29.11.2005   

IT

Gazzetta ufficiale dell’Unione europea

C 298/1

1.

Il GEPD si compiace di essere stato consultato in base all'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001. Tuttavia, considerato il carattere vincolante dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, il presente parere dovrebbe essere citato nel preambolo della direttiva.

2.

Il GEPD riconosce che per le forze dell'ordine degli Stati membri è importante disporre di tutti gli strumenti giuridici necessari, in particolare nella lotta contro il terrorismo e le altre forme gravi di criminalità. Una disponibilità adeguata di taluni dati relativi al traffico e all'ubicazione dei servizi elettronici pubblici può essere uno strumento fondamentale per tali forze dell'ordine e può contribuire alla sicurezza fisica delle persone. Va inoltre rilevato che ciò non implica automaticamente la necessità dei nuovi strumenti previsti dalla presente proposta.

3.

È altresì evidente che la proposta ha un impatto notevole sulla protezione dei dati personali. Se si considera la proposta soltanto dal punto di vista della protezione dei dati, i dati relativi al traffico e all'ubicazione non dovrebbero essere affatto conservati per finalità legate alle attività delle forze dell'ordine. È per motivi di protezione dei dati che la direttiva 2002/58/CE stabilisce, come principio di diritto, che i dati relativi al traffico siano cancellati non appena la loro memorizzazione non è più necessaria a fini connessi con la comunicazione stessa (incluso a fine di fatturazione). Le deroghe a detto principio di diritto sono soggette a condizioni rigorose.

4.

Nel presente parere, il GEPD evidenzia l'impatto della proposta sulla protezione dei dati personali. Il GEPD tiene inoltre conto del fatto che la proposta, nonostante la sua importanza per le forze dell'ordine, non può comportare la privazione del diritto fondamentale alla tutela della vita privata.

5.

Il presente parere del GEPD deve essere visto alla luce di queste considerazioni. Il GEPD prevede un approccio equilibrato in cui la necessità e la proporzionalità dell'interferenza con la protezione dei dati svolgono un ruolo centrale.

6.

Quanto alla proposta in sé, essa va considerata una reazione all'iniziativa della Repubblica francese, dell'Irlanda, del Regno di Svezia e del Regno Unito relativa a una decisione quadro sulla conservazione dei dati trattati e memorizzati nel quadro della fornitura di servizi di comunicazioni elettroniche accessibili al pubblico o dei dati sulle reti pubbliche di comunicazione a fini di prevenzione, ricerca, accertamento e perseguimento della criminalità e dei reati, compreso il terrorismo («progetto di decisione quadro») respinta dal Parlamento europeo (nel quadro della procedura di consultazione).

7.

Il GEPD non è stato consultato sul progetto di decisione né ha reso un parere di propria iniziativa. Il GEPD non intende per ora formulare un parere sul progetto di decisione quadro, ma farà riferimento nel presente parere a detto progetto di decisione ove lo ritenga utile.

8.

Per il GEPD è essenziale che la proposta rispetti i diritti fondamentali. Un atto di carattere legislativo che comprometta la protezione garantita dal diritto comunitario, e più in particolare dalla giurisprudenza della Corte di giustizia e della Corte europea dei diritti dell'uomo, è non solo inaccettabile ma anche illegale. Gli attentati terroristici possono aver cambiato la situazione della società, ma non ne possono risultare compromessi gli elevati livelli di protezione assicurati dallo Stato di diritto. La protezione è garantita per legge, indipendentemente dalle esigenze contingenti delle forze dell'ordine. Inoltre, la stessa giurisprudenza prevede eccezioni, ove necessario in una società democratica.

9.

La proposta ha un impatto diretto sulla protezione prescritta dall'articolo 8 della Convenzione europea di salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU). Secondo la giurisprudenza della Corte europea dei diritti dell'uomo :

10.

L'articolo 6, paragrafo 2, del trattato UE prevede che l'Unione europea rispetti i diritti fondamentali, quali sono garantiti dalla CEDU. Nel precedente paragrafo si è mostrato che, secondo la giurisprudenza della Corte europea dei diritti dell'uomo, l'obbligo di conservazione dei dati rientra nel campo di applicazione dell'articolo 8 della CEDU ed è necessaria una motivazione pressante che rispetti il criterio della sentenza Dudgeon. La necessità e la proporzionalità dell'obbligo di conservazione dei dati — in tutta la sua portata — devono essere dimostrate.

11.

