13.12.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 363/1

1.

Il 24 maggio 2011 la Commissione ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio relativo alla tutela dei diritti di proprietà intellettuale da parte delle autorità doganali (di seguito «la proposta»).

2.

La Commissione ha trasmesso la proposta al GEPD in data 27 maggio 2011. Il GEPD interpreta questa comunicazione come una richiesta di consultazione da parte delle istituzioni e degli organismi comunitari, in conformità dell’articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati [di seguito «il regolamento (CE) n. 45/2001»]. In precedenza (3), prima dell’adozione della proposta, la Commissione aveva dato al GEPD la possibilità di formulare osservazioni informali. Il GEPD si compiace del processo che ha contribuito a migliorare il testo dal punto di vista della protezione dei dati in una fase iniziale. Alcune di tali osservazioni sono state prese in considerazione nella proposta. Il GEPD accoglie con favore il riferimento alla presente consultazione nel preambolo della proposta.

3.

Il GEPD desidera tuttavia evidenziare alcuni elementi del testo che potrebbero essere ulteriormente migliorati dal punto di vista della protezione dei dati.

4.

La proposta stabilisce le condizioni e le procedure per l’intervento delle autorità doganali quando merci sospettate di avere violato un diritto di proprietà intellettuale sono, o avrebbero dovuto essere, soggette a vigilanza doganale nel territorio dell’Unione europea. È finalizzata ad apportare miglioramenti al quadro giuridico stabilito dal regolamento (CE) n. 1383/2003 (4), che sostituirà.

5.

In particolare, istituisce la procedura mediante cui i titolari di diritti possono presentare domanda per chiedere al servizio doganale di uno Stato membro di intervenire in tale Stato membro («domanda nazionale») o ai servizi doganali di più di uno Stato membro di intervenire in ogni rispettivo Stato membro («domanda unionale»). In tale contesto, «intervenire» significa sospendere lo svincolo delle merci od organizzarne il blocco da parte delle autorità doganali. La proposta stabilisce altresì il processo tramite cui i servizi doganali competenti adottano una decisione sulla domanda, gli interventi che le autorità (o gli uffici) (5) doganali dovranno successivamente intraprendere (ad esempio sospensione dello svincolo, blocco o distruzione delle merci) nonché i diritti e gli obblighi connessi.

6.

In tale contesto, il trattamento dei dati personali avviene in diversi modi: quando il titolare del diritto presenta la propria domanda all’autorità doganale (6) (articolo 6), quando la domanda viene trasmessa alla Commissione (articolo 31), quando la decisione delle autorità doganali viene trasmessa ai vari uffici doganali competenti (articolo 13, paragrafo 1) e, in caso di domanda unionale, alle autorità doganali degli altri Stati membri (articolo 13, paragrafo 2).

7.

Il trattamento dei dati personali previsto dalla proposta di regolamento non contempla solo i dati personali del titolare del diritto nell’ambito del trasferimento di domande e decisioni dai titolari dei diritti alle autorità doganali, tra gli Stati membri e tra gli Stati membri e la Commissione. A norma dell’articolo 18, paragrafo 3, ad esempio, le autorità doganali comunicano al destinatario della decisione, su richiesta di questi, il nome e l’indirizzo del destinatario, dello speditore, del dichiarante o del detentore delle merci (7) nonché altre informazioni relative alle merci. Nel caso di specie, pertanto, vengono trattati e, su richiesta, trasmessi dall’autorità doganale nazionale al titolare del diritto i dati personali di altri interessati (lo speditore, il destinatario e il detentore delle merci possono essere persone fisiche o giuridiche).

8.

Benché non sia espressamente indicato nel testo della proposta, se si prende in considerazione il regolamento di attuazione (CE) n. 1891/2004 della Commissione (8) attualmente applicabile — contenente il modello di modulo per la domanda che deve essere utilizzato dai titolari dei diritti — sembra che le procedure stabilite dalla proposta includano anche il trattamento di dati su presunte violazioni di diritti di proprietà intellettuale da parte di determinate persone o entità (9). Il GEPD sottolinea che le informazioni relative a sospetti di infrazioni sono ritenute dati sensibili per il cui trattamento sono necessarie garanzie specifiche [articolo 8, paragrafo 5, della direttiva 95/46/CE e articolo 10, paragrafo 5, del regolamento (CE) n. 45/2001].

9.

Inoltre, la Commissione è responsabile per la conservazione delle domande di intervento dei titolari di diritti in una banca dati centrale (la cui denominazione dovrebbe essere «COPIS») tuttora in fase di sviluppo. COPIS sarà una piattaforma centralizzata di scambio di informazioni per le operazioni doganali riguardanti tutte le merci che violano i diritti di proprietà intellettuale. Tutti gli scambi di dati su decisioni, documenti di accompagnamento e notifiche tra le autorità doganali degli Stati membri saranno effettuati tramite COPIS (articolo 31, paragrafo 3).

10.

Il GEPD accoglie con favore il fatto che la proposta di regolamento indichi espressamente in un articolo di portata generale (articolo 32; considerando 21) la necessità che il trattamento dei dati personali sia svolto in conformità al regolamento (CE) n. 45/2001 da parte della Commissione, ed alla direttiva 95/46/CE, da parte delle autorità competenti degli Stati membri.

11.

Questa disposizione riconosce inoltre espressamente il ruolo di controllo del GEPD rispetto al trattamento dei dati da parte della Commissione, previsto dal regolamento (CE) n. 45/2001. Il GEPD desidera evidenziare il riferimento errato di cui all’articolo 32 «[…] e sotto la sorveglianza dell’autorità indipendente dello Stato membro di cui all’articolo 28 della direttiva citata»: il testo dovrebbe fare riferimento all’articolo 28 della direttiva 95/46/CE.

12.

Ai sensi della proposta, alla Commissione è conferito il potere di adottare atti di esecuzione al fine di elaborare il modulo per la domanda che deve essere presentata dai titolari dei diritti (articolo 6, paragrafo 3) (10). Tuttavia, l’articolo contiene già un elenco delle informazioni richieste che devono essere fornite dal richiedente, tra cui i dati personali del richiedente. Nel determinare il contenuto essenziale della domanda, l’articolo 6, paragrafo 3, deve altresì imporre alle autorità doganali l’obbligo di fornire informazioni al richiedente e a ogni altro potenziale interessato (ad esempio allo speditore, al destinatario o al detentore delle merci) conformemente alle norme nazionali di attuazione dell’articolo 10 della direttiva 95/46/CE. Parallelamente, la domanda deve altresì incorporare le analoghe informazioni che devono essere fornite all’interessato per il trattamento da parte della Commissione a norma dell’articolo 11 del regolamento (CE) n. 45/2001 (in vista delle operazioni di conservazione e trattamento dei dati nella banca dati COPIS).

13.

Il GEPD raccomanda pertanto che l’articolo 6, paragrafo 3, includa nell’elenco delle informazioni da fornire al richiedente anche le informazioni da comunicare all’interessato a norma dell’articolo 10 della direttiva 95/46/CE e dell’articolo 11 del regolamento (CE) n. 45/2001.

14.

Il GEPD chiede inoltre di essere consultato quando la Commissione eserciterà il proprio potere esecutivo, al fine di garantire che i nuovi modelli di moduli per le domande (nazionali o unionali) siano «rispettosi della protezione dei dati».

15.

Il GEPD accoglie con favore il fatto che l’articolo 6, paragrafo 3, lettera l), introduca l’obbligo per i richiedenti di trasmettere e aggiornare tutte le informazioni disponibili per consentire alle autorità doganali di analizzare e valutare il rischio di violazione dei diritti di proprietà intellettuale. Quest’obbligo dà attuazione a uno dei principi della qualità dei dati, conformemente al quale i dati personali devono essere «esatti e, se necessario, aggiornati» [articolo 6, lettera d), della direttiva 95/46/CE]. Il GEPD accoglie altresì con favore il fatto che lo stesso principio venga attuato nell’articolo 11, paragrafo 3, il quale impone al «destinatario della decisione» di comunicare ai servizi doganali competenti che hanno preso la decisione le eventuali modifiche delle informazioni fornite nella domanda.

16.

Gli articoli 10 e 11 riguardano il periodo di validità delle decisioni. Una decisione delle autorità doganali ha un periodo di validità limitato entro il quale le autorità doganali devono intervenire. Tale periodo può essere prorogato. Il GEPD desidera sottolineare che la domanda presentata dal titolare dei diritti (e in particolare i dati personali in essa contenuti) non deve essere conservata o trattenuta dalle autorità doganali nazionali e nella banca dati COPIS oltre la data di scadenza della decisione. Tale principio deriva dall’articolo 4, paragrafo 1, lettera e), del regolamento (CE) n. 45/2001 e dal corrispondente articolo 6, paragrafo 1, lettera e), della direttiva 95/46/CE (11).

17.

Il regolamento di attuazione attualmente in vigore (12) stabilisce (articolo 3, paragrafo 3) che i moduli devono essere conservati dalle autorità doganali «per almeno un anno oltre la durata legale del formulario». Tale disposizione non sembra essere del tutto conforme ai principi sopra indicati.

18.

Il GEPD suggerisce pertanto di inserire nella proposta una disposizione che imponga un limite alla conservazione dei dati personali collegata alla durata del periodo di validità delle decisioni. Eventuali proroghe della durata della data di conservazione devono essere evitate o, se giustificate, devono rispettare i principi di necessità e proporzionalità in relazione alla finalità, che deve essere chiarita. L’inserimento nella proposta di una disposizione equamente applicabile in tutti gli Stati membri e alla Commissione garantirebbe semplificazione, certezza giuridica ed efficacia poiché eviterebbe interpretazioni conflittuali.

19.

Il GEPD accoglie con favore il fatto che l’articolo 19 (Uso consentito delle informazioni da parte del destinatario della decisione) si riferisca chiaramente al principio di limitazione delle finalità, in quanto limita i fini per i quali il destinatario della decisione può utilizzare, tra l’altro, i dati personali dello speditore e del destinatario che gli sono stati forniti dalle autorità doganali a norma dell’articolo 18, paragrafo 3 (13). I dati possono essere utilizzati esclusivamente per avviare un procedimento al fine di stabilire l’eventuale violazione di diritti di proprietà intellettuale del destinatario della decisione o per chiedere un risarcimento in caso di distruzione delle merci conformemente alla procedura prevista dalla proposta di regolamento e a norma del diritto dello Stato membro in cui si trovano le merci. Considerando che i dati possono anche contenere informazioni relative a sospetti di infrazioni, questa limitazione costituisce una salvaguardia contro l’uso improprio di tali dati sensibili. Questa disposizione è inoltre rafforzata dall’articolo 15, che prevede misure amministrative nei confronti del titolare del diritto in caso di uso improprio delle informazioni al di là delle finalità indicate nell’articolo 19. La combinazione di questi due articoli dimostra una specifica attenzione della Commissione nei confronti del principio di limitazione delle finalità.

20.

La proposta (articolo 31, paragrafo 3) indica che tutte le domande di intervento, le decisioni di accoglimento delle domande, le decisioni che prorogano il periodo di validità delle decisioni e le eventuali sospensioni di una decisone di accoglimento di una domanda, contenenti anch’esse dati personali, sono conservate in una banca dati centrale della Commissione (COPIS).

21.

COPIS sarà pertanto una nuova banca dati finalizzata essenzialmente a sostituire gli scambi dei documenti pertinenti tra le autorità doganali degli Stati membri con un archivio e un sistema di trasferimento digitali. Della sua gestione sarà responsabile la Commissione e, in particolare, la DG TAXUD.

22.

Finora la base giuridica per lo scambio di informazioni tra gli Stati membri e la Commissione è stata rappresentata dal regolamento (CE) n. 1383/2003 (14) e dal regolamento di attuazione (CE) n. 1891/2004 della Commissione (15). Quanto al regolamento (CE) n. 1383/2003, l’articolo 5 consente di presentare le domande agli Stati membri per via elettronica, ma non menziona una banca dati centralizzata. L’articolo 22 prevede che gli Stati membri trasmettano le informazioni utili «per l’applicazione del presente regolamento» alla Commissione, la quale comunica tali informazioni agli altri Stati membri. Per quanto riguarda il regolamento di attuazione, il considerando 9 prevede l’opportunità di stabilire le modalità degli scambi di informazioni tra gli Stati membri e la Commissione per consentire a quest’ultima di seguire l’applicazione del regolamento e di redigere la relativa relazione. L’articolo 8 precisa che gli Stati membri comunicano periodicamente alla Commissione l’elenco di tutte le domande scritte e i successivi interventi intrapresi dalle autorità doganali, indicando anche i dati personali dei titolari dei diritti, i tipi di diritti nonché una descrizione della merce.

23.

Nel definire il contenuto del modulo per la domanda, il nuovo testo della proposta (articolo 6, paragrafo 4) prevede che, qualora siano disponibili sistemi informatizzati o elettronici, le domande vengano presentate per via elettronica. Inoltre, l’articolo 31 afferma che le domande presentate alle autorità doganali nazionali vengono comunicate alla Commissione, che le conserva «in una banca dati centrale». La base giuridica per la creazione della banca dati COPIS sembra dunque essere limitata alle disposizioni combinate dei nuovi articoli 6, paragrafo 4, e 31.

24.

Su tale base giuridica la Commissione sta elaborando la struttura e il contenuto di COPIS. In questa fase non esiste tuttavia alcuna ulteriore disposizione giuridica dettagliata adottata tramite la procedura legislativa ordinaria in cui vengano determinate le finalità e le caratteristiche di COPIS. A parere del GEPD si tratta di una lacuna particolarmente preoccupante. I dati personali degli individui (nome, indirizzo e altri recapiti nonché informazioni su sospetti di infrazioni) saranno oggetto di un intenso scambio tra la Commissione e gli Stati membri e verranno conservati per un periodo di tempo indefinito nella banca dati, eppure non esiste un testo giuridico sulla cui base sia possibile verificare la legalità di tali trattamenti. Inoltre, gli specifici diritti di accesso e di gestione in relazione alle varie operazioni di trattamento non sono espressamente chiariti.

25.

Come evidenziato dal GEPD in precedenti occasioni (16), la base giuridica per strumenti che limitano il diritto fondamentale alla protezione dei dati personali, quale riconosciuto dall’articolo 8 della Carta dei diritti fondamentali dell’Unione e nella giurisprudenza fondata sull’articolo 8 della Convenzione europea dei diritti dell’uomo, nonché dall’articolo 16 del TFUE, deve essere stabilita in uno strumento giuridico basato sui trattati e che possa essere invocato dinanzi a un giudice. Si tratta di una necessità volta a garantire la certezza giuridica per l’interessato, che deve essere in grado di contare su disposizioni chiare e di invocarle dinanzi a un giudice.

26.

Il GEPD esorta pertanto la Commissione a chiarire la base giuridica della banca dati COPIS introducendo una disposizione più dettagliata in uno strumento adottato a norma della procedura legislativa ordinaria prevista dal TFUE. Tale disposizione deve ottemperare ai requisiti del regolamento (CE) n. 45/2001 e, ove applicabile, alla direttiva 95/46/CE. In particolare, la disposizione volta a istituire la banca dati che prevede l’utilizzo di un meccanismo di scambio elettronico dei dati dovrà: i) identificare la finalità delle operazioni di trattamento e stabilire quali sono gli usi compatibili; ii) identificare quali entità (autorità doganali, Commissione) avranno accesso a quali informazioni conservate nella banca dati e avranno la possibilità di modificarle; iii) garantire il diritto di accesso e di informazione a tutti gli interessati di cui possono essere conservati e scambiati dati personali; iv) definire e limitare il periodo di conservazione dei dati personali al minimo necessario per la realizzazione di tale scopo. Inoltre, il GEPD sottolinea che nell’atto legislativo principale dovranno essere definiti anche i seguenti elementi: l’entità che sarà incaricata di controllare e gestire la banca dati e l’entità responsabile di garantire la sicurezza del trattamento dei dati contenuti nella banca dati.

27.

Il GEPD suggerisce di inserire nella proposta stessa un nuovo articolo in cui vengano chiaramente determinati questi elementi principali. In alternativa, nel testo della proposta dovrebbe essere inclusa una disposizione che preveda l’adozione di un atto legislativo separato a norma della procedura legislativa ordinaria, per cui si dovrebbe chiedere alla Commissione di presentare una proposta.

28.

In ogni caso, le misure di attuazione da adottare dovranno specificare nel dettaglio le caratteristiche funzionali e tecniche della banca dati.

29.

Inoltre, benché in questa fase la proposta non preveda alcuna interoperabilità con altre banche dati gestite dalla Commissione o con altre autorità, il GEPD sottolinea che l’introduzione di qualsivoglia tipo di interoperabilità o scambio deve innanzitutto e soprattutto rispettare il principio di limitazione delle finalità: i dati devono essere utilizzati allo scopo per cui è stata istituita la banca dati, al di là del quale non possono essere consentiti ulteriori scambi o interconnessioni. Deve inoltre essere sostenuta da una base giuridica dedicata che deve essere fondata sui trattati UE.

30.

Il GEPD auspica di essere coinvolto nel processo che porterà alla definitiva istituzione di questa banca dati, al fine di sostenere la Commissione e fornirle consulenza nell’elaborazione di un sistema appropriato «rispettoso della protezione dei dati». Incoraggia pertanto la Commissione ad includere la consultazione del GEPD nella fase preparatoria in corso.

31.

Infine, il GEPD richiama l’attenzione al fatto che, poiché l’istituzione della banca dati comporterà il trattamento di categorie particolari di dati (relativi a sospette infrazioni), tale trattamento dovrà essere soggetto a controllo preventivo da parte del GEPD a norma dell’articolo 27, paragrafo 2, lettera a), del regolamento (CE) n. 45/2001.

32.

Il GEPD accoglie con favore il riferimento specifico della proposta all’applicabilità della direttiva 95/46/CE e del regolamento (CE) n. 45/2001 alle attività di trattamento dei dati personali contemplate dal regolamento.

33.

Il GEPD desidera evidenziare i seguenti punti al fine di migliorare il testo dal punto di vista della protezione dei dati: