14.2.2018   

IT

Gazzetta ufficiale dell'Unione europea

C 55/1

—

sul sito Internet della Commissione europea dedicato alla concorrenza, nella sezione relativa alle concentrazioni (http://ec.europa.eu/competition/mergers/cases/). Il sito offre varie modalità per la ricerca delle singole decisioni, tra cui indici per impresa, per numero del caso, per data e per settore,

—

in formato elettronico sul sito EUR-Lex (http://eur-lex.europa.eu/homepage.html?locale=it) con il numero di riferimento 32018M8776. EUR-Lex è il sistema di accesso in rete al diritto comunitario.

14.2.2018   

IT

Gazzetta ufficiale dell'Unione europea

C 55/1

—

sul sito Internet della Commissione europea dedicato alla concorrenza, nella sezione relativa alle concentrazioni (http://ec.europa.eu/competition/mergers/cases/). Il sito offre varie modalità per la ricerca delle singole decisioni, tra cui indici per impresa, per numero del caso, per data e per settore,

—

in formato elettronico sul sito EUR-Lex (http://eur-lex.europa.eu/homepage.html?locale=it) con il numero di riferimento 32018M8800. EUR-Lex è il sistema di accesso in rete al diritto comunitario.

14.2.2018   

IT

Gazzetta ufficiale dell'Unione europea

C 55/2

14.2.2018   

IT

Gazzetta ufficiale dell'Unione europea

C 55/3

14.2.2018   

IT

Gazzetta ufficiale dell'Unione europea

C 55/4

1.

Il 29 giugno 2017 la Commissione europea ha pubblicato una proposta di regolamento che istituisce un sistema centralizzato per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e apolidi (TCN) e integrare e sostenere il sistema europeo di informazione sui casellari giudiziali (sistema ECRIS-TCN), e che modifica il regolamento (UE) n. 1077/2011 (in prosieguo: la «proposta di regolamento») (3). La proposta è accompagnata da un documento di supporto analitico (4). Lo stesso giorno, la Commissione europea ha adottato la prima relazione statistica concernente lo scambio tra Stati membri di informazioni estratte dai casellari giudiziali tramite il sistema europeo di informazione sui casellari giudiziali (ECRIS), come previsto dall’articolo 7 della decisione 2009/316/GAI del Consiglio (5).

2.

La proposta di regolamento è intesa a migliorare lo scambio di informazioni concernenti cittadini di paesi terzi e cittadini dell’UE che hanno anche la cittadinanza di un paese terzo. Il principio alla base dell’attuale ECRIS è che le informazioni relative alle condanne penali per quanto riguarda i cittadini dell’UE possono essere ottenute dallo Stato membro di cui la persona ha la cittadinanza, il quale conserva tutte le condanne penali, indipendentemente da dove siano state pronunciate all’interno dell’UE. Per quanto riguarda i cittadini di paesi terzi, ciascuno Stato membro conserva le condanne da esso pronunciate e, di conseguenza, una richiesta di informazioni deve essere trasmessa a tutti gli Stati membri. Secondo la Commissione, la risposta a «richieste generalizzate» impone oneri amministrativi e costi elevati nel caso in cui ECRIS venga utilizzato sistematicamente per estrarre informazioni sui cittadini di paesi terzi. Gli Stati membri sono riluttanti a utilizzare il sistema (secondo la relazione statistica, il 10 % delle richieste riguarda cittadini di paesi terzi) (6) e, di conseguenza, i precedenti penali dei cittadini di paesi terzi non sono disponibili come previsto (7). Il miglioramento dell’efficacia di ECRIS con riferimento ai cittadini di paesi terzi è accelerato dall’agenda europea sulla sicurezza (8) ed è una delle priorità legislative per il 2017 (9).

3.

La proposta di regolamento integra la proposta di direttiva della Commissione del 19 gennaio 2016 per quanto riguarda lo scambio di informazioni sui cittadini di paesi terzi e il sistema europeo di informazione sui casellari giudiziali (ECRIS), che modifica la vigente decisione quadro 2009/315/GAI del Consiglio e sostituisce la decisione 2009/316/JHU del Consiglio (in prosieguo la «proposta di direttiva»).

4.

Le due proposte hanno in comune l’istituzione di un sistema per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e di cittadini dell’UE che hanno anche la cittadinanza di un paese terzo. La proposta di direttiva prevedeva un sistema decentrato, in cui non vi è un’unica banca dati dell’UE, ma ciascuno Stato membro conserva un file, il «filtro-indice». Tale file sarebbe alimentato da informazioni in forma codificata riguardanti i cittadini di paesi terzi estratte dai casellari giudiziali degli Stati membri e verrebbe distribuito a tutti gli Stati membri. Gli Stati membri incrocerebbero così tali dati con le proprie informazioni in base a un sistema «hit/no hit» e vedrebbero in quali altri Stati membri sono disponibili informazioni sui precedenti penali di un cittadino di un paese terzo. La proposta di direttiva prevedeva già il trattamento delle impronte digitali, ma l’utilizzo di queste ultime era considerato come una delle possibili opzioni nella valutazione d’impatto del 2016, diversamente dalla proposta di regolamento, che rende il loro uso obbligatorio. La Commissione spiega che gli attentati terroristici hanno accelerato il sostegno all’utilizzo sistematico delle impronte digitali ai fini di identificazione (10). Successivamente all’adozione della proposta di direttiva, uno studio di fattibilità ha rivelato che attualmente non esiste una tecnologia matura per il confronto di più serie di impronte digitali mediante l’utilizzo di modelli hash.

5.

La proposta di regolamento, quale risposta ai problemi tecnici incontrati, prevede invece un sistema centralizzato, che include dati alfanumerici, impronte digitali e immagini del volto dei cittadini di paesi terzi. I dati alfanumerici e le impronte digitali possono essere utilizzati per identificare i cittadini di paesi terzi; le immagini del volto possono inizialmente essere utilizzate a fini di verifica e, quando la tecnologia sarà matura, anche per l’identificazione. L’«autorità centrale» dello Stato membro di condanna inserisce i dati nel sistema ECRIS-TCN locale, il quale trasmette tali dati a un sistema centrale dell’UE. Basandosi sul sistema hit/no hit, lo Stato membro richiedente può individuare lo Stato membro o gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e quindi domandare tali informazioni tramite il sistema ECRIS esistente, migliorato dalla proposta di direttiva. Se per l’identificazione vengono utilizzate le impronte digitali, potrebbero essere forniti anche tutti i dati alfanumerici corrispondenti. La banca dati dell’UE è affidata ad eu-LISA e, a tal fine, la proposta di regolamento modifica il regolamento eu-LISA (UE) n. 1077/2011.

6.

Inoltre, la soluzione per un sistema centralizzato è inserita nel contesto della prevista interoperabilità di tutti i sistemi d’informazione per la gestione della sicurezza, delle frontiere e della migrazione. Infatti, tra le ragioni alla base della scelta di un sistema centralizzato, l’interoperabilità è prioritaria rispetto ai problemi tecnici incontrati (11). ECRIS è altresì contemplato nella tabella di marcia del Consiglio, per intensificare lo scambio e la gestione di informazioni e perseguire l’interoperabilità (12). L’interoperabilità con ECRIS è prevista anche nella proposta ETIAS (13).

7.

Una volta allineate tra loro, le due proposte sono concepite come complementari. Mentre la proposta di regolamento dovrebbe vertere sulle questioni relative al sistema centralizzato, la proposta di direttiva dovrebbe disciplinare le questioni di carattere generale relative al funzionamento di ECRIS allo stesso modo, sia per i cittadini di paesi terzi, sia per i cittadini dell’UE (14). La commissione LIBE del Parlamento europeo ha adottato la relazione sulla proposta di direttiva nel 2016 (15) mentre, per quanto riguarda la proposta di regolamento, il progetto di relazione è stato adottato il 30 ottobre 2017 (16). Il Consiglio ha dapprima sospeso i negoziati sulla proposta di direttiva a seguito della richiesta da parte degli Stati membri alla Commissione presso il Consiglio il 9 giugno 2016, di presentare una proposta per la creazione di un sistema centralizzato (17) e sta attualmente esaminando entrambe le proposte in parallelo (18).

8.

ECRIS-TCN è un’iniziativa importante, che riguarda i sistemi IT nello spazio di libertà, sicurezza e giustizia. Il GEPD segue il fascicolo dall’avvio dei negoziati per l’istituzione di ECRIS. Il primo parere su ECRIS è stato pubblicato nel 2006 (19), come allora stabilito dalla decisione quadro 2009/315/GAI del Consiglio e nel 2016 il GEPD ha esaminato la proposta di direttiva nel parere 3/2016 (20).

9.

In entrambi i pareri il GEPD ha riconosciuto l’importanza di uno scambio efficace di informazioni estratte dal casellario giudiziale, nonché della necessità di un sistema in grado di funzionare in modo efficace per i cittadini di paesi terzi, in particolare nel contesto dell’adozione dell’agenda europea sulla sicurezza (21). Questa posizione rimane invariata.

10.