Inoltre, la proposta ha un impatto enorme sui principi relativi alla protezione di dati riconosciuti dal diritto comunitario:

12.

Infine, la tutela della vita privata e la protezione dei dati personali sono state entrambe riconosciute nella Carta dei diritti fondamentali, come menzionato nella relazione illustrativa.

13.

L'impatto della proposta sulla protezione dei dati personali richiede un'analisi approfondita. In tale analisi, il GEPD terrà conto degli elementi sopraindicati e concluderà che sono necessarie maggiori garanzie. Un semplice riferimento al quadro giuridico vigente sulla protezione dei dati (in particolare le direttive 95/46/CE e 2002/58/CE) non è sufficiente.

14.

Il GEPD ricorda la conclusione del 9 novembre 2004 del Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali (Gruppo dell'articolo 29) sul progetto di decisione quadro. Il Gruppo ha dichiarato che la conservazione obbligatoria dei dati relativi al traffico, alle condizioni previste nel progetto di direttiva quadro, non è accettabile. Tale conclusione era tra l'altro basata sulla mancata prova della necessità della conservazione a fini di ordine pubblico, in quanto l'analisi mostrava che la quantità più rilevante dei dati relativi al traffico richiesti dalle forze dell'ordine non risaliva a più di sei mesi.

15.

Secondo il GEPD, le considerazioni del Gruppo dell'articolo 29 di cui sopra dovrebbero essere il punto di partenza per la valutazione della presente proposta. Tuttavia il risultato di tali considerazioni non può essere trasposto tout court nella presente proposta. Si deve tener conto del fatto che le condizioni possono cambiare. Secondo il GEPD, i seguenti sviluppi possono influire sulla valutazione.

16.

In primo luogo, sono state presentate alcune cifre che dimostrano che in pratica i dati relativi al traffico richiesti dalle forze dell'ordine risalgono al massimo a un anno. La Commissione e la presidenza del Consiglio annettono importanza a uno studio realizzato dalla polizia del Regno Unito (8) secondo cui, benché l'85 % dei dati relativi al traffico richiesti dalla polizia risalisse a meno di sei mesi, i dati compresi tra 6 mesi e un anno prima erano utilizzati in indagini complesse su reati più gravi. Ne sono stati presentati anche alcuni esempi. Il periodo di conservazione che figura nella proposta — un anno per i dati telefonici — rispecchia queste prassi delle forze dell'ordine.

17.

Il GEPD non è sicuro che queste cifre costituiscano la prova della necessità della conservazione dei dati relativi al traffico fino a un anno. Il fatto che in alcuni casi la disponibilità di dati relativi al traffico e/o all'ubicazione abbia contribuito a individuare l'autore di un reato non significa automaticamente che tali dati siano necessari (in generale) come strumento per le forze dell'ordine. Le cifre non possono tuttavia essere ignorate. Esse rappresentano almeno un tentativo serio di dimostrare la necessità della conservazione. Inoltre, le cifre indicano chiaramente che un periodo di conservazione superiore a un anno non è necessario se si considerano le attuali prassi delle forze dell'ordine.

18.

In secondo luogo, le attuali possibilità previste per i fornitori dalla direttiva 2002/58/CE di conservare i dati relativi al traffico a fini di fatturazione non sono sempre utilizzate, in quanto in un numero crescente di casi la conservazione dei dati a fine di fatturazione non avviene affatto (le carte prepagate per le comunicazioni mobili, gli abbonamenti forfettari, ecc.). In questi casi — che sono diventati concretamente più frequenti — i dati relativi al traffico e all'ubicazione non sono memorizzati affatto ma cancellati subito dopo la comunicazione. Lo stesso dicasi per le chiamate perse. Ciò può incidere sull'efficacia delle forze dell'ordine.

19.

Inoltre, questo sviluppo nei servizi di telecomunicazioni può comportare perturbazioni nel funzionamento del mercato interno, tra l'altro a causa della (imminente) adozione di misure legislative negli Stati membri ai sensi dell'articolo 15 della direttiva 2002/58/CE. Ad esempio il governo italiano ha recentemente pubblicato un decreto che obbliga i fornitori a memorizzare i dati telefonici per quattro anni. Detto obbligo comporterà notevoli costi in taluni Stati membri, ad esempio l'Italia.

20.

