COMMISSIONE EUROPEA
Bruxelles, 1.12.2021
COM(2021) 767 final
2021/0399(COD)
Proposta di
DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
che modifica la decisione 2005/671/GAI del Consiglio per allinearla alle norme dell'Unione sulla protezione dei dati personali
RELAZIONE
1.Motivi e obiettivi della proposta
1.1.Motivi della proposta
La direttiva (UE) 2016/680 1 (Data Protection Law Enforcement Directive, "direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie", in appresso "direttiva LED"), è entrata in vigore il 6 maggio 2016 e gli Stati membri hanno avuto tempo fino al 6 maggio 2018 per recepirla nel diritto nazionale. Tale direttiva ha abrogato e sostituito la decisione quadro 2008/977/GAI 2 . Il suo ambito di applicazione è molto ampio, poiché è il primo strumento che adotta un approccio globale per il trattamento dei dati nelle attività di contrasto. Essa si applica al trattamento sia nazionale che transfrontaliero dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati e di esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.
L'articolo 62, paragrafo 6, della direttiva LED fa obbligo alla Commissione di riesaminare, entro il 6 maggio 2019, gli altri atti giuridici che disciplinano il trattamento, da parte delle autorità competenti, dei dati personali a fini di contrasto. Scopo di tale riesame è valutare la necessità di allineare tali atti alla direttiva stessa e presentare proposte per modificarli in modo da garantire coerenza con la protezione dei dati nell'ambito di tale direttiva.
La Commissione ha esposto i risultati del suo riesame nella comunicazione relativa alla via da seguire per allineare il corpus normativo dell'UE dell'ex terzo pilastro alle norme sulla protezione dei dati (24 giugno 2020) 3 . Tale comunicazione individua gli atti giuridici che dovrebbero essere allineati alla direttiva LED. L'elenco include la decisione 2005/671/GAI del Consiglio, e la Commissione ha quindi indicato che avrebbe presentato modifiche mirate.
Ai sensi dell'articolo 6 della direttiva LED, gli Stati membri devono garantire che le autorità competenti operino una chiara distinzione tra i dati personali delle diverse categorie di interessati, fra cui:
·le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato;
·le persone condannate per un reato;
·le vittime di reato o altre parti rispetto a un reato.
Ai sensi dell'articolo 8, paragrafo 1, della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie, gli Stati membri devono garantire che il trattamento sia lecito. Questo significa che un'autorità competente può trattare i dati personali solo nella misura in cui ciò sia necessario per l'esecuzione di uno dei compiti stabiliti in tale direttiva. Ai sensi del paragrafo 2 dello stesso articolo, il diritto nazionale che disciplina il trattamento nell'ambito di applicazione di tale direttiva deve indicare quanto meno gli obiettivi del trattamento, i dati personali da trattare e le finalità del trattamento.
Per lottare efficacemente contro il terrorismo è fondamentale che le autorità competenti e le agenzie dell'Unione si scambino le informazioni considerate pertinenti dalle autorità competenti per la prevenzione, l'accertamento, l'indagine o l'azione penale in relazione ai reati di terrorismo. Tale scambio di informazioni deve avvenire nel pieno rispetto del diritto alla protezione dei dati e conformemente alle condizioni stabilite dalla direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie.
Secondo la decisione 2005/671/GAI del Consiglio, del 20 settembre 2005, concernente lo scambio di informazioni e la cooperazione in materia di reati terroristici 4 , per combattere il terrorismo è essenziale disporre di informazioni il più possibile complete e aggiornate. Il persistere e la complessità della minaccia terroristica comportano una maggiore condivisione delle informazioni.
In tale contesto, la decisione 2005/671/GAI del Consiglio prevede che gli Stati membri debbano raccogliere tutte le informazioni pertinenti in merito alle indagini penali connesse a reati di terrorismo, che interessano o possono interessare due o più Stati membri, e le trasmettano a Europol 5 . Gli Stati membri devono inoltre raccogliere tutte le informazioni pertinenti concernenti le azioni penali e le condanne penali per reati di terrorismo, che interessano o possono interessare due o più Stati membri, e devono trasmetterle a Eurojust. Ogni Stato membro deve inoltre rendere disponibili tutte le informazioni pertinenti raccolte dalle sue autorità competenti nei procedimenti penali connessi a reati di terrorismo. Tali informazioni devono essere messe rapidamente a disposizione delle autorità competenti di un altro Stato membro in cui possano essere utilizzate a fini di prevenzione, accertamento, indagine o azione penale in relazione a reati di terrorismo.
Dal 2005, l'importanza della condivisione delle informazioni tra gli Stati membri e con Europol ed Eurojust non ha fatto che apparire sempre più evidente. La direttiva (UE) 2017/541 sulla lotta contro il terrorismo 6 ha modificato la decisione 2005/671/GAI del Consiglio per garantire che la condivisione di informazioni fra gli Stati membri avvenga in modo efficace e tempestivo, tenendo conto della grave minaccia rappresentata dai reati di terrorismo.
Il considerando 7 della decisione 2005/671/GAI del Consiglio dichiara che tale decisione rispetta i diritti fondamentali e osserva i principi riconosciuti nella Carta dei diritti fondamentali dell'Unione europea. L'articolo 8 della Carta dei diritti fondamentali dell'Unione europea annovera la protezione dei dati personali tra i diritti fondamentali. L'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea (TFUE) stabilisce anch'esso il principio secondo il quale ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano, e con l'articolo 16, paragrafo 2, del TFUE è stata inoltre introdotta una specifica base giuridica per l'adozione di norme sulla protezione dei dati personali.
Dall'adozione della decisione 2005/671/GAI del Consiglio le norme in materia di protezione dei dati hanno subito degli sviluppi. In particolare, come sopra indicato, sulla base dell'articolo 16, paragrafo 2, del TFUE, il Parlamento europeo e il Consiglio hanno adottato la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie, che è entrata in vigore il 6 maggio 2016. Tale direttiva è un ampio strumento orizzontale di protezione dei dati, ed è importante osservare che si applica a tutte le operazioni di trattamento (sia a livello nazionale che transfrontaliero) effettuate dalle autorità competenti a fini di contrasto.
1.2.Obiettivo della proposta
La proposta serve ad allineare la decisione 2005/671/GAI del Consiglio ai principi ed alle norme stabiliti nella direttiva LED, per garantire un approccio coerente alla protezione fornita agli individui in relazione al trattamento dei dati personali. In base alla comunicazione della Commissione del 24 giugno 2020, la decisione 2005/671/GAI dovrebbe essere allineata come segue:
·specificando che il trattamento dei dati personali nel quadro della decisione 2005/671/GAI del Consiglio può aver luogo solamente a fini di prevenzione, indagine, accertamento e azione penale in relazione a reati di terrorismo, in linea con il principio di limitazione delle finalità;
·definendo con maggiore precisione nel diritto dell'Unione o dello Stato membro le categorie di dati personali che possono essere scambiati, in linea con la prescrizione dell'articolo 8, paragrafo 2, della direttiva LED, tenuto conto delle necessità operative delle autorità interessate.
1.3.Coerenza con le disposizioni vigenti nel settore normativo interessato
La presente proposta di direttiva tiene conto delle modifiche della decisione 2005/671/GAI derivanti dalla proposta di regolamento sullo scambio di informazioni digitali nei casi di terrorismo, che la Commissione ha presentato insieme a questa proposta. Il regolamento proposto fa parte del pacchetto sulla digitalizzazione della giustizia, preparato dalla Commissione a seguito dell'omonima comunicazione 7 . Una volta adottato, le disposizioni sullo scambio di informazioni nei casi di terrorismo transfrontalieri che riguardano Eurojust saranno eliminate dalla decisione 2005/671/GAI e saranno inserite nel regolamento Eurojust (regolamento (UE) 2018/1727 8 ). Come modifica consequenziale, saranno eliminate dalla decisione 2005/671/GAI del Consiglio anche i riferimenti a Eurojust. Per garantire la coerenza fra le modifiche contenute nel regolamento proposto e nella presente proposta di direttiva sarà necessario uno stretto coordinamento nel corso dell'intero iter legislativo.
2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ
2.1.Base giuridica
L'allineamento della decisione 2005/671/GAI del Consiglio con la direttiva LED è basata sull'articolo 16, paragrafo 2, del TFUE. L'articolo 16, paragrafo 2, del TFUE prevede l'adozione di norme sulla protezione delle persone fisiche con riguardo al trattamento dei
dati di carattere personale da parte delle autorità competenti degli Stati membri nell'esercizio di attività di prevenzione, indagine, accertamento o perseguimento di reati ed esecuzione di sanzioni penali che rientrano nel campo di applicazione del diritto dell'Unione. Prevede inoltre l'adozione di norme sulla libera circolazione dei dati di carattere personale, anche per quanto riguarda lo scambio di dati personali da parte delle autorità competenti nell'UE.
2.2.Sussidiarietà (per la competenza non esclusiva)
Solo l'UE può allineare atti dell'UE alle norme stabilite nella direttiva LED. Solo l'UE può pertanto adottare un atto legislativo che modifica la decisione 2005/671/GAI del Consiglio.
2.3.Proporzionalità
La presente proposta serve ad allineare un atto giuridico esistente dell'UE a un atto giuridico dell'UE posteriore, secondo quanto previsto da quest'ultimo, senza modificare il suo ambito d'applicazione. In linea con il principio di proporzionalità, per conseguire l'obiettivo di base, che consiste nel garantire un elevato livello di protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e la libera circolazione di dati personali in tutta l'UE, è necessario stabilire norme relative al trattamento dei dati personali da parte delle autorità competenti degli Stati membri ai fini di prevenzione, indagine, accertamento o perseguimento di reati, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Ai sensi dell'articolo 5, paragrafo 4, del TUE, la proposta si limita a quanto è necessario per conseguire gli obiettivi perseguiti.
2.4.Scelta dell'atto giuridico
La presente proposta intende modificare una decisione del Consiglio adottata prima dell'entrata in vigore del trattato di Lisbona nel 2009. La base giuridica della decisione 2005/671/GAI del Consiglio, ossia l'articolo 34, paragrafo 2, lettera c), del TUE quale applicabile nel 2005, non esiste più. Le disposizioni rilevanti della decisione 2005/671/GAI impongono agli Stati membri obblighi simili a quelli di una direttiva piuttosto che norme autonome direttamente applicabili. Lo strumento più appropriato per modificare tale decisione del Consiglio conformemente all'articolo 16, paragrafo 2, del TFUE è quindi una direttiva del Parlamento europeo e del Consiglio.
3.Illustrazione delle singole disposizioni della proposta
La presente proposta modifica la decisione 2005/671/GAI del Consiglio nel modo qui sotto esposto.
Per definire le finalità del trattamento dei dati di carattere personale, l'articolo 1, paragrafo 2, lettera a), introduce un nuovo comma all'articolo 2, paragrafo 3, della decisione del Consiglio, che specifica che i dati personali sono trattati a fini di prevenzione, indagine, accertamento o perseguimento di reati di terrorismo.
Per definire le categorie di dati da trattare, l'articolo 1, paragrafo 2, lettere b) e c), della proposta aggiunge nuovi commi all'articolo 2 della decisione del Consiglio, che specificano che le categorie di dati personali che possono essere scambiati con Europol devono essere quelle specificate nel regolamento Europol, e che le categorie di dati che possono essere scambiati fra gli Stati membri a fini di prevenzione, indagine, accertamento o perseguimento di reati di terrorismo sono quelle specificate nel rispettivo diritto nazionale.
