Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52009XX0923(03)

Parere del garante europeo della protezione dei dati sull'iniziativa della Repubblica francese relativa a una decisione del Consiglio sull'uso dell'informatica nel settore doganale (5903/2/09 REV 2)

GU C 229 del 23.9.2009, p. 12–18 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

23.9.2009   

IT

Gazzetta ufficiale dell'Unione europea

C 229/12


Parere del garante europeo della protezione dei dati sull'iniziativa della Repubblica francese relativa a una decisione del Consiglio sull'uso dell'informatica nel settore doganale (5903/2/09 REV 2)

2009/C 229/03

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (1),

vista la decisione quadro 2008/977/GAI del Consiglio del 27 novembre 2008 sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale (2),

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (3), in particolare l'articolo 41,

HA ADOTTATO IL SEGUENTE PARERE:

I.   INTRODUZIONE

Consultazione del garante europeo della protezione dei dati (GEPD)

1.

L'iniziativa della Repubblica francese in vista dell'adozione della decisione del Consiglio sull'uso dell'informatica nel settore doganale è stata pubblicata nella Gazzetta ufficiale del 5 febbraio 2009 (4). Né lo Stato membro che ha presentato l'iniziativa né il Consiglio hanno chiesto il parere del GEPD al riguardo. Tuttavia, la commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha chiesto al GEPD di formulare le proprie osservazioni sull'iniziativa francese, conformemente all'articolo 41 del regolamento (CE) n. 45/2001, nel contesto del parere del Parlamento europeo sull'iniziativa. Mentre, in casi analoghi (5), il GEPD ha formulato un parere di propria iniziativa, il presente parere deve essere considerato anche quale risposta a tale richiesta del Parlamento europeo.

2.

Secondo il GEPD, il presente parere dovrebbe essere citato nel preambolo della decisione del Consiglio, così come il suo parere è citato in vari atti normativi adottati in base ad una proposta della Commissione.

3.

Benché lo Stato membro che presenta un'iniziativa relativa ad una misura legislativa a norma del titolo VI del trattato UE non sia giuridicamente vincolato a chiedere il parere del GEPD, le norme applicabili non precludono neppure questa possibilità. Il GEPD deplora che né la Repubblica francese né il Consiglio abbiano chiesto il suo parere nel presente caso.

4.

Il GEPD rileva che, considerati gli sviluppi in corso sulla proposta in sede di Consiglio, le osservazioni presentate nel presente parere sono basate sulla versione della proposta del 24 febbraio 2009 (5903/2/09 REV 2), pubblicata sul sito web del Parlamento europeo (6).

5.

Il GEPD ritiene necessarie maggiori spiegazioni sulla giustificazione dell'iniziativa nonché su determinati articoli e meccanismi della stessa. Deplora la mancanza di una valutazione d'impatto o di una relazione esplicativa a corredo dell'iniziativa. Ciò costituisce un elemento necessario per migliorare la trasparenza e più in generale la qualità del processo legislativo. Le informazioni esplicative faciliterebbero inoltre la valutazione di alcuni aspetti della proposta, ad es. riguardo alla necessità e giustificazione dell'accesso al SID da parte di Europol e Eurojust.

6.

Il GEPD ha preso in considerazione il parere 09/03 formulato il 24 marzo 2009 dall'autorità comune di controllo in materia doganale sul progetto di decisione del Consiglio sull'uso dell'informatica nel settore doganale.

Contesto della proposta

7.

Il quadro giuridico del Sistema informativo doganale (in appresso «il SID») è attualmente disciplinato da strumenti sia del primo che del terzo pilastro. Il quadro giuridico del terzo pilastro che disciplina il sistema è costituito principalmente dalla convenzione del 26 luglio 1995 elaborata in base all'articolo K.3 del trattato sull'Unione europea sull'uso dell'informatica nel settore doganale (in appresso la «convenzione SID» (7) e dai protocolli del 12 marzo 1999 e dell'8 marzo 2003.

8.

Le attuali modalità di protezione dei dati comprendono l'applicazione della convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, del 28 gennaio 1981 (in appresso la «convenzione 108 del Consiglio d'Europa»). Inoltre, la decisione quadro 2008/977/GAI, è applicabile al SID ai sensi della proposta.

9.

La parte del sistema che rientra nel primo pilastro è disciplinata dal regolamento (CE) n. 515/97 del Consiglio, del 13 marzo 1997, relativo alla mutua assistenza tra le autorità amministrative degli Stati membri e alla collaborazione tra queste e la Commissione per assicurare la corretta applicazione delle normative doganale e agricola (8),

10.

La convenzione SID ha lo scopo, ai sensi dell'articolo 2, paragrafo 2, di facilitare la prevenzione, la ricerca e il perseguimento di gravi infrazioni alle leggi nazionali rendendo più efficaci, mediante la rapida diffusione di informazioni, le procedure di cooperazione e di controllo delle amministrazioni doganali degli Stati membri.