In terzo luogo, i metodi di lavoro delle forze dell'ordine si sono altresì evoluti: le indagini proattive e l'utilizzo di supporto tecnico sono diventati più importanti. Questi sviluppi richiedono che le autorità dispongano di strumenti adeguati e definiti accuratamente che consentano loro di svolgere il proprio lavoro nel debito rispetto dei principi della protezione dei dati. Uno degli strumenti normalmente a disposizione delle autorità degli Stati membri è la preservazione dei dati o il congelamento su richiesta, in una determinata indagine, dei dati sulle comunicazioni. Si è sostenuto che tale strumento, che in sé ha un impatto minore su tali principi rispetto allo strumento ora proposto (conservazione dei dati), possa non sempre essere sufficiente, in particolare per rintracciare persone implicate in attività terroristiche o in altri reati gravi non sospettate precedentemente di attività terroristiche. Occorrono tuttavia maggiori prove per stabilire se sia effettivamente così.

21.

In quarto luogo, sono cresciute le preoccupazioni rispetto agli attentati terroristici. Il GEPD condivide il parere espresso nel contesto delle proposte sulla conservazione dei dati secondo cui la sicurezza fisica è in sé di importanza primaria. La società deve essere protetta. Per questa ragione, i governi sono tenuti, in caso di attentati nei confronti della società, a dimostrare di prendere seriamente in considerazione questa necessità di protezione e a valutare l'opportunità di reagire introducendo nuove misure legislative. Va da sé che il GEPD appoggia senza riserve il compito dei governi, a livello sia nazionale sia europeo, di proteggere la società e dimostrare di fare tutto il necessario per garantire la protezione, incluso l'adozione di nuove misure, legittime ed efficaci, a seguito di tale valutazione.

22.

Il GEPD riconosce i mutamenti intervenuti, ma non è ancora convinto della necessità della conservazione dei dati relativi al traffico e all'ubicazione per finalità legate alle attività delle forze dell'ordine, come stabilito nella proposta. Sottolinea l'importanza del principio di diritto stabilito dalla direttiva 2002/58/CE secondo cui i dati relativi al traffico devono essere cancellati non appena la memorizzazione non è più necessaria per finalità che non sono connesse con la comunicazione stessa. Inoltre, le cifre fornite non provano che il quadro giuridico esistente non offra gli strumenti necessari per tutelare la sicurezza fisica, né che gli Stati membri utilizzino appieno le loro competenze ai sensi del diritto europeo per cooperare come consentito loro dal quadro giuridico vigente (ma senza i risultati necessari).

23.

Tuttavia, se il Parlamento europeo e il Consiglio — dopo aver soppesato attentamente gli interessi in gioco — traggono la conclusione che la necessità della conservazione dei dati relativi al traffico e all'ubicazione è sufficientemente dimostrata, il GEPD ritiene che la conservazione possa essere giustificata ai sensi del diritto comunitario soltanto a condizione che sia rispettato il principio di proporzionalità e siano previste garanzie adeguate, in conformità al presente parere.

24.

La proporzionalità della stessa nuova misura proposta dipende dalla sostanza delle disposizioni in essa contenute: contiene una risposta adeguata e proporzionata alle esigenze della società?

25.

La prima considerazione riguarda l'adeguatezza della proposta: si può prevedere che la proposta aumenti la sicurezza fisica degli abitanti dell'Unione europea? Uno dei motivi di dubbio circa la sua adeguatezza, spesso citato nel dibattito pubblico, è che i dati relativi al traffico e i dati relativi all'ubicazione non sono sempre legati a una determinata persona, pertanto la conoscenza di un numero telefonico (o di un indirizzo IP) non rivela necessariamente l'identità di una persona. Un altro — e persino più serio — motivo di dubbio è se l'esistenza di una base di dati enorme consenta o no alle forze dell'ordine di trovare agevolmente ciò di cui hanno bisogno in un caso specifico.

26.

Il GEPD ritiene che la sola conservazione dei dati relativi al traffico e all'ubicazione non sia di per sé una risposta adeguata o efficace. Sono necessarie ulteriori misure, in modo da garantire alle autorità un accesso mirato e rapido ai dati richiesti in un caso specifico. La conservazione dei dati è adeguata ed efficace solo in presenza di motori di ricerca efficaci.

27.

La seconda considerazione riguarda la proporzionalità della risposta. La proposta, per essere proporzionata, dovrebbe:

28.

Il GEPD sottolinea l'importanza di queste limitazioni rigorose, con adeguate garanzie ai fini di un accesso limitato. Ritiene che, in considerazione dell'importanza dei tre elementi menzionati nel punto precedente, gli Stati membri non possano — in relazione a questi tre elementi — adottare misure nazionali aggiuntive che pregiudichino la proporzionalità. Questa esigenza di armonizzazione sarà sviluppata nella parte IV.

