9.2.2012   

IT

Gazzetta ufficiale dell'Unione europea

C 35/1

1.

Il 12 ottobre 2011 la Commissione ha adottato le seguenti proposte (in prosieguo: «le proposte») riguardanti la politica agricola comune (in prosieguo: «PAC») dopo il 2013, inviate al GEPD il giorno stesso a fini di consultazione:

2.

Il GEPD si compiace di essere stato consultato formalmente dalla Commissione e che nei preamboli proposti per il regolamento sui pagamenti diretti, il regolamento sulla OCM unica, il regolamento sullo sviluppo regionale e il regolamento orizzontale sia stato incluso un riferimento al presente parere.

3.

Le proposte mirano a definire un quadro normativo per (1) una produzione alimentare sostenibile, (2) una gestione sostenibile delle risorse naturali e un’azione per il clima e (3) uno sviluppo equilibrato del territorio. A tal fine, istituiscono alcuni regimi di sostegno per gli agricoltori e altre misure intese a stimolare lo sviluppo agricolo e rurale.

4.

Nell’ambito di questi programmi, il trattamento dei dati personali — riguardanti principalmente i beneficiari degli aiuti, ma anche terzi — avviene in varie fasi (trattamento delle domande di aiuto, garanzia della trasparenza dei pagamenti, controllo e lotta antifrode ecc.). Il trattamento è perlopiù effettuato dagli Stati membri sotto la loro responsabilità, ma la Commissione può accedere alla maggior parte di tali dati. I beneficiari e in alcuni casi i terzi — per esempio ai fini dei controlli antifrode — devono fornire informazioni alle autorità competenti designate.

5.

L’importanza della protezione dei dati nel contesto della PAC è stata evidenziata dalla Corte di giustizia dell’Unione europea nella sentenza Schecke, che ha invalidato le disposizioni dell’UE relative alla pubblicazione dei nomi dei beneficiari di fondi agricoli (10). Il GEPD è consapevole del fatto che, nel caso in esame, gli aspetti attinenti alla protezione dei dati non sono al centro delle proposte. Tuttavia, nella misura in cui le proposte comportano il trattamento di dati personali, si possono formulare alcune osservazioni pertinenti.

6.

Scopo del presente parere non è analizzare l’intera serie di proposte, bensì offrire un contributo e alcuni orientamenti per definire il trattamento dei dati personali necessario per la gestione della CAP in modo da rispettare i diritti fondamentali alla tutela della vita privata e alla protezione dei dati personali e, nel contempo, garantire una gestione efficace degli aiuti, la prevenzione e l’accertamento delle frodi, la trasparenza e la rendicontazione della spesa.

7.

A tal fine, il presente parere è strutturato in due parti: la prima parte, più generale, contiene un’analisi e raccomandazioni valide per la maggior parte delle proposte, e consiste principalmente in osservazioni riguardanti i poteri delegati e le competenze di esecuzione attribuiti alla Commissione. La seconda parte esamina le disposizioni specifiche contenute in alcune proposte (11) e fornisce raccomandazioni per risolvere i problemi individuati.

8.

Come già rilevato, le operazioni di trattamento dei dati sono in gran parte effettuate dagli Stati membri. Tuttavia in molti casi la Commissione può accedere ai dati personali. Il GEPD accoglie pertanto con favore i riferimenti all’applicabilità della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 inclusi nei preamboli delle proposte (12).

9.

In generale, si osserva che molti aspetti fondamentali per la protezione dei dati non figurano nelle proposte in esame, ma saranno disciplinati da atti delegati o di esecuzione. Ciò vale, per esempio, per le misure da adottare riguardo al monitoraggio degli aiuti, all’istituzione di sistemi di informazione, alla trasmissione dei dati ai paesi terzi e ai controlli in loco (13).

10.

L’articolo 290 TFUE stabilisce le condizioni per l’esercizio dei poteri delegati da parte della Commissione. Essa può adottare atti non legislativi «che integrano o modificano determinati elementi non essenziali dell’atto legislativo». Inoltre «gli obiettivi, il contenuto, la portata e la durata della delega di potere» devono essere esplicitamente delimitati. Per quanto riguarda le competenze di esecuzione, l’articolo 291 TFUE stabilisce che tali competenze possono essere attribuite alla Commissione quando «sono necessarie condizioni uniformi di esecuzione degli atti giuridicamente vincolanti dell’Unione». È assicurato un controllo adeguato da parte degli Stati membri.

11.

A parere del GEPD, gli aspetti fondamentali delle operazioni di trattamento previste nelle proposte e le salvaguardie necessarie per la protezione dei dati non possono essere considerati «elementi non essenziali». Pertanto, al fine di rafforzare la certezza del diritto, i testi legislativi principali dovrebbero disciplinare almeno gli elementi seguenti (14):

12.

Dopo aver precisato questi elementi nelle proposte legislative principali, si potrà fare ricorso ad atti delegati o di esecuzione per definire le modalità di attuazione specifiche di queste salvaguardie. Il GEPD si attende di essere consultato in merito agli atti delegati e di esecuzione riguardanti questioni di rilievo per la protezione dei dati.

13.

In alcuni casi i dati relativi a (sospette) infrazioni possono essere oggetto di trattamento (per es. in caso di frode). Poiché la normativa applicabile in materia di protezione dei dati prevede una protezione speciale per tali dati (17), potrebbe essere necessario un controllo preventivo da parte dell’autorità nazionale di protezione dei dati competente o del GEPD (18).

14.

Infine, è necessario prevedere misure di sicurezza, soprattutto per quanto riguarda le banche dati e i sistemi informatizzati. Occorre inoltre tenere conto dei principi di responsabilità e di «privacy by design».

15.

L’articolo 157 del regolamento sulla OCM unica conferisce alla Commissione il potere di adottare atti di esecuzione riguardanti gli obblighi di comunicazione per diverse finalità (per esempio per garantire la trasparenza del mercato, per il controllo delle misure della PAC o per l’attuazione di accordi internazionali) (19), tenendo conto «dei dati necessari e delle sinergie tra potenziali fonti di dati» (20). Il GEPD raccomanda di specificare in questa disposizione quali fonti di dati si devono usare per quali finalità specifiche. Al riguardo, il GEPD desidera rammentare il rischio che l’interconnessione fra le banche dati possa essere attuata in violazione del principio della limitazione delle finalità (21), secondo cui i dati personali non possono essere successivamente trattati in modo incompatibile con le finalità originarie per le quali sono stati raccolti (22).

16.

Gli articoli 74 e 77 del regolamento sullo sviluppo rurale stabiliscono un sistema di monitoraggio e valutazione che dovrà essere «istituito, di concerto tra la Commissione e gli Stati membri», ai fini del monitoraggio e della valutazione, comprendente un sistema di informazione elettronico. Il sistema comporterà il trattamento di dati relativi alle «caratteristiche salienti dei beneficiari e dei progetti» forniti dai beneficiari stessi (articolo 78). Se queste «informazioni essenziali» comprendono dati personali, occorre precisarlo nella disposizione. Si devono inoltre definire le categorie di dati da trattare e il GEPD dovrebbe essere consultato sugli atti di esecuzione previsti dall’articolo 74.

17.

Inoltre, l’articolo 92 della medesima proposta prevede che «la Commissione, in collaborazione con gli Stati membri», istituisca un nuovo sistema di informazione per lo scambio sicuro di «dati di comune interesse». La definizione delle categorie di dati da scambiare è troppo generica e andrebbe limitata nel caso in cui si debbano trasferire dati personali utilizzando tale sistema. Occorre altresì precisare la relazione fra l’articolo 77 e l’articolo 92, in quanto non è chiaro se abbiano la stessa finalità e lo stesso ambito di applicazione.

18.

Al considerando 40 del regolamento orizzontale si afferma che negli Stati membri dovrebbe essere operativo un sistema integrato di gestione e controllo (23) di determinati pagamenti e che è opportuno «autorizzare gli Stati membri ad avvalersi del sistema integrato anche per altri regimi di sostegno unionali», al fine di «migliorare l’efficienza e il controllo dei pagamenti concessi dall’Unione». Questa disposizione andrebbe chiarita, soprattutto se non riguarda soltanto lo sfruttamento di sinergie in termini di infrastrutture, ma anche l’uso delle informazioni conservate in tale sistema ai fini del monitoraggio di altri regimi di sostegno.

19.

Ai sensi dell’articolo 73, paragrafo 1, lettera c), del regolamento orizzontale, le domande di aiuto devono comprendere, oltre alle parcelle agricole e ai diritti all’aiuto, anche «ogni altra informazione prevista dal presente regolamento o richiesta per l’attuazione della corrispondente legislazione settoriale agricola o richiesta dallo Stato membro interessato» (24). Se si prevede che tali informazioni contengano dati personali, è necessario specificare le categorie di dati richieste.

20.

Il regolamento orizzontale istituisce alcuni organismi per l’attuazione pratica della PAC e attribuisce loro i rispettivi compiti (articoli 7-15). Per la Commissione, sono previste le competenze seguenti (titoli IV-VII):

21.

Il primo compito indicato al paragrafo precedente comporta il trattamento di dati personali, mentre per il secondo compito a prima vista non sussiste alcuna necessità di trattare dati personali: una valutazione generale delle misure può essere effettuata anche sulla base di dati aggregati o resi anonimi. A meno che la Commissione non fornisca una motivazione adeguata della necessità di trattare dati personali in questo contesto, occorre chiarire che non saranno forniti alla Commissione dati personali ai fini della valutazione generale delle misure.

