1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/1

1.

Il 20 settembre 2010, la Commissione ha adottato la proposta di un regolamento relativo all’immissione sul mercato e all’uso di precursori di esplosivi (3) («la proposta»). L’11 novembre 2010, conformemente all’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, la proposta adottata dalla Commissione è stata inviata al GEPD per consultazione. Il GEPD accoglie con favore il fatto che la Commissione lo abbia consultato e che il riferimento alla consultazione figuri nei considerando della proposta.

2.

Lo scopo principale delle misure proposte è ridurre il rischio di attacchi da parte di terroristi o altri criminali usando ordigni artigianali. A tal fine, il regolamento limita l’accesso del pubblico a determinate sostanze chimiche, che possono essere utilizzate illecitamente come precursori di esplosivi artigianali. Inoltre, la proposta pone sotto più stretto controllo la vendita di tali sostanze chimiche tramite la segnalazione di transazioni sospette e furti.

3.

Nel presente parere, il GEPD attira l’attenzione del legislatore su alcune importanti questioni relative alla protezione dei dati e formula raccomandazioni al fine di assicurare il diritto fondamentale alla tutela dei dati personali.

4.

La proposta affronta i problemi dell’uso illecito di certe sostanze chimiche, ampiamente disponibili al pubblico sul mercato, come precursori di ordigni artigianali. Gli articoli 4 e 5 della proposta riguardano il divieto di vendita al pubblico, in combinazione con un regime di licenze e una norma per registrare tutte le transazioni autorizzate. L’articolo 6 sancisce l’obbligo per gli operatori economici di segnalare le transazioni sospette e i furti. Infine, l’articolo 7 affronta l’esigenza della protezione dei dati.

5.

Saranno vietate le vendite al pubblico di certe sostanze chimiche al di sopra di determinate soglie di concentrazione. Vendite con livelli di concentrazione più elevati sarebbero consentite solo a chi possa comprovare la legittima necessità di utilizzare la sostanza chimica.

6.

L’ambito di applicazione del divieto si limita a un breve elenco di sostanze chimiche e loro miscele (cfr. l’allegato I della proposta) e alla loro vendita al pubblico. Tali limitazioni non si applicano a utilizzatori professionali o nell’ambito di transazioni da impresa a impresa. Inoltre, la disponibilità al pubblico delle sostanze elencate è limitata solo se esse superano determinati livelli di concentrazione, e può essere comunque consentita dietro presentazione di una licenza ottenuta da una pubblica autorità (che ne attesti l’uso legittimo). Infine, beneficiano di un’eccezione gli agricoltori, ai quali è consentito l’acquisto senza licenza di nitrato di ammonio per uso come fertilizzante, indipendentemente dai livelli di concentrazione.

7.

Le licenze saranno anche richieste allorché un individuo del pubblico intenda importare nell’Unione europea le sostanze elencate.

8.

Un operatore economico che metta una sostanza o una miscela a disposizione di un individuo del pubblico titolare di licenza è tenuto a verificare la licenza presentata e mantenere traccia della transazione.

9.

Ciascuno Stato membro è tenuto a stabilire le norme per il rilascio della licenza. Se ci sono ragionevoli motivi di dubitare della legittimità dell’uso previsto, l’autorità competente nello Stato membro é tenuta a rifiutare al richiedente la concessione della licenza. Le licenze concesse sono valide in tutti gli Stati membri. La Commissione può stabilire orientamenti sulle specifiche tecniche delle licenze per facilitarne il reciproco riconoscimento.

10.

La vendita di una più ampia gamma di sostanze chimiche a rischio (quelle elencate nell’allegato II, oltre a quelle riportate nell’allegato I, che sono già soggette alla norma della concessione della licenza) saranno soggette alla norma di segnalazione di transazioni sospette e furti.

11.

La proposta impone che ciascuno Stato membro crei un punto di contatto nazionale, con un numero di telefono e un indirizzo e-mail chiaramente indicati, per la segnalazione delle transazioni sospette e furti. Gli operatori economici sono tenuti a segnalare immediatamente qualsiasi transazione sospetta e furto, indicando, ove possibile, l’identità del cliente.

12.

La Commissione elabora e aggiorna orientamenti destinati ad assistere gli operatori economici nel riconoscimento e comunicazione delle transazioni sospette. Gli orientamenti includeranno anche periodici aggiornamenti di una lista di ulteriori sostanze non incluse negli allegati I e II, per le quali è incoraggiata la segnalazione volontaria di transazioni sospette e furti.

13.

Il considerando 11 e l’articolo 7 richiedono che il trattamento di dati personali ai sensi del regolamento debba avvenire sempre conformemente alle norme UE di protezione dei dati, in particolare la direttiva 95/46/CE (4) e le leggi nazionali che la attuano. La proposta non contiene ulteriori disposizioni sulla protezione dei dati.

14.

La segnalazione di transazioni sospette e furti nonché il regime di licenza e di registrazione previsto dal regolamento richiedono il trattamento di dati personali. Entrambi comportano, in ogni caso in qualche misura, un’interferenza con la vita privata e il diritto alla protezione dei dati personali, e pertanto richiedono misure di salvaguardia adeguate.

15.

Il GEPD accoglie favorevolmente il fatto che la proposta contenga una disposizione separata (articolo 7) sulla protezione dei dati. Detto ciò, questa unica disposizione, formulata in termini molto generici, prevista nella proposta non è sufficiente per rispondere in modo adeguato alle preoccupazioni in materia di protezione dei dati sollevate dalle misure proposte. Inoltre, anche i pertinenti articoli della proposta (articoli 4, 5 e 6) non riescono a fornire una descrizione sufficientemente dettagliata delle specificità delle operazioni di trattamento dei dati previste.

16.

A scopo illustrativo, per quanto riguarda la concessione delle licenze, il regolamento richiede che gli operatori economici registrino le transazioni autorizzate, senza, tuttavia, specificare quali dati personali dovrebbero esser contenuti nelle registrazioni, per quanto tempo dovrebbero essere conservati, a chi possono essere rivelati e sotto che condizioni. Non viene inoltre specificato quali dati saranno raccolti durante il trattamento delle domande di licenza.

17.

Riguardo alla norma che impone la segnalazione di transazioni sospette e furti, la proposta sancisce l’obbligo di segnalazione, senza, tuttavia, specificare in che cosa consiste una transazione sospetta, quali dati personali dovrebbero essere registrati, per quanto tempo dovrebbero essere conservate le informazioni segnalate, a chi possono essere rivelati i dati e a che condizioni. La proposta non fornisce inoltre ulteriori dettagli relativi ai «punti di contatto nazionali» da designare, o alle eventuali banche dati che tali punti di contatto possano creare per i propri Stati membri o ad ogni eventuale banca dati che possa esser stabilita a livello di UE.

18.

Dal punto di vista della protezione dei dati, la raccolta di dati riguardanti transazioni sospette è il tema più delicato contenuto nella proposta. Le pertinenti disposizioni dovrebbero essere chiarite in modo da assicurare che il trattamento dei dati rimanga proporzionato e che l'abuso sia evitato. Per ottenere ció, le condizioni per il trattamento dei dati dovrebbero essere chiaramente specificate e dovrebbero essere applicate adeguate misure di salvaguardia.

19.

È importante che i dati non vengano utilizzati per scopi diversi dalla lotta contro il terrorismo (e per altri reati che implichino un uso illecito di sostanze chimiche per ordigni artigianali). Inoltre i dati non devono essere conservati per periodi di tempo prolungati, specialmente se il numero dei destinatari effettivi o potenziali è elevato e/o se i dati devono essere utilizzati per estrapolazioni di dati. Ciò è ancora più importante nei casi in cui può essere dimostrata l’infondatezza del sospetto iniziale. In tali casi occorre una giustificazione specifica per prolungare ulteriormente la conservazione dei dati. A scopo illustrativo, in questo contesto, il GEPD cita la pronuncia della Corte europea dei diritti umani riguardo alla causa di S. e Marper contro Regno Unito (2008) (5), secondo cui la conservazione a lungo termine del DNA di persone che non sono state condannate per un reato costituisce una violazione del loro diritto al rispetto della vita privata ai sensi dell’articolo 8 della Convenzione europea dei diritti dell’uomo.

20.

Per tali motivi, il GEPD raccomanda che gli articoli 5, 6 e 7 della proposta contengano ulteriori disposizioni più specifiche per affrontare adeguatamente tali preoccupazioni. Alcune raccomandazioni specifiche verranno formulate di seguito.

21.

Inoltre, occorrerebbe anche considerare se possano essere formulate disposizioni specifiche e più dettagliate nell’ambito dell’attuazione di una decisione della Commissione conformemente agli articoli 10, 11 e 12 della proposta per affrontare ulteriori questioni di protezione dei dati a livello pratico.

22.

Infine, il GEPD raccomanda di includere negli orientamenti della Commissione sulle transazioni sospette e sui dettagli tecnici delle licenze ulteriori disposizioni specifiche sul trattamento e sulla protezione dei dati. Entrambi gli orientamenti, oltre a qualsiasi possibile decisione di attuazione nell’ambito della protezione dei dati, dovrebbero essere adottati previa consultazione del GEPD e, qualora sia in gioco l’attuazione a livello nazionale, previa consultazione del «Gruppo dell’articolo 29». Il regolamento stesso dovrebbe prevedere chiaramente questo punto ed elencare inoltre in modo specifico le questioni principali da trattare nell’ambito degli orientamenti e della decisione di attuazione.

23.

Il GEPD raccomanda che l’articolo 5 del regolamento specifichi un periodo massimo di conservazione dei dati (prima facie, non superiore ai due anni) oltre alle categorie di dati personali da registrare (non più della registrazione del nome, del numero di licenza e degli articoli acquistati). Tali raccomandazioni derivano dal principio di necessità e proporzionalità: la raccolta e la conservazione dei dati personali dovrebbero essere limitate a quanto strettamente necessario per il conseguimento degli scopi perseguiti (cfr. l’articolo 6, lettere c) ed e) della direttiva 95/46/CE). Se la formulazione di tali specifiche viene lasciata alla normativa o alla prassi nazionale, probabilmente ciò condurrà, nella pratica, a inutili incertezze e a disparità di trattamento di situazioni analoghe.

24.

Inoltre, l’articolo 5 del regolamento dovrebbe anche vietare espressamente, in relazione alla procedura di concessione della licenza, la raccolta e il trattamento di «categorie particolari di dati» (così come definiti nell’articolo 8 della direttiva 95/46/CE) quali, tra gli altri, i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche.

25.

Ciò dovrebbe contribuire inoltre ad assicurare che coloro i quali presentano la domanda non siano trattati in maniera discriminatoria, ad esempio, in base alla loro razza, nazionalità, affiliazione politica o religiosa. In questo contesto, il GEPD sottolinea che assicurare un livello elevato di protezione dei dati significa contribuire alla lotta contro il razzismo, la xenofobia e la discriminazione, il che, a sua volta, può contribuire a evitare la radicalizzazione e il reclutamento a fini terroristici.

26.

Il regolamento stabilisce che le domande per ottenere la concessione della licenza debbano essere respinte se vi sono ragionevoli motivi per dubitare della legittimità dell’uso previsto. A tale riguardo, sarebbe utile che gli orientamenti o la decisione di attuazione specificassero i dati che possono essere raccolti dalle autorità preposte al rilascio della licenza in relazione alla domanda di rilascio della licenza.

27.

Gli orientamenti o la decisione di attuazione dovrebbero disporre che i dati registrati possano essere rivelati solo alle competenti autorità incaricate dell’applicazione della legge che indagano su attività terroristiche o su altre attività criminali sospette in relazione all’abuso dei precursori di esplosivi. Le informazioni non dovrebbero essere usate per altri scopi (cfr. l’articolo 6, lettera b) della direttiva 95/46/CE).

28.

Il GEPD raccomanda inoltre che gli orientamenti o la decisione di attuazione specifichino che l’autorità preposta al rilascio della licenza, che si trova nella posizione migliore per informare direttamente gli interessati, comunichi ai titolari delle licenze che i loro acquisti saranno registrati e potrebbero venire segnalati qualora ritenuti «sospetti» (cfr. gli articoli 10 e 11 della direttiva 95/46/CE).

29.

Il GEPD raccomanda che nella proposta vengano chiariti il ruolo e la natura dei punti di contatto nazionali. La valutazione d’impatto, al paragrafo 6.33, fa riferimento alla possibilità che questi punti di contatto possono essere non soltanto «autorità incaricate dell’applicazione della legge» ma anche «associazioni». I documenti legislativi non forniscono ulteriori informazioni al riguardo. Ciò dovrebbe essere chiarito, in particolare, nell’articolo 6.2 della proposta. In linea di principio, i dati dovrebbero essere detenuti dalle autorità incaricate dell’applicazione della legge; in caso contrario i motivi dovrebbero essere giustificati molto chiaramente.

30.

Inoltre, l’articolo 6 del regolamento dovrebbe specificare i dati personali da registrare (non più del nome, del numero di licenza, degli articoli acquistati e dei motivi che hanno dato adito ai sospetti). Queste raccomandazioni derivano dal principio di necessità e proporzionalità: la raccolta dei dati personali dovrebbe essere limitata a ciò che è strettamente necessario per gli scopi perseguiti (cfr. l’articolo 6, lettera c) della direttiva n. 95/46/CE). In questo contesto, valgono considerazioni analoghe, come indicato al punto 23.

31.

L’articolo 6 del regolamento dovrebbe inoltre vietare espressamente, in relazione alla procedura di segnalazione, la raccolta e il trattamento di «categorie particolari di dati» (definite nell’articolo 8 della direttiva 95/46/CE) quali, tra gli altri, dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche (cfr. anche i punti 24-25).

32.

Infine, l’articolo 6 dovrebbe stabilire un periodo massimo di conservazione, prendendo in considerazione gli scopi della conservazione dei dati. Il GEPD raccomanda che, a meno che una transazione sospetta o un furto abbiano portato a un’indagine specifica e che l’indagine sia ancora in corso, tutte le transazioni sospette segnalate e i furti dovrebbero essere eliminati dalla banca dati trascorso il termine di un periodo specificato (prima facie, al più tardi due anni dopo la data della segnalazione). Ciò dovrebbe contribuire a garantire che, in casi in cui il sospetto non sia stato confermato (o anche indagato ulteriormente), persone innocenti non vengano mantenute in una «lista nera» e considerate «sospette» per un indebito periodo di tempo prolungato (cfr. l’articolo 6, lettera e) della direttiva 95/46/CE). Divergenze di troppo ampio respiro a livello nazionale su questo punto dovrebbero, in ogni caso, esser evitate.

33.

Tale limitazione è necessaria anche per garantire il principio della qualità dei dati (cfr. l’articolo 6, lettera d) della direttiva 95/46/CE) nonché altri importanti principi giuridici come la presunzione d’innocenza. Ciò potrebbe avere come conseguenza non soltanto un livello più adeguato di protezione per le singole persone, ma allo stesso tempo, dovrebbe consentire alle autorità incaricate dell’applicazione della legge di concentrarsi in maniera più efficace sui casi più gravi in cui è probabile che in ultima istanza il sospetto venga confermato.

34.

La proposta non definisce quale transazione possa essere «sospetta». Tuttavia, l’articolo 6, paragrafo 6, lettera a) della proposta stabilisce che la Commissione «elabora e aggiorna orientamenti» e fornisce informazioni su «come riconoscere e comunicare le transazioni sospette».

35.

Il GEPD accoglie con favore il fatto che la proposta richieda alla Commissione di elaborare degli orientamenti. Questi dovrebbero essere sufficientemente chiari e concreti ed evitare un’interpretazione troppo ampia, in modo da ridurre al minimo le trasmissioni di dati personali alle autorità incaricate dell’applicazione della legge e per evitare qualunque pratica arbitraria o discriminatoria, ad esempio in considerazione della razza, della nazionalità o del credo politico o religioso.

36.

Gli orientamenti/le norme di attuazione dovrebbero stabilire inoltre che le informazioni dovrebbero essere mantenute sicure e riservate e dovrebbero essere rivelate solo alle autorità competenti incaricate dell’applicazione della legge, che indagano sulle attività terroristiche o su altre attività criminali sospette in relazione all’abuso dei precursori di esplosivi. Le informazioni non dovrebbero essere utilizzate per ulteriori scopi, ad esempio per indagini su questioni non correlate condotte da parte delle autorità fiscali o delle autorità competenti in materia di immigrazione.

37.

Gli orientamenti/la decisione di attuazione dovrebbero specificare inoltre chi dovrebbe avere accesso ai dati ricevuti (e conservati) dai punti di contatto nazionali. L’accesso e le rivelazioni dovrebbero essere rigorosamente limitati in base al mero principio della necessità di sapere. Dovrebbe essere considerata, inoltre, la pubblicazione di un elenco di possibili destinatari.

38.

Gli orientamenti/la decisione di attuazione dovrebbero stabilire i diritti di accesso degli interessati, compresi, qualora opportuno, la rettifica o la cancellazione dei loro dati (cfr. gli articoli 12-14 della direttiva 95/46/CE). L’esistenza di questo diritto, o qualunque potenziale eccezione a norma dell’articolo 13, può avere implicazioni importanti. Ad esempio, ai sensi delle norme generali, l'interessato ha anche il diritto di sapere se la sua transazione è stata considerata sospetta. Tuttavia, l’uso (potenziale) di questo diritto potrebbe impedire al venditore di precursori degli esplosivi di comunicare transazioni sospette dell’acquirente. Pertanto, eventuali eccezioni dovrebbero essere chiaramente giustificate e stabilite appositamente, di preferenza nel regolamento, o in ogni caso, negli orientamenti/nella decisione di attuazione. Inoltre dovrebbe essere previsto un meccanismo di ricorso, con il coinvolgimento dei punti di contatto nazionali.

39.

Il GEPD accoglie con favore il fatto che l’articolo 16 della proposta stabilisca un riesame del regolamento [cinque anni dopo l’adozione]. In effetti, il GEPD è del parere che tutti i nuovi strumenti dovrebbero provare, nel corso di riesami periodici, di continuare a rappresentare mezzi efficaci di lotta al terrorismo (e altra attività criminale). Il GEPD raccomanda che il regolamento stabilisca specificatamente che durante tale riesame vengano considerati anche l’efficacia del regolamento e i suoi effetti sui diritti fondamentali, compresa la protezione dei dati.

40.

Il GEPD raccomanda di aggiungere alla proposta ulteriori disposizioni più specifiche per affrontare in maniera adeguata le preoccupazioni relative alla protezione dei dati. Inoltre, gli orientamenti della Commissione sulle transazioni sospette e sui dettagli tecnici delle licenze (e un’eventuale decisione di attuazione sulla protezione dei dati) dovrebbero includere anche ulteriori disposizioni specifiche sul trattamento dei dati e sulla protezione dei dati. Gli orientamenti (e l’eventuale decisione di attuazione) devono essere adottati dopo aver consultato il GEPD e, qualora opportuno, il «Gruppo dell’articolo 29» con i rappresentanti delle autorità preposte alla protezione dei dati negli Stati membri.

41.

L’articolo 5 del regolamento dovrebbe specificare un periodo massimo di conservazione (prima facie, non superiore a due anni) per le transazioni registrate e le categorie di dati personali da registrare (non più del nome, del numero di licenza e degli articoli acquistati). Il trattamento di categorie particolari di dati dovrebbe essere espressamente vietato.

42.

Il ruolo e la natura dei punti di contatto dovrebbero essere chiariti nell’articolo 6 della proposta. Questa disposizione dovrebbe anche specificare un periodo massimo di conservazione dei dati segnalati sulle transazioni sospette (prima facie, non superiore ai due anni) oltre ai dati personali da registrare (che non superino la registrazione del nome, del numero di licenza, degli articoli acquistati e delle ragioni che suscitano il sospetto). Il trattamento di categorie particolari di dati dovrebbe essere espressamente vietato.

43.

Inoltre, gli orientamenti/la decisione di attuazione dovrebbero specificare i dati che possono essere raccolti dalle autorità preposte al rilascio della licenza in relazione alla domanda di rilascio della licenza. Dovrebbero anche limitare chiaramente le finalità di utilizzo dei dati. Disposizioni analoghe si dovrebbero applicare inoltre alle registrazioni delle transazioni sospette. Gli orientamenti/la decisione di attuazione dovrebbero specificare che l’autorità preposta al rilascio della licenza dovrebbe informare i titolari di licenza che i loro acquisti saranno registrati e che potrebbero venire segnalati qualora ritenuti «sospetti». Gli orientamenti/la decisione di attuazione dovrebbero specificare ulteriormente a chi è consentito l’accesso ai dati ricevuti (e conservati) da parte dei punti di contatto nazionali. L’accesso ai dati e la loro rivelazione dovrebbero essere limitati in base al mero principio della necessità di sapere. Dovrebbero inoltre fornire diritti di accesso adeguati agli interessati e specificare chiaramente e giustificare qualsiasi eccezione.

44.

L’efficacia delle misure previste dovrebbe essere riesaminata periodicamente considerando al contempo l’eventuale impatto sulla vita privata.

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/6

1.

Il 22 novembre 2010 la Commissione ha adottato una comunicazione dal titolo «La strategia di sicurezza interna dell’UE in azione: cinque tappe verso un’Europa più sicura» (in prosieguo la «comunicazione») (3). La comunicazione è stata trasmessa al GEPD per consultazione.

2.

Il GEPD si compiace di essere stato consultato dalla Commissione. Già prima dell’adozione della comunicazione il GEPD aveva formulato osservazioni informali sul progetto di testo, alcune delle quali sono state prese in considerazione nella versione definitiva del documento.

3.

La strategia di sicurezza interna dell’UE (in prosieguo la SSI), oggetto della comunicazione, era stata adottata il 23 febbraio 2010 sotto la presidenza spagnola (4). La strategia definisce un modello di sicurezza europeo che integra, tra l’altro, l’azione della cooperazione tra autorità di contrasto e giudiziarie, la gestione delle frontiere e la protezione civile, nel rispetto dei valori europei comuni, quali i diritti fondamentali. I suoi principali obiettivi sono:

4.

La SSI intende far fronte alle minacce e alle sfide più imminenti per la sicurezza dell’Unione europea quali le forme gravi di criminalità organizzata, il terrorismo e la criminalità informatica, la gestione delle frontiere esterne dell’UE e la costruzione della resilienza alle calamità naturali e provocate dall’uomo. La strategia fornisce linee guida, principi e orientamenti generali sul modo in cui l’UE deve affrontare tali questioni e invita la Commissione a proporre azioni programmate per l’attuazione della SSI.

5.

A tale proposito è inoltre importante fare riferimento alle recenti conclusioni del Consiglio «Giustizia e affari interni» sull’istituzione e l’attuazione di un ciclo programmatico dell’UE per contrastare la criminalità organizzata e le forme gravi di criminalità internazionale, adottate l’8-9 novembre 2010 (5) (in prosieguo le «conclusioni del novembre 2010»). Questo documento fa seguito alle conclusioni del Consiglio sull’architettura della sicurezza interna approvate nel 2006 (6) e invita il Consiglio e la Commissione a definire un’ampia strategia di sicurezza interna basata sui valori e i principi comuni dell’UE come ribadito nella Carta dei diritti fondamentali dell’Unione europea (7).

6.

Tra le linee guida e gli obiettivi che devono orientare l’attuazione della SSI, le conclusioni del novembre 2010 citano l’adozione di un approccio intraprendente e basato sull’intelligence, la stretta cooperazione tra le agenzie dell’Unione, anche sotto il profilo di un ulteriore miglioramento dello scambio di informazioni, e la sensibilizzazione dei cittadini riguardo all’importanza dell’attività svolta dall’Unione per proteggerli. Le conclusioni invitano inoltre la Commissione a elaborare, in collaborazione con gli esperti delle competenti agenzie dell'UE e degli Stati membri, un piano strategico pluriennale (in prosieguo MASP) per ciascuna priorità, in cui sia definita la strategia più opportuna per affrontare il problema. La Commissione è altresì invitata a sviluppare, in consultazione con gli esperti degli Stati membri e delle agenzie dell’UE, un meccanismo indipendente per valutare l’attuazione del MASP e degli OAP. Il GEPD si soffermerà su tali questioni nel prosieguo del presente parere; queste tematiche, infatti, sono strettamente connesse alla protezione dei dati personali, della vita privata e di altri diritti e libertà fondamentali o incidono in maniera significativa su di essa.

7.

La comunicazione propone cinque obiettivi strategici, tutti connessi alla tutela della vita privata e alla protezione dei dati:

8.

La strategia di sicurezza interna dell’UE in azione definita nella comunicazione delinea un programma comune a Stati membri, Parlamento europeo, Commissione, Consiglio, agenzie e altri soggetti, compresi la società civile e le autorità locali, e propone modalità di collaborazione collettiva per i prossimi quattro anni finalizzate al raggiungimento degli obiettivi della SSI.

9.

La comunicazione si basa sul trattato di Lisbona e riconosce gli orientamenti forniti dal programma di Stoccolma (e dal relativo piano d’azione), che al capo 4.1 evidenziano la necessità di una SSI globale basata sul rispetto di diritti fondamentali, protezione internazionale e Stato di diritto. Inoltre, ai sensi del programma di Stoccolma, sviluppare, controllare e attuare la strategia di sicurezza interna dovrebbe diventare uno dei compiti prioritari del comitato permanente per la sicurezza interna (COSI) istituito dall’articolo 71 del TFUE. Per assicurare l’effettiva attuazione della SSI, occorre inoltre occuparsi degli aspetti di sicurezza della gestione integrata delle frontiere e, in caso, della cooperazione giudiziaria in materia penale pertinente alla cooperazione operativa nel settore della sicurezza interna. A tale proposito è inoltre importante segnalare che il programma di Stoccolma invita ad adottare un approccio integrato alla SSI che dovrebbe tener conto anche della strategia di sicurezza esterna elaborata dall’Unione nonché di altre politiche dell’UE, in particolare quelle attinenti al mercato interno.

10.

La comunicazione fa riferimento a varie aree politiche che fanno parte di una nozione di «sicurezza interna» nell’Unione europea nella sua ampia accezione o che incidono su di essa.

11.

Il presente parere non intende analizzare tutte le aree politiche e le tematiche specifiche contemplate nella comunicazione, bensì:

12.

Il GEPD procederà in tal senso evidenziando in particolare i collegamenti tra la SSI e la strategia di gestione delle informazioni e il lavoro sul quadro globale in materia di protezione dei dati. Il GEPD farà altresì riferimento a concetti quali: migliori tecniche disponibili e «privacy by design» (tutela della vita privata fin dalla progettazione), valutazione di impatto sulla tutela della vita privata e sulla protezione dei dati e diritti degli interessati, che hanno un impatto diretto sulla progettazione e attuazione della SSI. Il parere formulerà altresì osservazioni su una serie di aree politiche selezionate quali la gestione integrata delle frontiere, compresi EUROSUR e il trattamento dei dati personali da parte di FRONTEX, nonché altri settori quali il ciberspazio e l’accordo sul programma di controllo delle transazioni finanziarie dei terroristi (TFTP).

13.

A livello UE vengono attualmente discusse e proposte varie strategie dell’Unione europea basate sul trattato di Lisbona e sul programma di Stoccolma e aventi un impatto diretto o indiretto sulla protezione dei dati. La SSI è una di queste ed è strettamente correlata ad altre strategie (affrontate nelle recenti comunicazioni della Commissione o previste nel prossimo futuro) quali la strategia di gestione delle informazioni dell’UE e il modello europeo di scambio delle informazioni, la strategia per il rispetto della Carta dei diritti fondamentali dell’UE, la strategia globale di protezione dei dati e la politica antiterrorismo dell’UE. Nel presente parere il GEPD presta particolare attenzione ai collegamenti con la strategia di gestione delle informazioni e il quadro globale in materia di protezione dei dati basato sull’articolo 16 del TFUE, che presentano le connessioni politiche più evidenti con la SSI dal punto di vista della protezione dei dati.

14.

Tutte queste strategie costituiscono un mosaico complesso di programmi, piani d’azione e orientamenti politici interconnessi che richiedono un approccio globale e integrato a livello UE.

15.

In termini più generali, se verrà seguito nelle azioni future, questo approccio di «collegamento delle strategie» dimostrerà che a livello UE esiste una visione in materia di strategie dell’Unione europea e che tali strategie e le comunicazioni recentemente adottate su di esse sono di fatto strettamente interconnesse, in quanto il programma di Stoccolma costituisce il punto di riferimento comune a tutte loro. L’adozione di questo approccio determinerà altresì sinergie positive tra le varie politiche riguardanti lo spazio di libertà, sicurezza e giustizia ed eviterà eventuali duplicazioni del lavoro e degli sforzi in questo settore. Aspetto altrettanto importante, da questo approccio scaturirà inoltre un’applicazione più efficace e coerente della normativa in materia di protezione dei dati nel contesto di tutte le strategie interconnesse.

16.

Il GEPD sottolinea che uno dei pilastri della SSI è un’efficiente gestione delle informazioni nell’Unione europea che deve fondarsi sui principi di necessità e proporzionalità per giustificare la necessità dello scambio di informazioni.

17.

Inoltre, come ha indicato nel parere relativo alla comunicazione della Commissione sulla gestione delle informazioni (8), il GEPD sottolinea che tutte le nuove misure legislative volte ad agevolare la conservazione e lo scambio di dati personali devono essere proposte solo qualora la loro necessità sia suffragata da prove concrete (9). Questo obbligo giuridico deve tradursi in un approccio politico intraprendente nell’attuazione della SSI. La necessità di adottare un approccio globale alla SSI comporta inevitabilmente la necessità di valutare tutti gli strumenti già esistenti nel settore della sicurezza interna prima di proporne di nuovi.

18.

In tale contesto il GEPD suggerisce inoltre un utilizzo più frequente delle clausole che prevedono la valutazione periodica degli strumenti esistenti, conformemente a quanto indicato nella direttiva sulla conservazione dei dati che è attualmente in fase di esame (10).

19.

La comunicazione fa riferimento alla protezione dei dati personali nel paragrafo «Politiche di sicurezza basate su valori comuni», nel quale segnala che gli strumenti e le misure da utilizzare per attuare la SSI devono basarsi su valori comuni fra cui lo Stato di diritto e il rispetto dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea. In tale contesto, stabilisce che «se è vero che lo scambio di informazioni facilita un’efficace attività di contrasto nell’UE, è anche vero che bisogna proteggere la privacy delle persone e il diritto fondamentale alla protezione dei dati personali».

20.

Il GEPD accoglie con favore questa affermazione. In quanto tale, tuttavia, non si può ritenere che la questione della protezione dei dati sia tenuta sufficientemente in considerazione nella SSI. La comunicazione non approfondisce la questione della protezione dei dati (11) né spiega come il rispetto della vita privata e la protezione dei dati personali saranno garantiti nella pratica nelle azioni per l’attuazione della SSI.

21.

Il GEPD ritiene che tra gli obiettivi della strategia di sicurezza interna dell’UE in azione debba figurare il concetto di protezione nella sua ampia accezione, grazie a cui verrebbe garantito il giusto equilibrio tra, da un lato, la protezione dei cittadini dalle minacce esistenti e, dall’altro, la tutela della loro vita privata e il diritto alla protezione dei dati personali. In altre parole, le preoccupazioni in materia di sicurezza e vita privata devono essere equamente prese in seria considerazione nello sviluppo della SSI, in linea con il programma di Stoccolma e le conclusioni del Consiglio.

22.

In sintesi, garantire la sicurezza nel pieno rispetto della vita priva e della protezione dei dati deve essere un vero e proprio obiettivo della strategia di sicurezza interna dell’UE, al quale devono essere improntate tutte le azioni avviate dagli Stati membri e dalle istituzioni dell’Unione europea per l’attuazione della strategia.

23.

In tale contesto il GEPD fa riferimento alla comunicazione (2010) 609 su un approccio globale alla protezione dei dati personali nell’Unione europea (12). Il GEPD formulerà presto un parere su tale comunicazione, ma in questa sede sottolinea che non è possibile attuare una SSI efficiente senza il sostegno di un solido regime di protezione dei dati che la integri e che fornisca garanzie in termini di fiducia reciproca e

24.

È evidente che alcune delle azioni derivanti dagli obiettivi della SSI possono aumentare i rischi per la vita privata e la protezione dei dati delle persone. Per compensare tali rischi, il GEPD desidera richiamare espressamente l’attenzione su nozioni quali «privacy by design» (tutela della vita privata fin dalla progettazione), valutazione di impatto sulla tutela della vita privata e sulla protezione dei dati, diritti degli interessati e migliori tecniche disponibili (BAT). Tutti questi concetti devono essere presi in considerazione nell’attuazione della SSI e possono fornire un utile contributo alla formulazione di politiche più rispettose della vita privata e orientate alla protezione dei dati in questo settore.

25.

Il GEPD ha sostenuto in diverse occasioni e in vari pareri il concetto di riservatezza «integrata» [«privacy by design» (tutela della vita privata fin dalla progettazione) o «privacy by default» (riservatezza predefinita)]. Questo concetto viene attualmente sviluppato a livello sia privato che pubblico e pertanto deve svolgere un ruolo importante anche nel contesto della sicurezza interna dell’UE nonché nel settore della polizia e della giustizia (13).

26.

Questo concetto non viene menzionato nella comunicazione. Il GEPD suggerisce di farvi riferimento nelle azioni mirate da proporre e intraprendere per l’attuazione della SSI, in particolare nel contesto dell’obiettivo 4, «rafforzare la sicurezza attraverso la gestione delle frontiere», in cui viene espressamente indicato un maggiore ricorso alle nuove tecnologie per i controlli di frontiera e la sorveglianza delle frontiere.

27.

Il GEPD incoraggia la Commissione a riflettere — nell’ambito del lavoro che dovrà essere svolto in futuro riguardo alla progettazione e attuazione della SSI sulla base della comunicazione — su cosa si intenda per una effettiva «valutazione di impatto sulla tutela della vita privata e la protezione dei dati» nello spazio di libertà, sicurezza e giustizia e in particolare nella SSI.

28.

Nella comunicazione viene menzionata la valutazione delle minacce e dei rischi. Il GEPD accoglie con favore tale approccio. Il documento, tuttavia, non contiene alcun riferimento alle valutazioni di impatto sulla tutela della vita privata e sulla protezione dei dati. Il GEPD ritiene che il lavoro relativo all’attuazione della comunicazione sulla SSI costituisca una buona occasione per approfondire il concetto di valutazioni di impatto sulla tutela della vita privata e la protezione dei dati nel contesto della sicurezza interna. Il GEPD rileva che né la comunicazione né gli orientamenti per la valutazione d’impatto della Commissione (14) specificano questo aspetto e lo traducono in un requisito politico.

29.

Il GEPD raccomanda pertanto che nell’attuazione degli strumenti futuri venga effettuata una più specifica e rigorosa valutazione di impatto sulla tutela della vita privata e la protezione dei dati, o come valutazione separata o nell’ambito della valutazione d’impatto generale sui diritti fondamentali svolta dalla Commissione. Tale valutazione d’impatto non deve limitarsi ad affermare principi generali o ad analizzare opzioni politiche, come avviene attualmente, ma deve anche raccomandare garanzie specifiche e concrete.

30.

Occorre pertanto definire caratteristiche e indicatori specifici affinché tutte le proposte che incidono sulla tutela della vita privata e sulla protezione dei dati nel settore della sicurezza interna dell'UE siano oggetto di un’analisi approfondita, compresi aspetti quali i principi di proporzionalità, necessità e limitazione delle finalità.

31.

In tale contesto, inoltre, potrebbe essere utile fare riferimento all’articolo 4 della raccomandazione RFID (15), in cui la Commissione invitava gli Stati membri ad assicurarsi che l’industria, in cooperazione con le parti interessate della società civile, metta a punto un quadro per la realizzazione di valutazioni di impatto sulla tutela della vita privata e la protezione dei dati. Anche la risoluzione di Madrid, adottata nel novembre 2009 dalla conferenza internazionale dei commissari in materia di protezione dei dati e della vita privata, incoraggiava a realizzare valutazioni d’impatto sulla tutela della vita privata e la protezione dei dati prima di attuare nuovi sistemi e tecnologie di informazione per il trattamento di dati personali o di apportare modifiche sostanziali a trattamenti esistenti.

32.

Il GEPD rileva che la comunicazione non prende specificamente in considerazione la questione dei diritti degli interessati, che costituiscono un elemento fondamentale della protezione dei dati e che devono incidere sulla progettazione della SSI. È indispensabile che in tutti i vari sistemi e strumenti relativi alla sicurezza interna dell’UE vengano garantiti alle persone che ne sono oggetto diritti analoghi riguardo alle modalità di trattamento dei loro dati personali.

33.

Molti dei sistemi citati nella comunicazione fissano norme specifiche sui diritti degli interessati (riguardanti anche categorie di persone quali vittime, presunti criminali o migranti), ma esistono differenze notevoli tra i diversi sistemi e strumenti, senza una valida giustificazione.

34.

Il GEPD invita pertanto la Commissione a esaminare più attentamente la questione dell’allineamento dei diritti degli interessati nell’UE nel contesto della SSI e della strategia di gestione delle informazioni nel prossimo futuro.

35.

Occorre prestare una particolare attenzione ai meccanismi di risarcimento. La SSI deve garantire che, nel caso in cui i diritti delle persone non siano stati pienamente rispettati, i responsabili del trattamento dei dati prevedano procedure di reclamo facilmente accessibili, efficaci ed economicamente abbordabili.

36.

L’attuazione della SSI si baserà inevitabilmente sull’utilizzo di un’infrastruttura informatica in grado di supportare le azioni previste nella comunicazione. Le migliori tecniche disponibili (BAT) possono essere considerate come strumenti in grado di garantire il giusto equilibrio tra la realizzazione degli obiettivi della SSI e il rispetto dei diritti delle persone. Nel presente contesto il GEPD desidera ribadire la raccomandazione formulata in precedenti pareri (16) riguardo alla necessità che la Commissione definisca e promuova, insieme alle parti interessate del settore, misure concrete per l’applicazione delle BAT. Per «migliore tecnologia disponibile» si intende la più efficace ed avanzata fase di sviluppo di attività e dei relativi metodi di esercizio, che indicano l’idoneità pratica di determinate tecniche a costituire la base per il conseguimento dei risultati previsti in modo efficiente e nel rispetto del quadro dell’UE sulla tutela della vita privata e sulla protezione dei dati. Questo approccio è pienamente in linea con il concetto di «privacy by design» (tutela della vita privata fin dalla progettazione), precedentemente citato.

37.

Laddove sia pertinente e fattibile, occorre elaborare documenti di riferimento sulle BAT volti a fornire orientamenti e a garantire una maggiore certezza del diritto per l’effettiva applicazione delle misure previste nel quadro della SSI. In questo modo si potrebbe inoltre promuovere l’armonizzazione di tali misure in tutti i vari Stati membri. Ultimo ma non meno importante aspetto, la definizione di BAT rispettose della vita privata e della sicurezza agevolerà il ruolo di controllo delle autorità responsabili della protezione dei dati dotandole di riferimenti tecnici, adottati dai responsabili del trattamento dei dati, conformi per quanto riguarda la protezione della vita privata e dei dati.

38.

Il GEPD rileva inoltre l’importanza di un corretto allineamento della SSI con le attività già svolte nell’ambito del Settimo programma quadro di ricerca e sviluppo tecnologico e del programma quadro «Sicurezza e tutela delle libertà». Una visione comune finalizzata alla fornitura delle BAT favorirà l’innovazione a livello di conoscenze e capacità necessarie a proteggere i cittadini nel rispetto dei diritti fondamentali.

39.

Infine, il GEPD evidenzia il ruolo che può svolgere l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) nell’elaborazione di orientamenti e nella valutazione delle capacità in materia di sicurezza necessarie a garantire l’integrità e la disponibilità dei sistemi informatici nonché nella promozione delle BAT. A tale proposito, il GEPD accoglie con favore l’inclusione dell’agenzia quale attore chiave per il rafforzamento della capacità di far fronte agli attacchi informatici e della lotta contro la criminalità informatica (17).

40.

In questo contesto è inoltre necessario definire con maggiore chiarezza gli attori che fanno parte dell’architettura della SSI o che vi contribuiscono. La comunicazione cita attori e parti interessate differenti quali cittadini, autorità giudiziarie, agenzie dell’UE, autorità nazionali, polizia e imprese. Le competenze e i ruoli specifici di questi attori devono essere precisati meglio nelle azioni specifiche da proporre per l’attuazione della SSI.

41.

La comunicazione fa riferimento al fatto che, con l’entrata in vigore del trattato di Lisbona, l’Unione europea è in grado di trarre maggior vantaggio dalle sinergie fra le politiche di gestione delle frontiere per le persone e le merci. Per quanto riguarda la circolazione delle persone, il documento afferma che «l’UE può guardare alla gestione dell’immigrazione e alla lotta contro la criminalità come a un duplice obiettivo della strategia di gestione integrata delle frontiere». La comunicazione considera la gestione delle frontiere come uno strumento potenzialmente efficace per smantellare le forme gravi di criminalità organizzata (18).

42.

Il GEPD rileva inoltre che la comunicazione individua tre assi strategici: 1) maggiore ricorso alle nuove tecnologie per i controlli di frontiera (il SIS II, il VIS, il sistema di registrazione ingressi/uscite e il programma per viaggiatori registrati); 2) un maggiore ricorso alle nuove tecnologie per la sorveglianza delle frontiere (sistema europeo di sorveglianza delle frontiere, EUROSUR) e 3) un maggiore coordinamento fra gli Stati membri grazie a FRONTEX.

43.

Il GEDP desidera cogliere l’occasione offerta da questo parere per ricordare le richieste, formulate in una serie di pareri precedenti, di definire a livello UE una politica chiara sulla gestione delle frontiere, nel pieno rispetto della normativa in materia di protezione dei dati. Il GEPD ritiene che l’attuale lavoro sulla SSI e la gestione delle informazioni costituisca un’ottima occasione per compiere passi più concreti verso l’adozione di un approccio politico coerente nei confronti di questi settori.

44.

Il GEDP rileva che la comunicazione non fa riferimento solo ai sistemi su vasta scala esistenti e a quelli che potrebbero diventare operativi nel prossimo futuro (come il SIS, il SIS II e il VIS), ma — nello stesso paragrafo — cita anche sistemi che potrebbero essere proposti dalla Commissione in futuro ma su cui non è stata ancora presa una decisione (ad esempio il programma per viaggiatori registrati e il sistema di registrazione ingressi/uscite). In tale contesto è necessario ricordare che gli obiettivi e la legittimità dell’introduzione di questi sistemi devono essere ancora chiariti e dimostrati, anche alla luce di valutazioni d’impatto specifiche svolte dalla Commissione. In caso contrario, si può ritenere che la comunicazione anticipi il processo decisionale e di conseguenza non tenga conto del fatto che non è ancora stata presa una decisione definitiva sull’eventuale introduzione nell’Unione europea del programma per viaggiatori registrati e del sistema di registrazione ingressi/uscite.

45.

Il GEPD raccomanda pertanto di evitare anticipazioni analoghe nel lavoro futuro sull’attuazione della SSI. Come precedentemente indicato, ogni eventuale decisione sull’introduzione di nuovi sistemi su vasta scala invasivi della vita privata deve essere presa solo a seguito di un’adeguata valutazione di tutti i sistemi esistenti, tenendo nella debita considerazione i principi di necessità e proporzionalità.

46.

La comunicazione riferisce che nel 2011 la Commissione presenterà una proposta legislativa riguardante l’istituzione di EUROSUR per contribuire alla sicurezza interna e alla lotta contro la criminalità. Segnala altresì che EUROSUR si avvarrà delle nuove tecnologie sviluppate grazie ai progetti di ricerca e alle attività finanziate dall’UE, come le immagini satellitari per individuare e seguire obiettivi alle frontiere marittime, ad esempio per tenere sotto controllo imbarcazioni rapide che trasportino droga nell’UE.

47.

In tale contesto il GEPD osserva che non è chiaro se, ed eventualmente in quale misura, nella proposta legislativa su EUROSUR che verrà presentata dalla Commissione nel 2011 verrà contemplato il trattamento dei dati personali nell’ambito di EUROSUR. Nella comunicazione la Commissione non ha adottato una posizione chiara sulla questione. Questo aspetto è ancora più rilevante se si considera che la comunicazione collega chiaramente EUROSUR e FRONTEX a livello tattico, operativo e strategico (si vedano le osservazioni formulate di seguito su FRONTEX) e chiede una stretta cooperazione fra di loro.

48.

Il 17 maggio 2010 il GEPD ha formulato un parere sulla revisione del regolamento FRONTEX (19) in cui chiedeva di svolgere un dibattito vero e proprio e una riflessione approfondita sulla questione della protezione dei dati nell’ambito del rafforzamento dei compiti attuali di FRONTEX e del conferimento di nuove responsabilità all’agenzia.

49.

La comunicazione segnala la necessità di rafforzare il contributo di FRONTEX alle frontiere esterne nell’ambito dell’obiettivo 4, «rafforzare la sicurezza attraverso la gestione delle frontiere». A tale proposito, la comunicazione afferma che, in base all’esperienza acquisita e nel contesto dell’approccio globale dell’UE alla gestione delle informazioni, la Commissione ritiene che consentire a Frontex di trattare e utilizzare queste informazioni, in misura limitata e conformemente a norme di gestione dei dati personali chiaramente definite, apporterà un contributo significativo allo smantellamento delle organizzazioni criminali. Si tratta di un approccio nuovo rispetto alla proposta della Commissione sulla revisione del regolamento FRONTEX, attualmente oggetto di discussione in seno al Parlamento europeo e al Consiglio, che non si era pronunciato in merito al trattamento dei dati personali.

50.

In tale contesto, il GEPD si compiace del fatto che la comunicazione fornisca alcune indicazioni in merito alle circostanze che potrebbero comportare la necessità di procedere al trattamento dei dati (ad esempio analisi dei rischi, operazioni congiunte più mirate o scambio di informazioni con Europol). Più specificamente, la comunicazione spiega che attualmente le informazioni sui criminali appartenenti alle reti di trafficanti — acquisite da FRONTEX — non possono essere successivamente utilizzate ai fini di analisi dei rischi o di future operazioni congiunte più mirate. Per giunta, i dati rilevanti sui presunti criminali non arrivano alle autorità nazionali competenti né ad Europol per ulteriori indagini.

51.

Tuttavia, il GEPD osserva che la comunicazione non fa riferimento alla discussione attualmente in corso sulla revisione del quadro giuridico di FRONTEX che, come indicato in precedenza, affronta la questione al fine di fornire soluzioni legislative. Inoltre, la formulazione della comunicazione in cui viene evidenziato il ruolo di FRONTEX nell’ambito dell’obiettivo dello smantellamento delle organizzazioni criminali può essere interpretata come un ampliamento del mandato dell’agenzia. Il GEPD suggerisce di tenere in considerazione questo aspetto sia nella revisione del regolamento FRONTEX che nell’attuazione della SSI.

52.

Il GEPD richiama inoltre l’attenzione sulla necessità di garantire l’assenza di duplicazioni fra i compiti di Europol e FRONTEX. A tale proposito, il GEPD si compiace del fatto che la comunicazione indichi la necessità di evitare la creazione di doppioni fra i lavori di FRONTEX ed Europol. Occorre tuttavia affrontare più chiaramente la questione sia nel regolamento FRONTEX rivisto sia nelle azioni per l’attuazione della SSI che prevedono una stretta cooperazione tra FRONTEX ed EUROPOL. Si tratta di un aspetto particolarmente importante dal punto di vista dei principi della limitazione delle finalità e della qualità dei dati. Questa osservazione vale anche per la cooperazione futura con agenzie quali l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) o l’Ufficio europeo di sostegno per l’asilo.

53.

La comunicazione non prende specificamente in considerazione l’attuale fenomeno del crescente utilizzo dei dati biometrici nel settore dello scambio di informazioni nell’UE, compresi i sistemi informatici europei su larga scala e altri strumenti per la gestione delle frontiere.

54.

Il GEPD coglie pertanto l’occasione per ricordare il suo suggerimento (20) di prendere seriamente in considerazione questo aspetto nell’attuazione della SSI, in particolare nel contesto della gestione delle frontiere, poiché si tratta di una questione di grande sensibilità dal punto di vista della protezione dei dati.

55.

Il GEPD raccomanda inoltre di elaborare una politica chiara e rigorosa sull’utilizzo dei dati biometrici nello spazio di libertà, sicurezza e giustizia sulla base di una valutazione seria e ponderando caso per caso la necessità di utilizzare elementi biometrici nell’ambito della SSI, nel pieno rispetto di principi fondamentali per la protezione dei dati quali la proporzionalità, la necessità e la limitazione delle finalità.

56.

La comunicazione annuncia che nel 2011 la Commissione elaborerà una politica di estrazione e analisi dei dati di messaggistica finanziaria detenuti sul proprio territorio. A tale proposito, il GEPD fa riferimento al parere formulato il 22 giugno 2010 sul trattamento e il trasferimento di dati di messaggistica finanziaria dall’Unione europea agli Stati Uniti ai fini del programma di controllo delle transazioni finanziarie dei terroristi (TFTP II) (21). Tutte le osservazioni critiche espresse in quel parere sono valide e applicabili anche nell’ambito del lavoro previsto su un quadro dell’UE in materia di dati di messaggistica finanziaria. Di conseguenza, devono essere prese in considerazione nelle discussioni sull’argomento. Occorre prestare particolare attenzione alla proporzionalità di estrarre e trattare grandi quantitativi di dati su persone che non sono sospette nonché alla questione di una sorveglianza efficace da parte di autorità indipendenti e autorità giudiziarie.

57.

Il GEPD accoglie con favore l’importanza attribuita dalla comunicazione alle azioni preventive a livello UE e ritiene che il rafforzamento della sicurezza delle reti informatiche sia un fattore essenziale per il buon funzionamento della società dell’informazione. Il GEPD sostiene inoltre le specifiche attività volte a rafforzare la capacità di far fronte agli attacchi informatici, a potenziare le capacità delle autorità di polizia e degli organi giudiziari e a creare partenariati con l’industria per dare ai cittadini e alle imprese i mezzi per agire. Il GEPD accoglie altresì con favore il ruolo che l’ENISA sarà chiamata a svolgere per spianare la strada a molte delle azioni previste nell’ambito di questo obiettivo.

58.

Ciononostante, la strategia di sicurezza interna dell’UE in azione non illustra le azioni di contrasto previste nel ciberspazio né precisa il modo in cui tali attività potrebbero compromettere i diritti individuali e non indica nemmeno quali dovrebbero essere le garanzie necessarie. Il GEPD chiede di adottare un approccio più ambizioso sulle garanzie adeguate, che dovrà essere definito in modo tale da assicurare la protezione dei diritti fondamentali di tutte le persone, comprese quelle che potrebbero essere interessate da azioni volte a contrastare eventuali attività criminali in questo settore.

59.

Il GEPD chiede di collegare le varie strategie e comunicazioni dell’UE nel processo di attuazione della SSI. A questo approccio deve fare seguito un piano d’azione concreto sostenuto da un’effettiva valutazione delle necessità, il cui esito sarà una politica UE globale, integrata e strutturata sulla SSI.

60.

Il GEPD coglie inoltre questa occasione per sottolineare l’importanza dell’obbligo giuridico di un’effettiva valutazione di tutti gli strumenti esistenti che devono essere utilizzati nell’ambito della SSI e dello scambio di informazioni prima di proporne di nuovi. A tale proposito, si raccomanda vivamente di includere disposizioni che prevedano valutazioni periodiche dell’efficienza degli strumenti pertinenti.

61.

Il GEPD suggerisce di tenere conto, nell’elaborazione del piano strategico pluriennale previsto dalle conclusioni del Consiglio del novembre 2010, del lavoro attualmente in corso sul quadro globale per la protezione dei dati, svolto sulla base dell’articolo 16 del TFUE, in particolare della comunicazione (2009) 609.

62.

Il GEPD formula una serie di suggerimenti su nozioni e concetti pertinenti dal punto di vista della protezione dei dati di cui si dovrebbe tenere conto nel settore della SSI, quali «privacy by design» (tutela della vita privata fin dalla progettazione), valutazione di impatto sulla tutela della vita privata e sulla protezione dei dati, migliori tecniche disponibili.

63.

Il GEPD raccomanda che nell’attuazione degli strumenti futuri venga effettuata una valutazione di impatto sulla tutela della vita privata e la protezione dei dati, o come valutazione separata o nell’ambito della valutazione d’impatto generale sui diritti fondamentali svolta dalla Commissione.

64.

Il GEPD invita inoltre la Commissione a elaborare una politica più coerente e omogenea sui prerequisiti per l’utilizzo dei dati biometrici nell’ambito della SSI e raccomanda un maggiore allineamento dei diritti degli interessati a livello UE.

65.

Il GEPD formula infine una serie di osservazioni sul trattamento dei dati personali nell’ambito della gestione delle frontiere e in particolare da parte di FRONTEX nonché, eventualmente, nel contesto di EUROSUR.

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/14

1.

L’11 ottobre 2010 la Commissione europea ha adottato una proposta modificata di regolamento del Parlamento europeo e del Consiglio che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione del regolamento (CE) n. (…/…) (che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide) (in prosieguo: «la proposta») (3). La proposta adottata dalla Commissione è stata trasmessa al GEPD lo stesso giorno ai fini della consultazione ai sensi dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001. Il GEPD si compiace di essere stato consultato dalla Commissione e chiede che un riferimento a tale consultazione sia inserito nei considerando della proposta.

2.

L’Eurodac è stato istituito in forza del regolamento (CE) n. 2725/2000 che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione della convenzione di Dublino (4). Nel dicembre 2008 la Commissione ha adottato una proposta di rifusione diretta a modificare tale regolamento (in prosieguo: «la proposta del dicembre 2008») (5). Il GEPD ha commentato tale proposta in un proprio parere del febbraio 2009 (6).

3.

Scopo della proposta del dicembre 2008 era garantire un più efficiente sostegno all’applicazione del regolamento di Dublino e affrontare adeguatamente le questioni della protezione dei dati. La proposta ha inoltre armonizzato il quadro di gestione dei sistemi di tecnologia dell’informazione con quello dei regolamenti SIS II e VIS laddove stabilisce che i compiti correlati alla gestione operativa dell’Eurodac saranno assunti dalla costituenda Agenzia per la gestione operativa dei sistemi di tecnologia dell’informazione su larga scala del settore della libertà, della sicurezza e della giustizia (7) (in prosieguo: «l’Agenzia IT») (8).

4.

Successivamente, nel settembre 2009, la Commissione ha adottato una proposta modificata che contempla la possibilità per le autorità di contrasto degli Stati membri e l’Europol di accedere alla banca dati centrale Eurodac a fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi.

5.

In particolare, la proposta contiene una clausola passerella per consentire l’accesso a fini di contrasto, nonché le necessarie disposizioni accompagnatorie, e modifica la proposta del dicembre 2008. La proposta è stata presentata contemporaneamente alla proposta di decisione del Consiglio sulle richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto (9) (in prosieguo: «la decisione del Consiglio»), che fissa le modalità esatte di tale accesso. Il GEPD ha adottato un parere su questa proposta nel dicembre 2009 (10).

6.

Con l’entrata in vigore del trattato di Lisbona e l’abolizione del sistema a pilastri, la proposta di decisione del Consiglio è decaduta; si è reso necessario ritirarla formalmente e sostituirla con una nuova proposta per tenere conto del nuovo quadro del TFUE.

7.

Nella relazione alla proposta si afferma che, al fine di far progredire i negoziati sul «pacchetto asilo» (11) e di agevolare la conclusione di un accordo sul regolamento Eurodac, la Commissione ha ritenuto opportuno ritirare da quest’ultimo le disposizioni concernenti l’accesso a fini di contrasto.

8.

La Commissione ritiene altresì che il ritiro di quella parte (alquanto controversa) della proposta e, conseguentemente, la più rapida adozione del nuovo regolamento Eurodac faciliteranno anche la tempestiva istituzione dell’Agenzia per la gestione operativa dei sistemi di tecnologia dell’informazione su larga scala del settore della libertà, della sicurezza e della giustizia, considerato che l’Agenzia sarà responsabile anche della gestione dell’Eurodac.

9.

Ne deriva che l’attuale proposta modificata, pur introducendo due disposizioni tecniche, ha come finalità principale quella di modificare la proposta precedente (del settembre 2009) eliminando dal suo disposto la norma che consente l’accesso a fini di contrasto. Pertanto, non si è ritenuto necessario eseguire una nuova, specifica valutazione d’impatto per l’attuale proposta.

10.

Come sopra indicato, il GEPD ha già adottato numerosi pareri su questo tema. Con il presente parere, il GEPD intende raccomandare miglioramenti della proposta. Tali raccomandazioni si fondano o su elementi nuovi o su raccomandazioni fatte in precedenza ma non ancora prese in considerazione riguardo a situazioni nelle quali il GEPD ritiene che le proprie argomentazioni non siano state adeguatamente rispettate o che le proprie raccomandazioni siano ora supportate da nuove argomentazioni.

11.

Il presente parere si incentra sui punti seguenti:

12.

Il GEPD valuta positivamente il fatto che dall’attuale proposta sia stata esclusa la possibilità di concedere alle autorità di contrasto l’accesso all’Eurodac. Infatti, pur non contestando l’esigenza dei governi di disporre di idonei strumenti per garantire la sicurezza dei cittadini, il GEPD aveva espresso forti perplessità circa la legittimità di questa proposta, alla luce delle seguenti considerazioni.

13.

Le misure di contrasto dei reati di terrorismo e altri reati gravi possono costituire un motivo valido per consentire il trattamento di dati personali — anche se incompatibile con gli scopi per i quali i dati sono stati originariamente raccolti — purché la necessità di tale intrusione sia giustificata da elementi certi e indiscutibili e sia dimostrata la proporzionalità del trattamento. Ciò è tanto più necessario in quanto le proposte riguardano una categoria di persone vulnerabili e bisognose di maggiore protezione perché in fuga da persecuzioni. Di tale loro precaria condizione si deve tener conto in sede di valutazione della necessità e proporzionalità dell’azione proposta. Il GEPD ha sottolineato, più concretamente, che la necessità deve essere dimostrata fornendo prove convincenti dell’esistenza di un legame tra i richiedenti asilo e reati di terrorismo e/o altri reati gravi. Così non è stato fatto nelle proposte.

14.

In termini più generali, il GEPD ha sostenuto in numerosi pareri e commenti e, con particolare enfasi, nei recenti pareri «Panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia» (12) e «La politica antiterrorismo dell’UE: principali risultati e sfide future» (13), la necessità di valutare tutti gli strumenti esistenti per lo scambio di informazioni prima di proporne di nuovi.

15.

Infatti, la determinazione dell’efficacia delle misure vigenti in sede di valutazione dell’impatto sulla privacy di nuove misure allo studio è cruciale e dovrebbe svolgere un ruolo importante nell’azione dell’Unione europea a tale riguardo, in linea con l’approccio indicato dal programma di Stoccolma. In questo caso, un’attenzione speciale va riservata, per esempio, all’attuazione dello scambio di dati nell’ambito del meccanismo di Prüm. Essendo lo scambio di impronte digitali già previsto in quel contesto, occorre dimostrare che detto meccanismo presenta carenze gravi, tali da giustificare l’accesso a una banca dati come Eurodac.

16.

Infine, nei pareri citati, come in molti altri precedenti, il GEPD raccomanda un’attenzione speciale per le proposte che comportano la raccolta di dati personali di ampie categorie di cittadini, piuttosto che di semplici persone sospette. È altresì necessario tenere in specifica considerazione e giustificare i casi nei quali il trattamento dei dati personali è previsto a fini diversi da quelli per cui i dati sono stati raccolti originariamente, come nel caso dell’Eurodac.

17.

In conclusione, il GEPD valuta positivamente la cancellazione di questo elemento dall’attuale proposta.

18.

La raccolta e l’ulteriore trattamento delle impronte digitali ha ovviamente un ruolo centrale nel sistema Eurodac. Va sottolineato che il trattamento di dati biometrici comporta problematiche specifiche e rischi che devono essere affrontati. Nel contesto della proposta, il GEPD vuole segnalare in special modo il problema del cosiddetto «fallimento della registrazione», ossia la situazione in cui si trova una persona quando, per qualche motivo, le sue impronte digitali non sono utilizzabili.

19.

Il fallimento della registrazione può verificarsi quando una persona ha polpastrelli o mani temporaneamente o permanentemente danneggiati a causa di vari fattori, quali malattia, disabilità, ferite e ustioni. In taluni casi, la causa può dipendere anche dall’appartenenza etnica o dall’attività lavorativa della persona; in particolare, sembra che un numero non indifferente di lavoratori agricoli ed edili abbiano impronte digitali talmente danneggiate da risultare non rilevabili. In altri casi, la cui frequenza è di difficile valutazione, può succedere che i rifugiati si automutilino per sottrarsi al rilevamento delle impronte digitali.

20.

Il GEPD riconosce che può essere difficile distinguere i cittadini di paesi terzi che si sono volontariamente danneggiati i polpastrelli per impedire l’identificazione da coloro le cui impronte digitali non sono rilevabili per cause legittime.

21.

Tuttavia è estremamente importante garantire che il «fallimento della registrazione» di per sé non comporti la negazione dei diritti dei richiedenti asilo. Sarebbe infatti inaccettabile, per esempio, se il mancato rilevamento venisse interpretato sistematicamente come un tentativo fraudolento e portasse così al rifiuto di esaminare una domanda di asilo o al ritiro dell’assistenza al richiedente asilo. Se così fosse, la possibilità di far rilevare le proprie impronte digitali diventerebbe uno dei criteri per il riconoscimento dello status di richiedente asilo. Lo scopo dell’Eurodac è quello di facilitare l’applicazione della convenzione di Dublino, non di aggiungere un ulteriore criterio («avere impronte digitali utilizzabili») per la concessione dello status di richiedente asilo, perché in tal caso si violerebbero il principio della limitazione delle finalità e, quanto meno, lo spirito del diritto di asilo.

22.

Infine, il GEPD insiste anche sulla necessità che l’attuale proposta sia conforme alle altre direttive pertinenti. In particolare, la «direttiva qualifiche» sottolinea che ogni domanda sarà esaminata su base individuale e certamente non menziona il fallimento della registrazione come uno dei criteri di valutazione delle domande di asilo (14).

23.

Nell’articolo 6, paragrafi 1 e 2, l’attuale proposta prevede già in parte il fallimento della registrazione (15).

24.

Tuttavia, queste norme contemplano soltanto l’ipotesi di un’impossibilità di rilevamento temporanea, mentre in un numero significativo di casi essa è permanente. L’articolo 1 del regolamento che modifica l’istruzione consolare comune (16) prevede casi del genere laddove stabilisce che: (…) Gli Stati membri provvedono affinché siano predisposte procedure idonee a garanzia della dignità del richiedente in caso di difficoltà nel rilevamento. L’impossibilità fisica di rilevare le impronte digitali non influisce sulla concessione o sul rifiuto del visto.

25.

Al fine di tenere conto di questi casi nel contesto dell’Eurodac, il GEPD raccomanda che all’articolo 6 sia aggiunta una disposizione sulla seguente falsariga: «L’impossibilità temporanea o permanente di fornire impronte digitali utilizzabili non compromette lo status giuridico dell’interessato e in ogni caso non è un motivo valido per negare l’esame di una domanda di asilo o respingerla».

26.

Il GEPD rileva che l’efficace applicazione del diritto all’informazione è essenziale per il corretto funzionamento dell’Eurodac. In particolare, è essenziale al fine di garantire che le informazioni siano fornite in maniera tale da consentire al richiedente asilo di comprendere appieno la sua condizione e la portata dei suoi diritti, compresi i passi che può compiere sotto il profilo procedurale per dare seguito alle decisioni amministrative adottate nel suo caso. Il GEPD ricorda altresì che il diritto di accesso è un pilastro fondamentale della protezione dei dati, come sancito in particolare dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea.

27.

Il GEPD aveva già evidenziato questo punto nel suo precedente parere sull’Eurodac. Poiché la proposta modificata non è stata accolta, il GEPD vuole sottolineare l’importanza di tale questione.

28.

L’articolo 24 della proposta così recita:

Lo Stato membro d’origine provvede a informare la persona soggetta al presente regolamento per iscritto e se del caso oralmente, in una lingua a lei comprensibile o che si può ragionevolmente supporre tale:

(…)

29.

Il GEPD propone di riformulare il testo dell’articolo 24 per specificare meglio i diritti riconosciuti al richiedente. La formulazione proposta non è chiara perché può essere interpretata nel senso che «il diritto di ottenere informazioni sulle procedure da seguire per esercitare tali diritti (…)» è distinto dal diritto di accesso ai dati e/o dal diritto di chiedere la rettifica dei dati inesatti (…). Inoltre, secondo l’attuale formulazione della succitata disposizione, gli Stati membri devono informare la persona soggetta al regolamento non del contenuto dei diritti bensì della loro «esistenza». Poiché quest’ultimo termine sembra rispondere esclusivamente a considerazioni di carattere stilistico-linguistico, il GEPD propone di riformulare l’articolo 24 come segue: «Lo Stato membro d’origine provvede a informare la persona soggetta al presente regolamento (…)(g) del diritto di accesso ai dati che la riguardano e del diritto di chiedere che i dati inesatti che la riguardano siano rettificati o che i dati che la riguardano trattati illecitamente siano cancellati».

30.

L’articolo 4, paragrafo 1, della proposta prevede quanto segue: «Dopo un periodo transitorio, un organo di gestione (“Autorità di gestione”) finanziato dal bilancio generale dell’Unione europea è responsabile della gestione operativa dell’Eurodac. In cooperazione con gli Stati membri, l’Autorità di gestione provvede a che in qualsiasi momento siano utilizzate, previa analisi costi/benefici, le migliori tecnologie disponibili per il sistema centrale». Pur valutando positivamente il requisito di cui all’articolo 4, paragrafo 1, il GEPD desidera rilevare che l’espressione «migliori tecnologie disponibili» riportata nella norma succitata dovrebbe essere sostituita dalla formulazione «migliori tecniche disponibili», che comprende sia la tecnologia impiegata sia il modo in cui il dispositivo è progettato, costruito, mantenuto e azionato.

31.

Tale riformulazione è rilevante perché il concetto di «migliori tecniche disponibili» è più ampio e comprende vari aspetti che contribuiscono all’applicazione del concetto di «tutela della vita privata fin dalla progettazione», che, nella revisione del quadro giuridico della protezione dei dati nell’Unione europea, è considerato un principio chiave. Esso sottolinea che la protezione dei dati può essere realizzata con mezzi diversi, non necessariamente di tipo tecnologico. Ed è infatti importante valutare non soltanto la tecnologia ma anche il modo in cui essa è utilizzata in quanto strumento atto a conseguire lo scopo del trattamento dei dati disponibili. I processi aziendali devono orientarsi al raggiungimento di questo obiettivo, che si traduce in procedure e strutture organizzative.

32.

A tale proposito e in termini più generali, il GEPD desidera ribadire quanto ha già raccomandato in pareri precedenti (17) riguardo alla necessità che la Commissione stabilisca e promuova, insieme con esponenti dell’imprenditoria, «migliori tecniche disponibili» (MTD) secondo la medesima procedura adottata dalla Commissione in campo ambientale (18). Per «migliori tecniche disponibili» s’intende il livello più efficace e avanzato di sviluppo della tecnologia e dei metodi operativi che denotano l’idoneità di particolari tecniche a fornire concretamente, nel rispetto della privacy e del quadro comunitario di protezione dei dati, una soglia definita di individuazione. Queste MTD saranno progettate in modo tale da prevenire e, ove ciò non sia possibile, ridurre a un livello adeguato i rischi per la sicurezza correlati a tale trattamento dei dati, onde limitare al massimo l’impatto sulla privacy.

33.

Da questo processo dovrebbero derivare, inoltre, documenti di riferimento sulle «migliori tecniche disponibili» che potrebbero fungere da utile guida per la gestione di altri sistemi UE di tecnologia dell’informazione su larga scala. Il processo promuoverà altresì l’armonizzazione di tali misure in tutta l’Unione europea. Ultima ma non meno importante considerazione: la definizione di MTD rispettose della privacy e della sicurezza faciliterà i compiti di controllo delle autorità di protezione dei dati mettendo a loro disposizione riferimenti tecnici conformi alla privacy e alla protezione dei dati adottati dai responsabili del trattamento dei dati.

34.

Il GEPD rileva che la proposta non affronta la questione del subappalto a un’altra organizzazione o un altro organismo (ad esempio, una società privata) di parte dei compiti della Commissione (19). Eppure, il subappalto è una pratica comunemente utilizzata dalla Commissione per lo sviluppo e la gestione sia del sistema che delle infrastrutture di comunicazione. Mentre il subappalto di attività non è, di per sé, in contrasto con i requisiti della protezione dei dati, è invece opportuno adottare rilevanti misure di salvaguardia per garantire che l’applicazione del regolamento (CE) n. 45/2001, compreso il controllo della protezione dei dati da parte del GEPD, non sia in alcun modo inficiata dal subappalto. È altresì opportuno adottare ulteriori misure di salvaguardia di carattere più prettamente tecnico.

35.

A tale riguardo, il GEPD suggerisce l’adozione, mutatis mutandis, nel quadro della revisione del regolamento Eurodac, di misure di tutela giuridica simili a quelle previste dagli strumenti giuridici del SIS II, con la specificazione che, anche quando la Commissione subappalta una parte dei propri compiti a un altro organismo o un’altra organizzazione, deve garantire che il GEPD abbia il diritto e sia in grado di esercitare pienamente i propri compiti, compresa l’esecuzione di sopralluoghi, e di esercitare ogni altro potere a lui conferito a norma dell’articolo 47 del regolamento (CE) n. 45/2001.

36.

Il GEPD si compiace di essere stato consultato dalla Commissione e chiede che un riferimento a tale consultazione sia inserito nei considerando della proposta.

37.

Il GEPD si compiace del fatto che l’attuale proposta non prevede la possibilità di concedere alle autorità di contrasto l’accesso all’Eurodac.

38.

La raccolta e l’ulteriore trattamento delle impronte digitali hanno un ruolo centrale nel sistema Eurodac. Il GEDP sottolinea che il trattamento dei dati biometrici, come le impronte digitali, comporta problematiche specifiche e rischi che devono essere affrontati. In particolare, il GEPD tiene a evidenziare il problema del cosiddetto «fallimento della registrazione», ossia la situazione che si verifica quando le impronte digitali di una persona, per qualche motivo, non sono utilizzabili. La mancata registrazione non deve di per sé determinare la negazione dei diritti dei richiedenti asilo.

39.

Il GEPD raccomanda che all’articolo 6, lettera a), della proposta sia aggiunta una disposizione sulla seguente falsariga: «L’impossibilità temporanea o permanente di fornire impronte digitali utilizzabili non compromette lo status giuridico dell’interessato e in ogni caso non costituisce un motivo valido per negare l’esame di una domanda di asilo o respingerla».

40.

Il GEPD rileva che l’efficace applicazione del diritto all’informazione è essenziale per il corretto funzionamento dell’Eurodac, al fine di garantire che le informazioni siano fornite in maniera tale da consentire al richiedente asilo di comprendere appieno la sua condizione, come pure la portata dei suoi diritti, compresi i passi che può compiere sotto il profilo procedurale per dare seguito alle decisioni amministrative adottate nel suo caso. Il GEPD suggerisce di riformulare l’articolo 24 della proposta per precisare meglio i diritti da riconoscere al richiedente asilo.

41.

Il GEPD raccomanda di modificare l’articolo 4, paragrafo 1, della proposta utilizzando l’espressione «migliori tecniche disponibili» in luogo di «migliori tecnologie disponibili» in quanto l’espressione raccomandata comprende sia la tecnologia usata sia il modo in cui il dispositivo è progettato, costruito, mantenuto e azionato.

42.

Riguardo alla questione del subappalto a un’altra organizzazione o un altro organismo (ad esempio, una società privata) di una parte dei compiti della Commissione, il GEPD raccomanda l’adozione di misure di salvaguardia per garantire che l’applicazione del regolamento (CE) n. 45/2001, compreso il controllo della protezione dei dati da parte del GEPD, non sia in alcun modo inficiata dal subappalto di attività. È altresì opportuno adottare ulteriori misure di salvaguardia di carattere più prettamente tecnico.

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/20

1.

Il 30 settembre 2010 la Commissione ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio relativo all’ENISA, l’Agenzia europea per la sicurezza delle reti e dell’informazione (3).

2.

L’ENISA è stata istituita nel marzo 2004 per un periodo iniziale di cinque anni a norma del regolamento (CE) n. 460/2004 (4). Nel 2008 il regolamento (CE) n. 1007/2008 (5) ne ha prolungato il mandato fino al marzo 2012.

3.

Come risulta dall’articolo 1, paragrafo 1, del regolamento (CE) n. 460/2004, l’Agenzia è stata istituita al fine di assicurare un alto ed efficace livello di sicurezza delle reti e dell’informazione nell’Unione europea e di contribuire al corretto funzionamento del mercato interno.

4.

La proposta della Commissione è intesa a modernizzare l’Agenzia, a rafforzarne le competenze e a stabilire un nuovo mandato della durata di cinque anni, onde garantire la continuità dell’Agenzia anche dopo il marzo 2012 (6).

5.

La proposta di regolamento trova la sua base giuridica nell’articolo 114 del TFUE (7), che attribuisce all’Unione europea la competenza di adottare misure che hanno per oggetto l’instaurazione ed il funzionamento del mercato interno. L’articolo 114 del TFUE è il successore dell’ex articolo 95 del TCE, sul quale erano basati i precedenti regolamenti relativi all’ENISA (8).

6.

Nelle motivazioni che accompagnano la proposta si fa riferimento al fatto che, con l’entrata in vigore del trattato di Lisbona, la prevenzione e la lotta contro la criminalità sono diventate competenze condivise. Pertanto, l’ENISA ha la possibilità di svolgere un ruolo di piattaforma per gli aspetti della lotta alla criminalità informatica legati alla sicurezza delle reti e dell’informazione, nonché di condividere opinioni e buone pratiche con le autorità incaricate della difesa dagli attacchi informatici, del rispetto delle norme e della protezione dei dati.

7.

Tra una pluralità di opzioni, la Commissione ha scelto di proporre un ampliamento dei compiti dell’ENISA e di aggiungere le autorità incaricate del rispetto delle norme e quelle preposte alla protezione dei dati come membri a pieno titolo del suo gruppo permanente di parti interessate. Il nuovo elenco dei compiti non comprende compiti operativi, ma aggiorna e riformula quelli attuali.

8.

Il 1o ottobre 2010 la proposta è stata inviata per consultazione al GEPD a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001. Il GEPD si compiace di essere stato consultato in materia e raccomanda di inserire nei considerando della proposta un riferimento a tale consultazione, com’è consuetudine fare nei testi legislativi sui quali il GEPD è stato consultato a norma del regolamento (CE) n. 45/2001.

9.

Prima dell’adozione della proposta, il GEPD era stato consultato in via informale e aveva formulato numerose osservazioni informali, nessuna delle quali, però, è stata presa in considerazione nella versione definitiva della proposta.

10.

Il GEPD sottolinea che la sicurezza del trattamento dei dati è un elemento cruciale della protezione dei dati (9). A tale proposito, il GEPD valuta positivamente l’obiettivo della proposta di rafforzare le competenze dell’Agenzia onde consentirle di svolgere più efficacemente i suoi compiti e le sue responsabilità attuali e, nel contempo, di estendere il suo ambito di attività. Il GEPD si compiace altresì che le autorità preposte alla protezione dei dati e quelle incaricate del rispetto delle norme siano state aggiunte quali parti interessate a pieno titolo. Il GEPD ritiene che la proroga del mandato dell’ENISA possa incoraggiare a livello europeo una gestione professionale ed efficiente delle misure di sicurezza relative ai sistemi informatici.

11.

La valutazione complessiva della proposta è positiva. In diversi punti, però, la proposta di regolamento è poco chiara o incompleta, la qual cosa solleva timori sotto il profilo della protezione dei dati. Tali punti sono illustrati ed esaminati nel capitolo seguente del presente parere.

12.

Nell’articolo 3 della proposta, i compiti ampliati dell’Agenzia che riguardano il coinvolgimento delle autorità incaricate del rispetto delle norme e di quelle preposte alla protezione dei dati sono formulati in termini molto generici, mentre le motivazioni sono più esplicite in proposito e prevedono che l’ENISA funga da interfaccia con le autorità incaricate del rispetto delle norme e svolga compiti non operativi nella lotta contro la criminalità informatica. Nell’articolo 3, però, tali compiti non sono contemplati o sono menzionati soltanto in termini molto generici.

13.

Al fine di evitare qualsiasi incertezza del diritto, il regolamento proposto dev’essere chiaro e non ambiguo in riferimento ai compiti dell’ENISA. Come affermato, la sicurezza del trattamento dei dati è un elemento cruciale della loro protezione. In tale ambito, l’ENISA avrà un ruolo sempre più importante. Per i cittadini, le istituzioni e gli organi dev’essere chiaro quali attività l’ENISA potrebbe trovarsi a svolgere. Questa dimensione diventa ancora più rilevante qualora i compiti ampliati dell’ENISA comprendano anche il trattamento dei dati personali (cfr. punti 17-20).

14.

L’articolo 3, paragrafo 1, lettera k), della proposta stabilisce che l’Agenzia svolge ogni altro compito affidatole da altri atti legislativi dell’Unione. Il GEPD nutre timori riguardo a questa clausola non specifica, posto che essa crea potenzialmente una scappatoia giuridica che potrebbe compromettere la coerenza dello strumento giuridico e determinare una «funzione di scorrimento» (function creep) dell’Agenzia.

15.

Uno dei compiti cui fa riferimento l’articolo 3, paragrafo 1, lettera k), della proposta è previsto dalla direttiva 2002/58/CE (10) laddove stabilisce che la Commissione debba consultare l’Agenzia su tutte le misure tecniche di attuazione applicabili alle notifiche nel contesto delle violazioni di dati. Il GEPD raccomanda che questa attività dell’Agenzia sia descritta più dettagliatamente e circoscritta alla sola area di sicurezza. Considerato il potenziale impatto dell’ENISA sulla definizione della politica in questo campo, a tale attività va assegnata una posizione più chiara e più rilevante nella proposta di regolamento.

16.

Il GEPD raccomanda altresì l’inserimento nel considerando 21 di un riferimento alla direttiva 1999/5/CE (11), posto che l’articolo 3, paragrafo 1, lettera c), dell’attuale proposta affida all’Agenzia il compito particolare di assistere gli Stati membri e le istituzioni e gli organi europei nel loro impegno a raccogliere, analizzare e divulgare i dati relativi alla sicurezza delle reti e dell’informazione. Tale disposizione dovrebbe stimolare l’attività di promozione dell’ENISA a favore delle migliori pratiche e tecniche relative alla sicurezza delle reti e dell’informazione, perché evidenzierà maggiormente possibili interazioni costruttive tra l’Agenzia e gli organi di normalizzazione.

17.

La proposta non specifica se tra i compiti attribuiti all’Agenzia vi possa essere il trattamento dei dati personali. Pertanto, la proposta non contiene una base giuridica specifica per il trattamento dei dati personali nell’accezione dell’articolo 5 del regolamento (CE) n. 45/2001.

18.

Tuttavia, alcuni dei compiti attribuiti all’Agenzia possono comprendere (quanto meno in una certa misura) il trattamento di dati personali. Non è escluso, per esempio, che l’analisi di incidenti alla sicurezza e violazioni di dati o lo svolgimento di funzioni non operative nella lotta contro la criminalità informatica possano comportare la raccolta e l’analisi di dati personali.

19.

Il considerando 9 della proposta fa riferimento alle disposizioni della direttiva 2002/21/CE (12) secondo le quali le autorità nazionali di regolamentazione devono notificare all’Agenzia eventuali violazioni della sicurezza. Il GEPD raccomanda una formulazione più dettagliata della proposta per specificare meglio quali notifiche debbano essere inviate all’ENISA e come l’ENISA vi debba rispondere. Allo stesso modo, la proposta dovrebbe considerare le implicazioni del trattamento di dati personali che possono derivare dall’analisi di tali notifiche (ove ve ne siano).

20.

Il GEPD invita il legislatore a chiarire se e, in caso positivo, quali delle attività dell’ENISA riportate nell’articolo 3 comprenderanno il trattamento di dati personali.

21.

Sebbene l’ENISA svolga un ruolo importante nella discussione sulla sicurezza delle reti e dell’informazione in Europa, la proposta in esame quasi nulla dice riguardo all’adozione di misure di sicurezza per l’Agenzia stessa (siano esse correlate o meno al trattamento di dati personali).

22.

Il GEPD è del parere che l’Agenzia potrà promuovere ancora meglio le buone pratiche nel campo della sicurezza del trattamento dei dati se tali misure di sicurezza saranno applicate dall’Agenzia stessa al proprio interno. In tal modo si favorirà il riconoscimento dell’Agenzia non solo come centro di competenze ma anche come punto di riferimento per l’applicazione pratica delle migliori tecniche disponibili (MTD) in materia di sicurezza. L’impegno a mirare all’eccellenza nell’applicazione delle pratiche di sicurezza deve pertanto essere sancito dal regolamento che disciplina le procedure operative dell’Agenzia. Il GEPD suggerisce quindi di aggiungere alla proposta una disposizione in tal senso, ad esempio richiedendo che l’Agenzia applichi le migliori tecniche disponibili, cioè le procedure di sicurezza più efficaci e più avanzate e le loro modalità operative.

23.

Tale approccio consentirà all’Agenzia di esprimere pareri sull’effettiva idoneità di determinate tecniche ai fini della necessaria salvaguardia della sicurezza. Inoltre, nell’applicazione delle MTD dovrebbe essere riconosciuta priorità a quelle che consentono di garantire la sicurezza e allo stesso tempo di ridurre quanto più possibile l’impatto sulla privacy. Vanno scelte le tecniche più conformi al principio di tutela della vita privata fin dalla progettazione («privacy by design»).

24.

Anche con un approccio meno ambizioso, il GEPD raccomanda che il regolamento preveda, come minimo, i requisiti seguenti: i) definizione di una politica per la sicurezza interna, sulla base di un’esaustiva analisi dei rischi e tenendo conto degli standard internazionali e delle migliori pratiche negli Stati membri; ii) nomina di un responsabile della sicurezza, incaricato di attuare tale politica e dotato di risorse e poteri adeguati; iii) approvazione di tale politica dopo un’attenta valutazione del rischio residuo e i controlli proposti dal consiglio di amministrazione; iv) riesame periodico della politica, con una chiara indicazione della frequenza e degli obiettivi del riesame stesso.

25.

Come già dichiarato, il GEPD accoglie con favore la proroga del mandato dell’Agenzia e ritiene che le autorità preposte alla protezione dei dati possano beneficiare in gran misura dell’esistenza dell’Agenzia (e l’Agenzia, a sua volta, delle competenze di quelle autorità). Data la convergenza logica e naturale tra sicurezza e protezione dei dati, l’Agenzia e le autorità preposte alla protezione dei dati sono di fatto chiamate a una stretta collaborazione.

26.

I considerando 24 e 25 contengono un riferimento alla proposta di direttiva dell’Unione europea sulla criminalità informatica e prevedono che l’Agenzia instauri rapporti con gli organi incaricati del rispetto delle norme e anche con le autorità preposte alla protezione dei dati per quanto concerne gli aspetti della sicurezza dell’informazione nella lotta contro la criminalità informatica (13).

27.

La proposta dovrebbe altresì indicare concretamente canali e meccanismi di collaborazione atti a i) garantire la coerenza delle attività dell’Agenzia con quelle delle autorità preposte alla protezione dei dati e ii) permettere una stretta collaborazione tra l’Agenzia e dette autorità.

28.

Per quanto riguarda la coerenza, il considerando 27 fa esplicito riferimento al fatto che i compiti dell’Agenzia non devono entrare in conflitto con le autorità preposte alla protezione dei dati negli Stati membri. Il GEPD accoglie con favore tale riferimento, rileva tuttavia che non c’è alcun riferimento né al GEPD né al gruppo di lavoro dell’articolo 29. Il GEPD raccomanda al legislatore di inserire nella proposta un’analoga disposizione per garantire la non interferenza anche con queste due autorità. In tal modo si definirebbe più chiaramente il quadro operativo per tutti i soggetti e si individuerebbero i canali e i meccanismi di collaborazione attraverso i quali l’Agenzia potrà assistere le varie autorità preposte alla protezione dei dati e il gruppo di lavoro dell’articolo 29.

29.

Analogamente, per quanto riguarda la stretta collaborazione il GEPD valuta con favore l’inserimento di una rappresentanza delle autorità preposte alla protezione dei dati nel gruppo permanente di parti interessate, che funge da organo consultivo dell’Agenzia nell’espletamento delle sue attività. Il GEPD raccomanda di prevedere esplicitamente che i rappresentanti delle autorità nazionali preposte alla protezione dei dati siano nominati dall’Agenzia sulla base di una proposta del gruppo di lavoro dell’articolo 29. Inoltre, il GEPD apprezzerebbe l’inserimento di un riferimento che preveda la partecipazione del GEPD, in quanto tale, alle riunioni in cui si discutono questioni rilevanti per la collaborazione con il GEPD stesso. Il GEPD raccomanda altresì che l’Agenzia (con la consulenza del gruppo permanente di parti interessate e l’approvazione del consiglio di amministrazione) istituisca gruppi di lavoro ad hoc per i diversi argomenti laddove vi sia coincidenza tra protezione dei dati e sicurezza, al fine di delineare il contesto di questo impegno di stretta collaborazione.

30.

Infine, onde evitare qualsiasi malinteso, il GEPD raccomanda di utilizzare l’espressione «autorità preposte alla protezione dei dati» in luogo di «autorità preposte alla tutela della privacy» e di specificare quali siano tali autorità inserendo un riferimento all’articolo 28 della direttiva 95/46/CE e al GEPD come previsto dal capo V del regolamento (CE) n. 45/2001.

31.

Il GEPD rileva un’incongruenza nella proposta di regolamento per quanto attiene ai soggetti che possono richiedere l’assistenza dell’ENISA. Dai considerando 7, 15, 16, 18 e 36 della proposta si evince che l’ENISA può fornire assistenza agli organi degli Stati membri e all’Unione nel suo complesso. Tuttavia, l’articolo 2, paragrafo 1, cita soltanto la Commissione e gli Stati membri, mentre l’articolo 14 restringe la capacità di richiedere assistenza ai seguenti soggetti: i) il Parlamento europeo, ii) il Consiglio, iii) la Commissione e iv) un qualsiasi organo competente designato da uno Stato membro, escludendo così alcune delle istituzioni, degli organi, delle agenzie e degli uffici dell’Unione.

32.

L’articolo 3 della proposta è più specifico e definisce diversi tipi di assistenza a seconda del soggetto richiedente: i) raccolta e analisi di dati sulla sicurezza dell’informazione (nel caso degli Stati membri e delle istituzioni e degli organi europei); ii) valutazione dello stato della sicurezza delle reti e dell’informazione in Europa (nel caso degli Stati membri e delle istituzioni europee); iii) promozione del ricorso a norme di gestione del rischio e buone pratiche di sicurezza (nel caso dell’Unione e degli Stati membri); iv) messa a punto di capacità di rilevazione nel campo della sicurezza delle reti e dell’informazione (nel caso delle istituzioni e degli organi europei); v) collaborazione al dialogo e alla cooperazione con paesi terzi (nel caso dell’Unione).

33.

Il GEPD invita il legislatore a porre rimedio a questa incongruenza e armonizzare le succitate disposizioni. A tale proposito, il GEPD raccomanda di modificare l’articolo 14 in modo tale da includere tutte le istituzioni, gli organi, gli uffici e le agenzie dell’Unione e indicare con chiarezza il tipo di assistenza che può essere richiesta dai diversi soggetti presenti nell’Unione (ove il legislatore preveda una simile differenziazione). Nello stesso spirito, il GEPD raccomanda che taluni soggetti pubblici e privati possano chiedere l’assistenza dell’Agenzia qualora l’aiuto richiesto abbia un evidente potenziale dal punto di vista europeo e sia coerente con gli obiettivi dell’Agenzia.

34.

Le motivazioni della proposta prevedono competenze rafforzate per il consiglio di amministrazione per quanto riguarda le sue funzioni di supervisione. Il GEPD valuta favorevolmente il potenziamento di tale ruolo e raccomanda l’inserimento tra le funzioni del consiglio di amministrazione di numerosi compiti correlati alla protezione dei dati. Inoltre, il GEPD raccomanda che il regolamento specifichi in maniera non ambigua quali soggetti siano competenti a: i) stabilire le norme per l’applicazione del regolamento (CE) n. 45/2001 da parte dell’Agenzia, comprese quelle relative alla nomina di un responsabile della protezione dei dati; ii) approvare la politica per la sicurezza e le successive revisioni periodiche; iii) definire il protocollo per la collaborazione con le autorità preposte alla protezione dei dati e quelle incaricate del rispetto delle norme.

35.

Sebbene ciò sia previsto già dal regolamento (CE) n. 45/2001, il GEPD suggerisce di inserire nell’articolo 27 la nomina del responsabile della protezione dei dati, considerato che essa è di particolare importanza e dovrebbe essere accompagnata dall’immediata definizione delle norme di applicazione relative all’ambito di competenza e ai compiti da affidare al suddetto responsabile a norma dell’articolo 24, paragrafo 8, del regolamento (CE) n. 45/2001. Più in concreto, l’articolo 27 potrebbe essere formulato come segue:

36.

Ove fosse richiesta una base giuridica specifica per il trattamento dei dati personali, come argomentato nei punti 17-20, la proposta dovrebbe specificare le tutele, limitazioni e condizioni necessarie e adeguate per l’esecuzione di tale trattamento.

37.

La valutazione complessiva della proposta è positiva e il GEPD accoglie con favore la proroga del mandato dell’Agenzia e l’ampliamento dei suoi compiti con l’inserimento delle autorità preposte alla protezione dei dati e di quelle incaricate del rispetto delle norme come soggetti a pieno titolo. Il GEPD ritiene che la continuità dell’Agenzia incoraggerà a livello europeo una gestione professionale ed efficiente delle misure di sicurezza relative ai sistemi informatici.

38.

Al fine di evitare qualsiasi incertezza giuridica, il GEPD raccomanda di chiarire meglio la proposta per quanto concerne l’ampliamento dei compiti dell’Agenzia, in particolare dei compiti riguardanti il coinvolgimento delle autorità incaricate del rispetto delle norme e di quelle preposte alla protezione dei dati. Il GEPD richiama altresì l’attenzione sulla scappatoia che potrebbe potenzialmente crearsi con l’inserimento nella proposta di una disposizione che consente di integrare i compiti dell’Agenzia per mezzo di altri atti legislativi dell’Unione senza alcuna ulteriore restrizione.

39.

Il GEPD invita il legislatore a specificare se e, in caso positivo, quali delle attività dell’ENISA comprenderanno il trattamento di dati personali.

40.

Il GEPD raccomanda di inserire nella proposta disposizioni relative alla definizione di una politica di sicurezza per l’Agenzia stessa, al fine di potenziarne il ruolo di garante dell’eccellenza nelle pratiche di sicurezza e di sostenitore della tutela della vita privata fin dalla progettazione attraverso l’integrazione nella sicurezza del ricorso alle migliori tecniche disponibili, nel rispetto dei diritti alla protezione dei dati personali.

41.

È opportuno precisare meglio i canali di collaborazione con le autorità preposte alla protezione dei dati, compresi il GEPD e il gruppo di lavoro dell’articolo 29, allo scopo di garantire coerenza e una stretta collaborazione.

42.

Il GEPD invita il legislatore a ovviare a talune incongruenze relative alle restrizioni previste dall’articolo 14 in merito alla facoltà di chiedere l’assistenza dell’Agenzia. In particolare, il GEPD raccomanda la cancellazione di tali restrizioni e la concessione a tutte le istituzioni, gli organi, le agenzie e gli uffici dell’Unione della facoltà di chiedere l’assistenza dell’Agenzia.

43.

Infine, il GEPD raccomanda che le competenze ampliate del consiglio di amministrazione comprendano alcuni aspetti concreti, tali da fornire maggiori garanzie quanto al rispetto delle buone pratiche all’interno dell’Agenzia in relazione alla sicurezza e alla protezione dei dati. Il GEPD propone, tra l’altro, di aggiungere la nomina di un responsabile della protezione dei dati e l’adozione di misure volte alla corretta applicazione del regolamento (CE) n. 45/2001.

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/25

—

sul sito Internet della Commissione europea dedicato alla concorrenza, nella sezione relativa alle concentrazioni (http://ec.europa.eu/competition/mergers/cases/). Il sito offre varie modalità per la ricerca delle singole decisioni, tra cui indici per impresa, per numero del caso, per data e per settore,

—

in formato elettronico sul sito EUR-Lex (http://eur-lex.europa.eu/it/index.htm) con il numero di riferimento 32011M6076. EUR-Lex è il sistema di accesso in rete al diritto comunitario.

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/26

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/27

European Court of Auditors

Communication and Reports Unit

12, rue Alcide De Gasperi

1615 Luxembourg

LUXEMBOURG

Tel. +352 4398-1

E-mail: euraud@eca.europa.eu

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/28

1)

la licenza di esercizio e il certificato di operatore aereo (COA), tranne se tali documenti siano stati rilasciati dal Belgio;

2)

il certificato di assicurazione;

3)

elementi atti a dimostrare che lo stabilimento in Belgio del vettore aereo comunitario è conforme al diritto comunitario;

4)

elementi atti a dimostrare l'idoneità operativa e finanziaria ai sensi del regolamento (CE) n. 1008/2008 del Parlamento europeo e del Consiglio, del 24 settembre 2008, recante norme comuni per la prestazione di servizi aerei nella Comunità;

5)

le informazioni seguenti concernenti i servizi aerei di linea previsti:

6)

eventuale accoglimento, da parte del richiedente, della richiesta di mettere a disposizione, in circostanze eccezionali, la capacità necessaria per soddisfare le esigenze nazionali o internazionali del Belgio.

1)

chiedere complementi di informazione al vettore aereo comunitario; e/o

2)

organizzare audizioni a cui saranno invitati tutti i richiedenti.

1)

né il numero di vettori aerei comunitari che possono essere designati;

2)

né il numero di voli che possono essere effettuati sulle rotte specificate.

1)

il numero di vettori aerei comunitari che possono essere designati; o

2)

il numero di voli che possono essere effettuati sulle rotte specificate,

1)

se sono formulate osservazioni, entro quindici giorni lavorativi dal ricevimento delle stesse il Ministro adotta una decisione definitiva di attribuzione di diritti di traffico e/o di designazione, che è comunicata ai richiedenti con lettera raccomandata e pubblicata sul sito internet del SPF Mobilità e Trasporti;

2)

se non è formulata alcuna osservazione, il progetto di decisione diventa una decisione definitiva del Ministro per quanto riguarda l'attribuzione di diritti di traffico e/o la designazione e tale decisione è comunicata al o ai richiedenti con lettera raccomandata e pubblicata sul sito internet del SPF Mobilità e Trasporti.

1)

gli elementi di cui all'articolo 4 comunicati dal vettore aereo comunitario;

2)

le garanzie offerte concernenti il carattere duraturo dell'esercizio e la sua integrazione in un piano commerciale coerente;

3)

l'utilizzazione ottimale dei diritti di traffico limitati;

4)

il carattere prioritario delle operazioni effettuate da un vettore aereo comunitario con propri aeromobili (di proprietà o in locazione) rispetto alle operazioni in cui il vettore aereo si limita, mediante accordi di code-sharing, a commercializzare voli operati da un altro vettore aereo;

5)

l'interesse di tutte le categorie di utenti;

6)

l'accesso agevolato a nuove rotte, mercati e regioni, tramite nuovi collegamenti oppure in partenza o a destinazione di vari aeroporti belgi;

7)

il contributo all'offerta di un livello soddisfacente di concorrenza;

8)

le possibile ricadute dell'esercizio sulla creazione diretta o indiretta di impieghi nel settore del trasporto aereo;

9)

a titolo aggiuntivo, da quanto tempo un vettore aereo comunitario esprime interesse, in modo attivo e ricorrente, ad ottenere i diritti di traffico che formano oggetto della sua domanda.

1)

dare inizio alla prestazione dei servizi aerei di cui trattasi al più tardi entro la fine della stagione IATA successiva a quella della notifica della decisione di designazione e/o di attribuzione di diritti di traffico;

2)

esercitare i servizi aerei di cui trattasi conformemente al fascicolo di cui all'articolo 4. Tra il progetto iniziale e l'esercizio propriamente detto non possono sussistere divergenze di ampiezza tale da aver potuto comportare la scelta di un altro vettore aereo all'atto dell'attribuzione iniziale;

3)

attenersi alle condizioni eventualmente stabilite dal Direttore generale, alle decisioni e alle autorizzazioni delle autorità aeronautiche dei paesi terzi interessati dall'esercizio dei servizi aerei di cui trattasi nonché a tutte le norme internazionali in materia;

4)

comunicare immediatamente al Direttore generale la cessazione o l'interruzione dell'esercizio dei servizi aerei interessati. Se tale interruzione si protrae per più di due stagioni, la decisione di attribuzione di diritti di traffico e/o di designazione è revocata d'ufficio al termine di tale seconda stagione, tranne qualora il vettore aereo comunitario possa far valere circostanze eccezionali indipendenti dalla sua volontà.

1)

di non dare seguito alla domanda;

2)

oppure di avviare una nuova procedura di attribuzione.

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/34

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/36

1.

In data 23 marzo 2011 è pervenuta alla Commissione la notifica di un progetto di concentrazione in conformità all’articolo 4 del regolamento (CE) n. 139/2004 del Consiglio (1). Con tale operazione l'impresa Giesecke & Devrient GmbH («G&D», Germania) e l’impresa BEB Industrie-Elektronik AG («BEB», Svizzera), controllata da Wincor Nixdorf International GmbH («WNI», Germania), appartenente al gruppo Wincor Nixdorf Aktiengesellschaft (Germania), acquisiscono, ai sensi dell’articolo 3, paragrafo 1, lettera b), del regolamento comunitario sulle concentrazioni, il controllo comune dell’impresa CI Tech Components AG (Svizzera) attraverso cessione di attivi e acquisizione di quote di un’impresa di nuova costituzione che si configura come impresa comune.

2.

Le attività svolte dalle imprese interessate sono le seguenti:

3.

A seguito di un esame preliminare la Commissione ritiene che la concentrazione notificata possa rientrare nel campo d'applicazione del regolamento comunitario sulle concentrazioni. Tuttavia, si riserva la decisione definitiva al riguardo. Si rileva che, ai sensi della comunicazione della Commissione concernente una procedura semplificata per l'esame di determinate concentrazioni a norma del regolamento comunitario sulle concentrazioni (2), il presente caso potrebbe soddisfare le condizioni per l'applicazione della procedura di cui alla comunicazione stessa.

4.

La Commissione invita i terzi interessati a presentare eventuali osservazioni sulla concentrazione proposta.

Le osservazioni devono pervenire alla Commissione entro dieci giorni dalla data di pubblicazione della presente comunicazione. Le osservazioni possono essere trasmesse alla Commissione per fax (+32 22964301), per e-mail all’indirizzo COMP-MERGER-REGISTRY@ec.europa.eu o per posta, indicando il riferimento COMP/M.6144 — Giesecke & Devrient/Wincor Nixdorf International/BEB Industrie-Elektronik, al seguente indirizzo:

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/38

1.

In data 21 marzo 2011 è pervenuta alla Commissione la notifica di un progetto di concentrazione in conformità dell’articolo 4 del regolamento (CE) n. 139/2004 (1). Con tale operazione l'impresa MAN Truck & Bus AG («MAN Truck & Bus», Germania), controllata da MAN SE («MAN», Germania), acquisisce, ai sensi dell'articolo 3, paragrafo 1, lettera b), del regolamento comunitario sulle concentrazioni, il controllo esclusivo dell'insieme di C.S.I. («MAN Camions et Bus», Francia) e MAN Truck and Bus N.V./S.A. («MAN Truck and Bus Belgium», Belgio) mediante acquisto di quote.

2.

Le attività svolte dalle imprese interessate sono le seguenti:

3.

A seguito di un esame preliminare la Commissione ritiene che la concentrazione notificata possa rientrare nel campo d'applicazione del regolamento comunitario sulle concentrazioni. Tuttavia, si riserva la decisione definitiva al riguardo. Si rileva che, ai sensi della comunicazione della Commissione concernente una procedura semplificata per l'esame di determinate concentrazioni a norma del regolamento comunitario sulle concentrazioni (2), il presente caso potrebbe soddisfare le condizioni per l'applicazione della procedura di cui alla comunicazione stessa.

4.

La Commissione invita i terzi interessati a presentare eventuali osservazioni sulla concentrazione proposta.

Le osservazioni devono pervenire alla Commissione entro dieci giorni dalla data di pubblicazione della presente comunicazione. Le osservazioni possono essere trasmesse alla Commissione per fax (+32 22964301), per e-mail all’indirizzo COMP-MERGER-REGISTRY@ec.europa.eu o per posta, indicando il riferimento COMP/M.6182 — MAN/MAN Camions et Bus/MAN Truck & Bus Belgium, al seguente indirizzo:

1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/39

1.

La posizione comune 2002/402/PESC (1) invita l’Unione a congelare i capitali e le risorse economiche di Osama bin Laden, dei membri dell’organizzazione Al-Qaida e dei Taliban e di altri individui, gruppi, imprese ed entità ad essi associati, quali figurano nell’elenco compilato conformemente alle UNSCR 1267(1999) e 1333(2000) e regolarmente aggiornato dal Comitato delle Nazioni Unite istituito ai sensi della UNSCR 1267(1999).

L’elenco compilato dal suddetto Comitato delle Nazioni Unite comprende:

Gli atti o le attività che indicano che una persona, un gruppo, un’impresa o un’entità è «associata/o con» Al-Qaeda, Osama bin Laden o i Talibani consistono, tra l’altro, nel:

2.

Il 23 marzo 2011 il Comitato delle Nazioni Unite ha deciso di aggiungere Ibrahim Hassan Tali Al-Asiri all’elenco corrispondente. Questa persona può presentare in qualsiasi momento al mediatore dell’ONU, unitamente ad eventuali documenti giustificativi, una richiesta di riesame della decisione di inserirla nel suddetto elenco delle Nazioni Unite. La richiesta deve essere inviata al seguente indirizzo:

Per ulteriori informazioni consultare http://www.un.org/sc/committees/1267/delisting.shtml

3.

Sulla base della decisione delle Nazioni Unite di cui al paragrafo 2, la Commissione ha adottato il regolamento (UE) n. 317/2011 (2), recante modifica dell’allegato I del regolamento (CE) n. 881/2002 del Consiglio che impone specifiche misure restrittive nei confronti di determinate persone ed entità associate a Osama bin Laden, alla rete Al-Qaeda e ai Talibani (3). La modifica, eseguita a norma dell’articolo 7, paragrafo 1, lettera a), e dell’articolo 7 bis, paragrafo 1, del regolamento (CE) n. 881/2002, aggiunge Ibrahim Hassan Tali Al-Asiri all’elenco dell’allegato I del regolamento («allegato I»).

Le seguenti misure del regolamento (CE) n. 881/2002 si applicano alle persone e alle entità che figurano nell’allegato I:

4.

L’articolo 7 bis del regolamento (CE) n. 881/2002 (5) prevede una procedura di riesame che si applica qualora chi è stato inserito nell’elenco formuli osservazioni circa i motivi dell’inserimento. Le persone e le entità aggiunte all’allegato I con regolamento (UE) n. 317/2011 possono presentare alla Commissione una richiesta volta ad ottenere la motivazione del loro inserimento nell’elenco. La richiesta deve essere inviata al seguente indirizzo:

5.

Si segnala inoltre alle persone e alle entità interessate che è possibile impugnare il regolamento (UE) n. 317/2011 dinanzi al Tribunale dell’Unione europea, alle condizioni di cui all’articolo 263, paragrafi 4 e 6, del trattato sul funzionamento dell’Unione europea.

6.

I dati personali delle persone interessate saranno gestiti in conformità del regolamento (CE) n. 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi della Comunità (attualmente Unione), nonché la libera circolazione di tali dati (6). Le eventuali richieste, ad esempio, di ulteriori informazioni o finalizzate all’esercizio dei diritti di cui al regolamento (CE) n. 45/2001 (accesso ai dati personali, rettifica di tali dati, ecc.) devono essere inviate alla Commissione, all’indirizzo indicato al paragrafo 4.

7.

Per completezza, si richiama l’attenzione delle persone e delle entità che figurano nell’allegato I sulla possibilità di presentare una richiesta alle autorità competenti dello Stato membro o degli Stati membri interessato/i, elencate nell’allegato II del regolamento (CE) n. 881/2002, per ottenere l’autorizzazione di utilizzare i fondi e le risorse economiche congelati per soddisfare un fabbisogno fondamentale o per effettuare pagamenti specifici a norma dell’articolo 2 bis del medesimo regolamento.