29.

L'effetto prodotto dalla proposta sarà che i fornitori disporranno di basi di dati in cui sarà memorizzata una rilevante quantità di dati relativi al traffico e all'ubicazione.

30.

In primo luogo, la proposta dovrà assicurare che l'accesso e l'ulteriore uso di questi dati siano limitati soltanto a determinate circostanze e per un limitato numero di scopi specifici.

31.

In secondo luogo, le basi di dati dovranno essere adeguatamente protette (sicurezza dei dati). A tal fine, deve essere garantito che, al termine dei periodi di conservazione, i dati siano cancellati effettivamente. Non dovrebbero verificarsi «scarico di dati» o utilizzazione di dati. In breve, ciò richiede un'elevata sicurezza dei dati e misure di sicurezza adeguate a livello tecnico e organizzativo.

32.

Un'elevata sicurezza dei dati è ancora più importante in quanto la mera esistenza dei dati può comportare richieste di accesso e uso da parte di almeno tre gruppi di soggetti interessati:

33.

Per quanto riguarda l'accesso da parte dei servizi di intelligence, il GEPD osserva che, ai sensi dell'articolo 33 trattato UE e dell'articolo 64 trattato CE, gli interventi nel quadro del terzo pilastro e del primo pilastro non ostano all'esercizio delle responsabilità incombenti agli Stati membri per il mantenimento dell'ordine pubblico e la salvaguardia della sicurezza interna. Secondo il GEPD, da queste disposizioni risulta che l'Unione europea non ha la competenza di controllare l'accesso dei servizi di sicurezza e di intelligence ai dati conservati dai fornitori. In altre parole, né l'accesso di tali servizi ai dati relativi al traffico e all'ubicazione conservati dai fornitori né l'ulteriore uso delle informazioni acquisite da tali servizi sono soggetti al diritto dell'Unione europea. Occorre tener conto di questo elemento nella valutazione della proposta. Spetta agli Stati membri adottare le misure necessarie a disciplinare l'accesso da parte dei servizi di intelligence.

34.

In terzo luogo, gli effetti descritti nel precedente paragrafo presentano potenziali implicazioni per la persona cui si riferiscono i dati. Sono necessarie garanzie aggiuntive per assicurare che essa possa esercitare, in modo semplice e rapido, i suoi diritti in quanto persona cui si riferiscono i dati. Il GEPD rileva la necessità di un controllo effettivo sull'accesso e l'ulteriore uso, preferibilmente da parte delle autorità giudiziarie degli Stati membri. Le garanzie dovrebbero valere anche per l'accesso e l'ulteriore uso dei dati relativi al traffico da parte delle autorità di un altro Stato membro.

35.

In tale contesto, il GEPD fa riferimento alle iniziative volte a introdurre un nuovo quadro giuridico sulla protezione dei dati nelle attività delle forze dell'ordine (nel quadro del terzo pilastro del trattato UE). A suo parere, un siffatto quadro giuridico richiede garanzie aggiuntive e non può limitarsi alla riaffermazione dei principi generali della protezione dei dati nel terzo pilastro (9).

36.

In quarto luogo, esiste un nesso diretto tra l'adeguatezza delle misure di sicurezza e i costi delle stesse. Una normativa adeguata sulla conservazione dei dati deve pertanto prevedere incentivi affinché i fornitori investano nell'infrastruttura tecnica. Siffatti incentivi potrebbero consistere nel risarcimento dei costi aggiuntivi per misure di sicurezza adeguate sostenuti dai fornitori.

37.

In sintesi, misure adeguate di sicurezza dovrebbero:

38.

La proposta è basata sul trattato CE, in particolare l'articolo 95, e mira, conformemente all'articolo 1, ad armonizzare gli obblighi dei fornitori riguardo al trattamento e alla conservazione dei dati relativi al traffico e all'ubicazione. Prevede che i dati siano forniti alle autorità nazionali competenti solo in singoli casi, connessi a reati, ma lascia alla discrezione gli Stati membri la definizione più precisa della finalità e dell'accesso ai dati e dell'ulteriore uso degli stessi, fatte salve le garanzie previste dal quadro comunitario vigente sulla protezione dei dati.

39.

Al riguardo, la proposta ha un campo di applicazione più limitato rispetto al progetto di decisione quadro che si basa sull'articolo 31, paragrafo 1, lettera c), del trattato UE e contiene disposizioni aggiuntive sull'accesso ai dati conservati e sulle richieste di accesso di altri Stati membri. La relazione illustrativa fornisce una motivazione di questa limitazione del campo di applicazione della proposta. Afferma che l'accesso alle informazioni e lo scambio delle stesse tra le pertinenti forze dell'ordine non rientrano nel campo di applicazione del trattato CE.

40.

Il GEPD non è convinto dell'esattezza di questa affermazione contenuta nella relazione introduttiva. Un intervento della Comunità basato sull'articolo 95 del trattato CE (mercato interno) deve avere per oggetto principale l'eliminazione degli ostacoli agli scambi. Secondo la giurisprudenza della Corte di giustizia, tale intervento deve costituire un contributo realmente appropriato all'eliminazione di siffatto ostacolo. Tuttavia, nel suo intervento, il legislatore comunitario deve garantire il rispetto dei diritti fondamentali (articolo 6, paragrafo 2, del trattato UE; cfr. parte II del presente parere). Per questi motivi, l'istituzione a livello comunitario di norme sulla conservazione dei dati nell'interesse del mercato interno può richiedere che anche il rispetto dei diritti fondamentali sia trattato al livello della Comunità europea. Il legislatore comunitario, se non potesse stabilire norme sull'accesso ai dati e l'uso degli stessi, non potrebbe adempiere all'obbligo che gli incombe ai sensi dell'articolo 6 del trattato UE, in quanto queste norme sono indispensabili per garantire che i dati sono conservati nel debito rispetto dei diritti fondamentali. In altri termini, secondo il GEPD, le norme sull'accesso ai dati e sull'uso e lo scambio degli stessi sono inscindibili dall'obbligo stesso di conservazione dei dati.

41.

Quanto all'istituzione di autorità competenti, il GEPD riconosce che ciò rientra nelle competenze degli Stati membri. Lo stesso dicasi per l'organizzazione delle forze dell'ordine e della tutela giurisdizionale. Tuttavia un atto comunitario può imporre condizioni agli Stati membri per quanto concerne la designazione delle autorità competenti, il controllo giurisdizionale e l'accesso alla giustizia da parte dei cittadini. Dette disposizioni assicurano l'esistenza, a livello nazionale, di meccanismi idonei a garantire la piena efficacia dell'atto, inclusa la piena osservanza della legislazione sulla protezione dei dati.

42.

Il GEPD solleva un'altra questione, relativa alla base giuridica. Spetta al legislatore comunitario scegliere la base giuridica adeguata e, di conseguenza, la procedura legislativa adeguata. La scelta va oltre i compiti del GEPD. Tuttavia, in considerazione delle importanti questioni fondamentali in gioco, il GEPD esprime nell'attuale situazione una forte preferenza per la procedura di codecisione. Soltanto questa procedura rappresenta un processo decisionale trasparente che garantisce la piena partecipazione delle tre istituzioni interessate e il debito rispetto dei principi sui cui si fonda l'Unione.

43.

La proposta di direttiva armonizza i tipi di dati da conservare, i periodi di tempo durante i quali i dati dovrebbero essere conservati e gli scopi per i quali i dati possono essere forniti alle autorità competenti. La proposta prevede la piena armonizzazione di questi elementi. Al riguardo, diverge profondamente dal progetto di decisione quadro, che prevede norme minime.

44.

Il GEPD sottolinea la necessità di una piena armonizzazione di questi elementi, tenuto conto del funzionamento del mercato interno, delle esigenze delle forze dell'ordine e — da ultimo ma non meno importante — della CEDU e dei principi della protezione dei dati.

45.

Quanto al funzionamento del mercato interno, l'armonizzazione degli obblighi di conservare i dati giustifica la scelta della base giuridica della proposta (articolo 95 del trattato CE). Se si consente la presenza di differenze sostanziali tra le legislazioni degli Stati membri, non si eliminano le attuali perturbazioni del mercato interno delle comunicazioni elettroniche dovute tra l'altro alla (imminente) adozione di misure legislative negli Stati membri ai sensi dell'articolo 15 della direttiva 2002/58/CE (cfr. punto 19 del presente parere).

46.

Ciò risulta ancor più importante in quanto una quantità notevole di comunicazioni elettroniche ricade sotto la giurisdizione di più di uno Stato membro. Ne sono esempi illustrativi: le chiamate telefoniche transfrontaliere, il roaming, l'attraversamento delle frontiere durante le comunicazioni mobili e l'uso di un fornitore di uno Stato membro diverso dal paese di residenza della persona.

