25.2.2006   

IT

Gazzetta ufficiale dell'Unione europea

C 47/27

1.

La proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale è stata trasmessa dalla Commissione con lettera in data 4 ottobre 2005 al GEPD. Per quest'ultimo la lettera rappresenta una richiesta di fornire alle istituzioni e agli organismi comunitari un parere come previsto nell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001. Secondo il GEPD il presente parere dovrebbe essere citato nel preambolo della decisione quadro.

2.

Il GEPD sottolinea quanto importante sia la presente proposta dal punto di vista dei diritti e delle libertà fondamentali delle persone fisiche in materia di protezione dei dati personali. L'adozione della presente proposta significherebbe un notevole passo in avanti per la protezione dei dati personali in un comparto importante che richiede segnatamente un meccanismo coerente ed efficace per la protezione dei dati personali a livello di Unione europea.

3.

Pertanto il GEPD rileva che assume sempre più peso la cooperazione giudiziaria e di polizia tra gli Stati membri quale elemento dell'istituzione graduale di uno spazio di libertà, sicurezza e giustizia. Il programma dell'Aia ha introdotto il principio di disponibilità al fine di migliorare lo scambio transfrontaliero di informazioni in materia di applicazione della legge. Secondo detto programma (1) il fatto che le informazioni attraversino le frontiere non dovrebbe più, di per sé, essere rilevante. L'introduzione del principio di disponibilità rispecchia una tendenza più generale ad agevolare lo scambio di informazioni in materia di applicazione della legge (cfr. ad esempio la così detta convenzione di Prüm (2) firmata da sette Stati membri e la proposta svedese di decisione quadro relativa alla semplificazione dello scambio di informazioni e di intelligence tra le autorità incaricate dell'applicazione della legge (3)). Nella stessa ottica si può considerare la recentissima approvazione da parte del Parlamento europeo della direttiva del Parlamento europeo e del Consiglio riguardante la conservazione dei dati sulle comunicazioni (4). Questi sviluppi richiedono l'adozione di uno strumento giuridico per garantire l'efficace protezione dei dati personali in tutti gli Stati membri dell'Unione europea sulla base di norme comuni.

4.

Il GEPD evidenzia che il presente quadro generale della protezione di dati non è sufficiente in questo settore. In primo luogo la direttiva 95/46/CE non si applica ai trattamenti dei dati personali effettuati per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dal titolo VI del trattato sull'Unione europea (articolo 3, paragrafo 2 della direttiva). Anche se nella maggior parte degli Stati membri il campo di applicazione della legge di attuazione è più ampio della direttiva stessa e non esclude i trattamenti dei dati ai fini dell'applicazione della legge, il diritto interno diverge notevolmente. In secondo luogo la convenzione 108 del Consiglio d'Europa (5) cui sono vincolati tutti gli Stati membri non offre la necessaria precisione in materia di protezione, come già ammesso al momento dell'adozione della direttiva 95/46/CE. In terzo luogo i due suddetti strumenti giuridici non prendono in considerazione le specificità dello scambio dei dati da parte delle autorità giudiziarie e di polizia (6).

5.

L'efficace protezione dei dati personali non è importante soltanto per le persone interessate ma contribuisce anche al successo della stessa cooperazione giudiziaria e di polizia. Per molti aspetti i due interessi pubblici vanno di pari passo.

6.

Si tenga presente che i dati personali di cui trattasi sono spesso sensibili e sono stati ottenuti dalle autorità giudiziarie e di polizia in seguito a indagini svolte su persone. Se un'autorità è sicura del livello di protezione dell'altro Stato membro, la disponibilità a scambiare i dati con le autorità di altri Stati membri aumenterà. Quali elementi importanti della protezione dei dati il GEPD cita la riservatezza e la sicurezza dei dati stessi e i limiti imposti all'accesso e all'ulteriore utilizzazione.

7.

Inoltre l'elevato livello di protezione dei dati può garantire l'esattezza e l'affidabilità dei dati personali. Nello scambio dei dati tra le autorità giudiziarie e/o di polizia l'esattezza e l'affidabilità dei dati assumono ancora maggiore importanza, soprattutto poiché, dopo successivi scambi e ritrasmissioni dei dati tra le autorità incaricate dell'applicazione della legge, i dati sono infine trattati lontano dalla fonte e dal contesto in cui sono stati inizialmente raccolti e utilizzati. Di solito le autorità riceventi non sono a conoscenza di circostanze supplementari e devono fare pieno affidamento sui dati in se stessi.

8.

L'armonizzazione delle norme nazionali relative ai dati personali nel settore della polizia e della giustizia, comprese le adeguate garanzie della protezione dei dati suddetti, può stimolare così la fiducia reciproca e l'efficacia dello scambio stesso.

9.

In varie occasioni sono state evidenziate la necessità e l'importanza della presente proposta. Nella conferenza di primavera svoltasi a Cracovia nell'aprile del 2005 le autorità europee responsabili della protezione dei dati hanno adottato una dichiarazione e un documento programmatico in cui invitavano ad adottare un nuovo quadro giuridico sulla protezione dei dati applicabile alle attività del terzo pilastro. Il nuovo quadro dovrebbe non solo rispettare i principi di protezione dei dati stabiliti nella direttiva 95/46/CE — è importante garantire la coerenza della protezione dei dati nell'Unione europea -, ma anche stabilire una serie di norme supplementari che tengano conto della peculiarità del settore dell'applicazione della legge (7). Il GEPD si compiace che la presente proposta tenga conto di tali punti di partenza: essa rispetta i principi di protezione dei dati fissati nella direttiva 95/46/CE e stabilisce una serie di norme supplementari.

10.

Il presente parere esaminerà in qual misura il risultato sia accettabile dal punto di vista della protezione dei dati, rispettando debitamente il contesto peculiare della protezione dei dati nel settore dell'applicazione della legge. Da un lato i dati interessati sono spessissimo molto sensibili (cfr. punto 6) e dall'altro ci sono forti pressioni per accedervi, ai fini dell'efficienza dell'applicazione della legge, che può assicurare la tutela della vita e l'integrità fisica delle persone. Secondo il GEPD le norme di protezione dei dati dovrebbero soddisfare le esigenze giustificate dell'applicazione della legge ma anche proteggere le persone interessate dal trattamento e dall'accesso ingiustificati. Per ottemperare al principio di proporzionalità, il risultato delle riflessioni del legislatore europeo deve rispettare i due interessi pubblici potenzialmente opposti. In questo contesto il GEPD ripete ancora una volta che molto spesso i due interessi vanno di pari passo.

11.

Va detto infine che la presente proposta fa parte del titolo VI del trattato sull'Unione europea, il così detto terzo pilastro. L'intervento del legislatore europeo è vincolato da limiti netti: la limitazione dei poteri legislativi dell'Unione alle materie di cui agli articoli 30 e 31, i limiti del processo legislativo che non prevedono la piena partecipazione del Parlamento europeo e i limiti del controllo giudiziario in quanto le competenze della Corte di giustizia delle Comunità europee di cui all'articolo 35 del TUE sono incomplete. Detti limiti impongono un'analisi ancora più attenta del testo della proposta.

12.

La proposta è strettamente connessa alla proposta di decisione quadro del Consiglio sullo scambio di informazioni in virtù del principio di disponibilità (COM(2005) 490 defin.). Quest'ultima proposta mira ad attuare il principio di disponibilità, assicurando così che le informazioni disponibili alle autorità competenti di uno Stato membro per la lotta alla criminalità siano fornite alle autorità omologhe di altri Stati membri. Dovrebbe scaturirne l'abolizione delle frontiere interne per lo scambio di dette informazioni, che sarebbe assoggettato a condizioni uniformi in tutta l'Unione.

13.

La stretta connessione tra le due proposte deriva dal fatto che le informazioni in materia di applicazione della legge comportano in larga misura dati personali. Non si può adottare la normativa sullo scambio di informazioni in materia di applicazione della legge senza garantire l'adeguata protezione dei dati personali. Allorché un intervento a livello di Unione europea porta all'abolizione delle frontiere interne per lo scambio di dette informazioni, la protezione dei dati personali non può più essere oggetto del solo diritto interno. È ormai compito delle istituzioni europee garantire la protezione dei dati personali in tutto il territorio dell'Unione privo di frontiere interne. Questo compito è esplicitamente indicato nell'articolo 30, paragrafo 1, lettera b) del TUE e discende dall'obbligo dell'Unione di rispettare i diritti fondamentali (articolo 6 del TUE). Inoltre:

14.

Il GEDP rileva che la decisione quadro del Consiglio sullo scambio di informazioni in virtù del principio di disponibilità dovrebbe essere adottata unicamente a condizione che sia adottata anche la decisione quadro del Consiglio sulla protezione dei dati. Tuttavia la presente proposta di decisione quadro del Consiglio sulla protezione dei dati ha i suoi meriti ed è necessaria anche in mancanza di uno strumento giuridico sulla disponibilità, come è stato sottolineato nella sezione I del presente parere.

15.

Pertanto il GEDP esaminerà le due proposte in due pareri distinti, anche per un motivo pratico. Non è garantito che le proposte siano trattate congiuntamente e con la stessa tempestività dal Consiglio e dal Parlamento europeo.

16.

Il 26 settembre 2005 il GEPD ha presentato il suo parere sulla proposta di direttiva sulla conservazione dei dati sulle comunicazioni (8). In detto parere ha evidenziato alcune importanti lacune della proposta ed ha suggerito di aggiungere alla direttiva disposizioni specifiche sull'accesso ai dati relativi al traffico e all'ubicazione da parte delle autorità competenti e sull'ulteriore utilizzazione dei dati nonché di aggiungere ulteriori garanzie complementari di protezione dei dati. Il testo della direttiva adottato dal Parlamento europeo e dal Consiglio contiene una disposizione limitata, ma assolutamente insufficiente, sulla protezione e sulla sicurezza dei dati e una disposizione ancora più carente sull'accesso, che affida al diritto interno l'emissione di misure sull'accesso ai dati conservati, fatte salve le pertinenti disposizioni della normativa comunitaria o del diritto internazionale pubblico.

17.

L'approvazione della direttiva sulla conservazione dei dati sulle comunicazioni rende ancora più pressante definire il quadro giuridico della protezione dei dati nell'ambito del terzo pilastro. Con l'adozione della direttiva il legislatore comunitario obbliga i fornitori di servizi di telecomunicazioni e di internet a conservare i dati ai fini dell'applicazione della legge, senza le necessarie e adeguate garanzie ai fini della protezione delle persone interessate. La protezione resta lacunosa in quanto la direttiva non tratta (sufficientemente) l'accesso ai dati né la loro ulteriore utilizzazione una volta che ai dati abbiano avuto accesso le autorità competenti nel settore dell'applicazione della legge.