22.

Gli articoli 49-52 e 61-63 del regolamento orizzontale stabiliscono le norme per i controlli in loco (27). La proposta indica che tali controlli saranno principalmente effettuati dalle autorità competenti degli Stati membri, soprattutto per quanto riguarda le perquisizioni e l’interrogatorio formale delle persone, ma la Commissione avrà accesso alle informazioni così ottenute. Qui il legislatore dovrebbe precisare che la Commissione accederà a tali dati soltanto se necessario a fini di controllo. Si dovrebbero inoltre specificare le categorie di dati personali cui la Commissione avrà accesso.

23.

Ai fini del monitoraggio degli aiuti, il regolamento orizzontale istituisce un sistema di gestione e di controllo (28) (articoli 68-78), costituito da alcune banche dati:

24.

La banca dati informatizzata consiste in una banca dati per ciascuno Stato membro (i quali possono anche creare banche dati decentrate), nella quale sono registrati i dati ottenuti da ciascun beneficiario tramite le domande di aiuto e di pagamento. Considerato che, ai fini del controllo, potrebbero non essere necessari tutti i dati ricavati dalle domande di aiuto, si dovrebbero prendere in considerazione modalità che consentano di ridurre al minimo il trattamento dei dati personali in questo ambito.

25.

L’accesso al sistema di gestione e di controllo non è disciplinato esplicitamente. Analogamente a quanto affermato riguardo ai controlli in loco, il GEPD raccomanda al legislatore di stabilire norme chiaramente circostanziate per l’accesso a questo sistema.

26.

Per quanto riguarda i controlli, il regolamento orizzontale prevede il controllo dei documenti commerciali, compresi quelli di terzi (articoli 79-88) (29). Tali documenti possono contenere dati personali di terzi. Le condizioni alle quali i terzi sono tenuti a mettere a disposizione i loro documenti commerciali dovrebbero essere specificate nello strumento (30).

27.

L’articolo 87 della medesima proposta stabilisce che gli agenti della Commissione hanno accesso all’insieme dei documenti «elaborati per o a seguito dei controlli»«conformemente alle disposizioni legislative nazionali». Ciò vale sia nel caso in cui possano partecipare ai controlli (paragrafo 2), sia nel caso in cui determinati atti siano riservati ad agenti designati dalla legge dello Stato membro in cui sono effettuati i controlli (paragrafo 4). In entrambi i casi, occorre assicurare che gli agenti della Commissione accedano a tali dati soltanto se necessario (cioè a fini di controllo), anche qualora la legislazione nazionale consenta l’accesso per altre finalità. Il GEPD invita il legislatore a inserire nel testo precisazioni in tal senso.

28.

Ai sensi dell’articolo 102 del regolamento orizzontale, gli Stati membri comunicano alla Commissione determinate categorie di informazioni, dichiarazioni e documenti, compresa «una sintesi dei risultati di tutte le ispezioni e di tutti i controlli effettuati» [articolo 102, paragrafo 1, lettera c), punto v)]. In questo caso, occorre precisare che tale sintesi non conterrà dati personali, oppure, qualora siano necessari dati personali, specificare la finalità per la quale devono essere comunicati.

29.

L’articolo 70, paragrafo 1, del regolamento orizzontale stabilisce che la banca dati informatizzata consente la consultazione «tramite l’autorità competente dello Stato membro» dei dati a decorrere dal 2000 e «la consultazione diretta e immediata» dei dati relativi «almeno» agli ultimi cinque anni civili consecutivi (31).

30.

Il sistema di identificazione e di registrazione dei diritti all’aiuto permette «la verifica dei diritti e le verifiche incrociate con le domande di aiuto e con il sistema di identificazione delle parcelle agricole». L’articolo 72, paragrafo 2, del regolamento orizzontale stabilisce che i dati devono essere disponibili per un periodo di «almeno» quattro anni (32).

31.

Riguardo a questi due sistemi, il GEPD ricorda che l’articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE e l’articolo 4, paragrafo 1, lettera e), del regolamento (CE) n. 45/2001 stabiliscono che i dati non devono essere conservati in modo identificabile per un periodo superiore a quello necessario al conseguimento delle finalità per le quali sono stati raccolti. Ciò significa che si deve definire il periodo massimo di conservazione, non soltanto i periodi minimi.

32.

L’articolo 157, paragrafo 1, secondo comma, del regolamento sulla OCM unica indica che i dati possono essere trasmessi a paesi terzi e a organismi internazionali. Il GEPD desidera ricordare che il trasferimento di dati personali verso paesi che non assicurano un adeguato livello di protezione può essere giustificato soltanto caso per caso, se si applica una delle deroghe di cui all’articolo 26 della direttiva 95/46/CE o all’articolo 9, paragrafo 6, del regolamento (CE) n. 45/2001 (per esempio, se il trasferimento è necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante).

33.

In questo caso occorre indicare la finalità specifica del trasferimento (per es., per l’attuazione di accordi internazionali) (33). L’accordo internazionale in questione dovrebbe comprendere salvaguardie specifiche relative alla protezione della vita privata e dei dati personali e all’esercizio di tali diritti da parte degli interessati. Inoltre, qualora i dati debbano essere trasmessi dalla Commissione, il trasferimento dovrebbe essere autorizzato dal GEPD (34).

34.

Al considerando 70 del regolamento orizzontale e nelle relazioni esplicative delle proposte si afferma che sono in corso di preparazione nuove norme in materia di pubblicazione delle informazioni sui beneficiari «che tengano conto delle obiezioni sollevate dalla Corte» nella sentenza Schecke  (35).

35.

Il GEPD desidera ricordare che le disposizioni relative alla pubblicazione delle informazioni sui beneficiari devono rispettare il principio di proporzionalità. Come confermato dalla Corte di giustizia (36), occorre garantire il giusto equilibrio tra, da un lato, i diritti fondamentali dei beneficiari al rispetto della loro vita privata e alla protezione dei loro dati personali e, dall’altro, l’interesse dell’Unione europea a garantire la trasparenza e una sana gestione delle finanze pubbliche.

36.

Ciò vale anche per l’articolo 157, paragrafo 1, secondo comma, del regolamento sulla OCM unica, in forza del quale le informazioni possono «essere pubblicate ferma restando la protezione dei dati personali e del legittimo interesse delle imprese alla tutela dei segreti aziendali». L’articolo 157, al paragrafo 2, lettera d), e al paragrafo 3, lettera c), conferisce alla Commissione il potere di adottare atti delegati per definire «le condizioni e i mezzi di pubblicazione delle informazioni» e atti di esecuzione per stabilire le modalità relative alla messa a disposizione delle informazioni e dei documenti.

37.

Il GEPD si compiace del fatto che la pubblicazione delle informazioni e dei documenti sia soggetta alla protezione dei dati personali. Tuttavia gli elementi essenziali, quali la finalità della pubblicazione e le categorie di dati da pubblicare, andrebbero specificati nelle proposte stesse, anziché in atti delegati o di esecuzione.

38.

È necessario specificare i diritti degli interessati, soprattutto il diritto di informazione e il diritto di accesso. Ciò è particolarmente importante per quanto riguarda l’articolo 81 del regolamento orizzontale, secondo il quale possono essere controllati i documenti commerciali dei beneficiari, ma anche dei fornitori, clienti, vettori o altri terzi. I beneficiari potrebbero sapere che i loro dati saranno oggetto di trattamento, ma anche i terzi devono essere adeguatamente informati del fatto che i loro dati potrebbero essere usati a fini di controllo (per es., mediante un’avvertenza sulla riservatezza consegnata al momento della raccolta e informazioni riportate su tutti i siti Internet e i documenti pertinenti). L’obbligo di informare gli interessati, compresi i terzi, deve essere incluso nelle proposte.

39.

Si devono prevedere misure di sicurezza, soprattutto per quanto riguarda le banche dati e i sistemi informatizzati. Occorre tenere conto dei principi di responsabilità e di «privacy by design». Un elenco delle misure di sicurezza da adottare per tali banche dati e sistemi informatizzati potrebbe essere introdotto almeno mediante atti delegati o di esecuzione. Ciò è tanto più importante allorché i dati personali trattati nel contesto di ispezioni e controlli possono comprendere informazioni su sospette infrazioni.

40.

Il GEPD accoglie con favore l’obbligo imposto dall’articolo 103 del regolamento orizzontale di garantire la riservatezza e il segreto professionale nell’ambito dei controlli previsti agli articoli 79-88 del regolamento stesso.

41.

Il GEPD ritiene che gli aspetti fondamentali delle operazioni di trattamento previste nelle proposte e le salvaguardie necessarie per la protezione dei dati debbano essere disciplinati nei testi legislativi principali, anziché in atti delegati o di esecuzione, al fine di rafforzare la certezza del diritto:

42.

Questi elementi possono essere ulteriormente elaborati in atti delegati o di esecuzione. Il GEPD si attende di essere consultato al riguardo.

43.

Si dovrebbero inoltre prevedere misure di sicurezza almeno mediante atti delegati o di esecuzione, soprattutto per quanto riguarda le banche dati e i sistemi informatizzati. Occorre tenere conto dei principi di responsabilità e di «privacy by design».

44.

Infine, considerato che in alcuni casi i dati relativi a (sospette) infrazioni possono essere oggetto di trattamento (per es. in caso di frode), potrebbe essere necessario un controllo preventivo da parte dell’autorità nazionale di protezione dei dati competente o del GEPD.