47.

Inoltre, in tale contesto, l'assenza di armonizzazione sarebbe dannosa per le necessità delle forze dell'ordine, in quanto le autorità competenti dovrebbero soddisfare requisiti giuridici diversi. Ciò potrebbe ostacolare lo scambio di informazioni tra le autorità degli Stati membri.

48.

Infine il GEPD sottolinea — in riferimento al compito che gli incombe ai sensi dell'articolo 41 del regolamento (CE) n. 45/2001 — che la piena armonizzazione dei principali elementi contenuti nella proposta è indispensabile per il rispetto della CEDU e dei principi della protezione dei dati. Qualsiasi misura legislativa che imponga la conservazione dei dati relativi al traffico e all'ubicazione deve limitare chiaramente il numero di dati da conservare, i periodi di conservazione e (gli scopi del)l'accesso e l'ulteriore uso dei dati, per essere accettabile dal punto di vista della protezione dei dati e soddisfare i requisiti di necessità e proporzionalità.

49.

L'articolo 3 è la disposizione fondamentale della proposta. L'articolo 3, paragrafo 1, introduce l'obbligo di conservare i dati relativi al traffico e i dati relativi all'ubicazione, mentre l'articolo 3, paragrafo 2, attua il principio di limitazione della finalità stabilendo tre importanti limiti. I dati conservati sono forniti soltanto:

L'articolo 3, paragrafo 2, rinvia alla legislazione nazionale degli Stati membri per la precisazione di ulteriori limiti.

50.

Il GEPD considera l'articolo 3, paragrafo 2, una disposizione importante, ma ritiene che i limiti non siano abbastanza precisi, che l'accesso e l'ulteriore uso debbano essere regolamentati esplicitamente dalla direttiva e siano necessarie garanzie aggiuntive. Come indicato nella parte III del presente parere, il GEPD non è convinto che il mancato inserimento di disposizioni (dettagliate) sull'accesso ai dati relativi al traffico e all'ubicazione e sull'ulteriore uso degli stessi sia una conseguenza inevitabile della base giuridica della proposta (articolo 95 del trattato CE). Ne conseguono le seguenti osservazioni.

51.

In primo luogo, non viene precisato che altri soggetti interessati, come lo stesso fornitore, non hanno accesso ai dati. Ai sensi dell'articolo 6 della direttiva 2002/58/CE, i fornitori possono trattare i dati relativi al traffico solo sino alla fine del periodo i cui i dati sono conservati a fini di fatturazione. Secondo il GEPD non è giustificato un accesso da parte dei fornitori o di altri soggetti interessati diverso da quello contemplato dalla direttiva 2002/58/CE e alle condizioni ivi previste.

52.

Il GEPD raccomanda di aggiungere nel testo una disposizione volta a garantire che le persone diverse dalle autorità competenti non abbiano accesso ai dati. Questa disposizione potrebbe essere formulata come segue: «i dati possono essere estratti e/o trattati soltanto per la finalità di cui all'articolo 3, paragrafo 2» oppure «i fornitori garantiscono effettivamente che l'accesso è concesso soltanto alle autorità competenti».

53.

In secondo luogo, la limitazione a casi specifici sembra proibire l'accesso sistematico per «operazioni di pesca» o attività di data mining. Tuttavia il testo della proposta dovrebbe specificare che i dati possono essere forniti solo se necessario in relazione a un reato specifico.

54.

In terzo luogo, il GEPD accoglie con favore il fatto che la finalità dell'accesso è limitata ai reati gravi, quali il terrorismo e la criminalità organizzata. Negli altri casi meno gravi, l'accesso ai dati relativi al traffico e all'ubicazione non sarà senza dubbio proporzionato. Tuttavia il GEPD si chiede se questa limitazione sia abbastanza precisa, soprattutto quando l'accesso sarà chiesto in relazione a reati gravi diversi dal terrorismo e dalla criminalità organizzata. La prassi degli Stati membri sarà diversa. Il GEPD ha sottolineato, nella parte IV del presente parere, la necessità di una piena armonizzazione degli elementi principali contenuti nella proposta. Il GEPD raccomanda pertanto di limitare la disposizione a taluni reati gravi.

55.

In quarto luogo, diversamente dal progetto di decisione quadro, la proposta non contiene una disposizione sull'accesso. Secondo il GEPD l'accesso ai dati e l'ulteriore uso degli stessi non dovrebbero essere trascurati dalla direttiva. Essi sono parte integrante della materia (cfr. parte III del presente parere).

56.

Il GEPD raccomanda di aggiungere alla proposta uno o più articoli sull'accesso ai dati relativi al traffico e all'ubicazione da parte delle autorità competenti e sull'ulteriore uso dei dati. Questi articoli dovrebbero mirare a garantire che i dati siano utilizzati soltanto per i fini di cui all'articolo 3, paragrafo 2, che le autorità garantiscano la qualità, la riservatezza e la sicurezza dei dati ottenuti e che i dati siano cancellati quando non sono più necessari per la prevenzione, la ricerca, l'accertamento e il perseguimento del reato specifico. Inoltre, si dovrebbe prevedere che l'accesso in casi specifici debba essere posto sotto il controllo giurisdizionale degli Stati membri.

57.

In quinto luogo, la proposta non contiene garanzie aggiuntive per la protezione dei dati. I considerando si limitano a menzionare le garanzie previste dalla legislazione vigente, più in particolare dalla direttiva 95/46/CE e dalla direttiva 2002/58/CE. Il GEPD non condivide questo approccio limitato alla protezione dei dati nonostante la particolare importanza delle garanzie (aggiuntive) (cfr. parte II del presente parere).

58.

Pertanto, il GEPD raccomanda di introdurre un paragrafo sulla protezione dei dati. In tale paragrafo potrebbero essere inserite le precedenti raccomandazioni concernenti l'articolo 3, paragrafo 2, e altre disposizioni sulla protezione dei dati, ad esempio quelle relative all'esercizio dei propri diritti da parte della persona cui si riferiscono i dati (cfr. parte II del presente parere), alla qualità dei dati e alla sicurezza dei dati e ai dati relativi al traffico e all'ubicazione concernenti persone non sospettate di reato.

59.

In generale, il GEPD accoglie con favore l'articolo e l'allegato per:

60.

Il GEPD raccomanda le seguenti modifiche:

61.

Il GEPD si compiace del fatto che i periodi di conservazione indicati nella proposta siano notevolmente più brevi di quelli previsti dal progetto di decisione quadro:

62.

Nel testo si dovrebbe precisare che:

63.

Questo articolo è strettamente connesso all'articolo 3, paragrafo 2, e contiene un'importante disposizione che può garantire che l'accesso in casi specifici possa essere limitato ai dati specificamente necessari. L'articolo 8 e l'articolo 3, paragrafo 2, presuppongono che i dati richiesti siano trasmessi dai fornitori alle autorità e che queste ultime non abbiano accesso diretto alle basi di dati. Il GEPD raccomanda di far figurare esplicitamente questa presupposizione nel testo.

64.

La disposizione dovrebbe essere precisata, indicando che:

65.

L'obbligo per i fornitori di presentare statistiche su base annuale facilita il monitoraggio da parte delle istituzioni comunitarie dell'efficacia dell'attuazione e dell'applicazione della presente proposta. Sono necessarie informazioni adeguate.

66.

Secondo il GEPD tale obbligo attua il principio di trasparenza. Il cittadino europeo ha il diritto di essere informato sull'efficacia della conservazione dei dati. Per questa ragione, il fornitore dovrebbe essere tenuto anche a tenere elenchi dei file di log e a effettuare sistematicamente audit (interni) per consentire alle autorità nazionali incaricate della protezione dei dati di controllare concretamente l'applicazione delle norme in materia di protezione dei dati (11). La proposta dovrebbe essere modificata in tal senso.

67.

Come già rilevato nella parte II, esiste un nesso diretto tra l'adeguatezza delle misure di sicurezza e i costi delle stesse o, in altri termini, tra sicurezza e costi. Il GEPD considera pertanto l'articolo 10 — che prevede il rimborso dei costi aggiuntivi documentati — una disposizione importante che potrebbe fungere da incentivo affinché i fornitori investano nell'infrastruttura tecnica.

68.

Secondo le stime riportate nella valutazione d'impatto trasmessa dalla Commissione al GEPD, i costi della conservazione di dati sono rilevanti. Per un importante fornitore di rete e di servizi, i costi ammonterebbero a più di 150 milioni di EUR, per un periodo di conservazione di 12 mesi, con costi di gestione annui pari a circa 20 milioni di EUR (12). Non esistono tuttavia dati sui costi delle misure di sicurezza aggiuntive, ad esempio per costosi motori di ricerca (cfr. le osservazioni sull'articolo 6) né sulle conseguenze finanziarie (stimate) del rimborso totale dei costi aggiuntivi sostenuti dai fornitori.