18.

La presente proposta colma una parte importante della lacuna, in quanto si applica all'ulteriore utilizzazione dei dati dopo l'accesso da parte delle autorità incaricate dell'applicazione della legge. Il GEPD tuttavia deplora che nemmeno la presente proposta tratti l'accesso a tali dati. Diversamente da quanto previsto per il SIS II e il VIS (cfr. sezione II, punto 3 del presente parere), questa materia è lasciata alla discrezione del legislatore nazionale.

19.

L'Unione europea sta utilizzando o sviluppando attualmente vari sistemi di informazione su vasta scala (Eurodac, SIS II, VIS) e sta cercando di realizzare sinergie tra di essi. Si tende inoltre sempre più ad ampliare l'accesso a detti sistemi ai fini dell'applicazione della legge. Questi sviluppi di ampia portata devono tener conto, conformemente al programma dell'Aia, della «necessità di conseguire un giusto equilibrio tra gli obiettivi connessi con l'applicazione della legge e la tutela dei diritti fondamentali dell'individuo».

20.

Nel parere del 19 ottobre 2005 sulle proposte relative al sistema di informazione Schengen di seconda generazione (SIS II) (9), il GEPD ha sottolineato alcuni punti relativi all'applicazione contemporanea di norme generali (lex generalis) e di norme più specifiche (lex specialis) sulla protezione dei dati. La presente proposta può essere considerata una lex generalis che sostituisce la convenzione 108 nell'ambito del terzo pilastro (10).

21.

Il GEPD rileva al riguardo che la proposta prevede anche un quadro generale di protezione dei dati per strumenti specifici come la parte relativa al terzo pilastro del SIS II e l'accesso al sistema di informazione visti da parte delle autorità incaricate dell'applicazione della legge (11)

22.

A norma dell'articolo 1, paragrafo 1, la proposta ha lo scopo di definire norme comuni per garantire la protezione dei dati personali nel corso delle attività di cooperazione giudiziaria e di polizia in materia penale. L'articolo 1, paragrafo 1 dovrebbe essere letto in connessione con l'articolo 3, paragrafo 1, a norma del quale la proposta si applica al trattamento di dati personali (…) da parte di un'autorità competente ai fini della prevenzione, dell'indagine, dell'accertamento e del perseguimento dei reati penali.

23.

Da tali disposizioni risulta che la decisione quadro proposta presenta due caratteristiche principali: definisce norme comuni e si applica ad ogni trattamento ai fini dell'applicazione del diritto penale, anche se i dati in questione non sono stati trasmessi o messi a disposizione dalle autorità competenti di altri Stati membri.

24.

Il GEPD sottolinea l'importanza di queste due caratteristiche principali. La presente proposta dovrebbe ambire a definire un quadro per la protezione dei dati che integri pienamente il quadro giuridico già esistente nel primo pilastro. Solo rispettando questa condizione l'Unione europea onorerà pienamente l'obbligo previsto dall'articolo 6, paragrafo 2 del TUE di rispettare i diritti fondamentali garantiti dalla CEDU.

25.

Per quanto riguarda la prima caratteristica, la presente proposta ha lo scopo di garantire che i principi esistenti in materia di protezione dei dati siano applicati nell'ambito del terzo pilastro. Inoltre, essa prevede norme comuni che specificano tali principi ai fini della loro applicazione in detto ambito. Il GEPD rileva l'importanza di tali aspetti della proposta, che rispecchiano la natura specifica e sensibile del trattamento dei dati personali in detto ambito. Il GEPD considera in particolare l'introduzione del principio della distinzione tra dati personali di categorie di persone come un principio specifico della protezione dei dati per il settore della cooperazione giudiziaria e di polizia in materia penale in aggiunta ai principi esistenti della protezione dei dati (articolo 4, paragrafo 4). Secondo il GEPD, il principio stesso e le sue conseguenze giuridiche per la persona interessata dovrebbero addirittura essere maggiormente specificati (cfr. punti 88-92 del presente parere).

26.

Le norme devono essere applicate a situazioni diverse, per cui non possono essere eccessivamente dettagliate. D'altro canto, esse devono fornire al cittadino la necessaria certezza del diritto nonché un'adeguata protezione dei suoi dati personali. Secondo il GEPD, l'equilibrio tra queste due esigenze legislative potenzialmente conflittuali è in generale salvaguardato dalla proposta. Le disposizioni offrono flessibilità ove necessario, ma nella maggior parte dei settori sono abbastanza precise da proteggere il cittadino.

27.

Riguardo a taluni punti, tuttavia, la proposta è troppo flessibile e non prevede le necessarie salvaguardie. Per esempio, l'articolo 7, paragrafo 1 della proposta prevede un'eccezione generale alle salvaguardie, nei casi in cui «il diritto nazionale stabilisca diversamente». Permettere un siffatto ampio potere discrezionale di conservare i dati per un tempo più lungo di quanto necessario per lo scopo previsto non solo sarebbe incompatibile con il diritto fondamentale alla protezione dei dati, ma nuocerebbe anche all'esigenza fondamentale di armonizzazione della protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale.

28.

Le eccezioni, ove necessario, dovrebbero limitarsi a disposizioni giuridiche, nazionali o europee, emanate per proteggere interessi pubblici specifici. L'articolo 7, paragrafo 1 dovrebbe menzionare tali interessi pubblici.

29.

Ciò porta ad un altro punto. Qualora un altro strumento giuridico specifico adottato in virtù del titolo VI del trattato UE preveda condizioni o restrizioni più precise per il trattamento dei dati o per l'accesso ai dati, tale legislazione più specifica dovrebbe applicarsi in quanto lex specialis . L'articolo 17 della proposta prevede deroghe agli articoli 12, 13, 14 e 15 nei casi in cui una legislazione specifica adottata in virtù del titolo VI stabilisca condizioni specifiche per la trasmissione dei dati. Si tratta di un'illustrazione del carattere generale della proposta (come sopra spiegato), che però non contempla tutte le ipotesi. Secondo il GEPD, l'articolo 17 dovrebbe:

30.

Per quanto riguarda la seconda caratteristica, il risultato ideale sarebbe la disciplina di ogni raccolta e trattamento di dati personali nel quadro del terzo pilastro.

31.

È essenziale che la decisione quadro, per conseguire il suo obiettivo, riguardi tutti i dati giudiziari e di polizia, anche se tali dati non sono trasmessi o messi a disposizione dalle autorità competenti di altri Stati membri.

32.

Questo aspetto è tanto più importante in quanto eventuali limitazioni dei dati trasmessi alle autorità competenti di altri Stati membri o messi a loro disposizione renderebbero particolarmente insicuro e impreciso il campo di applicazione della decisione quadro, il che sarebbe contrario al suo obiettivo essenziale (12). Si recherebbe danno alla certezza del diritto delle persone. In una situazione normale non si sa mai in anticipo, al momento della raccolta o del trattamento di dati personali, se tali dati saranno pertinenti per uno scambio con le autorità competenti di altri Stati membri. Il GEPD rinvia in tale contesto al principio di disponibilità e alla soppressione delle frontiere interne per lo scambio di dati relativi all'applicazione della legge.

33.

Infine, il GEPD rileva che la proposta non si applica:

In questi settori, spetta al diritto nazionale fornire un'adeguata protezione alle persone interessate. Questo divario nella protezione a livello UE deve essere preso in considerazione nella valutazione della proposta: (13) dato che non è possibile includere ogni trattamento nel campo dell'applicazione della legge, il legislatore deve garantire una protezione ancora più efficace nei settori che sono effettivamente contemplati dalla proposta.

34.

I considerando della proposta di decisione quadro del Consiglio sullo scambio di informazioni in virtù del principio di disponibilità menzionano una base giuridica specifica, ossia l'articolo 30, paragrafo 1, lettera b). La presente proposta non specifica invece quali disposizioni ai sensi dell'articolo 30 o dell'articolo 31 costituiscano la base giuridica.

35.

Sebbene non sia compito del GEPD, in quanto consulente sulla legislazione dell'Unione europea, scegliere la base giuridica di una proposta, è utile supporre che anche la presente proposta possa essere basata sull'articolo 30, paragrafo 1, lettera b). Inoltre, essa potrebbe essere basata sull'articolo 31, paragrafo 1, lettera c) del TUE e dovrebbe essere anche interamente applicabile a situazioni nazionali, sempre che sia necessario per migliorare la cooperazione giudiziaria e di polizia tra gli Stati membri. In questo contesto, il GEPD sottolinea una volta di più che tutti i dati personali raccolti, archiviati, trattati o analizzati ai fini dell'applicazione della legge possono formare oggetto di scambio, segnatamente in base al principio di disponibilità, con le autorità competenti di un altro Stato membro.

36.

Il GEPD condivide l'opinione che l'articolo 30, paragrafo 1, lettera b) e l'articolo 31, paragrafo 1, lettera c) del TUE forniscano una base giuridica per disposizioni sulla protezione dei dati non limitate alla protezione dei dati personali effettivamente scambiati tra le autorità competenti degli Stati membri, ma anche applicabili a situazioni nazionali. In particolare:

37.

Il GEPD richiama distintamente l'attenzione sullo scambio di dati con paesi terzi. Gli Stati membri utilizzano i dati personali raccolti e trattati in paesi terzi ad essi trasferiti ai fini dell'applicazione della legge e trasferiscono dati personali da essi stessi raccolti e/o trattati alle autorità competenti di paesi terzi e a organismi internazionali.

38.

Gli articoli 30 e 31 del TUE non richiedono un trattamento dei dati personali raccolti da autorità di paesi terzi diverso da quello riservato ai dati inizialmente raccolti dalle autorità competenti degli Stati membri. I dati provenienti da paesi terzi, una volta ricevuti, devono essere conformi alle stesse disposizioni applicabili ai dati raccolti in uno Stato membro. Tuttavia, la qualità dei dati non può essere sempre facilmente garantita (questo aspetto sarà discusso nel capitolo successivo del presente parere).

39.

La trasmissione di dati personali da parte delle autorità competenti degli Stati membri a paesi terzi esula, in senso stretto, dal campo di applicazione del titolo VI del trattato UE. Tuttavia, la possibilità di trasmettere dati a paesi terzi senza garantire la protezione delle persone interessate nuocerebbe gravemente alla protezione prevista dalla presente proposta nel territorio dell'Unione europea per i motivi menzionati nella sezione III.4 di questo parere. In breve:

40.

In sintesi, l'applicabilità delle norme comuni sulla protezione dei dati a dati personali scambiati dalle autorità competenti degli Stati membri con autorità di paesi terzi e con organizzazioni internazionali è necessaria ai fini dell'efficacia delle norme comuni sulla protezione dei dati personali scambiati tra le autorità competenti degli Stati membri ed è pertanto necessaria per migliorare la cooperazione tra gli Stati membri. Gli articoli 30 e 31 del TUE forniscono la base giuridica necessaria.

41.

I dati personali sono trattati e scambiati dalle forze di polizia ed anche dalle autorità giudiziarie. La proposta, basata sugli articoli 30 e 31 del trattato UE, si applica alla cooperazione tra forze di polizia e alla cooperazione tra autorità giudiziarie. A questo punto il campo di applicazione della proposta è più ampio di quello della proposta di decisione quadro del Consiglio relativa allo scambio di informazioni, che si limita alla cooperazione di polizia e si applica soltanto allo scambio di informazioni che precede l'avvio di un procedimento giudiziario.

42.

Il GEPD si compiace del fatto che la proposta sia estesa ai dati personali trattati dalle autorità giudiziarie. Vi sono buone ragioni per occuparsi in una stessa proposta di dati della polizia e di dati delle autorità giudiziarie trattati ai fini dell'applicazione della legge. In primo luogo, l'organizzazione dell'iter dell'indagine e dell'azione penale varia da uno Stato membro all'altro. Il coinvolgimento delle autorità giudiziarie inizia in fasi differenti nei vari Stati membri. In secondo luogo, tutti i dati personali presenti in tale iter possono finire in un fascicolo giudiziario. Non è logico avere regimi applicabili differenti per la protezione dei dati nelle fasi preliminari.

43.

Per la sorveglianza del trattamento dei dati è tuttavia necessario un approccio diverso. L'articolo 30 della proposta elenca i compiti delle autorità di sorveglianza. L'articolo 30, paragrafo 9 stabilisce che i poteri dell'autorità di sorveglianza non pregiudicano l'indipendenza dei magistrati. Il GEPD raccomanda di chiarire nella proposta che le autorità di sorveglianza non sorvegliano il trattamento dei dati da parte delle autorità giudiziarie quando agiscono nell'esercizio delle loro funzioni giurisdizionali (15).

44.

Conformemente all'articolo 3, paragrafo 2 della proposta, la decisione quadro non si applica al trattamento dei dati personali effettuato dall'Europol, dall'Eurojust e dal sistema di informazione doganale (16).

45.

In senso stretto tale disposizione è superflua, in ogni caso per quanto riguarda l'Europol e l'Eurojust. Una decisione quadro ai sensi dell'articolo 34, paragrafo 2, lettera b) del TUE può essere adottata soltanto per il ravvicinamento delle disposizioni legislative e regolamentari degli Stati membri e non può avere come destinatari l'Europol e l'Eurojust.

46.

Quanto alla sostanza, il testo dell'articolo 3, paragrafo 2 dà luogo alle osservazioni seguenti:

47.

Il GEPD ha analizzato la proposta e ha concluso che, in generale, essa prevede una struttura di protezione a vari livelli. Le norme comuni definite nel capitolo II della proposta (e su temi specifici nei capitoli IV-VII) contengono due livelli di protezione:

48.

Il capitolo III aggiunge un terzo livello di protezione per forme specifiche di trattamento. I titoli delle due sezioni del capitolo III e il testo di varie disposizioni della proposta sembrano implicare che detto capitolo si applichi soltanto ai dati trasmessi o messi a disposizione dalle autorità competenti di altri Stati membri. Di conseguenza, talune importanti disposizioni per la protezione dei dati personali non si applicherebbero ai dati personali che non fossero scambiati tra Stati membri. Ciò detto, il testo è ambiguo in quanto le disposizioni stesse sembrano spingersi oltre le attività direttamente connesse con i dati scambiati. Tale limitazione del campo di applicazione non è comunque esplicitamente spiegata o giustificata né nella relazione né nella valutazione d'impatto.

49.

Il GEPD sottolinea il valore aggiunto di una siffatta struttura a vari livelli che può fornire di per sé un'ottima protezione della persona interessata, tenuto conto delle esigenze specifiche dell'applicazione della legge. Essa rispecchia la necessità di un'adeguata protezione dei dati, come indicato durante la conferenza di primavera tenutasi a Cracovia nell'aprile del 2005, ed è in linea di massima conforme all'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e alla convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, in particolare all'articolo 8.

50.

Tuttavia un'analisi del testo della proposta dà luogo alle osservazioni in appresso.

51.

In primo luogo si dovrebbe garantire che le norme supplementari per la protezione dei dati di cui al capitolo II (il secondo livello menzionato al punto 47) non deroghino ai principi generali della protezione dei dati. Secondo il GEPD, le norme supplementari di cui al capitolo II dovrebbero fornire una protezione addizionale alle persone interessate in relazione al contesto specifico del terzo pilastro (informazioni giudiziarie e di polizia), vale a dire che tali norme supplementari non possono comportare un abbassamento del livello di protezione.

52.

Inoltre, il capitolo III sulle forme specifiche di trattamento (in cui è incorporato il terzo livello di protezione) non dovrebbe derogare al capitolo II. Secondo il GEPD, le disposizioni del capitolo III dovrebbero fornire una protezione addizionale alle persone interessate nei casi in cui siano implicate le autorità competenti di più di uno Stato membro, ma tali disposizioni non possono comportare un abbassamento del livello di protezione.

53.

In secondo luogo, le norme di carattere generale non dovrebbero essere inserite nel capitolo III. Il GEPD raccomanda di trasferire tali norme al capitolo II. Nel capitolo III possono essere inserite soltanto norme strettamente connesse con la protezione dei dati personali in caso di scambio di dati tra Stati membri. Ciò è perfino tanto più importante in quanto il capitolo III contiene disposizioni rilevanti ai fini di un alto livello di protezione delle persone interessate nel contesto dell'applicazione della legge (cfr. punto IV.1 del presente parere).

54.

Il GEPD intende tener conto, nell'analizzare i diversi elementi sostanziali della proposta, della sua struttura e del suo contenuto particolari. Il GEPD non intende fare osservazioni su ciascun articolo della proposta.

55.

Innanzi tutto, la maggior parte delle disposizioni della proposta rispecchia gli altri strumenti giuridici dell'UE sulla protezione dei dati personali. Tali disposizioni sono conformi al quadro giuridico dell'UE in materia di protezione dei dati e sono sufficienti a fornire adeguate garanzie di protezione dei dati nel terzo pilastro.

56.

Tuttavia, il GEPD rileva che alcune disposizioni attualmente contenute nel capitolo III della proposta — relative ad elementi specifici del trattamento e applicabili in generale (cfr. punto 48 del presente parere) solo ai dati scambiati con altri Stati membri — integrano i principi generali ed essenziali della normativa UE sulla protezione dei dati. Pertanto, tali disposizioni del Capitolo III dovrebbero essere trasferite al capitolo II e rese applicabili a tutti i trattamenti di dati da parte delle autorità incaricate dell'applicazione della legge. Ciò riguarda le disposizioni relative alla verifica della qualità dei dati (articolo 9, paragrafi 1 e 6) e quelle che disciplinano l'ulteriore trattamento dei dati personali (articolo 11, paragrafo 1).

57.

Altri articoli del capitolo III della proposta non distinguono tra condizioni supplementari specificamente connesse agli scambi di dati con altri Stati membri — quale il consenso dell'autorità competente dello Stato membro che trasmette i dati — e garanzie che sono invece pertinenti e necessarie anche per quanto riguarda i dati trattati all'interno di uno Stato membro. In tali casi, il GEPD raccomanda che queste ultime garanzie siano rese generalmente applicabili, anche in relazione ai dati personali che non sono stati trasmessi o resi disponibili da un altro Stato membro. Tale raccomandazione riguarda:

58.

In questa parte del parere viene inoltre richiamata l'attenzione del legislatore su alcune garanzie supplementari non previste dall'attuale proposta. Secondo il GEPD, tali garanzie supplementari dovrebbero essere fornite per quanto riguarda le decisioni individuali automatiche, i dati personali ricevuti da paesi terzi, l'accesso alle banche dati di privati, il trattamento dei dati biometrici e dei profili di DNA.

59.

Inoltre, nella seguente analisi vengono fornite raccomandazioni per migliorare il testo attuale, allo scopo di assicurare l'efficacia delle disposizioni, la coerenza del testo e la conformità al quadro giuridico attuale in materia di protezione dei dati.

60.

L'articolo 4, paragrafo 1, lettera b) stabilisce che i dati personali devono essere rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Di norma, i dati sono rilevati in relazione ad un determinato reato (o, in taluni casi, per svolgere indagini su un gruppo o una rete criminale, ecc.). Essi possono essere utilizzati per la finalità originaria ed essere successivamente trattati per un'altra finalità purché compatibile con quella originaria (i dati rilevati su una persona accusata di traffico di droga potrebbero essere utilizzati nel contesto di un'indagine relativa ad una rete di spacciatori di droga, ad esempio). Tale approccio rispecchia correttamente il principio della limitazione delle finalità, quale sancito anche all'articolo 8 della Carta dei diritti fondamentali dell'Unione europea, ed è pertanto conforme all'attuale normativa in materia di protezione dei dati.

61.

Il GEPD rileva che la proposta non affronta in modo del tutto soddisfacente una situazione che può verificarsi nell'attività di polizia, ossia la necessità di utilizzare ulteriormente i dati per una finalità considerata incompatibile con quella per cui erano stati rilevati. I dati, una volta rilevati dalla polizia, potrebbero essere necessari per risolvere casi di reati del tutto diversi. Ad esempio, i dati rilevati per il perseguimento di infrazioni stradali potrebbero essere successivamente utilizzati per localizzare e perseguire un ladro di automobili. La seconda finalità, sebbene legittima, non può essere considerata pienamente compatibile con la finalità della rilevazione dei dati. Se le autorità incaricate dell'applicazione della legge non fossero autorizzate a utilizzare i dati per questa seconda finalità, potrebbero essere indotte a rilevare i dati per finalità ampie o non ben definite, nel qual caso il principio della limitazione delle finalità perderebbe il suo valore per quanto riguarda la rilevazione. Inoltre, sarebbe ostacolata l'applicazione di altri principi, quali la proporzionalità, l'accuratezza e l'affidabilità [cfr. articolo 4, paragrafo 1, lettere c) e d)].

62.

In base alla normativa UE sulla protezione dei dati i dati personali devono essere rilevati per finalità determinate ed esplicite ed essere successivamente trattati in modo non incompatibile con tali finalità. Tuttavia, il GEPD ritiene che debba essere consentita una certa flessibilità quanto all'uso ulteriore. La limitazione relativa alla rilevazione ha maggiori probabilità di essere rispettata se le autorità responsabili della sicurezza interna sanno di poter fare affidamento, con appropriate garanzie, su una deroga alla limitazione per l'uso ulteriore.

63.

Va precisato che questa necessità di trattamento ulteriore è riconosciuta all'articolo 11 della proposta, sebbene in modo del tutto insufficiente. L'articolo 11 si applica unicamente ai dati ricevuti o resi disponibili dalle autorità competenti di un altro Stato membro e non prevede sufficienti garanzie.

64.

Il GEPD raccomanda l'applicazione dell'articolo 11, paragrafo 1 per tutti i dati, indipendentemente dal fatto che essi siano stati ricevuti o meno da un altro Stato membro. Inoltre, dovrebbero essere aggiunte garanzie più rigorose a quanto sancito all'articolo 11, paragrafo 1, lettera b): l'uso ulteriore di dati per una finalità considerata incompatibile con quella iniziale dovrebbe essere consentito solo se strettamente necessario, in un caso specifico, ai fini della prevenzione, delle indagini, dell'accertamento o del perseguimento dei reati penali o ai fini della tutela degli interessi o dei diritti fondamentali di una persona. In pratica, il GEPD suggerisce di formulare questa disposizione in un nuovo articolo 4 bis (in ogni caso, nel capitolo II della proposta).

65.

I paragrafi 2 e 3 dell'articolo 11 restano applicabili nella forma attuale; essi prevedono garanzie supplementari per i dati ricevuti da altri Stati membri. Il GEPD rileva che l'articolo 11, paragrafo 3 si applica allo scambio di dati attraverso il SIS II; il GEPD ha già indicato nel suo parere sul SIS II che occorre assicurare che i dati SIS non possano essere utilizzati per finalità diverse da quelle del sistema stesso.

66.

In alcuni casi i dati devono essere trattati per la tutela di altri interessi importanti. In tali casi essi possono essere trattati anche da autorità diverse dalle autorità competenti ai sensi della presente decisione quadro. Tali competenze degli Stati membri potrebbero implicare un trattamento invasivo della vita privata (ad esempio, il controllo di una persona che non è sospettata) e dovrebbero pertanto essere corredate di condizioni molto rigorose, come l'obbligo per gli Stati membri di adottare normative specifiche per fare ricorso a tale deroga. Nel quadro del primo pilastro, la questione è stata affrontata all'articolo 13 della direttiva 95/46/CE, a norma del quale in casi specifici sono ammesse restrizioni ad alcune disposizioni della direttiva. Gli Stati membri che applicano tali restrizioni devono a tal fine conformarsi all'articolo 8 della CEDU.

67.

Seguendo la stessa logica, la presente decisione quadro dovrebbe stabilire nel capitolo II che gli Stati membri possono adottare misure legislative per consentire l'ulteriore trattamento qualora una siffatta misura sia necessaria per garantire:

68.

A norma dell'articolo 5 della proposta, i dati possono essere trattati dalle autorità competenti soltanto se ciò è previsto da una legge che stabilisca che il trattamento dei dati è necessario per svolgere i compiti legittimi dell'autorità interessata e ai fini della prevenzione, delle indagini, dell'accertamento o del perseguimento dei reati penali. Il GEPD sostiene i requisiti rigorosi dell'articolo 5.

69.

Tuttavia, il testo dell'articolo 5 sottovaluta la necessità di legittimare il trattamento dei dati, in casi specifici, per altri motivi giuridici. Si tratta di una disposizione importante che dovrebbe, ad esempio, consentire alla polizia di adempiere gli obblighi giuridici, ai sensi del diritto nazionale, di divulgare informazioni ai servizi di immigrazione o alle autorità fiscali. Pertanto, il GEPD suggerisce che l'articolo 5 tenga conto di altri motivi giuridici giustificati per il trattamento dei dati personali quali la necessità di soddisfare un obbligo giuridico al quale il responsabile del trattamento è soggetto, il consenso inequivocabile della persona interessata, a condizione che il trattamento sia effettuato nell'interesse della persona stessa, o la necessità di tutelare gli interessi vitali della persona interessata.

70.

Il GEPD sottolinea che il rispetto dei principi relativi alla legittimazione del trattamento dei dati è particolarmente importante per quanto riguarda la cooperazione giudiziaria e di polizia se si considera che la raccolta illegittima di dati personali da parte delle forze di polizia potrebbe implicare l'impossibilità di utilizzare i dati personali quale mezzo di prova in procedimenti giudiziari.

71.

Gli articoli 4 e 5 della proposta mirano inoltre ad assicurare — in modo generalmente soddisfacente — che le limitazioni della protezione dei dati personali siano necessarie e proporzionali, come richiesto dal diritto dell'Unione europea e dalla giurisprudenza della Corte europea dei diritti dell'uomo riguardo all'articolo 8 della CEDU:

72.

Il GEPD rileva che la formulazione proposta dell'articolo 4, paragrafo 4 non soddisfa i criteri stabiliti dalla giurisprudenza della Corte europea dei diritti dell'uomo riguardo all'articolo 8 della CEDU, secondo cui una restrizione alla vita privata può essere imposta solo qualora ciò sia necessario in una società democratica. Secondo la proposta, il trattamento dei dati sarebbe considerato necessario non solo qualora rendesse possibile alle autorità incaricate dell'applicazione della legge e alle autorità giudiziarie lo svolgimento dei loro compiti, ma anche qualora vi fossero ragionevoli motivi per credere che i dati personali in questione fossero tali da agevolare o accelerare semplicemente la prevenzione, le indagini, l'accertamento o il perseguimento di un reato penale.

73.

Tali criteri non soddisfano i requisiti dell'articolo 8 della CEDU, poiché si può ritenere che quasi tutti i trattamenti di dati personali facilitino le attività delle autorità di polizia o giudiziarie, sebbene i dati in questione non siano effettivamente necessari per svolgere tali attività.

74.

Il testo attuale dell'articolo 4, paragrafo 4 renderebbe possibile una raccolta eccessivamente ampia di dati personali, in base unicamente al convincimento che i dati personali possano facilitare la prevenzione, le indagini, l'accertamento o il perseguimento di un reato penale. Il trattamento di dati personali deve invece essere considerato necessario solo qualora le autorità competenti possano chiaramente dimostrarne la necessità e a condizione che non siano disponibili misure meno invasive della vita privata.

75.

Il GEPD raccomanda pertanto di riformulare il primo trattino dell'articolo 4, paragrafo 4 in modo da assicurare il rispetto della giurisprudenza relativa all'articolo 8 della CEDU. Inoltre, a fini di sistematicità, il GEPD suggerisce che l'articolo 4, paragrafo 4 sia trasferito alla fine dell'articolo 5.

76.

L'articolo 6 stabilisce un divieto in linea di principio del trattamento di dati sensibili, ossia di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale o relativi alla salute o alla vita sessuale. Tale divieto non si applica qualora il trattamento sia previsto da una legge e sia assolutamente necessario per l'adempimento delle legittime funzioni dell'autorità interessata ai fini della prevenzione, delle indagini, dell'accertamento o del perseguimento dei reati penali. I dati sensibili possono inoltre essere trattati qualora la persona interessata abbia dato il proprio esplicito consenso. In entrambi i casi sono previsti specifici ed adeguati meccanismi di salvaguardia.

77.

Il testo dell'articolo 6 si presta a due osservazioni. In primo luogo, l'articolo 6 si basa troppo ampiamente sul consenso della persona interessata. Il GEPD sottolinea che il trattamento di dati sensibili sulla base del consenso esplicito della persona interessata dovrebbe essere consentito solo nella misura in cui il trattamento sia effettuato nell'interesse della persona stessa e il rifiuto del consenso non dovrebbe comportare conseguenze negative per tale persona. Il GEPD raccomanda di modificare di conseguenza l'articolo 6 per renderlo, tra l'altro, coerente con l'attuale normativa UE in materia di protezione dei dati.

78.

In secondo luogo, il GEPD ritiene che possano essere presi in considerazione anche altri motivi giuridici per il trattamento, quale la necessità di tutelare gli interessi vitali della persona interessata o di un'altra persona (qualora la persona interessata sia fisicamente o giuridicamente incapace di dare il proprio consenso).

79.

Nel settore della cooperazione giudiziaria e di polizia, assume sempre maggiore importanza il trattamento di altre categorie di dati personali eventualmente sensibili, quali i dati biometrici e i profili di DNA. Tali dati non sono esplicitamente contemplati dall'articolo 6 della proposta. Il GEPD invita il legislatore UE a rivolgere particolare attenzione all'atto dell'integrazione dei principi generali sulla protezione dei dati stabiliti dalla presente proposta nella successiva legislazione riguardante il trattamento di tali categorie particolari di dati. Un esempio è costituito dall'attuale proposta di decisione quadro del Consiglio sullo scambio di informazioni in virtù del principio di disponibilità (cfr. punti 12-15), che consente esplicitamente il trattamento e gli scambi di dati biometrici e di profili di DNA (cfr. allegato II della proposta) ma non esamina la sensibilità e le particolarità di tali dati dal punto di vista della protezione dei dati stessi.

80.

Il GEPD raccomanda di prevedere garanzie specifiche, in particolare allo scopo di assicurare che:

Spetta al legislatore decidere se tali garanzie supplementari debbano essere previste nella presente decisione quadro o negli strumenti giuridici specifici che disciplinano la raccolta e lo scambio di tali categorie particolari di dati.

81.

L'articolo 4, paragrafo 1, lettera d) stabilisce le norme generali relative alla qualità dei dati. In base a tale articolo, il responsabile del trattamento è tenuto a garantire che i dati siano esatti e, se necessario, aggiornati, prendendo tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono raccolti o successivamente trattati. Ciò è conforme ai principi generali della normativa UE in materia di protezione dei dati.

82.

L'articolo 4, paragrafo 1, lettera d), terza frase prevede che gli Stati membri possono disporre per il trattamento dei dati diversi livelli di accuratezza ed affidabilità. Secondo il GEPD tale disposizione deroga al principio generale dell'accuratezza. Raccomanda pertanto di precisare la natura derogatoria della disposizione aggiungendo all'inizio della terza frase dell'articolo 4, paragrafo 1, lettera d) il termine «tuttavia» o «ciononostante». In tali casi, quando cioè non sia possibile garantire pienamente l'accuratezza dei dati, il responsabile del trattamento è tenuto a distinguere i dati sulla base del loro livello di accuratezza ed affidabilità, facendo in particolare riferimento alla fondamentale distinzione tra i dati basati sui fatti e i dati basati su opinioni e considerazioni personali. Il GEPD sottolinea l'importanza di tale obbligo sia per le persone interessate, sia per le autorità incaricate dell'applicazione della legge, soprattutto quando il trattamento dei dati avvenga lontano dalla loro fonte (cfr. punto 7 del presente parere).

83.

Il principio generale sancito all'articolo 4, paragrafo 1, lettera d) è integrato dalle garanzie più specifiche previste dall'articolo 9 relativo alla verifica della qualità dei dati. In particolare l'articolo 9 prevede che:

84.

Pertanto, se applicati congiuntamente, l'articolo 4, paragrafo 1 e l'articolo 9 assicurano che la qualità dei dati personali sia adeguatamente verificata sia dalla persona interessata, sia dalle autorità che sono più vicine alle fonti dei dati trattati e che pertanto sono maggiormente in grado di controllarli.

85.

Il GEPD giudica positivamente tali disposizioni in quanto, pur essendo incentrate sulle esigenze delle autorità incaricate dell'applicazione della legge, assicurano che ogni dato sia tenuto nella debita considerazione e utilizzato in base alla sua accuratezza e affidabilità, evitando così che la persona interessata sia penalizzata in modo sproporzionato dall'eventuale imprecisione di alcuni dati che la riguardano.

86.

La verifica della qualità dei dati è per la persona interessata un elemento essenziale di protezione, specialmente per quanto riguarda i dati personali trattati dalle autorità di polizia e dalle autorità giudiziarie. Il GEPD deplora pertanto che l'applicabilità dell'articolo 9 relativo alla verifica della qualità dei dati sia limitata ai dati trasmessi ad altri Stati membri o resi loro disponibili. Purtroppo ciò comporta che la qualità dei dati personali, essenziale anche a fini di applicazione della legge, venga pienamente garantita solo quando i dati in questione sono trasmessi o resi disponibili ad altri Stati membri, ma non quando sono trattati all'interno di uno Stato membro. (17). Nell'interesse sia delle persone interessate, sia delle autorità competenti, è invece essenziale assicurare che la corretta verifica della qualità si applichi a tutti i dati personali, compresi quelli non trasmessi o resi disponibili da un altro Stato membro.

87.

Il GEPD raccomanda pertanto di eliminare in ogni caso i limiti del campo di applicazione dell'articolo 9, paragrafi 1 e 6 spostando tali disposizioni nel capitolo II della proposta.

88.

L'articolo 4, paragrafo 3 prevede per il responsabile del trattamento l'obbligo di effettuare una chiara distinzione tra i dati personali di diverse categorie di persone (persone sospettate, persone condannate, testimoni, vittime, informatori, persone in contatto, altre categorie di persone). Il GEPD è favorevole a tale impostazione. Se è vero che le autorità incaricate dell'applicazione della legge e le autorità giudiziarie potrebbero avere bisogno di trattare dati relativi a categorie molto diverse di persone, è essenziale distinguere tali dati in base al diverso grado di coinvolgimento in un reato. In particolare le condizioni per la raccolta dei dati, i limiti di tempo, le condizioni in base alle quali si rifiuta l'accesso o non vengono fornite informazioni alla persona interessata, le modalità di accesso ai dati da parte delle autorità competenti dovrebbero rispecchiare le particolarità delle differenti categorie di dati trattati e le diverse finalità per le quali tali dati sono raccolti dalle autorità incaricate dell'applicazione della legge e dalle autorità giudiziarie.

89.

A tale proposito il GEPD chiede di prestare speciale attenzione ai dati relativi alle persone non sospette. Occorre stabilire condizioni e garanzie specifiche per rispettare il principio di proporzionalità ed evitare di recare pregiudizio alle persone non attivamente coinvolte in un reato. La proposta dovrebbe contenere disposizioni supplementari per questa categoria di persone, in modo da restringere le finalità del trattamento, stabilire precisi limiti di tempo e limitare l'accesso ai dati. Il GEPD raccomanda di modificare la proposta di conseguenza.

90.

L'attuale testo della proposta contiene, all'articolo 7, paragrafo 1, una garanzia specifica relativa alle persone non sospette. Secondo il GEPD si tratta di una garanzia importante, soprattutto perché gli Stati membri non è consentito prevedere deroghe. Purtroppo l'articolo 7, paragrafo 1 prevede garanzie specifiche solo riguardo ai limiti di tempo, e la sua applicabilità è limitata alla categoria di persone di cui all'articolo 4, paragrafo 3, ultimo trattino della proposta. Non prevede pertanto garanzie soddisfacenti e non copre l'intero gruppo delle persone non sospette. (18).

91.

Anche i dati relativi alle persone condannate meritano una particolare attenzione. Per quanto riguarda questi dati, infatti, si dovrebbe tenere debito conto delle iniziative recenti e future concernenti gli scambi di informazioni estratte dai casellari giudiziari, assicurandone la coerenza. (19)

92.

Sulla scorta di quanto sopra, il GEPD raccomanda di aggiungere all'articolo 4 un nuovo paragrafo contenente i seguenti elementi:

93.

L'articolo 4, paragrafo 1, lettera e) e l'articolo 7, paragrafo 1 della proposta sanciscono i principi generali che disciplinano i limiti di tempo per la memorizzazione dei dati personali. In linea di massima i dati personali non dovrebbero essere memorizzati per un tempo più lungo di quanto necessario per lo scopo per il quale sono stati raccolti. Ciò è conforme alla normativa UE in materia di protezione dei dati. (20)

94.

Tuttavia la disposizione generale di cui all'articolo 7, paragrafo 1 si applica «tranne che nei casi in cui il diritto nazionale stabilisca diversamente». Il GEPD rileva che si tratta di un'eccezione molto generale che va oltre le deroghe ammissibili a norma dell'articolo 4, paragrafo 1, lettera e) e propone di sopprimere la deroga generale di cui all'articolo 7, paragrafo 1, o quantomeno di limitare esplicitamente gli interessi pubblici che giustificano il ricorso a tale deroga da parte degli Stati membri. (21)

95.

L'articolo 7, paragrafo 2 prevede che il rispetto dei limiti di tempo sia assicurato mediante adeguate misure procedurali e tecniche e sia regolarmente verificato. IL GEPD si compiace per tale disposizione, ma raccomanda di stabilire esplicitamente che le adeguate misure procedurali e tecniche dovrebbero prevedere la soppressione automatica e periodica dei dati personali dopo un certo lasso di tempo.

96.

L'efficacia della cooperazione giudiziaria e di polizia all'interno delle frontiere dell'UE dipende sempre più dalla cooperazione con i paesi terzi e gli organismi internazionali. Sia a livello nazionale che a livello di UE sono attualmente in discussione, o vengono prese in considerazione, varie azioni volte a migliorare l'applicazione della legge e la cooperazione giudiziaria con paesi terzi o organismi internazionali. (22) È probabile che lo sviluppo di questa cooperazione internazionale dipenderà molto dagli scambi di dati personali.

97.

È quindi essenziale che i principi dell'equità e legittimità del trattamento, e in generali quelli relativi al giusto processo, si applichino anche alla raccolta e agli scambi di dati personali oltre le frontiere dell'Unione, e che i dati personali siano trasferiti a paesi terzi o ad organismi internazionali solo se i paesi terzi in questione assicurano un adeguato livello di protezione o garanzie appropriate.

98.

In questa ottica il GEPD esprime il suo apprezzamento per l'articolo 15 della proposta, che prevede la protezione in caso di trasferimento alle autorità competenti di paesi terzi o a organismi internazionali. Tuttavia tale disposizione, contenuta nel capitolo III della proposta, si applica unicamente ai dati ricevuti o resi disponibili dalle autorità competenti di altri Stati membri. Tale limitazione fa sì che il sistema di protezione dei dati a livello di Unione europea resti carente per quanto riguarda i dati che non sono ricevuti da autorità competenti di altri Stati membri. Secondo il GEPD tale carenza è inaccettabile per i seguenti motivi.

99.

Innanzitutto il livello di protezione offerto dalla normativa UE in caso di trasferimento a un paese terzo non dovrebbe essere determinato dalla fonte dei dati — un'autorità di polizia di uno Stato membro che trasferisce dati ad un paese terzo, o un'autorità di polizia di un altro Stato membro.

100.

In secondo luogo va notato che le norme che disciplinano i trasferimenti di dati personali a paesi terzi rappresentano un principio fondamentale della normativa in materia di protezione dei dati. Tale principio non costituisce soltanto una delle disposizioni fondamentali della direttiva 95/46/CE, ma è sancito anche dal Protocollo addizionale alla Convenzione 108 (23). Le norme comuni relative alla protezione dei dati personali di cui all'articolo 1 della proposta non possono essere garantite se le norme comuni relative ai trasferimenti di dati personali a paesi terzi non contemplano tutte le operazioni di trattamento. Pertanto, se i dati personali potessero essere trasmessi a paesi terzi che non offrono un livello di protezione adeguato, i diritti che la presente proposta garantisce alle persone interessate ne risulterebbero direttamente pregiudicati.

101.

In terzo luogo, per quanto riguarda i dati trattati solo all'interno di un paese, la limitazione del campo di applicazione di tali «norme ai dati scambiati» si tradurrebbe nell'assenza di garanzie: paradossalmente sarebbe più «facile» trasferire dati personali a paesi terzi, senza alcuna protezione adeguata dei dati stessi, piuttosto che ad altri Stati membri. Ne potrebbero conseguire fenomeni di «riciclaggio delle informazioni». Le autorità competenti degli Stati membri potrebbero eludere le norme rigorose sulla protezione dei dati trasmettendo i dati a paesi terzi o organismi internazionali, dove un'autorità competente di un altro Stato membro potrebbe avervi accesso o da dove potrebbero addirittura essere rinviati all'autorità di cui sopra.

102.

Pertanto il GEPD raccomanda di modificare la presente proposta per far sì che l'articolo 15 si applichi allo scambio di tutti i dati personali con paesi terzi. Tale raccomandazione non riguarda l'articolo 15, paragrafo 1, lettera c), che di per sé può applicarsi solo ai dati personali scambiati con altri Stati membri.

103.

L'articolo 15 stabilisce per i trasferimenti alle autorità competenti di paesi terzi o ad organismi internazionali una serie di condizioni paragonabili a quelle previste dall'articolo 25 della direttiva 95/46/CE. Tuttavia l'articolo 15, paragrafo 6 prevede la possibilità di trasferire dati a paesi terzi o organismi internazionali in cui non è garantito un adeguato livello di protezione dei dati se il trasferimento è assolutamente necessario per salvaguardare gli interessi essenziali di uno Stato membro o per prevenire gravi pericoli imminenti che minacciano la sicurezza pubblica o una persona o più persone specifiche.

104.

Occorre precisare quando sia applicabile l'eccezione di cui al paragrafo 6. Pertanto il GEPD raccomanda:

105.

In considerazione dell'intensificarsi degli scambi di dati personali con le autorità giudiziarie e di polizia di paesi terzi, si dovrebbe altresì prestare particolare attenzione ai dati personali «importati» da paesi terzi che non offrono adeguate garanzie di rispetto dei diritti umani e, in particolare, di protezione dei dati personali.

106.

In una prospettiva più ampia il GEPD ritiene che il legislatore debba garantire che i dati personali ricevuti da paesi terzi siano almeno conformi alle norme internazionali relative al rispetto dei diritti umani. Ad esempio le autorità incaricate dell'applicazione della legge e le autorità giudiziarie non dovrebbero trattare o fare affidamento su dati raccolti sotto tortura o in violazione dei diritti umani, o liste nere basate esclusivamente su opinioni politiche o preferenze sessuali a meno che ciò non avvenga nell'interesse della persona interessata. Pertanto il GEPD raccomanda che tale punto sia precisato almeno in un considerando della proposta, eventualmente con un riferimento ai pertinenti strumenti internazionali. (24)

107.

Per quanto riguarda più specificamente la protezione dei dati personali, il GEPD rileva che, quando i dati personali sono trasmessi da paesi privi di norme e garanzie adeguate in materia di protezione dei dati personali, occorre valutare debitamente l'eventuale mancanza di qualità dei dati onde evitare che le autorità incaricate dell'applicazione della legge dell'UE facciano erroneamente affidamento su tali informazioni e che si arrechi pregiudizio alle persone interessate.

108.

Il GEPD raccomanda pertanto di aggiungere all'articolo 9 della proposta una disposizione che impone di valutare specificamente la qualità dei dati personali trasmessi da paesi terzi all'atto della loro ricezione e di indicare il grado di accuratezza e di affidabilità di tali dati.

109.

Gli articoli 13 e 14 della proposta stabiliscono una serie di requisiti che devono essere soddisfatti nei casi in cui i dati personali vengono ulteriormente trasmessi a privati e ad autorità diverse dalle autorità incaricate dell'applicazione della legge. Come indicato in precedenza, questi articoli integrano le norme più generali figuranti al Capitolo II, che dovrebbero comunque essere rispettate.

110.

Il GEPD ritiene che il trasferimento a privati e ad altri organismi pubblici possa essere necessario in casi particolari allo scopo di prevenire e combattere la criminalità, ma che esso debba essere soggetto a condizioni specifiche e rigorose. Ciò è conforme al punto di vista espresso dai commissari europei per la protezione dei dati nel documento di sintesi di Cracovia (25).

111.

In questa prospettiva, il GEPD ritiene che le condizioni supplementari stabilite dagli articoli 13 e 14 possano essere considerate soddisfacenti se applicate unitamente alle norme generali di cui al Capitolo II, compresa un'applicazione globale delle norme sull'ulteriore trattamento (cfr. IV.2). Tuttavia, l'attuale proposta limita l'applicabilità degli articoli 13 e 14 ai dati personali ricevuti o resi disponibili dalle autorità competenti di un altro Stato membro. (26)

112.

L'applicabilità generale di queste ultime condizioni è ancor più importante se si considera il crescente scambio di dati fra autorità incaricate dell'applicazione della legge e altre autorità o privati, anche all'interno degli Stati membri. Il partenariato pubblico/privato in attività di applicazione della legge ne costituisce un esempio .

113.

Il GEPD raccomanda quindi di modificare l'attuale proposta per assicurare che gli articoli 13 e 14 si applichino agli scambi di tutti i dati personali, compresi quelli non trasmessi o resi disponibili da un altro Stato membro. Questa raccomandazione non riguarda l'articolo 13, lettera c) e l'articolo 14, lettera c).

114.

Lo scambio di dati personali con privati è bidirezionale: comporta la trasmissione o la messa a disposizione di dati personali anche da parte di privati ad autorità incaricate dell'applicazione della legge e autorità giudiziarie.

115.

In tal caso i dati personali raccolti per scopi commerciali (transazioni commerciali, marketing, fornitura di servizi, ecc.) e gestiti da responsabili del controllo privati sono accessibili alle autorità pubbliche e da esse ulteriormente utilizzati per l'assai diverso scopo della prevenzione, delle indagini, dell'accertamento o del perseguimento dei reati penali. Inoltre, l'accuratezza e l'affidabilità dei dati trattati per scopi commerciali dev'essere attentamente valutata allorquando detti dati sono utilizzati a fini di applicazione della legge (27).

116.

Un recentissimo e importante esempio di accesso a basi dati private a fini di applicazione della legge è rappresentato dal testo approvato della direttiva sulla conservazione dei dati sulle comunicazioni (cfr. punti 16-18), in base al quale i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione dovranno conservare fino a due anni i dati concernenti le comunicazioni per assicurare che essi siano disponibili ai fini delle indagini, dell'accertamento e del perseguimento di reati gravi. In base al testo approvato, le questioni concernenti l'accesso a questi dati travalicano la legislazione comunitaria e potrebbero non essere disciplinati dalla direttiva. Queste importanti questioni potrebbero invece essere oggetto di legislazione nazionale o di azioni nel quadro del Titolo VI del TUE (28).

117.

Nel suo parere sulla proposta di direttiva, il GEPD ha difeso un'interpretazione più ampia del trattato CE, in quanto la limitazione dell'accesso è necessaria per assicurare un'adeguata protezione della persona interessata i cui dati in materia di comunicazioni debbono essere conservati. Sfortunatamente, il legislatore europeo non ha incluso nella succitata direttiva norme in materia di accesso.

118.

Nel presente parere, il GEPD afferma nuovamente di preferire nettamente che la legislazione UE fornisca norme comuni sull'accesso e sull'ulteriore utilizzo da parte delle autorità incaricate dell'applicazione della legge. Fintantoché ciò non sarà trattato nell'ambito del primo pilastro, uno strumento del terzo pilastro potrebbe fornire la necessaria tutela. Questa posizione del GEPD è altresì corroborata dal generale aumento degli scambi di dati fra Stati membri e dalla recente proposta sul principio di disponibilità. Norme nazionali diverse sull'accesso e sull'ulteriore utilizzo non sarebbero compatibili con la proposta «libera circolazione» a livello di UE delle informazioni in materia di applicazione della legge che comprende anche dati provenienti da basi dati private.

119.

Di conseguenza, il GEPD ritiene che si debbano applicare norme comuni in materia di accesso da parte delle autorità incaricate dell'applicazione della legge a dati personali conservati da privati, così da assicurare che l'accesso venga permesso unicamente sulla base di condizioni e limitazioni ben definite. In particolare, l'accesso da parte delle autorità competenti dovrebbe essere consentito soltanto caso per caso, in circostanze e per scopi specifici, ed essere sottoposto a controllo giudiziario negli Stati membri.

120.

Il Capitolo IV riguarda i diritti della persona interessata secondo modalità generalmente coerenti con l'attuale normativa in materia di protezione dei dati e con l'articolo 8 della Carta dei diritti fondamentali dell'UE.

121.

Il GEPD saluta con favore queste disposizioni, in quanto esse forniscono una serie armonizzata di diritti per le persone interessate, tenendo conto delle particolarità del trattamento da parte delle autorità incaricate dell'applicazione della legge e delle autorità giudiziarie. Si tratta di un miglioramento significativo considerato che l'attuale situazione è caratterizzata da un'ampia varietà di norme e pratiche, soprattutto per quanto riguarda il diritto di accesso. Alcuni Stati membri non consentono alla persona interessata di accedere ai suoi dati ma hanno un sistema di «accesso indiretto» (da parte dell'autorità nazionale preposta alla protezione dei dati a nome della persona interessata).

122.

Nella proposta, le eventuali deroghe al diritto di accesso diretto sono armonizzate. Ciò è particolarmente importante per consentire ai cittadini i cui dati sono sempre più trattati e scambiati da autorità competenti di diversi Stati membri UE di avvalersi di una serie armonizzata di diritti in quanto persone interessate, a prescindere dallo Stato membro in cui i dati vengono raccolti o trattati (29).

123.

Il GEPD riconosce l'opportunità di limitare i diritti delle persone interessate nei casi in cui ciò sia necessario ai fini della prevenzione, delle indagini, dell'accertamento o del perseguimento di reati penali. In ogni caso, poiché queste limitazioni devono essere considerate eccezioni ai diritti fondamentali delle persone interessate, si dovrebbe applicare una rigorosa verifica sotto il profilo della proporzionalità. Ciò significa che le eccezioni dovrebbero essere limitate e ben definite e che le restrizioni dovrebbero essere, dove possibile, parziali e limitate nel tempo.

124.

In questa prospettiva, il GEPD vorrebbe attirare l'attenzione del legislatore soprattutto sulla lettera a) del paragrafo 2 degli articoli 19, 20, 21, che stabilisce un'assai ampia ed indefinita deroga ai diritti delle persone interessate, affermando che questi diritti possono essere limitati, se necessario, per «permettere al responsabile del controllo di svolgere correttamente i propri compiti». Inoltre, questa deroga si sovrappone alla disposizione della lettera b), che permette limitazioni dei diritti delle persone interessate allorquando ciò sia necessario per «non compromettere le indagini, inchieste o procedimenti in corso o lo svolgimento dei legittimi doveri delle autorità competenti». Mentre quest'ultima deroga può essere considerata giustificata, la prima sembra imporre una limitazione sproporzionata dei diritti della persona interessata. Pertanto, il GEPD raccomanda di sopprimere la lettera a) del paragrafo 2 degli articoli 19, 20, 21.

125.

Inoltre, il GEPD raccomanda di migliorare gli articoli 19, 20, 21 come segue:

126.

