21.7.2007   

IT

Gazzetta ufficiale dell'Unione europea

C 169/2

1.

Nel febbraio 2007 15 Stati membri hanno adottato l'iniziativa in vista dell'adozione di una decisione del Consiglio sul rafforzamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo ed alla criminalità transfrontaliera (3). Detta iniziativa tratta questioni concernenti il trattamento dei dati personali. Il garante europeo della protezione dei dati ha il compito di fornire consulenza sulla presente iniziativa poiché essa rientra nell'ambito dei compiti affidatigli, in particolare all'articolo 41 del regolamento (CE) n. 45/2001. Il GEPD formula il presente parere di propria iniziativa, poiché non gli è stata inviata alcuna richiesta di consulenza (4). Secondo il GEPD il presente parere dovrebbe essere menzionato nel preambolo della decisione del Consiglio (5).

2.

La cronistoria della presente iniziativa è unica all'interno della cooperazione del terzo pilastro. L'iniziativa mira a rendere applicabili a tutti gli Stati membri le parti essenziali del trattato di Prüm, firmato il 27 maggio 2005 da sette Stati membri (6). Queste parti essenziali sono già state ratificate da alcuni di questi sette Stati membri, mentre per altri è in corso il processo di ratifica. Chiaramente non si intende cambiare la sostanza di queste parti essenziali (7).

3.

In conformità dei considerando l'iniziativa deve essere vista come un'attuazione del principio di disponibilità che è stato presentato nel programma dell'Aia del 2004 come un approccio innovativo allo scambio transfrontaliero di informazioni in materia di applicazione della legge (8). L'iniziativa è presentata come un'alternativa alla proposta di decisione quadro del Consiglio sullo scambio di informazioni in virtù del principio di disponibilità sulla quale il GEPD ha presentato il suo parere il 28 febbraio 2006 (9), proposta che non è stata discussa in sede di Consiglio in vista della sua adozione.

4.

L'iniziativa assume un approccio fondamentalmente diverso da quello della suddetta proposta di decisione quadro del Consiglio. Mentre detta proposta prevede l'accesso diretto alle informazioni disponibili, l'iniziativa mira all'accesso indiretto tramite dati indicizzati. L'iniziativa prevede inoltre che gli Stati membri raccolgano e conservino talune informazioni, anche se esse non sono ancora disponibili a livello della giurisdizione nazionale.

5.

Nell'iniziativa un accento importante è posto sullo scambio di informazioni biometriche tra le autorità di polizia e giudiziarie degli Stati membri, in particolare i dati degli schedari di analisi del DNA e dei sistemi automatizzati di identificazione dattiloscopica [sistemi contenenti impronte digitali (10)].

6.

L'iniziativa contiene un capo 6 intitolato «Disposizioni generali relative alla protezione dei dati». Questo capo contiene una serie di disposizioni relative alla protezione dei dati, appositamente concepite per tenere conto della particolare natura dello scambio di dati che l'iniziativa disciplina (11). Il Capo 6 fa riferimento altresì alla convenzione del Consiglio d'Europa n. 108 (12) e ai documenti correlati del Consiglio d'Europa quale quadro generale per la protezione dei dati, in assenza dell'adozione di una decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale (13).

8.

Il presente parere terrà conto della natura unica dell'iniziativa, più specificatamente del fatto che non sono previste importanti modifiche sostanziali delle disposizioni. Il GEPD si concentrerà pertanto su una serie di questioni più generali connesse all'iniziativa e al suo contesto. Le modifiche che il GEPD propone servono principalmente a migliorare il testo senza modificare il sistema stesso di scambio delle informazioni.

9.

La prima questione è di natura procedurale. L'iniziativa implica che un ristretto numero di Stati membri fissi le scelte politiche di tutti gli Stati membri, in un settore che è coperto dalle disposizioni del trattato sull'Unione europea, segnatamente il titolo VI di detto trattato (il terzo pilastro). Non sono state seguite le procedure del titolo VI in materia di cooperazione rafforzata.

10.

La seconda questione si riferisce al principio di disponibilità. Sebbene l'iniziativa debba essere vista come un'attuazione di detto principio, non conduce alla disponibilità in quanto tale ma è soltanto un ulteriore passo verso la disponibilità di informazioni in materia di applicazione della legge attraverso le frontiere degli Stati membri. E' parte di un approccio frammentario volto a facilitare lo scambio di informazioni in materia di applicazione della legge.

11.

La terza questione può essere circoscritta come la questione della proporzionalità. È difficile valutare se le disposizioni dell'iniziativa relativa ad una decisione del Consiglio siano giustificate dall'esigenza di lottare contro il terrorismo e la criminalità transfrontaliera. Il GEPD rammenta che la Convenzione di Prüm è stata istituita come un laboratorio per lo scambio transfrontaliero di informazioni, in particolare schedari di analisi del DNA e impronte digitali. Comunque la presente iniziativa è introdotta prima che gli esperimenti in materia di scambio siano stati effettivamente messi in pratica (14).

12.

La quarta questione riguarda l'uso dei dati biometrici. L'iniziativa richiede la raccolta, la conservazione, lo scambio (limitato) degli schedari di analisi del DNA e delle impronte digitali. L'uso di questi dati biometrici in materia di applicazione della legge presenta rischi specifici per le persone interessate e necessita di ulteriori garanzie al fine di tutelare i loro diritti.

13.

La quinta questione deriva dal fatto che la decisione del Consiglio dovrebbe basarsi su un adeguato quadro generale per la protezione dei dati nel terzo pilastro, che non è ancora in atto a livello di UE. Nel presente parere il GEPD illustrerà l'importanza di tale quadro generale quale condizione imprescindibile per lo scambio di dati personali da parte delle autorità preposte all'applicazione della legge sulla base della presente iniziativa.

14.

Il trattato di Prüm è spesso paragonato, per ovvi motivi, all'accordo di Schengen del 1985 e alla convenzione di Schengen del 1990. Gli Stati interessati sono più o meno gli stessi, la materia è simile e c'è uno stretto legame con la cooperazione in seno all'UE (15). C'è tuttavia una differenza fondamentale rispetto a Schengen. Attualmente vi è un quadro giuridico europeo che permette all'Unione europea di regolamentare le questioni interessate e vi erano piani concreti per utilizzarlo per quanto riguarda le (principali) questioni coperte dal trattato di Prüm. Più in particolare, al momento della conclusione del trattato di Prüm, la Commissione stava preparando una proposta di decisione quadro del Consiglio (16).

14.

Gli Stati membri interessati si sono tuttavia espressi a favore dell'opzione di un trattato multilaterale che consentiva loro di evitare l'ardua via della legislazione del terzo pilastro basata sull'unanimità. Essi hanno nel contempo eluso i requisiti sostanziali e procedurali della cooperazione rafforzata di cui agli articoli 40, 40 A, 43 e 43A del TUE. (17) Questo è tanto più importante quanto più si considera che la procedura sulla cooperazione rafforzata è obbligatoria se vi partecipano almeno 8 Stati membri. Tuttavia, solo sette Stati membri hanno firmato il trattato di Prüm, ma essi hanno successivamente incoraggiato altri Stati membri ad aderire. Si potrebbe sostenere che il trattato di Prüm violi il diritto dell'Unione europea per le suesposte ragioni. Tuttavia, questo argomento è essenzialmente di natura teorica visto che ci si colloca nel contesto del terzo pilastro in cui le competenze della Commissione per assicurare il rispetto, da parte degli Stati membri, del diritto dell'Unione europea sono limitate, così come sono limitate le competenze della Corte di giustizia europea e degli altri organi giurisdizionali.

15.

Attualmente, 15 Stati membri hanno preso l'iniziativa di sostituire il trattato di Prüm con una decisione del Consiglio. Benché non sia formalmente esclusa la possibilità di una modifica sostanziale delle disposizioni, e non possa essere formalmente esclusa, è chiaro che l'obiettivo degli Stati membri che hanno presentato l'iniziativa è quello di non consentire alcuna modifica sostanziale. Questo obiettivo discende dal fatto che sette «Paesi Prüm» hanno appena recepito il trattato di Prüm nel proprio ordinamento interno (o si trovano in una fase avanzata di recepimento) e non desiderano modificare nuovamente le rispettive disposizioni nazionali. L'obiettivo emerge anche dal modo in cui procede la Presidenza tedesca del Consiglio. I tempi dell'adozione sono per esempio molto stretti e l'iniziativa non verrà discussa in sede di Gruppo del Consiglio, bensì soltanto in sede di Comitato dell'articolo 36 (comitato di coordinamento composto di alti funzionari basato sull'articolo 36 del TUE).

16.

Ne consegue che gli altri Stati membri sono privati della possibilità di avere una reale voce in capitolo nella scelta delle regole. Essi hanno soltanto la facoltà di scelta tra partecipare o non partecipare. Visto che il terzo pilastro richiede l'unanimità, se uno Stato membro non approva il testo, ne può derivare che gli altri Stati membri proseguano sulla base della procedura della cooperazione rafforzata.

17.

Questi antefatti influiscono anche sulla legittimità democratica dell'iniziativa, visto che il parere del Parlamento europeo in base all'articolo 39 del TUE può avere ben poco peso nella scelta delle regole. Questo parere può, del pari, avere soltanto un effetto limitato.

18.

Il GEPD deplora che sia stata seguita questa procedura. Si tratta di una procedura che nega ogni necessità di un processo legislativo democratico e trasparente, in quanto non rispetta neppure le già limitate prerogative nell'ambito del terzo pilastro. In questa fase, il GEPD riconosce che è stata scelta questa procedura e pertanto il presente parere si incentrerà ora principalmente sulla sostanza dell'iniziativa.

19.

Infine, il GEPD ha preso atto del fatto che questa iniziativa prevede lo strumento di una decisione del Consiglio e non di una decisione quadro del Consiglio, sebbene l'iniziativa miri al ravvicinamento delle disposizioni legislative e regolamentari degli Stati membri. Questa scelta dello strumento potrebbe essere collegata alla possibilità di adottare misure di attuazione a maggioranza qualificata, laddove si tratti di decisioni del Consiglio in base all'articolo 34, paragrafo 2, lettera c) del TUE. L'articolo 34 dell'iniziativa riguarda queste misure di attuazione.

20.

Il GEPD raccomanda l'aggiunta di una frase all'articolo 34 dell'iniziativa per una decisione del Consiglio, formulata come segue: «Il Consiglio consulta il GEPD prima dell'adozione di una siffatta misura di attuazione». Il motivo di questa modifica è evidente. Le misure di attuazione influiranno nella maggior parte dei casi sul trattamento dei dati personali. Inoltre, se la Commissione non prende un'iniziativa per tali misure, l'articolo 28, paragrafo 2 del regolamento (CE) 45/2001 non trova applicazione.

21.

A questo proposito, si noti che i sette Stati membri che hanno firmato il trattato di Prüm hanno anche concluso, il 5 dicembre 2006, una convenzione di applicazione con le necessarie disposizioni ai fini dell'attuazione e dell'applicazione amministrativa e tecnica del trattato (18). Si può presupporre che questa convenzione di applicazione servirà di modello per le misure di attuazione in base all'articolo 34 dell'iniziativa per una decisione del Consiglio. Il presente parere rinvierà a detta convenzione di applicazione nella misura in cui ciò possa contribuire ad una migliore comprensione dell'iniziativa stessa.

22.

Il principio di disponibilità può essere considerato uno strumento importante per la realizzazione di uno spazio di libertà, sicurezza e giustizia. La libera condivisione delle informazioni tra autorità incaricate dell'applicazione della legge costituisce un passo importante per affrontare le restrizioni territoriali della lotta contro la criminalità derivanti dal mantenimento delle frontiere interne per fini investigativi.

23.

Secondo il programma dell'Aia, il principio di disponibilità significa che, «in tutta l'Unione, un ufficiale di un servizio di contrasto di uno Stato membro che ha bisogno di informazioni nell'esercizio delle sue funzioni può ottenere tali informazioni da un altro Stato membro, e che il servizio di contrasto nell'altro Stato membro che dispone di tali informazioni è tenuto a trasmettergliele per i fini dichiarati, (...)». Il programma sottolinea inoltre che lo «scambio di informazioni dovrebbe sfruttare appieno le nuove tecnologie e i metodi utilizzati dovrebbero essere adeguati ai diversi tipi di informazioni, se del caso attraverso l'accesso reciproco o l'interoperabilità di basi di dati nazionali, oppure l'accesso diretto (on-line)».

24.

A fronte di tali elementi di fondo, l'iniziativa rappresenta soltanto un piccolo passo. Le sue ambizioni sono più ridotte di quelle della proposta della Commissione relativa ad una decisione quadro del Consiglio sullo scambio di informazioni in virtù del principio di disponibilità. L'iniziativa può essere considerata come un passo avanti verso la disponibilità, ma non dà attuazione in senso stretto al principio di disponibilità. Essa integra altre misure intese ad agevolare lo scambio di informazioni investigative, quale la decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorità degli Stati membri dell'Unione europea incaricate dell'applicazione della legge (19), che mira ad assicurare la trasmissione di informazioni e intelligence, su richiesta, alle autorità di altri Stati membri.

25.

Nel suo parere su questa proposta della Commissione, il GEPD ha sostenuto che il principio di disponibilità dovrebbe essere attuato attraverso un approccio più cauto e graduale. In questo approccio, i tipi di dati scambiati in base al principio di disponibilità dovrebbero essere limitati e il solo accesso concesso dovrebbe essere quello indiretto, attraverso i dati di indice (20). L'approccio graduale consente alle parti interessate di monitorare l'efficacia dello scambio d'informazioni per l'applicazione della legge, così come le implicazioni per la protezione dei dati personali del cittadino.

26.

Queste osservazioni si applicano anche alla situazione attuale. Il GEPD accoglie con favore il fatto che la presente iniziativa si avvalga di questo approccio più cauto e graduale come mezzo per dare attuazione al principio di disponibilità.

27.

Gli articoli 5 e 10 dell'iniziativa possono essere considerati come un'illustrazione di questo approccio. Essi si riferiscono alla trasmissione di altri dati personali (e di altri informazioni) in seguito alla constatazione di una concordanza tra profili DNA, rispettivamente impronte digitali. In ambedue i casi si applica la legislazione nazionale dello Stato membro richiesto, comprese le disposizioni relative all'assistenza giudiziaria. L'effetto giuridico dei due articoli in questione è limitato. Essi contemplano norme sul conflitto di legge (a carattere dichiaratorio, che lascia inalterata la situazione attuale), ma non danno attuazione al principio di disponibilità (21).

28.

Lo scambio effettivo di informazioni investigative costituisce un punto nodale della cooperazione di polizia e giudiziaria. E' essenziale ai fini dello sviluppo di uno spazio di libertà, sicurezza e giustizia senza frontiere interne che le informazioni siano disponibili al di là delle frontiere. E' necessario disporre di un quadro giuridico appropriato per agevolare lo scambio.

29.

Diversa è la questione se le disposizioni della presente iniziativa siano giustificate dalla necessità di lottare contro il terrorismo e la criminalità transfrontaliera, o in altri termini, se esse siano necessarie e proporzionate.

30.

In primo luogo, a livello dell'Unione europea, sono state adottate varie misure intese ad agevolare lo scambio di informazioni investigative. In taluni casi, queste misure prevedono l'istituzione di un'organizzazione centralizzata quale Europol o Eurojust, o di un sistema d'informazione centralizzato, quale il Sistema d'informazione Schengen. Altre misure riguardano lo scambio diretto tra Stati membri, ed è il caso ad esempio della presente iniziativa. L'adozione della decisione quadro 2006/960/GAI quale strumento inteso a semplificare lo scambio di informazioni investigative è solo recente.

31.

In generale, nuovi strumenti giuridici in materia di cooperazione di polizia e giudiziaria dovrebbero essere adottati solo dopo una valutazione delle misure legislative già esistenti che porti a concludere che le misure esistenti non sono sufficienti. I considerando della presente iniziativa non forniscono alcuna prova di una completa valutazione delle misure esistenti. Essi citano la decisione quadro 2006/960/GAI e precisano che si dovrebbero sfruttare appieno le nuove tecnologie e che dovrebbe essere agevolato l'accesso reciproco alle banche dati nazionali. Informazioni precise dovrebbero essere scambiate in modo rapido ed efficace. Questo è tutto. Ad esempio non esiste alcun riferimento allo scambio di informazioni tra gli Stati membri tramite il sistema d'informazione Schengen, che è uno strumento essenziale per lo scambio di informazioni tra gli Stati membri.

32.

Il GEPD deplora il fatto che all'origine della presente iniziativa non vi sia stata un'appropriata valutazione delle misure esistenti sullo scambio di informazioni in materia di applicazione della legge ed esorta il Consiglio a includere tale valutazione nella procedura di adozione.

33.

In secondo luogo, come affermato in precedenza, la convenzione di Prüm è stata creata quale «laboratorio» per lo scambio transfrontaliero di informazioni, in particolare il DNA e le impronte digitali. Essa consente agli Stati membri interessati di sperimentare tale scambio. Alla data di presentazione dell'iniziativa relativa a una decisione del Consiglio gli esperimenti non sono stati efficacemente messi in pratica su vasta scala, eccetto un primo scambio tra Germania e Austria (22)..

34.

Il GEPD non è convinto che i primi risultati di questo scambio limitato — per un breve periodo e con il coinvolgimento di due soli Stati membri, per quanto interessante possa dimostrarsi — possa essere utilizzato quale base empirica sufficiente per rendere applicabile il sistema a tutti gli Stati membri.

35.

Il fatto di istituire un sistema per lo scambio di informazioni tra alcuni Stati membri, i quali già hanno esperienza per quanto riguarda le basi di dati del DNA oppure di creare un sistema a livello di UE, che comprenda Stati membri che non hanno alcuna esperienza comporta una differenza di scala. D'altronde, la piccola scala permette stretti contatti tra gli Stati membri coinvolti; quei contatti potrebbero essere inoltre utilizzati per monitorare i rischi per la protezione dei dati personali delle persone interessate. Inoltre, la piccola scala è molto più facile da controllare. Infatti, anche se la stessa convenzione di Prüm fosse necessaria e proporzionata, questo di per sé non significherebbe che la presente iniziativa debba essere valutata nello stesso senso.

36.

In terzo luogo, come sarà dimostrato più avanti in questo parere, sussistono grandi differenze nelle leggi nazionali degli Stati membri, in relazione alla raccolta e all'utilizzo di dati biometrici ai fini dell'applicazione della legge. Anche le pratiche nazionali non sono armonizzate. In questo contesto, sarebbe inoltre opportuno rilevare che un quadro giuridico armonizzato per la protezione dei dati nel terzo pilastro non è stato ancora adottato.

37.

L'iniziativa non armonizza gli elementi essenziali della raccolta e scambio dei differenti tipi di dati contemplati dall'iniziativa. A titolo esemplificativo, l'iniziativa non è precisa per quanto riguarda i fini della raccolta e dello scambio. Le disposizioni sui profili DNA si applicano a tutti i reati oppure uno Stato membro può limitarne l'applicazione ai reati più gravi? L'iniziativa non è chiara nemmeno per quanto riguarda la cerchia delle persone interessate dalla raccolta e dallo scambio. Le basi di dati contengono solo materiale (biometrico) delle persone sospettate e/o condannate, oppure anche materiale di altre persone interessate, come testimoni o altre persone che si trovavano casualmente nei pressi del luogo del reato? Secondo il GEPD, sarebbe stata preferibile un'armonizzazione minima di questi elementi essenziali, anche per garantire il rispetto dei principi di necessità e di proporzionalità.

38.

Il GEPD conclude come illustrato di seguito. Esistono chiare indicazioni che la presente iniziativa potrebbe rappresentare uno strumento utile per la cooperazione di polizia. Questa indicazione è ancora più forte alla luce delle prime esperienze fatte in Germania e in Austria nell'ambito del trattato di Prüm. Tuttavia, non è facile procedere a un esame della necessità e della proporzionalità della presente iniziativa. Il GEPD deplora il fatto che questa iniziativa sia stata presa senza un'adeguata valutazione d'impatto che tenesse conto delle osservazioni espresse in questa parte del parere. Invita il Consiglio a includere tale valutazione nella procedura di adozione e a esaminare, quale parte di tale valutazione, altre opzioni politiche, eventualmente meno invasive della vita privata. (23).

39.

Il GEPD propone altresì di includere una clausola di valutazione nel capo 7 dell'iniziativa (Disposizioni di applicazione e disposizioni finali). Tale clausola di valutazione potrebbe leggersi come segue: «La Commissione presenta al Parlamento europeo e al Consiglio, entro tre anni dalla data di entrata in vigore della presente decisione del Consiglio, una valutazione dell'applicazione della decisione in questione al fine di stabilire se sia necessario modificare le disposizioni di detta decisione del Consiglio.»

40.

Tale clausola di valutazione rappresenta uno strumento particolarmente utile nel contesto attuale qualora la necessità e la proporzionalità di tale iniziativa non siano (già) chiaramente stabilite e qualora sia introdotto un sistema per lo scambio di informazioni a livello di UE, basato su esperienze limitate.

41.

Il capo 2, sull'accesso in linea e sul seguito delle richieste, distingue tre tipi di dati: profili DNA, impronte digitali e dati di immatricolazione dei veicoli. Questa distinzione conduce a due osservazioni di carattere generale.

42.

In primo luogo, deve notarsi che tutti i dati elaborati nell'ambito della decisione del Consiglio, eccettuati i dati di cui all'articolo 13 (24), sono dati personali ai sensi della direttiva 95/46/CE (25) e di altri strumenti del diritto comunitario. Secondo l'articolo 2, lettera a) di tale direttiva, per «dati personali» si intende qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale. La proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale, che — una volta adottata — sarà applicabile allo scambio di informazioni ai sensi della presente iniziativa, utilizza la stessa definizione. Il GEPD deplora il fatto che l'iniziativa non dia una definizione di dati personali e suggerisce, per motivi di certezza del diritto, di includere tale definizione nell'articolo 24.

43.

In ogni caso, secondo la definizione citata al punto precedente, è indubbio che anche le basi di dati contenenti solo i profili DNA e i dati indicizzati degli schedari di analisi del DNA e dei sistemi di identificazione dattiloscopica sono considerati, del tutto o in modo predominante, raccolte di dati personali.

44.

In secondo luogo, lo scopo dello scambio di dati è differente per i tre tipi di dati personali: profili DNA, impronte digitali e dati di immatricolazione dei veicoli. Per quanto riguarda il DNA, gli Stati membri si impegnano a creare e a gestire schedari di analisi del DNA effettuate a livello nazionale per le indagini sui reati (articolo 2, paragrafo 1); per quanto riguarda le impronte digitali, essi garantiscono che siano disponibili dati indicizzati relativi al contenuto dei sistemi nazionali automatizzati d'identificazione dattiloscopica creati per la prevenzione dei reati e le relative indagini (articolo 8) e nel caso dei dati di immatricolazione di veicoli, lo scambio comprende non solo la prevenzione dei reati e le relative indagini, ma anche altri illeciti — non penali — nonché lo scopo di mantenere l'ordine e la sicurezza pubblici (articolo 12, paragrafo 1).

45.

Ugualmente, lo scambio e l'accesso ai dati sul DNA e dattiloscopici è soggetto a garanzie più rigide di quelle in materia di scambio e di accesso ai dati di immatricolazione dei veicoli. Per quanto riguarda i dati sul DNA e dattiloscopici, l'accesso è inizialmente limitato ai dati indicizzati da cui non può essere direttamente identificata la persona interessata. L'iniziativa afferma il principio della separazione in due basi di dati differenti tra i dati biometrici da un lato e i dati di identificazione testuale dall'altro. L'accesso alla seconda base di dati è unicamente possibile se vi è una risposta positiva (hit) nella prima. Tale separazione tra basi di dati non esiste per i dati di immatricolazione dei veicoli, per i quali è previsto un accesso automatico e diretto e non è richiesta una duplice base di dati.

46.

Il GEPD è favorevole ad un accesso differenziato di questo tipo, ritenendolo uno strumento utile per la tutela dell'interessato: quanto più sensibili i dati, tanto più limitati gli scopi per i quali possono essere usati e l'accesso agli stessi. Nel caso specifico del DNA, potenzialmente il più sensibile dei dati personali contemplati dall'iniziativa, i dati possono essere scambiati unicamente ai fini di un'azione penale e non per operazioni di polizia di tipo preventivo. Inoltre, i profili possono essere ricavati soltanto dalla parte non codificante del DNA.

47.

Per quanto riguarda i dati sul DNA, si possono richiamare precedenti pareri del GEPD (26). E' indispensabile definire chiaramente il concetto di dati sul DNA ed operare una distinzione fra profili del DNA e dati sul DNA che possono fornire informazioni sulle caratteristiche genetiche e/o sullo stato di salute di una persona. Occorre tener conto anche dei progressi scientifici: quel che in un dato momento è considerato un profilo di DNA «innocuo», potrebbe rivelare successivamente molte più informazioni di quanto non sia prevedibile e necessario.

48.

L'iniziativa limita la disponibilità ai profili di DNA provenienti dalla parte non codificante del DNA. Nel testo dell'iniziativa mancano tuttavia definizioni precise dei profili di DNA e una procedura volta a definire tali definizioni comuni in base allo stato dell'arte in campo scientifico. L'accordo attuativo del trattato di Prüm (27) definisce la parte non codificante come zone cromosomiche prive di espressione genetica, ossia che notoriamente non forniscono informazioni su specifiche caratteristiche ereditarie. Il GEPD propone di inserire una definizione di parte non codificante nell'iniziativa stessa e di prevedere una procedura volta a garantire che non sia possibile, né ora né mai, ricavare altre informazioni dalla parte non codificante.

49.

L'iniziativa si fonda sul presupposto che la corrispondenza dei profili di DNA costituisce lo strumento chiave della cooperazione di polizia. Per tale motivo, tutti gli Stati membri devono creare banche dati del DNA ai fini della giustizia penale. In considerazione dei costi di tali banche dati e dei rischi sotto il profilo della protezione dei dati, è necessaria una valutazione ex ante approfondita dell'efficacia di questo strumento. La limitata esperienza nello scambio di dati sul DNA fra Germania e Austria non è sufficiente.

50.

Il GEPD osserva, in tale ottica, che l'iniziativa impone a tutti gli Stati membri l'obbligo di creare schedari nazionali di analisi del DNA. Importa sottolineare che vari Stati membri dispongono già da tempo di banche dati nazionali del DNA, mentre altri Stati membri hanno poca se non nessuna esperienza al riguardo. La banca dati più sviluppata in Europa (e nel mondo) è quella del DNA del Regno Unito. Con oltre 3 milioni di voci, è la più ampia raccolta di profili del DNA. La banca dati comprende le persone condannate per un reato come pure quelle arrestate e quelle che hanno fornito volontariamente campioni a fini di soppressione (28). La situazione è diversa in altri paesi. In Germania, ad esempio, sono conservati soltanto i profili relativi alle persone che sono state condannate per reati gravi. E' addirittura presumibile che in Germania il prelievo del DNA per finalità più ampie non sarebbe compatibile con la giurisprudenza della Corte costituzionale (29).

51.

Il GEPD deplora che l'iniziativa non precisi le categorie di persone che saranno inserite nelle banche dati del DNA. Tale precisazione consentirebbe non solo di armonizzare le disposizioni nazionali in materia, contribuendo possibilmente all'efficacia della cooperazione transfrontaliera, ma potrebbe anche accrescere la proporzionalità della raccolta e dello scambio di questi dati personali, purché le categorie di persone siano limitate.

52.

Un tema correlato, lasciato alla disciplina del diritto nazionale degli Stati membri, concerne il periodo di conservazione dei dati negli schedari di analisi del DNA. Il diritto nazionale può disporre che i profili creati in tali schedari siano conservati per tutta la vita dell'interessato a prescindere dall'esito della procedura giudiziaria, ma potrebbe anche prevedere che i profili siano conservati, a meno che la persona non sia stata incriminata e non sia stata pertanto condannata da un giudice, o che la necessità di un'ulteriore conservazione sia esaminata regolarmente (30).

53.

Infine, il GEPD attira l'attenzione sull'articolo 7 relativo al prelievo di materiale cellulare e alla trasmissione dei profili di DNA. Non è prevista una disposizione analoga per le impronte digitali. La disposizione in questione prevede l'obbligo per uno Stato membro di prelevare e analizzare, a richiesta di un altro Stato membro e nell'ambito di indagini o procedimenti penali in corso, il materiale cellulare di una persona e di trasmettere in seguito il profilo di DNA ottenuto all'altro Stato membro, a determinate condizioni. La portata di questo articolo è troppo ampia. E' fatto obbligo ad uno Stato membro di prelevare (ed analizzare) attivamente il materiale biometrico di una persona, purché il prelievo e l'analisi siano autorizzati nello Stato membro richiedente (condizione b).

54.

L'articolo non è solo di portata troppo ampia, ma è anche indefinito. Da un lato, non fissa alcun limite ai reati più gravi e nemmeno alle persone sospettate di aver commesso un reato, dall'altro dispone che le condizioni previste dalla legislazione dello Stato membro richiesto devono essere soddisfatte (condizione c) senza fornire indicazioni quanto alla natura di tali condizioni. Secondo il GEPD, è necessario che l'articolo sia chiarito ulteriormente, precisando preferibilmente il testo dell'articolo. In ogni caso, il principio di proporzionalità richiede un'interpretazione più limitata dell'articolo stesso.

55.

Questa parte del parere è dedicata all'esame delle seguenti tematiche connesse alla protezione dei dati:

56.

Il GEPD premette osservando che l'articolo 1 dell'iniziativa, che descrive la finalità e l'ambito d'applicazione della stessa, non fa alcun riferimento al capo 6, sebbene la decisione del Consiglio contenga un capitolo sulla protezione dei dati. Il GEPD raccomanda pertanto di inserire tale riferimento nel testo.

57.

Come affermato in altre occasioni (31), il GEPD ritiene essenziale che strumenti giuridici specifici che favoriscono lo scambio di informazioni in materia di applicazione della legge, come la presente iniziativa per una decisione del Consiglio, non siano adottati prima dell'adozione da parte del Consiglio di un quadro sulla protezione dei dati che garantisca un livello adeguato di protezione dei dati in linea con le conclusioni del GEPD nei due pareri espressi sulla proposta di decisione quadro del Consiglio sulla protezione dei dati nell'ambito del terzo pilastro, presentata dalla Commissione (32).

58.

Un quadro giuridico per la protezione dei dati è una condicio sine qua non per lo scambio di dati personali da parte delle autorità incaricate dell'applicazione della legge, come prescritto dall'articolo 30, paragrafo 1, lettera b) del trattato UE e riconosciuto in vari documenti programmatici dell'UE. Tuttavia, in pratica gli atti legislativi che favoriscono lo scambio di dati sono adottati prima che sia garantito un adeguato livello di protezione dei dati. Questo ordine andrebbe invertito.

59.

L'inversione dell'ordine è importante anche perché le norme più dettagliate sulla protezione dei dati contenute nella presente iniziativa possono interferire con la futura decisione quadro comune sulla protezione dei dati nell'ambito del terzo pilastro, che è ancora all'esame. Inoltre, non è efficace avviare l'attuazione delle disposizioni in materia di protezione dei dati contenute nella presente iniziativa — che include l'adozione di livelli di protezione dei dati e procedure amministrative, nonché la designazione delle autorità competenti — prima dell'adozione della decisione quadro sulla protezione dei dati che potrebbe contenere requisiti diversi e, quindi, richiederebbe modifiche delle disposizioni nazionali appena adottate.

60.

L'articolo 25, paragrafo 1, della presente iniziativa fa ora riferimento alla Convenzione n. 108 del Consiglio d'Europa, nonché al suo protocollo addizionale dell'8 novembre 2001 e alla raccomandazione n. R (87) 15 sull'utilizzo dei dati personali nel settore della polizia. Tali strumenti, adottati dal Consiglio d'Europa, dovrebbero offrire un livello minimo di protezione dei dati personali. Tuttavia, come il GEPD ha già affermato (33), la Convenzione cui sono vincolati tutti gli Stati membri non offre la necessaria precisione, come era già stato ammesso al momento dell'adozione della direttiva 95/46/CE. La raccomandazione, per sua natura, non è vincolante.

61.

In primo luogo, le disposizioni del capo 6 dell'iniziativa intendono basarsi su un quadro generale per la protezione dei dati (ved. l'articolo 25 dell'iniziativa). Le disposizioni devono essere intese come una lex specialis applicabile ai dati trasmessi ai sensi della presente decisione del Consiglio. Purtroppo, l'attuale quadro generale della Convenzione n. 108 del Consiglio d'Europa e documenti correlati non è soddisfacente. Tuttavia, l'intenzione di per sé mostra la necessità di un quadro generale appropriato, stabilito mediante una decisione quadro del Consiglio. Ma questo non è l'unico esempio della necessità di un siffatto quadro.

62.

In secondo luogo, l'iniziativa copre solo una parte del trattamento dei dati personali ai fini dell'applicazione della legge e dello scambio di tali dati tra gli Stati membri. Il capo 6 dell'iniziativa si limita, per sua natura, al trattamento in relazione con lo scambio di informazioni previsto dall'iniziativa. Qualsiasi altro tipo di scambio di altre informazioni giudiziarie e di polizia nell'ambito dell'iniziativa, segnatamente le informazioni che non si riferiscono a profili DNA, dati dattiloscopici e dati di immatricolazione dei veicoli, è quindi escluso. Un altro esempio della copertura parziale del capo 6 dell'iniziativa riguarda l'accesso, ai fini dell'applicazione della legge, ai dati raccolti dalle società private, dato che l'iniziativa mira allo scambio delle informazioni tra le agenzie responsabili della prevenzione e investigazione dei reati (articolo 1 dell'iniziativa).

63.

In terzo luogo, riguardo al campo di applicazione delle disposizioni del capo 6, il testo dell'iniziativa è ambiguo e manca quindi di chiarezza giuridica. A norma dell'articolo 24, paragrafo 2, dell'iniziativa, queste disposizioni si applicano ai dati da trasmettere o già trasmessi in base alla decisione del Consiglio. Secondo il GEPD, tale formulazione assicura la copertura dell'accesso diretto a profili DNA, dati dattiloscopici e dati di immatricolazione dei veicoli, nonché della specifica situazione prevista a norma dell'articolo 7 dell'iniziativa (34). Inoltre, è indubbia la copertura anche della trasmissione di dati personali di cui all'articolo 14 (eventi di rilievo) e all'articolo 16 (per prevenire reati terroristici).

64.

Tuttavia, non è chiaro se il capo 6 si applichi solo ai dati personali da scambiare o già scambiati tra gli Stati membri o anche alla raccolta e al trattamento di dati relativi a DNA e dati dattiloscopici in uno Stato membro a norma degli articoli 2 e 8 dell'iniziativa. In altri termini, il capo 6 si applica ai dati personali raccolti ai sensi della decisione del Consiglio, ma non (ancora) trasmessi alle autorità di altri Stati membri? Non è inoltre chiaro se è coperta la trasmissione di ulteriori dati personali a seguito di una concordanza tra profili DNA o dati dattiloscopici in quanto, da un lato, il considerando 11 implica che la trasmissione di ulteriori informazioni (mediante procedure di assistenza reciproca) rientri nel campo di applicazione della decisione del Consiglio, mentre, dall'altro lato, gli articoli 5 e 10 sottolineano che tale trasmissione è disciplinata dalla legislazione nazionale. Infine, va rilevato che l'articolo 24, paragrafo 2 contiene una deroga all'applicabilità del capo 6. Le disposizioni si applicano «salvo se altrimenti previsto nei precedenti capi». Secondo il GEPD, tale clausola non ha valore sostanziale — il GEPD non ha notato disposizioni contraddittorie nei capi precedenti -, ma la clausola potrebbe aumentare l'ambiguità del testo per quanto riguarda l'applicabilità del capo 6.

65.

Il GEPD raccomanda che l'articolo 24, paragrafo 2 precisi che il capo 6 si applica alla raccolta e al trattamento di dati relativi a DNA e dati dattiloscopici in uno Stato membro e che copre anche la trasmissione di ulteriori dati personali nell'ambito della presente decisione. Bisognerebbe inoltre sopprimere la clausola «salvo se altrimenti previsto nei precedenti capi». Tali chiarimenti garantirebbero che le disposizioni del capo 6 abbiano conseguenze sostanziali.

66.

In quarto luogo, la natura delle stesse disposizioni sulla protezione dei dati del capo 6, nella misura in cui si basano sulla nozione tradizionale di assistenza giudiziaria in materia penale, è una dimostrazione della necessità di un quadro generale. La condivisione delle informazioni presuppone un'armonizzazione minima delle norme di base sulla protezione dei dati o almeno il reciproco riconoscimento delle legislazioni nazionali per evitare che differenze tra le legislazioni degli Stati membri pregiudichino l'efficacia della cooperazione.

67.

Benché l'iniziativa preveda l'armonizzazione di alcune questioni importanti riguardo alle legislazioni sulla protezione dei dati, su altre importanti questioni le disposizioni relative alla protezione dei dati contenute nel capo 6 non armonizzano le legislazioni nazionali né prescrivono il riconoscimento reciproco. Al contrario, si basano sull'applicazione simultanea di due (o più) sistemi giuridici: la trasmissione dei dati spesso è consentita solo se sono osservate le legislazioni sia dello Stato membro che trasmette i dati sia dello Stato membro che li riceve. In altri termini, su tali questioni l'iniziativa non contribuisce ad uno spazio di libertà, sicurezza e giustizia senza frontiere interne, ma dà sostanza al sistema tradizionale dell'assistenza giudiziaria in materia penale, basato sulla sovranità nazionale (35).

68.

Secondo il GEPD, tale natura del capo 6 non agevola lo scambio di dati personali, ma ne accresce la complessità, tenuto conto che l'iniziativa mira a rendere il sistema del trattato di Prüm applicabile a tutti e 27 gli Stati membri e che non è stato adottato un quadro generale comune per la protezione dei dati. L'articolo 26, paragrafo 1, ad esempio, permette il trattamento per altri fini solo se è consentito dalla legislazione nazionale sia dello Stato membro che trasmette i dati sia dallo Stato membro che li riceve. Un altro esempio è dato dall'articolo 28 che, al paragrafo 3, stipula che i dati personali che non avrebbero dovuto essere trasmessi (o ricevuti) sono cancellati. Ma come fa lo Stato membro ricevente a sapere che i dati non sono stati trasmessi legalmente ai sensi della legislazione dello Stato membro che li ha trasmessi? Ciò potrebbe causare difficoltà qualora tali questioni siano sollevate in procedimenti dinanzi agli organi giurisdizionali nazionali.

69.

In quinto luogo, tale quadro comune per la protezione dei dati è tanto più importante in quanto esistono notevoli differenze tra le legislazioni degli Stati membri, sia nel diritto penale sostanziale che nel diritto processuale penale. Oltre alle conseguenze per la cooperazione tra le autorità degli Stati membri, tali differenze incidono altresì direttamente sulle persone i cui dati sono scambiati tra le autorità di due o più Stati membri. I loro mezzi di ricorso effettivi dinanzi ad un organo giurisdizionale potrebbero non essere gli stessi in tutti gli Stati membri.

70.

In conclusione, la proposta armonizza alcuni elementi dello scambio di dati tra le autorità competenti e, per questo motivo, include un capo sulla protezione dei dati, ma è ben lontana dall'armonizzare tutte le garanzie in materia di protezione dei dati. Le disposizioni non sono né esaustive (come dovrebbe essere un quadro generale, lex generalis) né complete (in quanto mancano elementi importanti, come si dimostrerà al punto 75).

71.

È ovvio che, al di fuori del campo di applicazione dell'iniziativa, è necessario un quadro generale comune per la protezione dei dati. Il cittadino ha diritto a contare su un livello minimo armonizzato di protezione dei dati, indipendentemente dal luogo dell'Unione europea in cui sono trattati, ai fini dell'applicazione della legge, i dati che lo riguardano.

72.

Ma questo quadro comune è necessario anche nell'ambito di applicazione dell'iniziativa. L'iniziativa riguarda tra l'altro la raccolta, il trattamento e lo scambio di dati biometrici potenzialmente sensibili quali il materiale DNA. Inoltre il gruppo di persone interessate che può essere incluso in questo sistema non si limita ai dati di persone sospettate di reati specifici (o per essi condannate). Per questo è ancor più necessario poter contare su un sistema chiaro e adeguato di protezione dei dati.

73.

In tale contesto occorre ribadire che l'ambito d'applicazione dell'iniziativa e del suo capo 6 non è definito chiaramente. Ne consegue, per ragioni di certezza del diritto, l'importanza di una buona protezione dei dati personali, a prescindere dalla questione se rientrino o meno, e in quali casi, nell'ambito di applicazione. Per gli stessi motivi occorrerebbe garantire la coerenza tra le norme applicabili nell'ambito di applicazione dell'iniziativa e le norme applicabili al di fuori dello stesso.

74.

Le disposizioni relative alla protezione dei dati di cui al capo 6 della presente iniziativa si applicano ai dati da trasmettere o già trasmessi in base alla decisione. Esse riguardano varie importanti questioni e sono state elaborate attentamente, quali disposizioni specifiche al vertice del quadro generale per la protezione dei dati. Il GEPD conclude che in generale le disposizioni offrono in sostanza una protezione adeguata.

75.

Tuttavia, in aggiunta a quanto già detto sulla natura delle disposizioni del capo 6, il GEPD ha individuato alcune carenze nelle disposizioni di detto capo (36):

76.

Il GEPD raccomanda al Consiglio di ovviare a tali carenze modificando il testo dell'iniziativa e/o includendo questi elementi in una decisione quadro del Consiglio sulla protezione dei dati nell'ambito del terzo pilastro. Secondo il GEPD la prima opzione non comporta necessariamente la modifica del sistema stesso di scambio di informazioni e non è in contrasto con l'intenzione dei 15 Stati membri, che hanno preso l'iniziativa, di non modificare le parti essenziali del trattato di Prüm.

77.

Il presente parere tiene conto del carattere unico di tale iniziativa, più in particolare del fatto che non sono previste modifiche importanti delle disposizioni quanto al merito. Le modifiche che il GEPD propone mirano soprattutto a migliorare il testo senza modificare il sistema stesso di scambio di informazioni.

78.

Il GEPD accoglie con favore l'approccio prudente e graduale adottato dalla presente iniziativa quale modo per attuare il principio di disponibilità. Tuttavia deplora che l'iniziativa non armonizzi gli elementi essenziali della raccolta e dello scambio dei diversi tipi di dati, anche per assicurare l'osservanza dei principi di necessità e proporzionalità.

79.

Il GEPD si rammarica del fatto che la presente iniziativa sia adottata senza un'idonea valutazione d'impatto e invita il Consiglio a includere tale valutazione nella procedura di adozione e a valutare nel quadro di tale valutazione altre opzioni politiche (possibilmente meno invasive della vita privata).

80.

Il GEPD appoggia l'approccio dell'iniziativa riguardo ai diversi tipi di dati personali: quanto più i dati sono sensibili, tanto più gli scopi per cui possono essere usati e l'accesso agli stessi sono limitati.

81.

Il GEPD deplora che l'iniziativa non precisi le categorie di persone che saranno incluse nelle basi di dati del DNA né limiti il periodo di conservazione.

82.

La decisione del Consiglio non dovrebbe essere adottata prima dell'adozione di una decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale, che offre un livello appropriato di protezione.

83.

Le disposizioni relative alla protezione dei dati di cui al capo 6 non facilitano lo scambio di dati personali bensì ne accrescono la complessità, nella misura in cui si basano sul concetto tradizionale di assistenza giudiziaria in materia penale.

84.

Il GEPD raccomanda le seguenti modifiche al testo dell'iniziativa:

85.

Più in generale il GEPD raccomanda al Consiglio di ovviare a tali carenze dell'iniziativa modificandone il testo e/o includendo questi elementi in una decisione quadro del Consiglio sulla protezione dei dati nell'ambito del terzo pilastro. Secondo il GEPD la prima opzione (relativa agli elementi menzionati al punto 84) non comporta necessariamente la modifica del sistema stesso di scambio di informazioni e non è in contrasto con l'intenzione dei 15 Stati membri, che hanno preso l'iniziativa, di non modificare le parti essenziali del trattato di Prüm.

86.

Infine il presente parere dovrebbe essere citato nel preambolo della decisione del Consiglio.