Questo parere si basa sul parere 3/2016 e affronta questioni specifiche sollevate dalla proposta di regolamento. Ove necessario, il parere fa riferimento anche alla proposta di direttiva. Nella sezione 2 il GEPD indica le sue principali preoccupazioni e fornisce raccomandazioni sul modo in cui affrontarle. Questioni e raccomandazioni supplementari per ulteriori miglioramenti sono descritte nella sezione 3.

66.

Dopo un’attenta analisi della proposta relativa a ECRIS-TCN, il GEPD formula le seguenti raccomandazioni:

67.

Nel creare una nuova banca dati centrale dell’UE e modificare la legge vigente su ECRIS, il GEPD raccomanda di tenere conto dei requisiti previsti dalla Carta dei diritti fondamentali dell’UE per attuare una limitazione legittima dei diritti fondamentali e fornire un adeguato livello di protezione dei dati personali nell’ambito della proposta di regolamento.

68.

In particolare, il GEPD ricorda la necessità di fornire una prova oggettiva della necessità di istituire un sistema centralizzato a livello dell’UE. In questo contesto, l’interoperabilità dovrebbe essere innanzitutto valutata in base al suo impatto sui diritti fondamentali e ai suoi fini, chiaramente definiti parallelamente ai fini di ECRIS. Un’adeguata valutazione d’impatto dei diritti fondamentali alla vita privata e alla protezione dei dati dovrebbe accompagnare la proposta di regolamento per quanto riguarda questo aspetto, oltre che per la concentrazione di tutti i sistemi in un’unica agenzia.

69.

L’istituzione di una nuova banca dati centrale dell’UE e la modifica della vigente legge su ECRIS dovrebbero soddisfare i requisiti previsti per una limitazione legittima dei diritti fondamentali, conformemente alla giurisprudenza consolidata. A tale scopo, i fini del trattamento dei dati diversi dal procedimento penale, per il quale ECRIS e ECRIS-TCN sono previsti, dovrebbero essere valutati dal punto di vista della loro necessità e proporzionalità e definiti chiaramente, in linea con il principio in materia di protezione dei dati concernente la limitazione delle finalità. Inoltre, l’accesso a ECRIS-TCN da parte di organismi dell’Unione, quali Europol, dovrebbe essere conforme alla finalità dell’attuale sistema ECRIS e al diritto alla parità di trattamento dei cittadini dell’UE e dei cittadini di paesi terzi, ed essere limitato alle funzioni, nell’ambito del loro mandato, per le quali l’accesso è strettamente necessario. Qualsiasi progetto di ampliamento dei fini attuali dovrebbe essere attuato attraverso una disposizione sostanziale (un considerando non è sufficiente).

70.

Dal momento che ECRIS-TCN comporta il trattamento di dati personali che hanno natura molto riservata, il GEPD raccomanda di inserire condizioni adeguate per il trattamento dei dati personali in linea con il principio della necessità: un riscontro positivo [«hit»] dovrebbe essere rilevato solo quando lo Stato membro richiesto è autorizzato dalla sua legislazione nazionale a fornire informazioni sulle condanne penali per fini diversi dal procedimento penale. Il trattamento delle impronte digitali dovrebbe avere portata limitata ed essere effettuato solo quando l’identità di un determinato cittadino di un paese terzo non possa essere accertata con altri mezzi. Per quanto riguarda le immagini del volto, il GEPD raccomanda di effettuare o mettere a disposizione una valutazione, suffragata da prove, della necessità di registrare tali dati e di utilizzarli per scopi di verifica e/o identificazione.

71.

Inoltre, eu-LISA e le autorità centrali degli Stati membri dovrebbero essere designate come responsabili congiunti del trattamento, dal momento che condividono la responsabilità di definire gli scopi e i mezzi delle attività di trattamento previste. La designazione di eu-LISA come responsabile del trattamento non rifletterebbe correttamente lo status quo e non sarebbe utile per garantire un livello elevato di protezione dei dati né per gli interessi legittimi degli Stati membri. Inoltre, la proposta ECRIS-TCN dovrebbe indicare chiaramente la responsabilità di eu-LISA per qualsiasi violazione della presente proposta di regolamento o del regolamento (CE) n. 45/2001.

72.

Oltre alle suindicate questioni principali, le raccomandazioni del GEPD nel presente parere riguardano i miglioramenti alle disposizioni proposte in merito a:

73.

Il GEPD resta a disposizione per fornire ulteriori pareri sulle proposte di regolamento e di direttiva, anche in relazione a eventuali atti delegati o di esecuzione che potrebbero essere adottati in virtù degli strumenti proposti e in relazione al trattamento dei dati personali.