Il GEPD esprime rammarico per il fatto che la proposta non affronti per niente l'importante questione delle decisioni individuali automatiche. In effetti, l'esperienza pratica dimostra che le autorità incaricate dell'applicazione della legge fanno un uso sempre crescente del trattamento automatico di dati al fine di valutare determinati aspetti personali degli individui, in particolare per valutarne l'affidabilità e la condotta.

127.

Il GEPD — pur riconoscendo che questi sistemi potrebbero essere necessari in certi casi per aumentare l'efficacia delle attività di applicazione della legge — osserva che le decisioni basate unicamente sul trattamento automatico di dati dovrebbero essere soggette a condizioni e salvaguardie molto rigide allorquando producono effetti giuridici nei confronti di una persona oppure comportano per questa significative conseguenze. Ciò ha ancor maggiore importanza nel contesto del terzo pilastro, giacché in questo caso le autorità competenti sono dotate di un potere pubblico coercitivo e pertanto le loro decisioni o azioni possono avere conseguenze su di una persona o essere più intrusive di quanto accadrebbe normalmente allorquando siffatte decisioni/azioni sono prese da privati.

128.

In particolare, e conformemente ai principi generali in materia di protezione di dati, siffatte decisioni o azioni dovrebbero essere consentite soltanto se espressamente autorizzate dalla legge o dalla competente autorità di sorveglianza e dovrebbero essere soggette a misure appropriate volte a salvaguardare gli interessi legittimi della persona interessata. Inoltre, la persona interessata dovrebbe disporre di strumenti prontamente disponibili che le consentano di presentare il suo punto di vista ed essere in grado di conoscere la logica della decisione, a meno che ciò non sia incompatibile con lo scopo per il quale i dati vengono trattati.

129.

Il GEPD raccomanda pertanto di introdurre una disposizione specifica sulle decisioni individuali automatiche, in linea con l'attuale legislazione UE in materia di protezione di dati.

130.

Per quanto riguarda la sicurezza del trattamento, l'articolo 24 prevede che il responsabile del trattamento sia tenuto a prendere misure tecniche ed organizzative adeguate, in linea con le disposizioni degli altri strumenti UE in materia di protezione dei dati. Inoltre, il paragrafo 2 contiene un elenco completo e dettagliato delle misure da adottare per il trattamento automatizzato dei dati.

131.

Il GEPD si rallegra di questa disposizione; tuttavia, nell'intento di facilitare un efficace controllo da parte delle competenti autorità, suggerisce di aggiungere all'elenco delle misure enumerate nel paragrafo 2 la seguente misura supplementare: «k) garantire il controllo sistematico e la verifica dell'efficacia delle misure di sicurezza (autocontrollo sistematico delle misure di sicurezza)»  (30).

132.

L'articolo 10 stabilisce che qualsiasi trasmissione o ricevimento automatico di dati personali venga registrato (in caso di trasmissione automatica) o documentato (in caso di trasmissione non automatica) onde garantire la successiva verifica della legittimità della trasmissione e del trattamento dei dati. Dette informazioni sono comunicate all'autorità di controllo competente su richiesta di quest'ultima.

133.

Il GEPD si compiace di questa disposizione. Rileva tuttavia che per assicurare un controllo globale e verificare l'uso corretto dei dati personali sarebbe opportuno registrare o documentare anche l'accesso ai dati. Ciò è essenziale, in quanto un controllo efficace del corretto trattamento dei dati personali deve incentrarsi non soltanto sulla legittimità della trasmissione dei dati personali tra autorità, ma anche sulla legittimità dell'accesso da parte delle medesime autorità (31). Pertanto, il GEPD raccomanda di modificare l'articolo 10 prevedendo che anche l'accesso ai dati sia registrato o documentato.

134.

Il capitolo VI della proposta concerne i ricorsi giurisdizionali (articolo 27), la responsabilità (articolo 28) e le sanzioni (articolo 29). Le disposizioni sono in generale coerenti con la vigente normativa UE in materia di protezione dei dati.

135.

In particolare, per quanto riguarda le sanzioni, il GEPD si rallegra della precisazione secondo cui, in caso di violazione delle disposizioni di attuazione della decisione quadro, le sanzioni dovranno essere efficaci, commisurate e dissuasive. Inoltre, le sanzioni penali previste per i reati commessi intenzionalmente che comportano violazioni gravi — segnatamente con riguardo alla riservatezza e alla sicurezza del trattamento — assicureranno un effetto dissuasivo maggiore per le violazioni più gravi della normativa in materia di protezione dei dati.

136.

Le disposizioni della proposta relative al controllo e alla sorveglianza del trattamento dei dati nonché alla consultazione sulle questioni attinenti al trattamento dei dati sono in larga misura analoghe alle disposizioni della direttiva 95/46/CE. Il GEPD si compiace che nella sua proposta la Commissione abbia optato per meccanismi già sperimentati e ben funzionanti e sottolinea in particolare l'introduzione di un sistema (obbligatorio) di controllo preliminare. Tale sistema è previsto non soltanto dalla direttiva 95/46/CE, ma anche dal regolamento 45/2001/CE e si è dimostrato uno strumento efficace a disposizione del GEPD per la sorveglianza del trattamento dei dati da parte delle istituzioni e degli organi della Comunità europee.

137.

Un altro strumento di controllo e sorveglianza del trattamento dei dati dimostratosi efficace è la nomina dei responsabili della protezione dei dati da parte di un responsabile del trattamento. Tale strumento, già applicato in vari Stati membri, è previsto dal regolamento 45/2001/CE come strumento obbligatorio e svolge un ruolo chiave a livello di Comunità europee. I responsabili della protezione dei dati sono amministratori incaricati di garantire in maniera indipendente, nell'ambito di un'organizzazione, l'applicazione interna delle disposizioni in materia di protezione dei dati.

138.

Il GEPD raccomanda di aggiungere le disposizioni in materia di responsabili della protezione dei dati alla proposta. Tali disposizioni potrebbero essere elaborate sul modello degli articoli da 24 a 26 del regolamento 45/2001/CE.

139.

La proposta di decisione quadro è destinata agli Stati membri. È pertanto logico che l'articolo 30 preveda un controllo da parte di autorità di sorveglianza indipendenti. Detto articolo è formulato in modo analogo all'articolo 28 della direttiva 95/46/CE. Le autorità nazionali dovrebbero cooperare tra di loro, come pure con le autorità di controllo comuni istituite ai sensi del titolo VI del trattato UE e con il GEPD. Inoltre, l'articolo 31 della proposta prevede l'istituzione di un gruppo di lavoro destinato a svolgere un ruolo analogo a quello previsto per il gruppo di cui all'articolo 29 nelle materie del primo pilastro. Tutti i soggetti attivi nell'ambito della protezione dei dati sono menzionati nell'articolo 31 della proposta.

140.

È chiaro che, in una proposta destinata a migliorare la cooperazione giudiziaria e di polizia tra Stati membri, la cooperazione tra tutti i soggetti impegnati nel campo della protezione dei dati svolge un ruolo importante. Pertanto, il GEPD si rallegra del risalto dato nella proposta alla cooperazione tra autorità di controllo.

141.

Inoltre, il GEPD sottolinea l'importanza di un approccio coerente per quanto riguarda le questioni attinenti alla protezione dei dati, che potrebbe essere rafforzato promuovendo la comunicazione tra il gruppo di cui all'articolo 29 e il gruppo di lavoro istituito dall'attuale proposta di decisione quadro. Il GEPD raccomanda che l'articolo 31, paragrafo 2 della proposta sia modificato per autorizzare il presidente del gruppo di cui all'articolo 29 a partecipare o a farsi rappresentare alle riunioni del nuovo gruppo di lavoro.

142.

Il testo dell'articolo 31 della presente proposta contiene una notevole differenza rispetto all'articolo 29 della direttiva 95/46/CE. Il GEPD è membro a pieno titolo del gruppo di cui all'articolo 29. Ciò comprende il diritto di voto. La proposta attuale prevede anch'essa la partecipazione del GEPD al gruppo di lavoro (in base all'articolo 31), ma non il diritto di voto. Non è chiaro per quale motivo l'attuale proposta si discosti dall'articolo 29 della direttiva 95/46/CE. Secondo il GEPD il testo proposto è ambiguo circa il ruolo del GEPD, il che potrebbe ostacolare l'efficacia della sua partecipazione ai lavori del gruppo di lavoro. Il GEPD raccomanda pertanto di mantenere la coerenza con il testo della direttiva.

143.

Il capitolo VIII della proposta contiene alcune disposizioni finali che modificano la convenzione Schengen e altri strumenti relativi al trattamento e alla protezione dei dati personali.

144.

L'articolo 33 della proposta stabilisce che gli articoli da 126 a 130 della convenzione Schengen sono sostituiti dalla decisione quadro per le materie che ricadono nell'ambito di applicazione del trattato UE. I suddetti articoli della convenzione Schengen contengono le norme generali in materia di protezione dei dati relativamente al trattamento dei dati trasmessi in applicazione della convenzione (ma al di fuori del Sistema d'Informazione Schengen).

145.

Il GEPD si compiace di questa sostituzione, che migliora la coerenza del regime di protezione dei dati nel terzo pilastro e rappresenta per certi versi un miglioramento significativo della protezione dei dati personali, ad esempio grazie al rafforzamento dei poteri delle autorità di controllo. Su alcuni punti essa comporta tuttavia un'involontaria — e inopportuna — diminuzione del livello di protezione dei dati. Alcune disposizioni della convenzione Schengen sono in effetti più restrittive di quelle della decisione quadro.

146.

Il GEPD attira l'attenzione in particolare sull'articolo 126, paragrafo 3, lettera b) della convenzione Schengen, che stabilisce che i dati possono essere utilizzati soltanto dalle autorità giudiziarie, dai servizi e dagli organi che assolvono un compito o una funzione nell'ambito delle finalità stabilite dalla convenzione. Tale disposizione sembra escludere la trasmissione a soggetti privati, che sarebbe invece autorizzata dalla proposta di decisione quadro. Un altro punto riguarda il fatto che le disposizioni in materia di protezione dei dati della convenzione Schengen si applicano anche a tutti i dati trasmessi a partire da un archivio non automatizzato o inseriti in un siffatto archivio (articolo 127), mentre gli archivi non strutturati sono esclusi dal campo di applicazione della proposta di decisione quadro.

147.

L'articolo 34 stabilisce che l'articolo 23 della convenzione relativa all'assistenza giudiziaria in materia penale tra gli Stati membri dell'Unione europea è sostituito dalla decisione quadro. Il GEPD rileva che, se per certi versi questa sostituzione garantirebbe in generale una migliore protezione dei dati personali scambiati nel quadro della convenzione, per altri potrebbe anche far sorgere qualche problema di compatibilità tra i due strumenti.

148.

In particolare, la convenzione riguarda anche l'assistenza giudiziaria in materia di intercettazione delle telecomunicazioni. In questo caso, lo Stato membro richiesto può dare il proprio accordo all'intercettazione o alla trasmissione della registrazione delle telecomunicazioni alle condizioni applicabili in un caso analogo a livello nazionale. Ai sensi dell'articolo 23, paragrafo 4 della convenzione, ove queste condizioni supplementari riguardino l'utilizzo di dati personali, esse prevalgono sulle norme in materia di protezione dei dati di cui all'articolo 23. Analogamente, l'articolo 23, paragrafo 5 stabilisce la precedenza delle norme supplementari a salvaguardia delle informazioni raccolte da squadre investigative comuni. Il GEPD rileva che, qualora l'articolo 23 fosse sostituito dalla proposta in esame, non sarebbe chiaro se le suddette norme supplementari restino applicabili. Raccomanda pertanto di chiarire questo punto, onde valutare attentamente le conseguenze di una sostituzione totale dell'articolo 23 della convenzione con la decisione quadro.

149.

L'articolo 34, paragrafo 2 stabilisce che qualsiasi riferimento alla suddetta convenzione deve essere considerato come un riferimento alla decisione quadro. L'interpretazione e la concreta applicabilità di tale disposizione sono tutt'altro che chiare. Ad ogni modo, il GEPD presume che questa disposizione si applichi soltanto entro i limiti del campo di applicazione ratione materiae della decisione quadro.

150.

Per quanto riguarda la coerenza sistematica del testo della proposta, il GEPD rileva che alcuni articoli potrebbero trovare una collocazione migliore.

Suggerisce pertanto:

a)

L'adozione della presente proposta rappresenterebbe un notevole passo avanti per la protezione dei dati personali, in un settore importante che richiede particolarmente un meccanismo coerente ed efficace per la protezione dei dati personali a livello di Unione europea.

b)

L'efficace protezione dei dati personali non solo è importante per le persone interessate, ma contribuisce anche al successo della stessa cooperazione giudiziaria e di polizia. Per molti aspetti i due interessi pubblici vanno di pari passo.

c)

Secondo il GEPD, un nuovo quadro per la protezione dei dati dovrebbe non solo rispettare i principi della protezione dei dati — vista l'importanza di garantire la coerenza della protezione dei dati nell'ambito dell'Unione europea — ma anche fornire una serie di norme supplementari che tengano conto della specificità del settore dell'applicazione della legge.

d)

La presente proposta soddisfa tali requisiti: garantisce che i principi esistenti in materia di protezione dei dati di cui alla direttiva 95/46/CE siano applicati nel settore del terzo pilastro, in quanto la maggior parte delle disposizioni della proposta riflettono altri strumenti giuridici dell'UE sulla protezione dei dati personali e sono coerenti con tali strumenti. Inoltre prevede norme comuni che specificano tali principi ai fini dell'applicazione in questo settore, che sono generalmente sufficienti a fornire adeguate garanzie di protezione dei dati nel terzo pilastro.

e)

È essenziale che la decisione quadro, per conseguire il suo obiettivo, riguardi tutti i dati giudiziari e di polizia, anche se tali dati non sono trasmessi o messi a disposizione dalle autorità competenti di altri Stati membri.

f)

L'articolo 30, paragrafo 1, lettera b) e l'articolo 31, paragrafo 1, lettera c) del TUE forniscono una base giuridica per disposizioni sulla protezione dei dati non limitate alla protezione dei dati personali effettivamente scambiati tra le autorità competenti degli Stati membri, ma anche applicabili a situazioni nazionali.

g)

La proposta non si applica al trattamento nel quadro del secondo pilastro del trattato UE (politica estera e di sicurezza comune), né al trattamento dei dati da parte di servizi di intelligence e all'accesso di detti servizi a tali dati quando sono trattati dalle autorità competenti o da altri (il che risulta dall'articolo 33 TUE). In questi settori, spetta al diritto nazionale fornire un'adeguata protezione alle persone interessate. Questo divario nella protezione a livello UE richiede una protezione ancora più efficace nei settori che sono effettivamente contemplati dalla proposta.

h)

Il GEPD si rallegra del fatto che la proposta comprende i dati personali trattati da autorità giudiziarie.

i)

Qualora un altro strumento giuridico specifico adottato in virtù del titolo VI del trattato UE preveda condizioni o restrizioni più precise per il trattamento dei dati o per l'accesso ai dati, lo strumento giuridico specifico dovrebbe applicarsi in quanto lex specialis.

j)

La presente proposta di decisione quadro del Consiglio sulla protezione dei dati personali ha i suoi meriti ed è necessaria anche in mancanza di uno strumento giuridico sulla disponibilità (come proposto dalla Commissione il 12 ottobre 2005).

k)

L'approvazione da parte del Parlamento europeo della direttiva riguardante la conservazione dei dati sulle comunicazioni rende ancora più urgente stabilire un quadro giuridico per la protezione dei dati nel terzo pilastro.

l)

Le norme supplementari di cui al capitolo II (in aggiunta ai principi generali della direttiva 95/46/CE) dovrebbero fornire una protezione addizionale alle persone interessate in relazione al contesto specifico del terzo pilastro, ma non possono comportare un abbassamento del livello di protezione.

m)

Il capitolo III relativo a forme specifiche di trattamento (in cui è inserito il terzo livello di protezione) non può derogare al capitolo II: le disposizioni del capitolo III dovrebbero offrire una protezione addizionale alle persone interessate in situazioni in cui sono coinvolte le autorità competenti di più di uno Stato membro, ma tali disposizioni non possono comportare un abbassamento del livello di protezione.

n)

Le disposizioni in materia di verifica della qualità dei dati (articolo 9, paragrafi 1 e 6) e quelle che disciplinano l'ulteriore trattamento dei dati personali (articolo 11, paragrafo 1) dovrebbero essere trasferite al capitolo II e rese applicabili a tutti i trattamenti di dati da parte delle autorità incaricate dell'applicazione della legge, anche se i dati personali non sono stati trasmessi o resi disponibili da un altro Stato membro. E' essenziale, in particolare, sia per le persone interessate che per le autorità competenti, assicurare che un'adeguata verifica della qualità sia effettuata per tutti i dati personali.

o)

La proposta non affronta in modo del tutto soddisfacente una situazione che può verificarsi nelle attività di polizia, ossia la necessità di utilizzare ulteriormente i dati per una finalità considerata incompatibile con quella per cui erano stati rilevati.

p)

In base alla normativa UE sulla protezione dei dati i dati personali devono essere rilevati per finalità determinate ed esplicite ed essere successivamente trattati in modo non incompatibile con tali finalità. Dev'essere consentita una certa flessibilità quanto all'uso ulteriore. La limitazione relativa alla rilevazione ha maggiori probabilità di essere rispettata se le autorità responsabili della sicurezza interna sanno di poter fare affidamento, con appropriate garanzie, su una deroga alla limitazione per l'uso ulteriore.

q)

La decisione quadro dovrebbe stabilire nel capitolo II che gli Stati membri possono adottare misure legislative per consentire l'ulteriore trattamento qualora una siffatta misura sia necessaria per garantire:

Tali competenze degli Stati membri potrebbero implicare un trattamento invasivo della vita privata e dovrebbero pertanto essere corredate di condizioni molto rigorose.

r)

I principi di necessità e proporzionalità della proposta dovrebbero riflettere appieno la giurisprudenza della Corte europea dei diritti dell'uomo, assicurando che il trattamento di dati personali sia considerato necessario solo qualora le autorità competenti possano chiaramente dimostrarne la necessità e a condizione che non siano disponibili misure meno invasive della vita privata.

s)

La possibilità di trasmettere dati ai paesi terzi senza garantire la protezione della persona interessata comprometterebbe in modo grave la protezione prevista dalla presente proposta nel territorio dell'Unione europea. Il GEPD raccomanda pertanto di modificare la presente proposta per far sì che l'articolo 15 si applichi allo scambio di tutti i dati personali con paesi terzi. Tale raccomandazione non riguarda l'articolo 15, paragrafo 1, lettera c).

t)

Allorché dati personali sono trasmessi da paesi terzi, prima dell'utilizzo di tali dati dovrebbe esserne valutata attentamente la qualità alla luce del rispetto dei diritti umani e delle norme in materia di protezione dei dati.

u)

Il trasferimento a privati e ad altri organismi pubblici può essere necessario in casi particolari allo scopo di prevenire e combattere la criminalità, ma esso dovrebbe essere soggetto a condizioni specifiche e rigorose. Il GEPD raccomanda di modificare l'attuale proposta per assicurare che gli articoli 13 e 14 si applichino agli scambi di tutti i dati personali, compresi quelli non trasmessi o resi disponibili da un altro Stato membro. Questa raccomandazione non riguarda l'articolo 13, lettera c) e l'articolo 14, lettera c).

v)

Si dovrebbero applicare norme comuni in materia di accesso da parte delle autorità incaricate dell'applicazione della legge a dati personali conservati da privati, così da assicurare che l'accesso venga permesso unicamente sulla base di condizioni e limitazioni ben definite.

w)

Si dovrebbero prevedere garanzie specifiche, in particolare allo scopo di assicurare che:

x)

I dati personali riguardanti diverse categorie di persone (persone sospettate, persone condannate, vittime, testimoni, ecc.) dovrebbero essere trattati in base a condizioni e salvaguardie diverse e appropriate. Pertanto il GEPD propone di aggiungere all'articolo 4 un nuovo paragrafo contenente i seguenti elementi:

y)

Le decisioni basate unicamente sul trattamento automatico di dati dovrebbero essere soggette a condizioni e salvaguardie molto rigide allorquando producono effetti giuridici nei confronti di una persona oppure comportano per questa significative conseguenze. Pertanto il GEPD raccomanda di introdurre disposizioni specifiche sulle decisioni individuali automatiche, analoghe a quelle previste dalla direttiva 95/46/CE.

z)

Il GEPD raccomanda quanto segue:

1.

quando non avrebbero dovuto essere trasmessi, resi disponibili o ricevuti;

2.

dopo un limite di tempo comunicato dall'autorità che trasmette, a meno che i dati personali non servano ulteriormente per un procedimento giudiziario;

3.

se non sono o non sono più necessari per il fine per cui erano stati trasmessi.