11.

Conformemente alla convenzione SID, il Sistema informativo doganale consiste in una base di dati centrale cui si può accedere tramite terminali in ogni Stato membro. Le altre caratteristiche principali sono le seguenti:

La convenzione SID prevede che il SID possa contenere esclusivamente i dati, compresi i dati personali, necessari al raggiungimento del proprio scopo relativi alle categorie seguenti: a) merci; b) mezzi di trasporto; c) imprese; d) persone; e) tendenze in materia di frode; f) disponibilità di competenze professionali (9).

Gli Stati membri stabiliscono gli elementi da includere nel SID relativamente a ciascuna delle tre ultime categorie per quanto necessario alla realizzazione dello scopo del sistema. Nelle due ultime categorie non figurano dati personali. L'accesso diretto ai dati inseriti nel Sistema informativo doganale è attualmente riservato unicamente alle autorità nazionali designate da ciascuno Stato membro. Tali autorità nazionali sono le amministrazioni doganali, ma possono altresì comprendere altre autorità competenti, in base alle leggi, ai regolamenti ed alle procedure dello Stato membro in questione, ad agire per raggiungere lo scopo della convenzione.

Gli Stati membri possono utilizzare i dati del Sistema informativo doganale soltanto per raggiungere lo scopo della convenzione; essi possono tuttavia utilizzare tali dati a fini amministrativi o di altro genere, previa autorizzazione dello Stato membro che li ha inseriti nel Sistema e subordinatamente alle condizioni da esso stabilite. Per controllare la parte del SID che rientra nel terzo pilastro è stata istituita un'autorità comune di controllo.

12.

L'iniziativa francese, basata sull'articolo 30, paragrafo 1, lettera a) e sull'articolo 34, paragrafo 2 del trattato sull'Unione europea, mira a sostituire la convenzione SID nonché il protocollo del 12 marzo 1999 e il protocollo dell'8 marzo 2003 per allineare la parte del sistema che rientra nel terzo pilastro agli strumenti del primo pilastro.

13.

Tuttavia, la proposta non si limita a sostituire il testo della convenzione SID con una decisione del Consiglio. Essa modifica numerose disposizioni della convenzione ed estende l'attuale ambito di accesso al SID consentendo a Europol e Eurojust di accedervi. Inoltre, la proposta include le analoghe disposizioni sul funzionamento del SID contenute nel summenzionato regolamento (CE) n. 766/2008, ad es. per quanto riguarda la creazione di un archivio di identificazione dei fascicoli a fini doganali (capitolo VI).

14.

La proposta tiene inoltre conto di nuovi strumenti giuridici quali la decisione quadro 2008/977/GAI e la decisione quadro 2006/960/GAI, del 13 dicembre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorità degli Stati membri dell'Unione europea incaricate dell'applicazione della legge (10).

15.

La proposta mira, tra l'altro, a:

intensificare la cooperazione tra le amministrazioni doganali mediante l'introduzione di procedure che consentano loro di agire in comune e di scambiarsi dati personali e di altro genere relativi ai traffici illeciti, avvalendosi della nuova tecnologia per la gestione e la trasmissione di tali informazioni. Tali trattamenti di dati sono soggetti alle disposizioni della convenzione 108 del Consiglio d'Europa, della decisione quadro 2008/977/GAI e ai principi enunciati nella raccomandazione R(87) 15 del comitato dei ministri del Consiglio d'Europa, del 17 settembre 1987, intesa a regolamentare l'uso dei dati di carattere personale nel settore della polizia;

rafforzare la complementarità con l'azione svolta a livello di cooperazione con Europol e Eurojust consentendo a tali organismi di accedere al Sistema informativo doganale.

16.

In questo contesto, il SID ha lo scopo, ai sensi dell'articolo 1 della proposta, di facilitare la prevenzione, la ricerca e il perseguimento di gravi infrazioni alle leggi nazionali rendendo più rapidamente disponibili i dati e più efficaci le procedure di cooperazione e di controllo delle amministrazioni doganali degli Stati membri. Tale disposizione rispecchia ampiamente l'articolo 2, paragrafo 2 della convenzione SID.

17.

Per conseguire questo obiettivo la proposta estende l'ambito di uso dei dati SID e offre anche la possibilità di effettuare consultazioni dei sistemi e analisi strategiche o operative. Il GEPD rileva l'ampliamento dello scopo e dell'elenco delle categorie di dati personali che possono essere raccolti e trattati, nonché dell'elenco degli interessati che hanno accesso diretto al SID.

Punto centrale del parere

18.

Dato il suo ruolo attuale di autorità di controllo degli elementi essenziali della parte del SID che rientra nell'ambito del primo pilastro, il GEPD è particolarmente interessato all'iniziativa e ai nuovi sviluppi in sede di Consiglio in relazione al suo contenuto. Il GEPD sottolinea la necessità di assicurare un approccio coerente e globale per allineare le parti del sistema che rientrano nel primo e nel terzo pilastro.

19.

Il GEPD rileva che la proposta comprende vari aspetti riguardanti i diritti fondamentali, in particolare la protezione dei dati personali nonché il diritto all'informazione e i diritti di altri interessati.

20.

Per quanto riguarda l'attuale regime di protezione dei dati nella convenzione SID, il GEPD deve far presente che alcune disposizioni attuali della convenzione devono essere modificate e aggiornate poiché non soddisfano più gli attuali obblighi e norme in materia di protezione dei dati. Il GEPD approfitta dell'occasione per sottolineare che garantire un elevato livello di protezione dei dati personali e una più efficace attuazione pratica dovrebbe essere considerato un presupposto essenziale per migliorare il funzionamento del SID.

21.

Dopo alcune osservazioni generali, il presente parere esaminerà in particolare le seguenti questioni pertinenti dal punto di vista della protezione dei dati personali:

garanzie in materia di protezione dei dati previste dal sistema,

archivio d'identificazione dei fascicoli a fini doganali,

accesso di Eurojust e Europol al sistema (proporzionalità e necessità dell'accesso da fornire a tali organismi),

modello di controllo per il SID nel suo complesso,

elenco delle autorità che hanno accesso al SID.

II.   OSSERVAZIONI GENERALI

Coerenza tra le parti del sistema che rientrano nel primo e nel terzo pilastro

22.

Come indicato nelle osservazioni introduttive, il GEPD è particolarmente interessato ai nuovi sviluppi riguardanti la parte del SID che rientra nell'ambito del terzo pilastro, poiché già svolge compiti di controllo degli elementi essenziali della parte che rientra nell'ambito del primo pilastro, conformemente al nuovo regolamento (CE) n. 766/2008 del Parlamento europeo e del Consiglio (11)

23.

In questo contesto, il GEPD desidera attirare l'attenzione del legislatore sul fatto che ha già formulato osservazioni sulle questioni relative al controllo della parte del SID che rientra nel primo pilastro in vari pareri, in particolare nel parere del 22 febbraio 2007 (12).

24.

In tale parere il GEPD ha sottolineato che la creazione e l'aggiornamento dei vari strumenti intesi a rafforzare la cooperazione comunitaria, come il SID, comportano un aumento della quantità di informazioni personali che saranno originariamente raccolte e successivamente scambiate dalle autorità amministrative degli Stati membri e, in alcuni casi, anche con paesi terzi. Le informazioni personali trattate e ulteriormente condivise possono comprendere informazioni relative al presunto o confermato coinvolgimento di persone fisiche in atti riprovevoli nel settore delle operazioni doganali o agricole. (…) Inoltre, la sua importanza è accresciuta se si considera il tipo di dati raccolti e condivisi, in particolare sospetti relativi al coinvolgimento di persone fisiche in atti riprovevoli, e la finalità e il risultato del trattamento.

Necessità di un approccio strategico al SID nel suo complesso

25.

Il GEPD sottolinea che, diversamente dalle modifiche introdotte dal regolamento (CE) n. 766/2008 allo strumento del primo pilastro che disciplina il SID, la proposta prevede una revisione completa della convenzione SID, fornendo al legislatore l'opportunità di avere una visione più globale dell'intero sistema, in base ad un approccio coerente e globale.

26.

Secondo il GEPD tale approccio deve inoltre essere orientato verso il futuro. Nel decidere sul contenuto vero e proprio della proposta occorrerebbe debitamente riflettere sui nuovi sviluppi quali l'adozione della decisione quadro 2008/977/GAI e la (eventuale) futura entrata in vigore del trattato di Lisbona, tenendone adeguatamente conto.

27.

Per quanto riguarda l'entrata in vigore del trattato di Lisbona, il GEPD attira l'attenzione del legislatore sulla necessità di analizzare approfonditamente le possibili conseguenze che l'abolizione della struttura a pilastri dell'UE avrebbe sul SID all'atto dell'entrata in vigore del trattato di Lisbona, dal momento che il sistema è attualmente basato su una combinazione di strumenti del primo e del terzo pilastro. Il GEPD deplora la mancanza di informazioni esplicative su questo importante futuro sviluppo che avrebbe effetti significativi sul quadro giuridico che disciplinerà il SID in futuro. Più in generale, il GEPD si chiede se non sarebbe più opportuno che il legislatore procedesse alla revisione dopo l'entrata in vigore del trattato di Lisbona per evitare qualsiasi incertezza giuridica.

Il GEPD chiede la coerenza con altri sistemi su vasta scala

28.

Secondo il GEPD la sostituzione della convenzione SID nel suo complesso offre inoltre una buona opportunità per assicurare la coerenza del SID con altri sistemi e meccanismi che si sono sviluppati dopo l'adozione della convenzione. A tale proposito, il GEPD chiede che sia assicurata la coerenza, anche riguardo al modello di controllo, con altri strumenti giuridici, in particolare quelli che istituiscono il sistema di informazione Schengen II e il sistema di informazione visti.

Relazione con la decisione quadro 2008/977/GAI

29.

Il GEPD si compiace del fatto che la proposta tenga conto della decisione quadro sulla protezione dei dati personali, considerato lo scambio di dati tra gli Stati membri nel quadro del SID. L'articolo 20 della proposta stabilisce chiaramente che la decisione quadro 2008/977/GAI si applica alla protezione dello scambio di dati a norma della presente decisione, salvo disposizione contraria della presente decisione. Il GEPD rileva altresì che la proposta fa riferimento alla decisione quadro anche in altre disposizioni, ad es. all'articolo 4, paragrafo 5 in cui si afferma che non sono inclusi i dati personali elencati all'articolo 6 della decisione quadro 2008/977/GAI, all'articolo 8 sull'uso dei dati ottenuti dal SID per lo scopo previsto all'articolo 1, paragrafo 2 della decisione, all'articolo 22 relativo ai diritti delle persone per quanto riguarda i dati personali inseriti nel SID e all'articolo 29 relativo alle responsabilità e agli obblighi.

30.

Il GEPD ritiene che i concetti e principi stabiliti in tale decisione quadro siano appropriati nel contesto del SID e debbano pertanto essere applicabili ai fini sia della certezza del diritto che della coerenza tra i regimi giuridici.

31.

Detto questo, il GEPD rileva tuttavia che il legislatore dovrebbe prevedere le necessarie garanzie affinché, in attesa della piena attuazione della decisione quadro 2008/977/GAI, conformemente alle sue disposizioni finali, non vi siano carenze legislative nel sistema di protezione dei dati. In altri termini, il GEPD desidera sottolineare che è favorevole all'approccio secondo cui prima di effettuare nuovi scambi di dati devono essere previste le garanzie necessarie ed adeguate.

III.   OSSERVAZIONI SPECIFICHE

Garanzie in materia di protezione dei dati

32.

Il GEPD ritiene che l'effettiva attuazione del diritto alla protezione dei dati e del diritto all'informazione sia un elemento fondamentale per il corretto funzionamento del Sistema informativo doganale. Le garanzie in materia di protezione dei dati non sono necessarie solo per assicurare l'effettiva tutela delle persone soggette al SID, ma dovrebbero servire anche a facilitare il corretto e più efficace funzionamento del sistema.

33.

Il GEPD attira l'attenzione del legislatore sul fatto che la necessità di forti ed efficaci garanzie in materia di protezione dei dati è ancora più evidente se si considera che il SID è una base di dati basata su «sospetti»più che su condanne o altre decisioni amministrative o giudiziarie. Ciò è rispecchiato dall'articolo 5 della proposta che stabilisce che i «dati relativi alle categorie di cui all'articolo 3 sono inseriti nel Sistema informativo doganale unicamente a fini di osservazione e di rendiconto, di sorveglianza discreta, di controlli specifici e di analisi strategica o operativa. Ai fini delle azioni (…), i dati personali (…) possono essere inseriti nel Sistema informativo doganale soltanto se, specialmente sulla base di precedenti attività illecite, vi sono motivi sostanziali per ritenere che la persona interessata abbia effettuato, stia effettuando o intenda effettuare gravi infrazioni alle leggi nazionali.» Considerata questa caratteristica del SID, la proposta richiede garanzie equilibrate, efficaci e maggiori in termini di protezione dei dati personali e meccanismi di controllo.

34.

Per quanto riguarda le disposizioni particolari della proposta relative alla protezione dei dati personali, il GEPD prende atto degli sforzi compiuti dal legislatore per fornire maggiori garanzie rispetto a quelle previste nella convenzione SID. Tuttavia, il GEPD deve ancora esprimere una serie di gravi preoccupazioni riguardo alle disposizioni relative alla protezione dei dati e in particolare all'applicazione del principio della limitazione delle finalità.

35.

Va inoltre menzionato in questo contesto che le osservazioni del presente parere sulle garanzie in materia di protezione dei dati non si limitano alle disposizioni che modificano o estendono il campo di applicazione della convenzione SID, ma riguardano anche le parti riprese dal testo attuale della convenzione. Come indicato nelle osservazioni generali, ciò è dovuto al fatto che secondo il GEPD alcune disposizioni della convenzione non sembrano più soddisfare gli attuali obblighi in materia di protezione dei dati e l'iniziativa francese offre l'opportunità di riconsiderare l'intero sistema ed assicurare l'adeguato livello di protezione dei dati, equivalente a quello previsto nella parte del sistema che rientra nel primo pilastro.

36.

Il GEPD rileva con soddisfazione che nel SID può essere incluso solo un elenco ristretto ed esaustivo di dati personali. Si compiace inoltre che la proposta preveda una definizione dei termini «dati personali» più ampia rispetto alla convenzione SID. Ai sensi dell'articolo 2, paragrafo 2 della proposta, si intende, per «dati personali», qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale.

Limitazione delle finalità

37.

Un esempio di disposizione che solleva gravi preoccupazioni riguardo alla protezione dei dati è l'articolo 8 della proposta, in cui si afferma che gli Stati membri possono utilizzare i dati ottenuti dal SID soltanto per lo scopo previsto all'articolo 1, paragrafo 2. Essi possono tuttavia utilizzare tali dati a fini amministrativi o di altro genere, previa autorizzazione dello Stato membro che li ha inseriti nel Sistema e subordinatamente alle condizioni da esso stabilite. In tal caso l'utilizzazione è conforme alle leggi, ai regolamenti ed alle procedure dello Stato membro che intende servirsi dei dati conformemente all'articolo 3, paragrafo 2 della decisione quadro 2008/977/GAI. Questa disposizione riguardante l'uso dei dati ottenuti dal SID è essenziale per la struttura del sistema e richiede pertanto particolare attenzione.

38.

L'articolo 8 della proposta fa riferimento all'articolo 3, paragrafo 2 della decisione quadro 2008/977/GAI che riguarda i «principi di legalità, proporzionalità e finalità». L'articolo 3 della decisione quadro recita:

«1.   I dati personali possono essere raccolti dalle autorità competenti soltanto per finalità specifiche, esplicite e legittime nell'ambito dei loro compiti e possono essere trattati solo per la finalità per la quale sono stati raccolti. Il trattamento dei dati deve essere legale e adeguato, pertinente e non eccessivo rispetto alle finalità per le quali sono stati raccolti.

2.   L’ulteriore trattamento per un’altra finalità è ammesso a condizione che:

a)

non sia incompatibile con le finalità per le quali i dati sono stati raccolti;

b)

le autorità competenti siano autorizzate a trattare tali dati per dette altre finalità in conformità della normativa a esse applicabile; inoltre

c)

il trattamento sia necessario e proporzionato a tale altra finalità.».

39.

Nonostante l'applicazione dell'articolo 3, paragrafo 2 della decisione quadro 2008/977/GAI, che prevede le condizioni generali alle quali è ammesso il trattamento per un’altra finalità, il GEPD attira l'attenzione sul fatto che la disposizione dell'articolo 8 della proposta, consentendo l'uso dei dati del SID a possibili fini amministrativi o di altro genere, non definiti dalla proposta, solleva preoccupazioni riguardo al rispetto degli obblighi in materia di protezione dei dati, in particolare il principio della limitazione delle finalità. Inoltre, lo strumento del primo pilastro non consente un siffatto uso generale. Il GEPD chiede pertanto di specificare le finalità per le quali i dati possono essere usati. Ciò è di primaria importanza dal punto di vista della protezione dei dati poiché si tratta dei principi fondamentali dell'uso dei dati nei sistemi su vasta scala: i dati dovrebbero essere usati solo per le finalità ben definite e chiaramente limitate previste dal quadro giuridico.

Trasferimento dei dati a paesi terzi

40.

L'articolo 8, paragrafo 4 della proposta riguarda il trasferimento di dati a paesi terzi o organizzazioni internazionali. Tale disposizione stabilisce che «i dati ottenuti dal SID possono, previa autorizzazione dello Stato membro che li ha inseriti nel Sistema e subordinatamente alle condizioni da esso stabilite, essere messi a disposizione di (…) paesi terzi e di organizzazioni internazionali o regionali che intendono servirsene. Ciascuno Stato membro adotta misure speciali per garantire la sicurezza dei dati trasferiti a servizi situati al di fuori del proprio territorio. I particolari di tali misure devono essere comunicati all'autorità comune di controllo di cui all'articolo 25.»

41.

Il GEPD rileva che si applica in questo contesto l'articolo 11 della decisione quadro sulla protezione dei dati personali. Va sottolineato tuttavia che, dato il carattere molto generale dell'applicazione della disposizione dell'articolo 8, paragrafo 4 della proposta, che consente in linea di principio agli Stati membri di trasferire i dati ottenuti dal SID a paesi terzi e organizzazioni internazionali o regionali che intendono servirsene, le garanzie previste in tale disposizione sono del tutto insufficienti dal punto di vista della protezione dei dati personali. Il GEPD chiede che l'articolo 8, paragrafo 4 sia riesaminato per assicurare un sistema uniforme di valutazione dell'adeguatezza mediante un meccanismo appropriato, ad es. il comitato di cui all'articolo 26 della proposta potrebbe partecipare a tale valutazione.

Altre garanzie in materia di protezione dei dati

42.

Il GEPD prende atto con soddisfazione delle disposizioni sulla modifica dei dati (capitolo IV, articolo 13), che costituiscono un importante elemento del principio della qualità dei dati. Il GEPD si compiace in particolare dell'estensione e della modifica, rispetto alla convenzione SID, del campo di applicazione di tale disposizione che prevede adesso anche la rettifica e la cancellazione dei dati. Ad esempio l'articolo 13, paragrafo 2 stabilisce che qualora uno Stato membro che ha fornito i dati o Europol rilevi o sia portato a rilevare che i dati da esso inseriti sono di fatto inesatti oppure che sono stati inseriti o memorizzati contrariamente alla presente decisione, esso modifica, completa, rettifica o cancella nel modo idoneo i dati e ne informa gli altri Stati membri e Europol.

43.

Il GEPD prende atto delle disposizioni del capitolo V sulla conservazione dei dati che è essenzialmente basato sulla convenzione SID e prevede tra l'altro termini per la conservazione dei dati trasferiti dal SID.

44.

Il capitolo IX (Protezione dei dati personali) rispecchia molte delle disposizioni della convenzione SID. Prevede tuttavia una significativa modifica, ossia l'applicazione della decisione quadro sulla protezione dei dati personali al SID, indicando all'articolo 22 della proposta che «i diritti delle persone per quanto riguarda i dati personali inseriti nel Sistema informativo doganale, in particolare il diritto di accesso, di rettifica, di cancellazione o di blocco, sono esercitati conformemente alle leggi, ai regolamenti ed alle procedure dello Stato membro che attua la decisione quadro 2008/977/GAI in cui sono fatti valere» In questo contesto, il GEPD desidera rilevare in particolare l'importanza del mantenimento della procedura che consente agli interessati di far valere i loro diritti e di poter chiedere l'accesso in ogni Stato membro. Il GEPD osserverà attentamente l'attuazione pratica di questo importante diritto degli interessati.

45.

La proposta estende inoltre il campo di applicazione della convenzione SID per quanto riguarda il divieto di trasferire i dati dal SID in altri registri nazionali. La convenzione SID stabilisce espressamente all'articolo 14, paragrafo 2 che «i dati personali inseriti da altri Stati membri non possono essere trasferiti dal SID in altri registri nazionali». L'articolo 21, paragrafo 3 della proposta consente di copiarli «in caso di copie nei sistemi di gestione dei rischi intesi ad orientare i controlli doganali a livello nazionale oppure di copie in un sistema di analisi operativa utilizzato per coordinare le azioni». A tale proposito, il GEPD condivide le osservazioni formulate dall'autorità comune di controllo in materia doganale nel parere 09/03, in particolare per quanto riguarda i termini «sistemi di gestione dei rischi» nonché la necessità di disciplinare ulteriormente i casi in cui la copia consentita all'articolo 21, paragrafo 3 è possibile.

46.

Il GEPD si compiace delle disposizioni sulla sicurezza, che sono essenziali per l'efficace funzionamento del SID (capitolo XII).

Archivio d'identificazione dei fascicoli a fini doganali

47.

La proposta aggiunge disposizioni sull'archivio d'identificazione dei fascicoli a fini doganali (articoli 16-19). Ciò rispecchia la creazione dell'archivio d'identificazione dei fascicoli a fini doganali nello strumento del primo pilastro. Il GEPD, pur non mettendo in questione la necessità di tali nuovi archivi nel quadro del SID, richiama l'attenzione sull'esigenza di adeguate garanzie in materia di protezione dei dati. In questo contesto, il GEPD si compiace del fatto che l'eccezione prevista all'articolo 21, paragrafo 3 non si applichi agli archivi d’identificazione dei fascicoli a fini doganali.

Accesso di Europol e Eurojust al SID

48.

La proposta garantisce l'accesso al sistema da parte dell'Ufficio europeo di polizia (Europol) e dell'Unità europea di cooperazione giudiziaria (Eurojust).

49.

Innanzitutto, il GEPD sottolinea la necessità di definire chiaramente lo scopo dell'accesso e di valutare la proporzionalità e necessità dell'estensione dell'accesso. Mancano le informazioni sul motivo per cui è necessario estendere l'accesso al sistema ad Europol e Eurojust. Il GEPD rileva inoltre che quando si tratta dell'accesso a basi di dati, di funzionalità e del trattamento di dati personali è chiaramente necessario valutare in anticipo non solo l'utilità di tale accesso, ma anche la necessità reale e documentata della proposta. Il GEPD sottolinea che non è stata fornita alcuna motivazione.

50.

Il GEPD chiede inoltre che nel testo vengano definite chiaramente le precise missioni per le quali può essere concesso ad Europol e Eurojust di avere accesso ai dati.

51.

Ai sensi dell'articolo 11, «Europol ha il diritto, nei limiti del suo mandato e ai fini dell'adempimento dei suoi compiti, di accedere ai dati inseriti nel SID, di consultarli direttamente e di inserire dati nel suddetto sistema.».

52.

Il GEPD accoglie con favore le limitazioni introdotte nella proposta, quali in particolare:

subordinare l'uso delle informazioni ottenute dal SID al consenso dello Stato membro che ha inserito i dati nel sistema;

le limitazioni riguardo alla comunicazione di dati da parte di Europol a paesi terzi (sempre solo con il consenso dello Stato membro che ha inserito i dati nel sistema);

accesso limitato al SID (personale autorizzato);

esame delle attività di Europol da parte dell'autorità di controllo comune di Europol.

53.

Il GEPD vorrebbe inoltre far presente che allorché la proposta fa riferimento alla convenzione Europol occorrerebbe tener conto della decisione del Consiglio in base alla quale, a decorrere dal 1o gennaio 2010, Europol diventerà un'agenzia dell'UE.

54.

L'articolo 12 della proposta riguarda l'accesso di Eurojust al SID. Esso stabilisce che fatto salvo il capitolo IX, i membri nazionali e i loro assistenti hanno il diritto, nei limiti del loro mandato e ai fini dell'adempimento dei compiti di Eurojust, di accedere ai dati inseriti nel SID a norma degli articoli 1, 3, 4, 5 e 6 e di consultarli. La proposta prevede meccanismi analoghi a quelli previsti per Europol riguardo al consenso dello Stato membro che ha inserito i dati. Le osservazioni di cui sopra riguardo all'esigenza di giustificare la necessità di fornire l'accesso e di prevedere le adeguate e necessarie limitazioni qualora l'accesso sia consentito si applicano anche ad Eurojust.

55.

Il GEPD accoglie con favore la limitazione dell'accesso al SID ai membri nazionali di Eurojust, ai loro aggiunti e ai loro assistenti. Il GEPD rileva tuttavia che l'articolo 12, paragrafo 1 menziona solo i membri nazionali e i loro assistenti mentre altri paragrafi dello stesso articolo menzionano anche gli aggiunti. Il legislatore dovrebbe assicurare chiarezza e coerenza in questo contesto.

Controllo — Verso un modello coerente e globale

56.

Per quanto riguarda il proposto controllo della parte del SID che rientra nel terzo pilastro, il GEPD attira l'attenzione del legislatore sulla necessità di assicurare un controllo coerente e globale dell'intero sistema. Dovrebbe essere tenuto conto del complesso quadro giuridico che disciplina il SID, fondato su due basi giuridiche, e dovrebbero essere evitati due diversi modelli di controllo sia per motivi di chiarezza giuridica che per motivi pratici.

57.

Come precedentemente indicato nel parere, il GEPD svolge attualmente le funzioni di autorità di controllo degli elementi essenziali della parte del sistema che rientra nell'ambito del primo pilastro. Ciò è conforme all'articolo 37 del regolamento (CE) n. 515/97 che stabilisce che il garante europeo della protezione dei dati controlla la conformità del SID con le disposizioni del regolamento (CE) n. 45/2001. Il GEPD rileva che il modello di controllo, quale figura nella proposta francese, non tiene conto di questo ruolo. Il modello di controllo è basato sul ruolo dell'autorità comune di controllo del SID.

58.

Il GEPD, pur apprezzando il lavoro svolto dall'autorità comune di controllo del SID, sottolinea due motivi per cui dovrebbe essere applicato un modello di controllo coordinato, coerente con i suoi attuali compiti di controllo in altri sistemi su vasta scala. In primo luogo, tale modello assicurerebbe la coerenza interna tra le parti del sistema che rientrano nel primo e nel terzo pilastro. In secondo luogo, assicurerebbe la coerenza con i modelli istituiti in altri sistemi su vasta scala. Pertanto, il GEPD raccomanda di applicare al SID nel suo complesso un modello analogo a quello usato nel SIS II («controllo coordinato» o «modello a vari livelli»). Come indicato nel parere del GEPD sulla parte del SID che rientra nell'ambito del primo pilastro, nel quadro del SIS II, il legislatore europeo ha optato per una razionalizzazione del modello di controllo applicando lo stesso modello a vari livelli descritto sia per il sistema nel contesto del primo pilastro che per quello del contesto del terzo pilastro.

59.

Il GEPD ritiene che la soluzione più opportuna al riguardo consista nell'introduzione di un sistema di controllo più uniforme, ossia il modello già sperimentato basato su una struttura a tre livelli: autorità per la protezione dei dati a livello nazionale, GEPD a livello centrale e coordinamento tra entrambi. Il GEPD è convinto che la sostituzione della convenzione SID costituisca un'opportunità unica per assicurare la semplificazione e una maggiore coerenza del controllo, del tutto in linea con altri sistemi su vasta scala (VIS, SIS II, Eurodac).

60.

Infine, il modello di controllo coordinato tiene anche maggiormente conto delle modifiche che saranno introdotte dall'entrata in vigore del trattato di Lisbona e dall'abolizione della struttura a pilastri dell'UE.

61.

