COMMISSIONE EUROPEA
Bruxelles, 22.2.2023
COM(2023) 97 final
ALLEGATO
della
raccomandazione di DECISIONE DEL CONSIGLIO
che autorizza l'avvio di negoziati per un accordo tra l'Unione europea e la Repubblica dell'Ecuador sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità ecuadoriane competenti per la lotta contro le forme gravi di criminalità e il terrorismo
ALLEGATO
Direttive di negoziato per un accordo fra l'Unione europea e la Repubblica dell'Ecuador sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità ecuadoriane competenti per la lotta contro le forme gravi di criminalità e il terrorismo
Nel corso dei negoziati la Commissione dovrebbe cercare di conseguire gli obiettivi esposti dettagliatamente qui di seguito.
(1)L'accordo deve essere inteso a costituire la base giuridica per il trasferimento di dati personali tra Europol e le autorità competenti della Repubblica dell'Ecuador, al fine di sostenere e rafforzare l'azione svolta dalle autorità competenti di tale paese e degli Stati membri e la loro cooperazione per prevenire e combattere le forme gravi di criminalità transnazionale e il terrorismo, disponendo al contempo garanzie sufficienti con riguardo alla tutela della vita privata, dei dati personali e dei diritti e delle libertà fondamentali delle persone.
(2)Per garantire la limitazione delle finalità, la cooperazione e lo scambio di dati contemplati dall'accordo devono riguardare soltanto la criminalità e i reati connessi che rientrano nelle competenze di Europol in conformità dell'articolo 3 del regolamento 2016/794 (indicati complessivamente come "reati"). In particolare, la cooperazione dovrebbe essere destinata a prevenire e combattere il terrorismo, smantellare la criminalità organizzata e combattere il traffico di droga e la criminalità informatica. L'accordo deve specificare il proprio ambito di applicazione e le finalità per le quali Europol può trasferire dati alle autorità competenti della Repubblica dell'Ecuador.
(3)L'accordo deve definire chiaramente e precisamente le salvaguardie e i controlli necessari per la protezione dei dati personali, dei diritti e delle libertà fondamentali delle persone, indipendentemente dalla cittadinanza e dal luogo di residenza, nello scambio di dati personali tra Europol e le autorità ecuadoriane competenti. Oltre alle salvaguardie enunciate in appresso, deve essere previsto l'obbligo di subordinare il trasferimento di dati personali agli obblighi di riservatezza e il divieto di utilizzare i dati personali per richiedere, emettere o eseguire la pena di morte o qualsiasi forma di trattamento crudele e disumano, fatte salve le salvaguardie supplementari che possano risultare necessarie.
In particolare:
(a)l'accordo dovrebbe includere le definizioni dei termini essenziali conformemente all'articolo 3, paragrafo 1, del regolamento 2016/680;
(b)l'accordo dovrebbe rispettare il principio di specificità, così da garantire che i dati non siano trattati per finalità diverse da quella del trasferimento. A tal fine, si devono definire con la massima chiarezza le finalità del trattamento dei dati personali eseguito dalle parti in virtù dell'accordo che, in ogni singolo caso, non devono superare la misura necessaria per prevenire e combattere il terrorismo e i reati contemplati dall'accordo;
(c)i dati personali trasferiti da Europol conformemente all'accordo devono essere trattati secondo il principio di lealtà, su un fondamento legittimo e unicamente per le finalità per le quali sono stati trasferiti. L'accordo deve prevedere l'obbligo per Europol di indicare, al momento di trasferire i dati, eventuali limitazioni di accesso o di uso, anche per quanto concerne il trasferimento, la cancellazione, la distruzione o l'ulteriore trattamento di tali dati. L'accordo deve imporre alle autorità competenti della Repubblica dell'Ecuador l'obbligo di rispettare tali restrizioni e specificare in che modo sarà assicurato nella pratica il rispetto delle stesse. I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto a tale finalità. Devono essere esatti e aggiornati, e devono essere conservati solo per il tempo necessario per le finalità per cui sono stati trasferiti. L'accordo deve essere corredato di un allegato contenente un elenco esaustivo delle autorità competenti nella Repubblica dell'Ecuador alle quali Europol può trasferire i dati personali, come anche una breve descrizione delle loro competenze;
(d)il trasferimento, da parte di Europol, di dati personali che rivelino la razza, l'origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica, di dati relativi alla salute, alla vita sessuale o all'orientamento sessuale di una persona fisica deve essere autorizzato solo se strettamente necessario nonché ragionevole e proporzionato in casi specifici per prevenire o combattere un reato e se tali dati, ad eccezione dei dati biometrici, integrano altri dati personali. L'accordo dovrebbe inoltre contenere garanzie specifiche riguardo al trasferimento dei dati personali di vittime di reati, testimoni o altre persone che possono fornire informazioni riguardanti reati e dei dati personali di minori;
(e)l'accordo deve garantire diritti azionabili delle persone i cui dati personali sono trattati, stabilendo norme sul diritto di accesso, rettifica e cancellazione, compresi i motivi specifici che possono autorizzare eventuali restrizioni necessarie e proporzionate. L'accordo deve inoltre stabilire diritti azionabili di ricorso in sede amministrativa o giudiziale per ogni persona i cui dati siano trattati in conformità dell'accordo stesso, e garantire ricorsi effettivi;
(f)l'accordo deve stabilire norme in materia di conservazione, verifica, rettifica e cancellazione dei dati personali, sulla tenuta di registri a fini di registrazione e documentazione e sulle informazioni da mettere a disposizione delle persone. Dovrebbe inoltre prevedere garanzie riguardo al trattamento automatizzato dei dati personali;
(g)l'accordo deve specificare i criteri in base ai quali valutare l'affidabilità della fonte e l'esattezza delle informazioni;
(h)l'accordo deve comprendere l'obbligo di garantire la sicurezza dei dati personali tramite misure tecniche e organizzative adeguate, fra l'altro consentendo l'accesso ai dati personali solo a persone autorizzate. L'accordo deve inoltre comprendere l'obbligo di notifica in caso di violazione dei dati personali riguardante dati trasferiti in conformità dell'accordo stesso;
(i)i trasferimenti successivi di informazioni dalle autorità della Repubblica dell'Ecuador competenti ad altre autorità nella Repubblica dell'Ecuador, anche a fini giudiziari, devono essere consentiti solo se soggetti a condizioni e garanzie adeguate, compresa l'autorizzazione preventiva di Europol;
(j)le stesse condizioni di cui alla lettera i) devono applicarsi ai trasferimenti successivi di informazioni dalle autorità della Repubblica dell'Ecuador competenti ad autorità di un paese terzo, con l'obbligo aggiuntivo che tali trasferimenti successivi siano consentiti solo nei confronti di paesi terzi ai quali Europol è autorizzato a trasferire dati personali in virtù dell'articolo 25, paragrafo 1, del regolamento (UE) 2016/794;
(k)l'accordo deve stabilire un sistema di sorveglianza da parte di una o più autorità pubbliche indipendenti responsabili della protezione dei dati e dotate di un effettivo potere di indagine e intervento che consenta loro di esercitare una vigilanza sulle autorità pubbliche della Repubblica dell'Ecuador che usano i dati personali/le informazioni scambiate, e di agire in sede giudiziale. In particolare, tali autorità indipendenti devono essere competenti a trattare i reclami di singoli individui in relazione all'uso dei loro dati personali. Le autorità pubbliche che usano dati personali devono rispondere del rispetto delle regole in materia di protezione dei dati personali previste dall'accordo;
(4)l'accordo deve prevedere un meccanismo efficace di risoluzione delle controversie relative alla loro interpretazione e applicazione, che assicuri il rispetto ad opera delle parti delle norme da loro concordate;
(5)l'accordo deve includere disposizioni sul monitoraggio e sulla valutazione periodica dell'accordo stesso;
(6)l'accordo deve includere una disposizione sulla sua entrata in vigore e applicazione e una disposizione in base alla quale ciascuna parte può denunciarlo o sospenderlo, in particolare qualora il paese terzo non garantisca più efficacemente il livello di tutela dei diritti e delle libertà fondamentali richiesto dall'accordo stesso. L'accordo deve specificare inoltre se i dati personali rientranti nel suo ambito di applicazione e trasferiti prima della denuncia o sospensione possano continuare a essere trattati. La prosecuzione del trattamento dei dati personali, ove consentita, deve essere in ogni caso conforme alle disposizioni dell'accordo al momento della denuncia o sospensione;
(7)l'accordo deve fare ugualmente fede nelle lingue bulgara, ceca, croata, danese, estone, finlandese, francese, greca, inglese, irlandese, italiana, lettone, lituana, maltese, neerlandese, polacca, portoghese, rumena, slovacca, slovena, spagnola, svedese, tedesca e ungherese, e deve comprendere una clausola linguistica a tale scopo.