Inoltre, per aggiornare la decisione del Consiglio alla luce dei successivi sviluppi delle normative, e in particolare per garantire che la disposizione modificativa di cui sopra faccia riferimento allo strumento giuridico corretto, la proposta sopprime la lettera b) dell'articolo 1, della decisione del Consiglio. Tale lettera b) si riferisce alla convenzione Europol. Le disposizioni rilevanti della decisione del Consiglio, quali modificate, si riferiscono invece al regolamento Europol.
2021/0399 (COD)
Proposta di
DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
che modifica la decisione 2005/671/GAI del Consiglio per allinearla alle norme dell'Unione sulla protezione dei dati personali
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16, paragrafo 2,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
deliberando secondo la procedura legislativa ordinaria,
considerando quanto segue:
(1)La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio 9 prevede norme armonizzate per la protezione e la libera circolazione dei dati personali trattati a fini di prevenzione, indagine, accertamento o perseguimento di reati o di esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. La direttiva fa obbligo alla Commissione di riesaminare gli altri atti giuridici del diritto dell'Unione al fine di valutare la necessità di allinearli alla direttiva stessa e formulare, ove necessario, le proposte per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali rientranti nell'ambito della direttiva.
(2)La decisione 2005/671/GAI del Consiglio 10 stabilisce norme specifiche concernenti lo scambio di informazioni e la cooperazione in materia di reati terroristici. Al fine di garantire un approccio coerente alla protezione dei dati personali nell'Unione, è opportuno modificare tale decisione per allinearla alla direttiva (UE) 2016/680. Tale decisione dovrebbe in particolare specificare, in modo coerente con la direttiva (UE) 2016/680, la finalità del trattamento dei dati personali e indicare le categorie di dati personali che possono essere scambiate, in linea con la prescrizione dell'articolo 8, paragrafo 2, di detta direttiva, tenuto conto delle necessità operative delle autorità interessate.
(3)A fini di chiarezza, i riferimenti contenuti nella decisione 2005/671/GAI agli strumenti giuridici che disciplinano il funzionamento dell'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) dovrebbero essere aggiornati.
(4)A norma dell'articolo 6 bis del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, l'Irlanda è vincolata dalla decisione 2005/671/GAI e pertanto partecipa all'adozione della presente direttiva.
(5)A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, la Danimarca non partecipa all'adozione della presente direttiva, non è da essa vincolata né è soggetta alla sua applicazione.
(6)Il Garante europeo della protezione dei dati è stato consultato conformemente all'articolo 42 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio 11 e ha espresso un parere il XX/XX 20XX,
HANNO ADOTTATO LA PRESENTE DIRETTIVA:
Articolo 1
La decisione 2005/671/GAI è così modificata:
(1)all'articolo 1, la lettera b) è soppressa;
(2)l'articolo 2 è così modificato:
(a)al paragrafo 3 è aggiunto il comma seguente:
"Ciascuno Stato membro garantisce che i dati personali siano trattati ai sensi del primo comma solo ai fini di prevenzione, indagine, accertamento o azione penale in relazione a reati di terrorismo.";
(b)al paragrafo 4 è aggiunto il comma seguente:
"Le categorie di dati personali da trasmettere all'Europol per le finalità di cui al paragrafo 3 restano limitate a quelle di cui al regolamento (UE) 2016/794, allegato II, lettera B, punto 2.";
(c)al paragrafo 6 è aggiunto il comma seguente:
"Le categorie di dati personali che possono essere scambiati fra gli Stati membri per le finalità di cui al primo comma restano limitate a quelle specificate nel regolamento (UE) 2016/794, allegato II, lettera B, punto 2.".
Articolo 2
1.Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva entro [un anno dall'adozione]. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.
Le disposizioni adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono corredate di tale riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono stabilite dagli Stati membri.
Gli Stati membri comunicano alla Commissione il testo delle disposizioni principali di diritto interno che adottano nel settore disciplinato dalla presente direttiva.
Articolo 3
La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Articolo 4
Gli Stati membri sono destinatari della presente direttiva conformemente ai trattati.
Fatto a Bruxelles, il
Per il Parlamento europeo Per il Consiglio
Il presidente Il presidente