Il GEPD non assume posizione sull'eventuale necessità, in conseguenza dell'inserimento del modello di controllo coordinato, di modifiche allo strumento del primo pilastro che disciplina il SID, ossia il regolamento (CE) n. 766/2008 recante modifica del regolamento (CE) n. 515/97 del Consiglio, ma attira l'attenzione del legislatore sulla necessità di analizzare tale aspetto anche dal punto di vista della coerenza giuridica.

Elenco delle autorità che hanno accesso al SID

62.

L'articolo 7, paragrafo 2 prevede l'obbligo per ciascuno Stato membro di inviare agli altri Stati membri e al comitato di cui all'articolo 26 un elenco delle autorità competenti da esso nominate per accedere al SID, precisando, per ciascuna autorità, a quali dati può avere accesso e per quali scopi.

63.

Il GEPD attira l'attenzione sul fatto che la proposta prevede soltanto lo scambio tra gli Stati membri delle informazioni sulle autorità che hanno accesso al SID e la relativa comunicazione al comitato di cui all'articolo 26, ma che non è prevista la pubblicazione di un siffatto elenco di autorità. Ciò è deprecabile poiché tale pubblicazione contribuirebbe a ottenere una maggiore trasparenza e creare uno strumento pratico per un efficace controllo del sistema, ad es. da parte delle competenti autorità per la protezione dei dati.

IV.   CONCLUSIONI

64.

Il GEPD appoggia la proposta di decisione del Consiglio sull'uso dell'informatica nel settore doganale. Sottolinea che, a causa dei lavori legislativi in corso in sede di Consiglio, le sue osservazioni non sono basate sul testo definitivo della proposta.

65.

Deplora la mancanza di documenti esplicativi che potrebbero fornire necessari chiarimenti e informazioni sugli obiettivi e le particolarità di alcune disposizioni della proposta.

66.

Il GEPD chiede che nella proposta sia riservata maggiore attenzione alla necessità di garanzie specifiche in materia di protezione dei dati. Ritiene che riguardo a varie questioni l'attuazione pratica delle garanzie in materia di protezione dei dati debba essere meglio assicurata, in particolare riguardo all'applicazione della limitazione delle finalità in relazione all'uso dei dati inseriti ne SID. Il GEPD ritiene che questo sia un presupposto essenziale per migliorare il funzionamento del Sistema informativo doganale.

67.

Il GEPD chiede di inserire nella proposta un modello di controllo coordinato. Va rilevato che il GEPD svolge attualmente compiti di controllo sulla parte del sistema che rientra nel primo pilastro. Sottolinea che per motivi di coerenza il migliore approccio consiste nell'applicare il modello di controllo coordinato anche alla parte del sistema che rientra nel terzo pilastro. Questo modello assicurerebbe, se necessario e opportuno, la coerenza con altri strumenti giuridici che disciplinano l'istituzione e/o l'uso di altri sistemi informatici su vasta scala.

68.

Il GEPD chiede maggiori spiegazioni sulla necessità e proporzionalità dell'accesso da parte di Eurojust e Europol. Rileva la mancanza di informazioni esplicative su tale questione nella proposta.

69.

Il GEPD insiste inoltre sul rafforzamento della disposizione dell'articolo 8, paragrafo 4 della proposta riguardante il trasferimento di dati a paesi terzi o organizzazioni internazionali Ciò include la necessità di assicurare un sistema uniforme di valutazione dell'adeguatezza.

70.

Il GEPD chiede l'inserimento di una disposizione sulla pubblicazione dell'elenco delle autorità che hanno accesso al SID, al fine di migliorare la trasparenza e facilitare il controllo del sistema.

Fatto a Bruxelles, addì 20 aprile 2009.

Peter HUSTINX

Garante europeo della protezione dei dati


(1)  GU L 281 del 23.11.1995, pag. 31.

(2)  GU L 350 del 30.12.2008, pag. 60.

(3)  GU L 8 del 12.1.2001, pag. 1.

(4)  GU C 29 del 5.2.2009, pag. 6.

(5)  Cfr. da ultimo, il parere del garante europeo della protezione dei dati sull'iniziativa di 15 Stati membri in vista dell'adozione di una decisione del Consiglio relativa al rafforzamento dell'Eurojust e che modifica la decisione 2002/187/GAI, GU C 310 del 5.12.2008, pag. 1.

(6)  http://www.europarl.europa.eu/meetdocs/2004_2009/organes/libe/libe_20090330_1500.htm

(7)  GU C 316 del 27.11.1995, pag. 33.

(8)  GU L 82 del 22.3.1997, pag. 1.

(9)  La proposta aggiunge una nuova categoria: g) articoli bloccati, sequestrati o confiscati.

(10)  GU L 386 del 29.12.2006, pag. 89.

(11)  GU L 218 del 13.8.2008, pag. 48.

(12)  Parere del 22 febbraio 2007 sulla proposta di regolamento «[COM(2006) 866 definitivo]», GU C 94 del 28.4.2007, pag. 3.


Top