69.

Secondo il GEPD sono necessarie cifre più precise per essere in grado di valutare la proposta per intero. Egli propone di chiarire le conseguenze finanziarie della proposta nella relazione illustrativa.

70.

Per quanto riguarda la stessa disposizione dell'articolo 10, il nesso tra l'adeguatezza delle misure di sicurezza e i costi dovrebbe essere precisato nel testo della disposizione. Inoltre la proposta dovrebbe prevedere norme minime per le misure di sicurezza che i fornitori dovrebbero adottare per aver diritto al rimborso da parte di uno Stato membro. Secondo il GEPD la definizione di tali norme non dovrebbe essere lasciata totalmente alla discrezione degli Stati membri. Ciò potrebbe compromettere il livello di armonizzazione previsto dalla direttiva. Si dovrebbe inoltre tener conto del fatto che le conseguenze finanziarie del rimborso sono a carico degli Stati membri.

71.

La relazione con l'articolo 15, paragrafo 1, della direttiva 2002/58/CE dovrebbe essere chiarita, in quanto la presente proposta priva questa disposizione di gran parte del suo contenuto. I riferimenti presenti nell'articolo 15, paragrafo 1, della direttiva 2002/58/CE agli articoli 6 e 9 (della stessa direttiva) dovrebbero essere soppressi, o almeno modificati per chiarire che gli Stati membri non sono più competenti ad adottare normative sui reati, in aggiunta alla presente proposta. Deve essere eliminata ogni ambiguità sulle loro restanti competenze — ad esempio per quanto riguarda la conservazione di dati per reati «non gravi».

72.

Il GEPD si compiace del fatto che la proposta contenga un articolo sulla valutazione della direttiva, entro tre anni dall'entrata in vigore. Una valutazione è tanto più importante in considerazione dei dubbi sulla necessità della proposta e della sua proporzionalità.

73.

A questo proposito, il GEPD raccomanda di prevedere un obbligo ancora più rigoroso, che contenga i seguenti elementi:

74.

Per il GEPD è essenziale che la proposta rispetti i diritti fondamentali. Un atto di carattere legislativo che comprometta la protezione garantita dal diritto comunitario e più in particolare dalla giurisprudenza della Corte di giustizia e dalla Corte europea dei diritti dell'uomo è non solo inaccettabile, ma anche illegale.

75.

La necessità e la proporzionalità dell'obbligo di conservazione dei dati — in tutta la sua portata — devono essere dimostrate.

76.

Quanto alla necessità: il GEPD riconosce i mutamenti intervenuti, ma non è ancora convinto della necessità della conservazione dei dati relativi al traffico e all'ubicazione per finalità legate alle attività delle forze dell'ordine, come stabilito nella proposta.

77.

Nondimeno, il GEPD espone, nel presente parere, le sue considerazioni sulla proporzionalità della proposta. In primo luogo, la sola conservazione dei dati relativi al traffico e all'ubicazione non è di per sé una risposta adeguata o efficace. Sono necessarie ulteriori misure, in modo da garantire alle autorità un accesso mirato e rapido ai dati richiesti in un caso specifico. In secondo luogo, la proposta dovrebbe:

78.

Il GEPD sottolinea l'importanza del fatto che il presente testo della proposta preveda la piena armonizzazione dei principali elementi contenuti nella proposta, in particolare i tipi di dati da conservare, i periodi di tempo durante i quali i dati dovrebbero essere conservati e (gli scopi del)l'accesso e ulteriore uso dei dati.

79.

Sono necessarie ulteriori precisazioni su alcuni punti, ad esempio per garantire una cancellazione adeguata dei dati al termine del periodo di conservazione e ostacolare efficacemente l'accesso ed uso da parte di diversi gruppi di soggetti interessati.

80.

Il GEPD ritiene essenziali i seguenti punti perché la proposta sia accettabile dal punto di vista della protezione dei dati:

81.

Per quanto riguarda l'articolo 3, paragrafo 2:

82.

Per quanto riguarda gli articoli 4 e 5:

83.

Per quanto riguarda l'articolo 7, la precisazione nel testo che:

84.

Per quanto riguarda l'articolo 8, la precisazione nel testo che:

85.

Per quanto riguarda l'articolo 9:

86.

Per quanto riguarda l'articolo 10:

87.

Per quanto riguarda l'articolo 11:

88.

Per quanto riguarda l'articolo 12, modifica della disposizione sulla valutazione: