21.7.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 215/13

1.

Il 22 dicembre 2010 la Commissione ha adottato la proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce le regole finanziarie applicabili al bilancio annuale dell’Unione («la proposta»). Il documento riunisce e sostituisce due precedenti proposte della Commissione concernenti la revisione del regolamento finanziario [«il RF», regolamento (CE, Euratom) n. 1605/2002 del Consiglio (3)]. Le due proposte riguardavano, da un lato, la revisione triennale del RF e, dall’altro, la revisione del RF per allinearlo al trattato di Lisbona (4).

2.

Conformemente all’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, il 5 gennaio 2011 la proposta è stata inviata al GEPD. Prima dell’adozione della proposta, il GEPD era stato consultato in modo informale. Il Garante raccomanda al legislatore di includere un riferimento alla sua consultazione all’inizio del regolamento proposto.

3.

La proposta comporta implicazioni per la protezione dei dati, sia a livello di Unione europea sia a livello nazionale, che sono esaminate nel presente parere.

4.

La proposta contiene riferimenti ai pertinenti strumenti per la protezione dei dati. Tuttavia, come spiegato nel presente parere, è necessario elaborare e chiarire ulteriormente alcuni aspetti al fine di garantire la piena osservanza del quadro giuridico sulla protezione dei dati.

5.

Il regolamento proposto comprende diverse situazioni che comportano il trattamento di dati personali da parte delle istituzioni, delle agenzie e degli organismi dell’UE, nonché da parte di entità a livello di Stati membri. Tali attività di trattamento dei dati sono analizzate in modo più approfondito nel prosieguo. Quando trattano dati personali, le istituzioni, le agenzie e gli organismi dell’UE sono vincolati dalle disposizioni in materia di protezione dei dati di cui al regolamento (CE) n. 45/2001. Le entità che agiscono a livello nazionale sono vincolate dalle disposizioni nazionali che recepiscono la direttiva 95/46/CE nel rispettivo Stato membro.

6.

Il GEPD constata con soddisfazione che la proposta di regolamento contiene riferimenti a uno di questi due strumenti o a entrambi (5). Tuttavia i riferimenti non figurano in modo sistematico e coerente nella proposta. Il GEPD invita pertanto il legislatore ad adottare un approccio più esauriente al riguardo nell’ambito del regolamento.

7.

Il GEPD raccomanda al legislatore di inserire nel preambolo del regolamento il seguente riferimento alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001:

«Il presente regolamento lascia impregiudicati gli obblighi previsti dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e dal regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.».

8.

Il GEPD raccomanda altresì di inserire nell’articolo 57, paragrafo 2, lettera f), un riferimento alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001, analogo a quello che figura all’articolo 31, paragrafo 3, della proposta.

9.

L’articolo 28 della proposta riguarda il controllo interno dell’esecuzione del bilancio. Esso prevede, al paragrafo 2, lettera d), che ai fini dell’esecuzione del bilancio, il controllo interno è destinato a fornire ragionevoli garanzie quanto al conseguimento della prevenzione, dell’individuazione e della rettifica delle frodi e irregolarità.

10.

In caso di esecuzione indiretta del bilancio da parte della Commissione, mediante gestione concorrente con gli Stati membri o con entità e persone diverse dagli Stati membri, l’articolo 56, paragrafo 2, e l’articolo 57, paragrafo 3, rispettivamente, stabiliscono che gli Stati membri e le entità e persone prevengono, individuano e rettificano le irregolarità e le frodi nell’ambito dell’espletamento delle funzioni connesse all’esecuzione del bilancio. Va da sé che tali misure devono essere pienamente conformi alle disposizioni nazionali che recepiscono la direttiva 95/46/CE.

11.

A tal fine, l’articolo 56, paragrafo 4, lettera f) (che dovrebbe essere il paragrafo 4, lettera e), secondo l’ordine logico dei commi), stabilisce che gli organismi accreditati dagli Stati membri, che assumono la responsabilità esclusiva della gestione e del controllo corretti dei fondi, «garantiscono un grado di tutela dei dati personali che soddisfa i principi stabiliti dalla direttiva 95/46/CE». Il GEPD raccomanda di rafforzare tale riferimento, modificandolo in «garantiscono la conformità di qualsiasi trattamento dei dati personali alle disposizioni nazionali che recepiscono la direttiva 95/46/CE».

12.

Per quanto riguarda le entità e persone diverse dagli Stati membri, l’articolo 57, paragrafo 2, lettera f), indica che tali entità e persone «garantiscono un ragionevole grado di tutela dei dati personali». Il GEPD critica severamente questa formulazione, in quanto sembra lasciare margini per un’applicazione meno rigorosa delle disposizioni in materia di protezione dei dati. Il GEPD raccomanda quindi di sostituire la frase, anche in questo caso, con «garantiscono la conformità di qualsiasi trattamento dei dati personali alle disposizioni nazionali che recepiscono la direttiva 95/46/CE».

13.

L’articolo 63, paragrafo 8, della proposta riguarda le procedure per la denuncia delle irregolarità. Impone agli agenti l’obbligo di informare l’ordinatore (o l’istanza specializzata in irregolarità finanziarie creata ai sensi dell’articolo 70, paragrafo 6, della proposta), qualora ritengano irregolare o contraria ai principi di una sana gestione finanziaria o alle regole deontologiche cui sono vincolati una decisione la cui applicazione sia stata loro imposta da un superiore. In caso di attività illecite, di frode o di corruzione che possano ledere gli interessi dell’Unione, gli agenti informano le autorità e istanze designate dalla legislazione in vigore.

14.

Il GEPD desidera rilevare che la posizione dei denuncianti è delicata. Le persone che ricevono le informazioni dovrebbero assicurare che l’identità del denunciante non sia rivelata a terzi, in particolare al presunto autore dell’illecito denunciato (6). Garantire la riservatezza del denunciante non solo tutela la persona che fornisce le informazioni, ma assicura anche l’efficienza della procedura di denuncia stessa. Senza adeguate garanzie di riservatezza, gli agenti saranno meno propensi a denunciare irregolarità o illeciti.

15.

La tutela della riservatezza del denunciante tuttavia non è assoluta. In seguito alla prima verifica interna, potrebbero essere avviati procedimenti amministrativi o giudiziari che comportano la comunicazione dell’identità del denunciante, per esempio alle autorità giudiziarie. Al riguardo si devono osservare le normative nazionali che disciplinano i procedimenti giudiziari (7).

16.

Possono anche verificarsi situazioni in cui la persona accusata di un illecito ha il diritto di conoscere il nome del denunciante. Per esempio, se viene accertato che quest’ultimo ha dichiarato il falso in malafede, è possibile che il denunciato voglia avviare un procedimento per diffamazione e che sia quindi necessario rivelargli l’identità del denunciante (8).

17.

Il GEPD raccomanda di modificare l’attuale proposta al fine di garantire la riservatezza dei dati sull’identità del denunciante durante le attività di verifica, purché ciò non sia in contrasto con le normative nazionali che disciplinano i procedimenti giudiziari e fatto salvo il diritto della persona accusata di un illecito di conoscere l’identità del denunciante per avviare un procedimento nei suoi confronti, qualora venga accertato che il denunciante ha dichiarato il falso in malafede.

18.

Secondo l’articolo 31, paragrafo 2 (Pubblicazione dei destinatari di fondi dell’Unione e di altre informazioni) la Commissione mette a disposizione, nella forma appropriata, le informazioni sui destinatari dei fondi provenienti dal bilancio, di cui essa dispone qualora l’esecuzione del bilancio sia espletata direttamente dai suoi servizi o dalle delegazioni.

19.

All’articolo 31, paragrafo 3, si legge che tali informazioni «sono messe a disposizione nel debito rispetto dei requisiti in materia di riservatezza, in particolare la tutela dei dati personali ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio e del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, nonché dei requisiti in materia di sicurezza, nel rispetto delle specificità di ciascuna delle modalità di gestione […] e se del caso in conformità delle pertinenti normative settoriali».

20.

La pubblicazione dell’identità dei destinatari di fondi dell’Unione è stata esaminata dalla Corte di giustizia dell’Unione europea («la Corte») nella sua sentenza del novembre 2010 nella causa Schecke e Eifert  (9). Senza entrare nel merito della fattispecie, va sottolineato che la Corte ha valutato attentamente se la legislazione dell’Unione, che prevedeva l’obbligo di rivelare le informazioni, fosse conforme agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea («la Carta dell’UE»).

21.

La Corte ha esaminato la finalità della pubblicazione delle informazioni e quindi la proporzionalità della misura. Ha osservato che le istituzioni, prima di divulgare informazioni riguardanti una persona fisica, devono soppesare l’interesse dell’Unione alla trasparenza e la lesione dei diritti riconosciuti dalla Carta dell’UE (10). La Corte ha sottolineato che le deroghe e le limitazioni alla protezione dei dati personali devono operare nei limiti dello stretto necessario (11).

22.

Secondo la Corte, le istituzioni dovrebbero esaminare diverse modalità di pubblicazione al fine di individuarne una che sia conforme all’obiettivo della pubblicazione pur essendo meno lesiva del diritto dei beneficiari al rispetto della vita privata, in generale, e alla protezione dei dati personali, in particolare (12). Nella fattispecie, la Corte ha indicato la limitazione della pubblicazione dei dati nominativi relativi ai beneficiari in base ai periodi durante i quali essi hanno percepito aiuti, alla frequenza, o al tipo e all’entità di tali aiuti (13).

23.

Il GEPD sottolinea ancora una volta che il ruolo della protezione della vita privata e dei dati personali non è impedire il pubblico accesso alle informazioni allorché riguardano dati personali, né limitare indebitamente la trasparenza dell’amministrazione dell’Unione. Il GEPD condivide il punto di vista secondo cui il principio di trasparenza «consente una migliore partecipazione dei cittadini al processo decisionale e garantisce una maggiore legittimità, efficienza e responsabilità dell’amministrazione nei confronti dei cittadini in un sistema democratico»; la pubblicazione tramite Internet dei dati nominativi relativi ai beneficiari dei fondi, effettuata in modo adeguato, «contribuisce all’impiego appropriato delle finanze pubbliche da parte dell’amministrazione» e «rafforza il controllo pubblico sull’utilizzazione delle somme in questione» (14).

24.

Su tali basi, il GEPD desidera sottolineare che le considerazioni della Corte esposte ai paragrafi precedenti sono direttamente pertinenti alla proposta in esame. Sebbene contenga riferimenti alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001, essa non assicura che la pubblicazione prevista soddisfi le condizioni stabilite dalla Corte nella causa Schecke. Al riguardo va rilevato che la Corte non solo ha dichiarato invalido il regolamento della Commissione che stabilisce le modalità di pubblicazione di informazioni sui beneficiari dei fondi agricoli (15), ma anche la disposizione del regolamento che costituisce la base giuridica di detto regolamento della Commissione contenente l’obbligo generale di pubblicare le informazioni (16), nella parte in cui riguardano le persone fisiche beneficiarie di aiuti.

25.

Il GEPD nutre seri dubbi in merito al soddisfacimento, da parte dell’attuale proposta, dei criteri enunciati dalla Corte nella causa Schecke. Né l’articolo 31, né gli altri articoli indicano una finalità chiara e ben definita per la quale è prevista la pubblicazione dei dati personali. Inoltre non è chiaro quando e in quale forma saranno divulgate tali informazioni. Non è quindi possibile valutare se sia stato garantito un contemperamento equilibrato dei diversi interessi in causa e verificare, come sottolineato espressamente dalla Corte nella causa Schecke, se la pubblicazione sarebbe proporzionata. È altresì poco chiaro il modo in cui saranno tutelati i diritti degli interessati.

26.

Anche se è prevista una legislazione di attuazione — il che non è esplicitamente indicato — le precisazioni essenziali di cui sopra dovrebbero figurare nella base giuridica che dovrebbe essere costituita dal RF per la pubblicazione di tali dati.

27.

Il GEPD raccomanda pertanto al legislatore di chiarire la finalità e spiegare la necessità della pubblicazione prevista, di indicare come e in quale misura saranno divulgati dati personali, di garantire che i dati siano pubblicati soltanto se ciò è proporzionato e di assicurare che gli interessati possano far valere i loro diritti, sanciti dalla normativa UE sulla protezione dei dati.

28.

L’articolo 103 della proposta stabilisce che l’amministrazione aggiudicatrice può infliggere sanzioni amministrative o finanziarie: a) a contraenti, candidati o offerenti che si siano resi colpevoli di false dichiarazioni nel fornire le informazioni richieste dall’amministrazione aggiudicatrice ai fini della partecipazione alla procedura di aggiudicazione dell’appalto o non abbiano fornito tali informazioni [articolo 101, lettera b)]; b) a contraenti dei quali sia stata accertata una grave inadempienza alle obbligazioni previste in contratti a carico del bilancio.

29.

L’articolo 103, paragrafo 1, stabilisce che gli interessati devono avere la possibilità di presentare osservazioni. Secondo l’articolo 103, paragrafo 2, le sanzioni possono consistere nell’esclusione dell’interessato dagli appalti e sovvenzioni finanziati dal bilancio per un periodo massimo di dieci anni, e/o in sanzioni finanziarie entro i limiti del valore dell’appalto in questione.

30.

Rispetto alla situazione attuale, un nuovo elemento della proposta è che l’istituzione di cui all’articolo 103, paragrafo 3, può pubblicare le decisioni o una sintesi delle decisioni in cui figurano il nominativo dell’operatore economico, una breve descrizione dei fatti, la durata dell’esclusione o l’ammontare delle sanzioni finanziarie.

31.

Nella misura in cui ciò comporta la divulgazione di informazioni su persone fisiche, la disposizione solleva alcuni dubbi dal punto di vista della protezione dei dati. In primo luogo, è chiaro dall’uso del termine «può» che la pubblicazione non è obbligatoria. Tuttavia ciò lascia irrisolte alcune questioni sulle quali il testo della proposta non garantisce chiarezza. Per esempio, qual è la finalità di tale pubblicazione? Quali sono i criteri in base ai quali l’istituzione interessata decide di pubblicare le informazioni? Per quanto tempo tali informazioni saranno disponibili al pubblico e tramite quali mezzi? Chi verificherà se le informazioni sono ancora esatte e le terrà aggiornate? Chi informerà la persona interessata in merito alla pubblicazione? Sono tutte questioni che riguardano gli obblighi in materia di qualità dei dati di cui all’articolo 6 della direttiva 95/46/CE e all’articolo 4 del regolamento (CE) n. 45/2001.

32.

Va sottolineato che la pubblicazione di tali informazioni ha un ulteriore impatto negativo sull’interessato. La pubblicazione dovrebbe essere consentita soltanto se è strettamente necessaria per la finalità prevista. Le osservazioni formulate nella parte II.4 nel contesto della sentenza della Corte nella causa Schecke si applicano anche in questo caso.

33.

Nella sua formulazione attuale, il testo proposto all’articolo 103, paragrafo 3, non rispetta pienamente le condizioni stabilite dalla normativa sulla protezione dei dati. Il GEPD raccomanda pertanto al legislatore di chiarire la finalità e spiegare la necessità della pubblicazione prevista, di indicare come e in quale misura saranno divulgati dati personali, di garantire che i dati siano divulgati soltanto se ciò è proporzionato e di assicurare che gli interessati possano far valere i loro diritti, sanciti dalla normativa UE sulla protezione dei dati.

34.

La proposta prevede anche la creazione di una base centrale di dati sull’esclusione («la base dati centrale»), che conterrà informazioni sui candidati e gli offerenti esclusi dalla partecipazione alle gare (cfr. articolo 102). Tale base di dati esiste già in forza dell’attuale RF, e le sue modalità di funzionamento sono precisate nel regolamento (CE) n. 1302/2008 della Commissione. Le operazioni di trattamento dei dati personali svolte nell’ambito della base di dati centrale sono state analizzate dal GEPD in un parere sul controllo preventivo del 26 maggio 2010 (17).

35.

I destinatari dei dati contenuti nella base dati centrale sono diversi. A seconda di chi ha accesso alla base dati, si applicano gli articoli 7, 8 o 9 del regolamento (CE) n. 45/2001.

36.

Nel suddetto parere sul controllo preventivo, il GEPD ha concluso che la prassi attuale per quanto riguarda l’applicazione dell’articolo 7 (consultazione della base dati da parte di altre istituzioni e agenzie dell’UE) e dell’articolo 8 (consultazione della base dati centrale da parte delle autorità e di taluni altri organismi degli Stati membri) è conforme al regolamento (CE) n. 45/2001.

37.

Non ha tuttavia potuto trarre la stessa conclusione per quanto riguarda il trasferimento di dati personali alle autorità di paesi terzi, disciplinato dall’articolo 9 del regolamento (CE) n. 45/2001, che riguarda il trasferimento di dati alle autorità di paesi terzi e/o a organizzazioni internazionali. L’articolo 102, paragrafo 2, prevede l’accesso alla base centrale di dati anche da parte dei paesi terzi.

38.

L’articolo 9, paragrafo 1, del regolamento (CE) n. 45/2001 recita: «È consentito trasferire dati personali a destinatari che non siano le istituzioni e gli organismi comunitari né siano soggetti alla normativa nazionale adottata in attuazione della direttiva 95/46/CE se nel paese del destinatario o all’interno dell’organizzazione internazionale destinataria è assicurato un livello adeguato di protezione e se il trasferimento dei dati avviene strettamente nell’ambito dei compiti che rientrano nelle competenze del responsabile del trattamento». In deroga al paragrafo 1, l’articolo 9, paragrafo 6, consente il trasferimento di dati a paesi che non garantiscono una protezione adeguata qualora «il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante […]».

39.

Nel parere sul controllo preventivo di cui sopra, il GEPD ha sottolineato la necessità di ulteriori misure atte a garantire che, in caso di trasferimento dei dati a un paese terzo o un’organizzazione, il destinatario assicuri un livello adeguato di protezione. Il GEPD desidera sottolineare che tale adeguatezza deve essere accertata sulla base di una valutazione caso per caso, comprendente un’analisi esauriente delle circostanze relative a un’operazione di trasferimento dei dati o una serie di operazioni di trasferimento dei dati. Il RF non può esentare la Commissione da tale obbligo. Analogamente, anche un trasferimento di dati in forza di una delle deroghe di cui all’articolo 9 dovrà basarsi su una valutazione caso per caso.

40.

Al riguardo, il GEPD raccomanda al legislatore di aggiungere un nuovo paragrafo all’articolo 102, che riguardi specificamente la protezione dei dati personali. Il paragrafo potrebbe cominciare con la prima frase già contenuta nel primo paragrafo dell’articolo 102, cioè «la Commissione crea e gestisce una base dati centrale nel rispetto della normativa dell’Unione riguardante la protezione dei dati personali». A tale frase andrebbe aggiunto che l’accesso da parte delle autorità di paesi terzi è autorizzato soltanto se sono soddisfatte le condizioni di cui all’articolo 9 del regolamento (CE) n. 45/2001.

41.

La proposta in esame comporta implicazioni per la protezione dei dati sia a livello di Unione europea sia a livello nazionale, che sono esaminate nel presente parere. Essa contiene riferimenti ai pertinenti strumenti per la protezione dei dati. Tuttavia, come spiegato nel presente parere, è necessario elaborare e chiarire alcuni aspetti al fine di garantire la piena osservanza del quadro giuridico sulla protezione dei dati. Il GEPD raccomanda di: