8.2.2014

Gazzetta ufficiale dell'Unione europea

C 38/3

Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce l’Agenzia dell’Unione europea per la cooperazione e la formazione delle autorità di contrasto (Europol) e abroga le decisioni 2009/371/GAI del Consiglio e 2005/681/GAI del Consiglio

(Il testo completo del presente parere è reperibile in EN, FR e DE sul sito Internet del GEPD http://www.edps.europa.eu)

(2014/C 38/03)

I. Introduzione

I.1. Contesto del parere

Il 27 marzo 2013 la Commissione ha adottato la proposta di regolamento del Parlamento europeo e del Consiglio che istituisce l’Agenzia dell’Unione europea per la cooperazione e la formazione delle autorità di contrasto (Europol) e abroga le decisioni 2009/371/GAI del Consiglio e 2005/681/GAI del Consiglio («la proposta»). La proposta è stata trasmessa dalla Commissione al GEPD per consultazione lo stesso giorno ed è stata ricevuta il 4 aprile 2013.

Prima dell’adozione della proposta, il GEPD ha avuto l’opportunità di formulare osservazioni informali. Esso accoglie con favore il fatto che molte di tali osservazioni siano state prese in considerazione.

Il GEPD si compiace di essere stato consultato dalla Commissione e apprezza il fatto che sia stato inserito un riferimento alla consultazione nel preambolo della proposta.

Il GEPD è stato altresì consultato sulla comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni dal titolo «Istituire un programma di formazione europea delle autorità di contrasto», adottata parallelamente alla proposta (1). Tuttavia, si asterrà dall’esprimere una posizione distinta su detta comunicazione, dal momento che ha elaborato solo osservazioni molto limitate, riprese nella parte IV del presente parere.

I.2. Obiettivo della proposta

La proposta di basa sull’articolo 88 e sull’articolo 87, paragrafo 2, lettera b), del trattato sul funzionamento dell’Unione europea (TFUE) e persegue i seguenti obiettivi (2):

—	conformare Europol alle prescrizioni del trattato di Lisbona, adottando un quadro giuridico ai sensi della procedura legislativa ordinaria;

—

tener conto degli obiettivi del programma di Stoccolma, facendo di Europol il punto nodale dello scambio di informazioni tra le autorità di contrasto degli Stati membri e istituendo regimi di formazione europea e programmi di scambio destinati a tutti i professionisti preposti all’azione di contrasto;

—	attribuire a Europol nuove responsabilità, affidandogli i compiti di CEPOL e fornendo una base giuridica per il Centro europeo per la lotta alla criminalità informatica;

—	garantire un solido regime di protezione dei dati, in particolare rafforzando la struttura di vigilanza;

—	migliorare la governance di Europol, cercando di aumentarne l’efficacia e conformandola ai principi esposti nella dichiarazione congiunta sulle agenzie decentrate dell’UE.

Il GEPD sottolinea che la proposta è di grande importanza dal punto di vista del trattamento dei dati personali. Il trattamento delle informazioni, compresi i dati personali, rappresenta la motivazione principale dell’esistenza di Europol. Nell’attuale fase di sviluppo dell’UE, il lavoro operativo di polizia resta una competenza degli Stati membri. Nondimeno, tale compito assume una natura sempre più transfrontaliera, e il livello UE offre un sostegno tramite la fornitura, lo scambio e l’esame di informazioni.

I.3. Obiettivo del parere

Il presente parere si concentrerà sulle modifiche più significative del quadro giuridico per Europol dal punto di vista della protezione dei dati. Esso analizzerà in primo luogo il contesto giuridico, il suo sviluppo e le conseguenze per Europol, soffermandosi poi sulle principali modifiche, costituite da:

—	la nuova struttura informativa per Europol, che implica una fusione delle diverse banche dati, e le sue conseguenze per il principio di limitazione delle finalità del trattamento dei dati;

—	il rafforzamento della vigilanza della protezione dei dati;

—	il trasferimento e lo scambio di dati personali e di altre informazioni, ponendo in rilievo lo scambio di dati personali con paesi terzi.

Successivamente, il parere discuterà una serie di disposizioni specifiche della proposta, con un’enfasi sul capo VII della stessa (articoli 34-48) sulle garanzie in materia di protezione dei dati.

V. Conclusioni

Aspetti generali

167.

Il GEPD sottolinea che la proposta assume grande importanza dal punto di vista del trattamento dei dati personali. Il trattamento delle informazioni, compresi i dati personali, è la motivazione principale dell’esistenza di Europol, e la proposta contiene già una forte protezione dei dati. Il parere dettagliato è stato quindi adottato con l’obiettivo di rafforzare ulteriormente la proposta.

168.

Il GEPD nota che l’attuale decisione Europol fornisce un solido regime di protezione dei dati e ritiene che tale livello non dovrebbe essere ridotto, a prescindere dalle discussioni sulla proposta di direttiva in materia di protezione dei dati. Tale aspetto dovrebbe essere specificato nel considerando.

169.

Il GEPD accoglie con favore il fatto che la proposta conformi Europol ai requisiti dell’articolo 88, paragrafo 2, del TFUE, i quali garantiranno che le attività di Europol beneficino del pieno coinvolgimento di tutte le istituzioni UE in questione.

170.

Il GEPD si compiace dell’articolo 48 della proposta, il quale sancisce che il regolamento (CE) n. 45/2001, comprese le disposizioni sulla vigilanza, sia completamente applicabile ai dati del personale e ai dati amministrativi. Tuttavia, il Garante deplora il fatto che la Commissione non abbia scelto di applicare il regolamento(CE) n. 45/2001 alle attività principali di Europol e di limitare la proposta a norme e deroghe speciali aggiuntive che prendono in debita considerazione le peculiarità del settore delle autorità di contrasto. Nondimeno, esso rileva che il considerando 32 della proposta menziona esplicitamente che le norme di protezione dei dati applicabili a Europol dovrebbero essere rafforzate e rifarsi ai principi su cui si basa il regolamento (CE) n. 45/2001. Anche detti principi costituiscono un importante punto di riferimento per il presente parere.

171.

Il GEPD raccomanda di specificare nei considerando della proposta il fatto che il nuovo quadro in materia di protezione dei dati delle istituzioni e degli organi dell’UE sarà applicabile a Europol non appena verrà adottato. Inoltre, l’applicazione a Europol del regime di protezione dei dati per le istituzioni e gli organi dell’UE dovrebbe essere chiarita all’interno dello strumento in sostituzione del regolamento (CE) n. 45/2001, come inizialmente annunciato nel 2010, nel contesto della revisione del pacchetto in materia di protezione dei dati. Al più tardi a partire dall’adozione del nuovo quadro generale, anche i nuovi principali elementi della riforma della protezione dei dati [ossia il principio di responsabilità, la valutazione d’impatto sulla protezione dei dati, la privacy by design («tutela della vita privata fin dalla fase di progettazione») e la privacy by default («tutela della vita privata per impostazione predefinita»), nonché la notifica della violazione di dati personali] dovrebbero essere applicati a Europol. Anche tale aspetto dovrebbe essere menzionato nei considerando.

Nuova struttura informativa per Europol

172.

Il GEPD comprende la necessità di flessibilità riferita al contesto mutevole, nonché alla luce dell’ampliamento dei ruoli di Europol. L’architettura informativa esistente non rappresenta necessariamente il parametro di riferimento per il futuro. La determinazione della struttura informativa di Europol avviene a discrezione del legislatore europeo. Nel suo ruolo di consulente per il legislatore europeo, il GEPD si concentra sulla questione relativa alla misura in cui la scelta dei legislatori è limitata dai principi della protezione dei dati.

173.

Per quanto concerne l’articolo 24 della proposta, il GEPD:

—	raccomanda di definire le nozioni di analisi strategiche, tematiche e operative nella proposta e di eliminare la possibilità di trattamento dei dati personali per analisi strategiche o tematiche, a meno che non venga fornita una giustificazione appropriata;

—	relativamente all’articolo 24, paragrafo 1, lettera c), raccomanda di definire chiaramente una finalità specifica per ogni caso di analisi operativa e di richiedere che solo i dati personali pertinenti vengano trattati secondo la finalità specifica definita;

—

raccomanda di inserire nella proposta i seguenti elementi: i) tutte le operazioni di controllo delle corrispondenze incrociate effettuate da analisti di Europol saranno motivate nello specifico, ii) il recupero dei dati in seguito a una consultazione sarà limitato al minimo strettamente necessario e sarà motivato nello specifico, iii) la tracciabilità di tutte le operazioni di controllo relative alle corrispondenze incrociate sarà garantita e iv) solo il personale autorizzato responsabile della finalità per cui i dati sono stati inizialmente raccolti può modificare detti dati. Tali elementi sarebbero in linea con la prassi attuale in seno a Europol.

Rafforzamento della vigilanza della protezione dei dati

174.

L’articolo 45 della proposta riconosce che la vigilanza dei trattamenti prevista nella proposta è un compito che richiede anche l’attivo coinvolgimento delle autorità nazionali di protezione dei dati (3). La cooperazione tra il GEPD e le autorità di controllo nazionali è fondamentale per una vigilanza efficace in questo settore.

175.

Il GEPD si compiace dell’articolo 45 della proposta. Detto articolo sancisce che il trattamento dei dati da parte delle autorità nazionali è soggetto al controllo nazionale e quindi riflette il ruolo chiave delle autorità di controllo nazionali. Esso, inoltre, accoglie con favore il requisito secondo cui le autorità di controllo nazionali dovrebbero informare il GEPD delle azioni che intraprendono in relazione a Europol.

176.

Il GEPD si compiace che:

—

siano previste le disposizioni sul controllo che forniscono una solida architettura per la vigilanza sul trattamento dei dati. Vengono prese in considerazione le responsabilità a livello nazionale e a livello dell’UE e viene strutturato un sistema per il coordinamento di tutte le autorità coinvolte nella protezione dei dati;

—	venga riconosciuto nella proposta il ruolo del GEPD quale autorità istituita al fine di vigilare su tutte le istituzioni e gli organismi dell’UE;

—

sia previsto l’articolo 47 sulla cooperazione e sul coordinamento con le autorità di controllo nazionali; tuttavia, il GEPD suggerisce di chiarire che la cooperazione prevista comprende sia la cooperazione bilaterale, sia quella collettiva. Un considerando dovrebbe enfatizzare maggiormente l’importanza della cooperazione tra le diverse autorità di controllo e fornire esempi di come detta cooperazione potrebbe essere rafforzata.

Trasferimento

177.

Il GEPD suggerisce di inserire una frase all’articolo 26, paragrafo 1, della proposta che affermi che le autorità competenti degli Stati membri accedono alle informazioni e le ricercano sulla base delle esigenze conoscitive e nei limiti necessari per l’esecuzione legittima dei loro compiti. L’articolo 26, paragrafo 2, dovrebbe essere modificato e conformato all’articolo 27, paragrafo 2.

178.

Il GEPD si compiace del fatto che, in linea di principio, il trasferimento a paesi terzi e alle organizzazioni internazionali possa aver luogo solo sulla base dell’adeguatezza o di un accordo vincolante che fornisca adeguate garanzie. Un accordo vincolante garantirà la certezza giuridica, nonché la responsabilità di Europol per il trasferimento. Un accordo vincolante dovrebbe essere sempre necessario per trasferimenti massicci, strutturali e ripetitivi. Ciononostante, il GEPD comprende che esistono situazioni in cui un accordo vincolante non può essere richiesto. Tali situazioni dovrebbero essere eccezionali, dovrebbero essere basate su una vera necessità e dovrebbero essere permesse solo in casi limitati; inoltre occorrono forti garanzie, sia a livello sostanziale, sia a livello procedurale.

179.

Il GEPD raccomanda vivamente di eliminare la possibilità concessa a Europol di presumere il consenso degli Stati membri. Esso inoltre consiglia di aggiungere che il consenso dovrebbe essere fornito «prima del trasferimento» nella seconda frase dell’articolo 29, paragrafo 4. Il Garante raccomanda altresì di inserire all’articolo 29 un paragrafo che affermi che Europol manterrà registri dettagliati dei trasferimenti di dati personali.

180.

Il GEPD raccomanda di inserire nella proposta una clausola transitoria che riguardi gli accordi di cooperazione esistenti che regolano i trasferimenti di dati personali effettuati da Europol. Tale clausola dovrebbe sancire la revisione di detti accordi entro una scadenza ragionevole al fine di conformarli ai requisiti della proposta. La suddetta clausola dovrebbe essere inserita nelle disposizioni sostanziali della proposta e dovrebbe contenere una scadenza non superiore a due anni dopo l’entrata in vigore della proposta.

181.

A fini di trasparenza, il GEPD raccomanda altresì di aggiungere alla fine dell’articolo 31, paragrafo 1, che Europol renderà accessibile al pubblico l’elenco degli accordi internazionali e di cooperazione con paesi terzi e organizzazioni internazionali, caricando l’elenco, regolarmente aggiornato, sul suo sito Internet.

182.

Il GEPD raccomanda di inserire espressamente all’articolo 31, paragrafo 2, che le deroghe non possono essere applicabili a trasferimenti frequenti, massicci o strutturali, in altre parole per complessi di trasferimenti (e non solo per trasferimenti occasionali).

183.

Il GEPD raccomanda di prevedere un paragrafo specifico destinato ai trasferimenti con l’autorizzazione del Garante. Tale paragrafo, che logicamente verrebbe prima di quello relativo alle deroghe, sancirebbe che il GEPD può autorizzare un trasferimento o un complesso di trasferimenti laddove Europol fornisca garanzie adeguate rispetto alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone e per quanto concerne gli esercizi dei diritti corrispettivi. Inoltre, tale autorizzazione sarebbe concessa prima del trasferimento/del complesso di trasferimenti, per un periodo non superiore a un anno e rinnovabile.

Altri aspetti

184.

Il parere comprende un’ampia gamma di altre raccomandazioni volte a migliorare ulteriormente la proposta. Di seguito sono elencate alcune delle raccomandazioni più significative.

a)	L’eliminazione della possibilità per Europol di avere accesso diretto alle banche dati nazionali (articolo 23).

Laddove l’accesso riguardi i sistemi informativi dell’UE, la concessione dell’accesso dovrebbe aver luogo su un sistema «hit/no hit» (riscontro/non riscontro, ossia una risposta positiva o negativa). Qualsiasi informazione relativa al riscontro (hit) dovrebbe essere comunicata a Europol dopo l’esplicita approvazione e autorizzazione di trasferimento da parte dello Stato membro (se l’accesso riguarda dati forniti da parte di uno Stato membro), dell’organismo dell’UE o dell’organizzazione internazionale e dovrebbe essere soggetta alla valutazione di cui all’articolo 35 della proposta. Il GEPD raccomanda l’introduzione di queste condizioni nell’articolo 23 della proposta.

Il rafforzamento dell’articolo 35 della proposta rendendo obbligatoria la valutazione da parte dello Stato membro che fornisce le informazioni. Il GEPD suggerisce l’eliminazione all’articolo 35, paragrafi 1 e 2, della formulazione «per quanto possibile» e suggerisce la corrispettiva modifica dell’articolo 36, paragrafo 4.

La sostituzione della panoramica di tutti i dati personali di cui all’articolo 36, paragrafo 2, con statistiche su questi dati per ogni finalità. Poiché le categorie specifiche di interessati di cui all’articolo 36, paragrafo 1, meritano anch’esse un’attenzione particolare, il GEPD suggerisce di introdurre statistiche su questi dati.

L’introduzione nella proposta di una disposizione secondo cui Europol deve avere una politica trasparente e facilmente accessibile in materia di trattamento di dati personali e per l’esercizio dei diritti degli interessati, in modo intellegibile, con ricorso a un linguaggio chiaro e semplice. Tale disposizione dovrebbe inoltre affermare che detta politica dovrebbe essere di facile reperibilità sul sito Internet di Europol, nonché sui siti Internet delle autorità di controllo nazionali.

Poiché l’articolo 41 non definisce chiaramente la responsabilità di tutte le parti coinvolte, bisognerebbe, in riferimento all’articolo 41, paragrafo 4, specificare che la responsabilità per la conformità con tutti i principi applicabili in materia di protezione dei dati (e non solo la «liceità del trasferimento») incombe al mittente dei dati. Il GEPD raccomanda di modificare conseguentemente l’articolo 41.

L’introduzione in una o più disposizioni sostanziali della proposta secondo cui: i) una valutazione d’impatto simile a quella descritta nella proposta di regolamento sulla protezione dei dati verrà eseguita per tutti i trattamenti sui dati personali, ii) il principio di privacy by design e privacy by default sarà applicato per la creazione o per il miglioramento dei sistemi di trattamento dei dati personali, iii) il controllore adotterà politiche e attuerà misure appropriate per garantire ed essere in grado di dimostrare la conformità alle norme in materia di protezione dei dati e per garantire che l’efficacia di dette misure è verificata, iv) il responsabile della protezione dei dati di Europol e, se del caso, le autorità di controllo, saranno coinvolti nelle discussioni relative al trattamento di dati personali.

Il GEPD ha inoltre presentato qualche suggerimento circa la comunicazione adottata parallelamente alla proposta.

Fatto a Bruxelles, il 31 maggio 2013

Peter HUSTINX

Garante europeo della protezione dei dati

(1) COM(2013) 172 definitivo.

(2) Relazione, parte 3.

(3) V. anche la risoluzione 4 della conferenza di primavera delle autorità europee di protezione dei dati (Lisbona, 16-17 maggio 2013).