo per la tutela dei dati ho delle competenze in relazione alle quali interagisco con il Consiglio, con la Commissione e con il Parlamento europeo. Comunque, sono stato già audito anche da diverse commissioni parlamentari nazionali, quindi è un piacere per me essere a Roma.
So che state conducendo un'indagine conoscitiva sulle autorità amministrative indipendenti, vale a dire organi autonomi e indipendenti appunto, dal Governo, il cui funzionamento non rientra nelle responsabilità piene del Governo. Ora, io non ho esperienze né competenze in questa materia, soprattutto per quanto riguarda la situazione italiana, e non voglio riferirmi a questioni nazionali. Ho, però, una prospettiva particolare che desidero esporre.

---

Pag. 4

---

Del resto, credo mi abbiate invitato per questo.
Ai sensi della legge europea, un'autorità per la tutela dei dati va istituita in ogni Stato membro dell'Unione europea. Il Garante Europeo della Protezione dei Dati (EDPS, European Data Protection Supervisor) è anch'esso un'autorità indipendente a livello europeo: non fa parte della Commissione, né del Consiglio, né del Parlamento, ma interagisce con ognuna di queste istituzioni. Il mio ruolo, quindi, è di vigilare (ed eventualmente applicare le regole) in materia di tutela dei dati sui governi, sulla Commissione, sulle altre istituzioni e gli altri organi, fornendo pareri sulle nuove normative e collaborando anche con le autorità nazionali, incluso il Garante italiano e altri organi che si occupano di tutela dei dati secondo l'ex Terzo Pilastro.
Nel mio intervento farò riferimento alla direttiva 1995/46/CE, che è il documento basilare per la tutela dei dati, il cui articolo 28 rimanda, appunto, all'istituzione di queste autorità, prevedendo che debbano agire in maniera completamente indipendente. Inoltre citerò la Carta europea per i diritti fondamentali, un documento abbastanza recente, il cui articolo 8 si riferisce anch'esso alla tutela dei dati, evidenziando il ruolo di un ente indipendente di vigilanza. Abbiamo, poi, l'articolo 16 del Trattato sul funzionamento dell'Unione europea. Entrambi i documenti sono introdotti nel Trattato di Lisbona. Vorrei, infine, discutere un caso abbastanza recente deciso dalla Corte europea di giustizia nel marzo del 2010 - il caso C-518/07 - che riguarda la Commissione contro la Germania.
Prima di parlare di questo, vorrei richiamare qualche informazione riguardo all'istituzione delle autorità per la tutela dei dati, per poi affrontare la questione più in generale, se ci sarà tempo. Mi rendo conto, infatti, che avete poco tempo a disposizione, pertanto cercherò di abbreviare questa parte della mia presentazione.
Tutto è iniziato negli anni Settanta del secolo scorso, quando il Consiglio d'Europa, pensando all'impatto del diritto alla privacy in una società in cui le tecnologie dell'informazione avrebbero rappresentato un elemento dominante, ha stabilito che il diritto alla privacy previsto dall'articolo 8 della Convenzione europea dei diritti umani era insufficiente e carente in alcuni punti. Per esempio, l'espressione «vita privata o personale» era piuttosto vaga e ambigua; inoltre, si parlava di tutela solo nei confronti delle autorità pubbliche, senza comprendere il settore privato. Insomma, l'impostazione era negativa e difensiva in quanto mancava un approccio più strutturale e propositivo. Pertanto, si è adottata una Convenzione - la n. 108 del 1980 - sulla tutela dei dati, che rappresenta ancora la pietra angolare di questa materia. Tale Convenzione ha interessato oltre 40 degli Stati membri del Consiglio d'Europa, inclusi tutti gli stati membri dell'Unione europea.
Solo in seguito, c'è stata un'integrazione e un chiarimento da parte dell'Unione Europea, dal punto di vista non dei diritti fondamentali, bensì del mercato interno. Difatti, la Commissione europea era preoccupata che il modo in cui venivano elaborate le normative nazionali potesse creare problemi al libero flusso delle informazioni in Europa. Sia chiaro, quindi, che la direttiva europea degli anni Novanta era uno strumento per l'armonizzazione del mercato interno.
Gradualmente, poi, l'ambito di questa materia si è esteso così tanto che ha avuto uno sviluppo orizzontale. In questo contesto, la Carta dei diritti fondamentali adottata a Nizza nel 2000 ha rappresentato una dichiarazione importante della rilevanza di questa materia. Infatti, in questa Carta si è parlato del diritto alla tutela dei dati insieme al diritto alla privacy e l'Autorità per la tutela dei dati si è vista assegnare un ruolo molto significativo. Di conseguenza, quasi tutti gli Stati membri hanno cercato di garantire un'efficace protezione dei dati, specificati sia nella direttiva del 1995 sia nella Carta, dove hanno assunto, appunto, un ruolo veramente centrale.
Questo aspetto è importantissimo perché inizialmente la Carta era un documento politico; solo successivamente è

---

Pag. 5

---

stata resa vincolante dal Trattato di Lisbona, che l'ha recepita interamente, per gli organi europei e per gli Stati membri quando agiscono nell'ambito della normativa europea. Oltre a questo, il Trattato di Lisbona ha anche introdotto una disposizione generale sulla tutela dei dati nel Trattato sul funzionamento dell'Unione europea (che è il nuovo nome del Trattato dalla Comunità europea).
Quindi, la tutela dei dati fa parte dei principi generali dell'Unione europea ed è sancita dall'articolo 16, che inizia con una ripetizione dell'essenza del concetto di diritto alla tutela dei dati e continua con un'esposizione giuridica in cui si evincono le regole applicate in questa materia a livello sia europeo che nazionale. Probabilmente, questa sarà la base per la revisione corrente e continua del quadro normativo di cui parlerò in seguito. Nell'articolo 16 vi è anche una dichiarazione evidente dell'importanza della vigilanza indipendente.
Vorrei ora parlare dei dettagli del caso giudicato nel marzo del 2010 dalla Corte europea di giustizia. Come dicevo, si tratta del caso C-518/07 che ha visto la Commissione europea contro la Repubblica federale tedesca. Nell'ambito del mio mandato ho la possibilità di essere parte interessata in un caso portato davanti alla Corte di giustizia e, siccome nel caso in esame sono state sollevate questioni importanti ed essenziali, ho deciso di intervenire. La Corte ha acconsentito alla mia costituzione quale parte in causa in questo procedimento, a favore della Commissione, come vedrete nel testo della decisione, per via dello stretto collegamento con il regolamento n. 45 del 2001, che stabilisce il mio mandato e che prevede, tra le altre cose, che l'Autorità per la protezione dei dati sia un'istituzione completamente indipendente.
Il controllo in Germania è organizzato in modo diverso rispetto alla gran parte degli Stati membri. Infatti, la Germania ha un ente di supervisione a livello federale, con delle authority nei vari Länder. Si ha, inoltre, una distinzione tra il settore privato e quello pubblico. Nel settore privato le autorità di controllo sono diversificate; in molti casi queste attività sono svolte da un ministero del Land. È sempre prevista, comunque, la possibilità che il governo del Land eserciti un controllo sulle decisioni, per cui si può giungere al loro adeguamento e, in alcuni casi, alla sostituzione delle decisioni stesse. La Commissione ha deciso di portare in giudizio la Germania perché riteneva che il requisito dell'indipendenza completa stabilito nell'articolo 28.1 della direttiva dovesse essere inteso nel senso che nessuna influenza esterna poteva essere accettabile. Invece, secondo una posizione tenuta fin dall'inizio, la Germania aveva sempre ritenuto che l'indipendenza degli enti di supervisione riguardasse le influenze esterne, ma non il Governo perché si pensava che le autorità fossero parte della struttura di governo. La questione era, dunque, se l'influenza del governo centrale e dei governi dei Länder sulle authority per la tutela dei dati fosse o meno accettabile.
La Corte si è pronunciata in favore dell'interpretazione più ampia - quella della Commissione - affermando che, in mancanza di una definizione chiara nella direttiva, occorreva interpretare i provvedimenti. Ha, quindi, esaminato il testo e le finalità della direttiva, unitamente alla struttura complessiva della normativa sulla tutela dei dati in Europa. Vediamo i dettagli del provvedimento.
Innanzitutto - ha spiegato la Corte - il termine «indipendenza» di solito si riferisce a uno status che garantisce all'ente interessato la possibilità di agire sempre liberamente, senza dover seguire istruzioni e senza dover subire delle pressioni esterne. Non vi è indicazione del fatto che sia in discussione solo il rapporto tra l'autorità e il soggetto vigilato. Anzi, parlando di completa indipendenza si intende un potere decisionale che prescinde da qualunque influenza diretta o indiretta sull'autorità di vigilanza. Questo è confermato dall'obiettivo della direttiva, che era quello di armonizzare le regole e garantire un libero flusso di dati, trovando altresì il giusto equilibrio con i principi in materia di diritto alla privacy poiché in quell'ambito

---

Pag. 6

---

poteva emergere un conflitto. Trattandosi di diritti fondamentali, l'intenzione era quella di garantire un alto livello di protezione in tutta l'Unione europea; difatti, le autorità di tutela dei dati sono indicate come custodi di questi diritti e libertà, divenendo un elemento fondamentale della tutela stessa. La Corte ha spiegato, dunque, che il loro compito è di garantire un giusto equilibrio tra gli interessi delle parti. In altri termini, il loro ruolo non è di arrivare a degli estremi, bensì di trovare un giusto equilibrio tra gli interessi. Naturalmente, per questo, occorreva una collaborazione tra le authority di tutela dei dati operanti in tutti gli Stati membri; bisognava, quindi, trovare il giusto equilibrio congiuntamente.
D'altra parte, l'indipendenza non è uno status che viene concesso, ma viene accordata proprio nell'ottica di garantire l'efficacia e l'affidabilità dell'ente di supervisione al fine di consentirgli di raggiungere il giusto equilibrio. Tutto ciò si stabilisce, appunto, per rafforzare il concetto di tutela dei dati. Pertanto, un'authority deve agire in modo obiettivo e imparziale, non deve subire influssi esterni, né influenze dirette o indirette da parte dello Stato.
Come credo sia chiaro, la conclusione è stata che la Corte, dopo aver esaminato la struttura della normativa a livello europeo e fatto un raffronto tra la direttiva e il regolamento che definisce l'attività del mio ufficio, ha stabilito che l'authority europea per la tutela dei dati ha una disciplina che si fonda su questi concetti, per cui, essendo indipendente, non deve né ricercare né accettare - si sottolineano questi due verbi - indicazioni o istruzioni da parte di alcuno.
La direttiva va, perciò, interpretata in modo omogeneo da tutti. L'elemento aggiuntivo - ovvero quello di non ricercare né accettare istruzioni - deve essere letto sulla base del testo dell'articolo 28.1. Di conseguenza, l'authority deve essere libera e non deve subire nessuna influenza diretta o indiretta che possa mettere in discussione lo svolgimento della funzione volta a creare il «giusto equilibrio» tra la tutela della privacy e la libera circolazione dei dati.
Quindi il punto era quello di stabilire se la situazione tedesca era in linea con quanto appena illustrato e ci si poteva attendere una risposta negativa. Ciò nonostante, la Corte ha affermato che, forse, non era quella la finalità dell'accordo raggiunto in Germania, ovvero non vi era intenzione di influenzare l'authority, bensì semplicemente di garantire procedure efficaci e ordinate, oltre a una spesa oculata del denaro pubblico.
Tuttavia esiste la possibilità che, in virtù di questo, l'authority per la tutela dei dati non agisca in modo oggettivo. A questo punto la Corte elenca nel dettaglio quali altri obiettivi possa avere un governo per esercitare la propria influenza: vi può essere un interesse in gioco, una partnership tra pubblico e privato oppure il desiderio di favorire una particolare impresa. Nella decisione si entra, quindi, veramente nel dettaglio per cercare di spiegare perché è così importante l'indipendenza di queste autorità. La Corte afferma, inoltre, che il semplice rischio di un'influenza politica è sufficiente per ostacolare l'indipendenza, cosa che può portare a quella che noi chiamiamo «compliance pregressa», per cui l'authority giunge ad un accordo a priori solo per evitare dei problemi e ciò, naturalmente, potrebbe far nascere il sospetto di una mancata imparzialità.
La conclusione è stata che la situazione in Germania non è in linea con il concetto di «indipendenza completa». Il Governo tedesco aveva sostenuto la tesi secondo la quale questo approccio non rispondeva ai principi del diritto comunitario, alcuni dei quali evidenziati nella stessa decisione: il primo di essi era quello della democrazia. La Corte, a sua volta, ha risposto che il principio della democrazia è anch'esso comune a tutti gli Stati membri ed è stabilito espressamente nell'articolo 6 del Trattato dell'Unione europea. Normalmente, esso prevede che l'amministrazione sia sottoposta alle indicazioni del Governo che, in questo modo, può riferire al

---

Pag. 7

---

Parlamento ed essere ritenuto responsabile, ma - continua la Corte - questo non preclude una fattispecie come quella prevista dalla direttiva.
Il concetto è così importante che desidero riportare ciò che ha scritto la Corte in proposito, essendo sicuramente utile per le vostre deliberazioni.
Il principio della democrazia non preclude l'esistenza di autorità pubbliche al di fuori di un'amministrazione gerarchica tradizionale e più o meno indipendenti dal Governo. L'esistenza e le regole di operatività di queste authority negli Stati membri sono disciplinate dalla legge - in alcuni Stati addirittura dalla Costituzione - per cui esse devono osservare la legge, fatta salva la revisione da parte dei tribunali competenti. Autorità amministrative indipendenti di questo genere sono esistite nel sistema giudiziario tedesco - questo è un riferimento molto interessante - e hanno competenze normative e funzioni che devono essere libere da un'influenza politica pur dovendo comunque conformarsi alla legge, fatta salva la revisione da parte dei tribunali competenti. Questo vale, quindi, per le authority per la tutela dei dati.
L'assenza di qualunque influenza parlamentare su queste autorità sarebbe inconcepibile, ma bisogna precisare che la direttiva 1995/46/CE non fa nessun riferimento a questo aspetto, per cui innanzitutto i componenti dell'autorità di supervisione possono essere nominati dal Parlamento e/o dal Governo. In secondo luogo, il legislatore può stabilire i poteri di queste autorità, così come prevedere l'obbligo che esse riferiscano al Parlamento in merito alle proprie attività. Nella direttiva c'è, infatti, un riferimento ai rapporti annuali. Alla luce di tutto ciò, il fatto che alle autorità di vigilanza responsabili della tutela dei dati personali venga conferito uno status di indipendenza non le priva in alcun modo della loro legittimità democratica.
La Corte passa, poi, a un altro argomento che rappresenta una delle conseguenze di ampia portata del ruolo che svolge l'UE; tutto ciò è in linea con il principio delle competenze di attribuzione? L'Unione europea ha infatti soltanto poteri definiti, per cui non può andare oltre i limiti del mandato che le è stato conferito. La Corte afferma che la base giuridica di questa direttiva è l'armonizzazione per assicurare il buon funzionamento del mercato interno. Secondo questa analisi, queste regole e la creazione di un'autorità indipendente, in questo caso, si sono rese necessarie per assicurare un uguale livello di protezione: tutto ciò è in linea con l'interpretazione più ampia e non vi sono problemi quanto alla base giuridica. Da ultimo: tutto ciò è in linea con principi generali quali quelli della sussidiarietà, della proporzionalità e della collaborazione in buona fede?
Il governo della Germania aveva portato avanti le proprie argomentazioni su questa base. La Corte ha risposto che non eccede quanto necessario per conseguire l'obiettivo del Trattato europeo. Quindi, in conclusione, la Germania non aveva corrisposto a questo obbligo. Mi riferisco ai paragrafi dal 42 al 46, dove trovate tutti i dettagli dell'argomentazione della Corte.
Ai nostri fini, questo caso è estremamente significativo per diversi motivi che vorrei brevemente elencare prima di rispondere alle vostre domande. Innanzitutto, occorre ricordare che la Germania è considerata all'avanguardia nel campo della protezione dei dati e, essendo stato uno dei primi Paesi a occuparsene negli anni Settanta del secolo scorso, ha una lunga esperienza in questa materia. È, poi, uno degli Stati più grandi. Inoltre, la presidenza del Consiglio che ha negoziato la direttiva negli anni Novanta era detenuta proprio dalla Germania. Pertanto, si riuscì a emendare il testo della direttiva per far sì che richiedesse l'indipendenza come requisito non istituzionale bensì funzionale. Infatti, il testo dice che «deve agire con indipendenza completa». Ora, certamente si può discutere se si possa agire con indipendenza assoluta senza essere completamente indipendenti; ad ogni modo, questa era la formulazione tedesca e questo il risultato che pensavano di aver realizzato negli anni Novanta.

---

Pag. 8

---

Tornando alla sentenza, l'analisi della Corte sembra essere piuttosto chiara. Infatti, la decisione è basata - e lo sottolineo - sull'articolo 28, comma 1 di una direttiva, è confermata dall'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e dall'articolo 16 del Trattato sul funzionamento dell'Unione europea. Visto che la Corte ora ha chiarito il significato esatto dell'articolo 28.1, indirettamente ha anche chiarito l'esatto significato dell'articolo 8 della Carta e dell'articolo 16 del Trattato. Per cui decidendo in merito a una direttiva, essa ha anche espresso un parere in merito a quale sia il ruolo primario e fondante dell'UE. Questo, naturalmente, avrà un'influenza molto importante sulla revisione dell'architettura europea in materia di protezione dei dati. Infatti, probabilmente, in futuro, la Commissione presenterà una proposta che immagino porterà a un rafforzamento dell'indipendenza e a una maggiore armonizzazione delle autorità dal punto di vista sia del loro status che dei loro poteri.
Questo riguarda, quindi, la direttiva e le autorità per la protezione dei dati, anche se da questo caso possiamo trarre delle lezioni più generali, soprattutto in relazione ai punti dal 42 al 46 della decisione di cui ho discusso in modo più puntuale. Mi sembra, difatti, notevole che la Corte abbia fatto riferimento all'indipendenza non come status, ma come requisito funzionale per assicurare l'efficacia e una maggiore protezione e abbia fornito dettagliatamente le sue motivazioni per l'interpretazione in questo senso.
Al contempo, si affronta anche un versante della tematica che immagino abbiate già analizzato nella vostra indagine, ovvero l'equilibrio tra il principio della democrazia e la questione dell'indipendenza. Nei paragrafi del verdetto della Corte che ho citato vi sono delle affermazioni che vanno al di là della protezione dei dati in senso stretto, in quanto l'argomentazione sembra essere che il legislatore possa esercitare la propria influenza innanzitutto attraverso la cornice normativa che è soggetta alla propria decisione (quindi il quadro giuridico, l'assegnazione dei poteri, il dovere di rendicontazione e così via). La Corte, poi, fa riferimento anche alla nomina, ragion per cui esistono dei tipi di influenza sul funzionamento delle autorità indipendenti che vengono esercitati a monte. Tuttavia, vi è anche la possibilità e la necessita di un'interazione, di una responsabilità e di una discussione che può prevedere anche osservazioni pubbliche di ordine politico riguardanti la relazione. Questa, però, non viene considerata un'influenza indebita da parte della Corte.
Credo che la legislazione debba fornire dei criteri e una procedura per la nomina dei membri degli organismi indipendenti e, nel caso dell'Autorità per la protezione dei dati, la Corte ha tracciato un'analogia nella sua decisione. Infatti, la struttura dell'istituzione indipendente è completamente separata dalle altre. Ad esempio, io ho un capitolo separato nel bilancio europeo - il capitolo 9 - e i miei servizi sono completamente separati dalle altre istituzioni.
L'Unione ha una propria struttura costituzionale.
Anche i candidati per il ruolo devono rispettare tutti i criteri di indipendenza prima della nomina e devono avere esperienza e competenza in materia, per cui non esiste la possibilità di nominare un soggetto semplicemente per influenzare la politica dell'autorità indipendente. La procedura inizia con un bando di concorso, previsto dall'architettura giuridica europea, per seguire con la preselezione, la pubblicazione di un elenco di candidati probabili e, infine, un'audizione parlamentare. Io sono stato soggetto a questa procedura per due volte e vi assicuro che è piuttosto impegnativa.
Inoltre, esistono altri obblighi, come quello della pubblicità delle decisioni più importanti - io ho pubblicato il mio programma annuale - e della trasparenza dei risultati. È, dunque, prevista un'interazione strutturale trasparente. Abbiamo anche dei contatti informali che, tuttavia, rientrano strettamente all'interno del contesto di una regolamentazione istituzionale. Inoltre, la nostra Authority europea ha

---

Pag. 9

---

una posizione piuttosto importante perché può intervenire presso la Corte di giustizia, sempre che questa lo accetti.
In conclusione, vorrei ribadire che le mie osservazioni si sono concentrate sulle autorità per la protezione dei dati; infatti, ho cercato di mostrare la posizione della protezione dei dati all'interno dell'architettura giuridica europea, che è fondata su motivi specifici che potrei spiegare. Non esiste, però, una base legislativa a livello europeo che consenta alle istituzioni europee di imporre un vincolo di indipendenza alle autorità, che dipende, quindi, dall'ordine costituzionale, normativo e amministrativo dei singoli Paesi. Tuttavia in alcuni ambiti questo requisito potrebbe essere il risultato delle normative riguardati il mercato interno europeo.
Siete certamente consapevoli del dibattito che si è svolto finora sulla protezione dei dati; ebbene, questo dibattito riguarda anche l'indipendenza di altri soggetti, come la Banca centrale, l'autorità per la competizione, l'autorità per le telecomunicazioni, l'autorità per l'energia e così via. Ciò nonostante, l'impostazione non prevede che l'Unione europea possa richiedere espressamente il requisito dell'indipendenza istituzionale se non per l'Autorità della protezione dei dati.
In particolare, per quanto riguarda la protezione dei dati, la parola «indipendente» è utilizzata soltanto due volte nella Carta, una volta in riferimento alla Corte, quindi in contesto giudiziario, e un'altra proprio in relazione all'Autorità per la protezione dei dati, in ragione dell'analogia dell'equilibrio che si applica a entrambi, anche se, ovviamente, l'Autorità non ha lo status di Corte e le sue decisioni sono soggette alla Corte. Tutto ciò, però, non lede i poteri specifici in questo settore, che sono argomento della vostra Commissione.

PRESIDENTE. Ringrazio Peter Hustinx sia per la sua esposizione che per la chiarezza della stessa.
Do la parola ai colleghi che intendono porre quesiti o formulare osservazioni.

MARIO TASSONE. Vorrei chiedere al signor Hustinx una valutazione riguardo ai principi dell'indipendenza e della democrazia, di cui ha parlato, in relazione all'authority. Infatti, in questo ambito, si sono registrati indirizzi e regolamenti delle autorità sia nazionali sia europee in contrasto con le norme esistenti degli Stati membri e anche dell'Unione.
Un'altra considerazione concerne la situazione molto incerta di questa materia poiché alcune norme assicurano certamente la riservatezza, con il limite, però, della sicurezza. Pertanto ritengo che ci siano dei temi e dei problemi che forse non sono stati sufficientemente scandagliati. Anche a tale proposito chiederei una sua valutazione.
Infine, lei ha discusso moltissimo dell'indipendenza. Ecco, riprendendo il suo ragionamento, l'authority è indipendente nei confronti del Parlamento e dell'esecutivo, ma si può parlare anche di un'indipendenza rispetto alle norme scritte?

ROBERTO ZACCARIA. È stato molto interessante ascoltare le considerazioni svolte dal nostro ospite, anche perché in merito alle autorità - pure all'Autorità che opera nel settore specifico della privacy, che in realtà riguarda il trattamento dei dati personali, questa è la denominazione corretta - vi è una diversità di regime normativo che pone e ha posto a questa Commissione l'esigenza di individuare, eventualmente, una normativa quadro. In questo senso, anche il suo intervento sembra confermare la necessità di una normativa quadro, non di una regolamentazione uniforme.
Difatti, esistono alcuni problemi collegati all'indipendenza non solo dell'istituto in sé - che è un elemento importante sul quale si è soffermato il collega Tassone - ma anche dei componenti dell'autorità stessa. Lei ha parlato della sua esperienza delle selezioni attraverso audizioni. Ecco, questo è un elemento di grande importanza che, però, noi non abbiamo nel nostro Paese. I nostri requisiti sono abbastanza labili e indefinibili. Per esempio, la caratteristica della «riconosciuta competenza professionale»

---

Pag. 10

---

è una bella espressione che, però, non vuol dire niente perché non si comprende da chi questa competenza debba essere riconosciuta, oltre che ovviamente da se stessi. Sono, quindi, solo le audizioni a cui lei fa riferimento che permettono di realizzare concretamente un confronto tra esperienze, qualità personali e storie professionali, e che diventano impegnative ai fini del riconoscimento della riconosciuta competenza professionale.
Credo, dunque, che anche da questo incontro con lei abbiamo la conferma della necessità di un raccordo europeo più stretto, che sia inteso non soltanto in termini di esigenza, ma anche di una disciplina quadro, che tenga conto del contributo portato alla Commissione da Peter Hustinx nell'audizione odierna.

BEATRICE LORENZIN. Quella dell'audizione odierna è un'occasione importante per noi anche per approfondire quello che sta accadendo a livello europeo in relazione alla lunga sessione di studio e di analisi del sistema delle autorità in Italia che la Commissione affari costituzionali sta conducendo. A questo proposito, anche a costo di ripetermi, vorrei chiedere qualche chiarificazione a Peter Hustinx.
Lei ha parlato della necessità, anche nel contesto europeo, dell'indipendenza delle autorità rispetto ai singoli Stati membri, quindi ha posto l'attenzione su alcune criticità che si rilevano nelle nomine e nei vincoli posti ad alcune autorità da parte dei singoli Parlamenti o dei Governi. Si è riferito, inoltre, alla difficoltà o all'impossibilità dell'Europa di legiferare in modo armonico e omogeneo in tutti gli Stati, stabilendo dei criteri che valgano per tutti, e questo non soltanto in merito alle autorità per i dati personali. Penso, ad esempio, alle autorità in materia economica, come quelle per la tutela del credito o l'antitrust. Infatti, nel sistema delle authority economiche stiamo andando verso una super autorità centrale europea, con una compressione dei margini di influenza da parte degli Stati membri. Sussiste, dunque, una evoluzione estremamente interessante della materia. Tuttavia, vorremmo capire se si sta affrontando la legislazione delle autorità in generale - non solo in tema della protezione dei dati personali - in modo omogeneo e sistematico o si sta procedendo a macchia di leopardo, a seconda delle materie.
L'altra domanda che voglio fare riprende un problema già evidenziato dall'onorevole Tassone, ovvero quello della compressione dei principi di indipendenza e di autodeterminazione rispetto ai problemi della sicurezza, sempre più crescenti dopo gli attentati dell'11 settembre 2001. In Italia, abbiamo avuto anche un cambio della legislazione nel 2003 che ha comportato alcune modifiche importanti in questo senso. Tuttavia, c'è un altro settore interessante, quello dell'e-commerce, che pone, anche allo stato attuale, dei problemi di disciplina; basti pensare a Google o ai social network che aprono una nuova sfera del trattamento dei dati personali che sembra sfuggire, nelle sue dinamiche, dalla capacità di regolamentazione non soltanto europea, ma anche dei singoli Stati membri.
L'ultima considerazione riguarda la necessità delle selezioni di cui lei ha parlato. È vero, infatti, che esiste un problema nella capacità di individuare l'idoneità dei membri, ma esiste anche la questione dell'indipendenza di chi fa le audizioni. Questa, dunque, sembra un altro rischio da dover dirimere.

PRESIDENTE. Do la parola a Peter Hustinx per la replica.

PETER HUSTINX, Garante europeo per la protezione dei dati. Mi sono state rivolte diverse domande molto interessanti, che mi consentono di rivedere alcuni punti cruciali e di elaborarne di nuovi. Vorrei sottolineare ancora una volta che nelle mie osservazioni mi concentravo sulle autorità competenti in materia di protezione dei dati perché è in quell'ambito che esistono dei requisiti particolari. Ciò nonostante, ho cercato di essere utile e di offrire una panoramica orizzontale, che abbracciasse anche altri settori.

---

Pag. 11

---

L'Unione europea si basa sul principio della ripartizione di competenze, pertanto essa può fare solo ciò che le viene concesso. Vi sono, però, dei principi generali che potrebbero portare a delle tutele particolari, quindi, forse, in questo settore l'Unione potrebbe avere un certo impatto. In ogni caso, all'Unione europea non è attribuito il potere generico di richiedere agli Stati membri la costituzione di autorità indipendenti; pertanto sono le istituzioni nazionali a dover decidere se sussistano gli elementi che giustifichino un'armonizzazione, vale a dire un quadro orizzontale comune a varie autorità indipendenti. Tra un momento ritorneremo su questo, passiamo ora alle questioni principali.
Voglio ribadire che nel caso della Commissione contro la Germania, la Corte ha evidenziato molto attentamente gli strumenti del Parlamento rispetto all'autorità indipendente. Un Parlamento può co-determinare il quadro giuridico, svolgere un ruolo nel processo delle nomine e garantire che un'autorità indipendente sia veramente responsabile. Un'influenza esterna diretta, però, non è accettabile.
In un sistema di questo genere esiste, ovviamente, un dibattito e ci possono essere delle divergenze. Ciò significa che se un Parlamento (o le due Camere di un Parlamento, dipende dal sistema) assume delle decisioni in merito al ruolo, non è l'Autorità per la protezione dei dati che decide; infatti, un'authority decide in relazione a un caso particolare e in caso di ricorso in appello ci si rivolge ai tribunali; se alle istituzioni politiche non piace il risultato, esse decidono in base alla legge. Tuttavia, la legge è soggetta anche agli obblighi inerenti al diritto alla privacy, ai sensi della Convenzione europea dei diritti umani. Quindi, come vedete, non è semplicemente una questione di maggioranza, ma di un'ingerenza nella privacy, e questo è pertinente quando parliamo dell'equilibrio tra sicurezza e privacy. Esistono criteri molto stringenti, con diversi casi in relazione ai quali la Corte di Strasburgo, e da alcuni anni anche quella di Lussemburgo, hanno stabilito ciò che è accettabile e ciò che non lo è. A questo proposito, il Regno Unito è stato criticato più volte per aver superato la linea della proporzionalità. E lo stesso vale per altri Stati membri.
Il fatto che vi siano divergenze o che le regole adottate possano non essere pienamente coerenti fa parte di un sistema che vive.
Proprio la settimana scorsa ho emanato un parere negativo al Consiglio e al Parlamento riguardo alla proposta di creare un sistema europeo di trattamento dei dati dai codici di prenotazione dei passeggeri (PNR - Passenger Name Record), perché ho ritenuto che la richiesta non fosse completa e pienamente giustificata. Negli ultimi sette anni ho emanato sessanta pareri su nuove norme, di cui quattro o cinque negativi; alcuni di questi pareri negativi sono stati seguiti dal Parlamento e dal Consiglio, altri no e quindi le questioni controverse sono state demandate alla Corte del Lussemburgo. Abbiamo, quindi, un sistema interattivo ed è necessario questo tipo di relazione e di scambio. Questa è, la risposta alla domanda dell'onorevole Tassone.
Invece, l'onorevole Zaccaria mi ha chiesto di parlare della necessità di avere delle regole generali a livello nazionale. Questo va al di là delle mie competenze, tuttavia, conosco un po' la materia e quindi posso rispondere a livello personale. So che vi sono degli Stati membri che hanno un quadro - anche se non parlano sempre di autorità indipendenti - di autorità con uno status speciale, che non fanno pienamente parte del Governo centrale. In Inghilterra, per esempio, esiste l'espressione «quango» (quasi-autonomous nongovernmental organization) per indicare un ente non governativo quasi indipendente. Ecco, vi sono tanti termini, però forse non è il caso di inventarsi un nome nuovo ogni volta, ma occorre essere più sistematici e operare in modo orizzontale.
Nel mio Paese, i Paesi Bassi, abbiamo una normativa per questi enti a statuto speciale, ma occorre chiedersi se la legge rientri nell'ambito della direttiva europea. In caso affermativo, essa deve tenere conto degli standard delle leggi europee; se, invece,

---

Pag. 12

---

non vi rientra allora sono gli Stati membri che sono tenuti a provvedere, fermi restando i limiti imposti dai diritti fondamentali.
Riguardo ai criteri di nomina o di selezione, cui avete fatto riferimento nelle vostre domande, nel caso dell'authority europea per la protezione dei dati le regole vengono stabilite insieme dal Consiglio e dal Parlamento attraverso un meccanismo di codeterminazione. Si decide e si arriva a una maggioranza che esprime la sua volontà.
Il meccanismo di nomina della mia Autorità segue questi stessi principi, per cui io sono stato nominato per due volte sia dal Consiglio che dal Parlamento a maggioranza. Il processo è descritto nel regolamento e prevede un bando pubblico, ovvero una richiesta di candidature, in tutti gli Stati membri da pubblicare su tre giornali - è dunque abbastanza importante - e poi una procedura di selezione formale; i candidati ammessi sono poi ascoltati da un'altra Commissione e, infine, nel mio caso specifico, nove candidati furono ammessi all'audizione finale. I criteri di scelta sono definiti sulla base della competenza pregressa in questa materia, non soltanto a livello professionale; si richiede, inoltre, anche che i candidati abbiano avuto un ruolo analogo a livello nazionale. Nel rendere la procedura così trasparente, si è proceduto automaticamente all'introduzione di garanzie e salvaguardie.
Nel caso della Commissione contro la Germania vi erano delle procedure di nomina stabilite da parte o del Governo o del Parlamento. D'altra parte, gli Stati membri possono adottare modelli diversi poiché attualmente non abbiamo una regolamentazione uniforme, che potrebbe, però, essere introdotta in futuro, prefigurando una norma generale che definisca meglio questi organi speciali.
Del resto, io appoggerei quest'idea sulla base di una mia analisi professionale; essa, però, non discende da un principio europeo, quindi sta all'Italia decidere, cogliendo le migliori esperienze acquisite anche in altri Stati. C'è, poi, la direttiva che è molto interessante perché non si riferisce soltanto alla materia della protezione dei dati, ma è molto più estesa.
Devo dire che questa è una decisione molto rilevante, rispetto alla quale l'Avvocatura generale aveva, però, offerto un parere diverso. La Corte aveva deciso di emanare un messaggio sull'importanza dell'indipendenza in materia di protezione dei dati, cogliendo l'occasione di questo caso per stabilire i confini tra Stato democratico e autorità indipendente.
In alcuni Stati la presenza degli organismi indipendenti è molto frequente. Per esempio, la Svezia ha una lunga storia di autorità indipendenti. In ogni caso, sono i singoli Stati membri ad avere il potere di decidere in materia.
Ecco, spero di avervi aiutato a comprendere meglio la situazione.

PRESIDENTE. Ringrazio il Garante europeo per la protezione dei dati, Peter Hustinx, per il contributo che ci ha fornito.
Dichiaro conclusa l'audizione.

La seduta termina alle 15,10.