23.9.2009   

IT

Gazzetta ufficiale dell'Unione europea

C 229/1

1.

La proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide (in prosieguo «proposta» o «proposta della Commissione») è stata inviata dalla Commissione al GEPD per consultazione il 3 dicembre 2008, a norma dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001. Tale consultazione dovrebbe essere esplicitamente menzionata nel preambolo del regolamento.

2.

Il GEPD ha contribuito alla proposta in una fase precedente, e molti dei punti che ha sollevato in maniera informale nel corso dei lavori di preparazione sono stati presi in considerazione dalla Commissione nel testo definitivo della stessa.

3.

La proposta è la rifusione del regolamento (CE) n. 343/2003 del Consiglio, del 18 febbraio 2003, che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda d’asilo presentata in uno degli Stati membri da un cittadino di un paese terzo (3) (in prosieguo «regolamento di Dublino»). E' stata presentata dalla Commissione quale parte di un primo pacchetto di proposte intese a garantire un livello di armonizzazione più elevato in questo settore e migliori norme di protezione per il sistema comune europeo di asilo, come richiesto dal programma dell’Aia del 4-5 novembre 2004 e come annunciato dal Piano strategico sull’asilo del 17 giugno 2008 presentato dalla Commissione. Il programma dell'Aia ha invitato la Commissione a concludere la valutazione degli strumenti giuridici della prima fase e a presentare al Consiglio e al Parlamento europeo misure e strumenti per la seconda fase in vista della loro adozione prima del 2010.

4.

La proposta è stata oggetto di lavori di valutazione e di consultazione approfondite. Tiene conto in particolare dei risultati della relazione della Commissione sulla valutazione del sistema di Dublino, del 6 giugno 2007 (4), che ha individuato una serie di carenze pratiche e giuridiche che si riscontrano nel sistema attuale, nonché dei contributi trasmessi alla Commissione da varie parti interessate in risposta al Libro verde sul futuro regime comune europeo in materia di asilo (5).

5.

L'obiettivo principale della proposta è migliorare l'efficienza del sistema di Dublino, nonché garantire norme di protezione più elevate per i richiedenti protezione internazionale soggetti alla procedura di Dublino. Inoltre, è intesa a rafforzare la solidarietà nei confronti degli Stati membri che devono far fronte a situazioni di particolari pressioni migratorie (6).

6.

La proposta estende il campo di applicazione del regolamento di Dublino per includere i richiedenti (e i beneficiari di) protezione sussidiaria. La modifica è necessaria per garantire la coerenza con l'acquis dell’UE, vale a dire la direttiva 2004/83/CE del Consiglio, del 29 aprile 2004, recante norme minime sull’attribuzione, a cittadini di paesi terzi o apolidi, della qualifica di rifugiato o di persona altrimenti bisognosa di protezione internazionale, nonché norme minime sul contenuto della protezione riconosciuta (7) (in prosieguo «direttiva sulle qualifiche»), che ha introdotto il concetto di protezione sussidiaria. La proposta allinea inoltre le definizioni e la terminologia utilizzate nel regolamento di Dublino a quelle che figurano in altri strumenti in materia di asilo.

7.

Al fine di migliorare l'efficienza del sistema, la proposta stabilisce in particolare i termini per la presentazione delle domande di ripresa in carico e riduce il termine per rispondere alle richieste di informazioni. Chiarisce altresì le clausole di cessazione della competenza nonché le circostanze e le procedure per l’applicazione delle clausole discrezionali (clausola umanitaria e clausola di sovranità). Aggiunge norme sui trasferimenti ed estende il meccanismo vigente di composizione delle controversie. La proposta contiene anche una norma sull’organizzazione di un colloquio obbligatorio.

8.

Inoltre, anche per migliorare il livello di tutela accordato ai richiedenti, la proposta della Commissione prevede il diritto di presentare ricorso contro una decisione di trasferimento, nonché l’obbligo per l'autorità competente di decidere se sospenderne l’esecuzione. Tratta il diritto all’assistenza e/o alla rappresentanza legale e all'assistenza linguistica. La proposta fa riferimento anche al principio secondo cui nessuno può essere trattenuto per il solo fatto di richiedere protezione internazionale. Estende inoltre il diritto al ricongiungimento familiare e tratta la necessità di minori non accompagnati e altri gruppi vulnerabili.

9.

Il presente parere è inteso in particolare ad esaminare le modifiche del testo più importanti dal punto di vista della protezione dei dati personali:

10.

Il GEPD appoggia gli obiettivi perseguiti dalla proposta della Commissione, in particolare quello di migliorare l'efficienza del sistema di Dublino e di garantire norme di protezione più elevate per i richiedenti protezione internazionale soggetti alla procedura di Dublino. Condivide inoltre la motivazione per cui la Commissione ha deciso di procedere alla revisione del sistema di Dublino.

11.

Garantire un livello di protezione adeguato dei dati personali è una condicio sine qua non per assicurare anche l'attuazione efficace e un livello di protezione elevato di altri diritti fondamentali. Il GEPD formula il presente parere pienamente consapevole dell'ampio spazio riservato ai diritti fondamentali nella proposta, che non riguarda soltanto il trattamento dei dati personali, bensì anche molti altri diritti di cittadini di paesi terzi e/o apolidi, come in particolare il diritto di asilo, il diritto di informazione in generale, il diritto al ricongiungimento familiare, il diritto a un ricorso effettivo, il diritto alla libertà e alla libera circolazione, i diritti del fanciullo o i diritti dei minori non accompagnati.

12.

Sia il considerando 34 della proposta che la relazione sottolineano gli sforzi fatti dal legislatore per garantire la coerenza della proposta con la Carta dei diritti fondamentali. A tale riguardo, la relazione fa esplicito riferimento alla protezione dei dati personali e al diritto di asilo. La relazione sottolinea inoltre il fatto che la proposta è stata oggetto di un esame approfondito per garantire che le sue disposizioni siano pienamente compatibili con i diritti fondamentali in quanto principi generali del diritto comunitario e del diritto internazionale. Tuttavia, tenuto conto del mandato del GEPD, il presente parere sarà principalmente incentrato sugli aspetti della proposta che riguardano la protezione dei dati. A tale riguardo, il GEPD accoglie con favore la notevole attenzione accordata nella proposta a questo diritto fondamentale che considera essenziale per garantire l'efficacia della procedura di Dublino nell'assoluto rispetto dei requisiti in materia di diritti fondamentali.

13.

Il GEPD osserva inoltre che la proposta della Commissione ricerca la coerenza con altri strumenti giuridici che disciplinano l'istituzione e/o l'uso di altri sistemi informatici su vasta scala. In particolare, tiene a sottolineare che, sia la condivisione delle responsabilità nei confronti della base dati, sia il modo in cui il modello di controllo è formulato nella proposta, sono coerenti con il quadro del sistema di informazione Schengen II e del sistema di informazione visti.

14.

Il GEPD è soddisfatto del fatto che il suo ruolo nei controlli sia stato chiaramente definito, cosa che, per ovvie ragioni, non era stata fatta nel testo precedente.

15.

L'articolo 4, paragrafo 1, lettere f) e g) della proposta, prevede:

«Non appena venga presentata una domanda di protezione internazionale, le autorità competenti degli Stati membri informano il richiedente asilo dell’applicazione del presente regolamento, specificando in particolare:

L'articolo 4, paragrafo 2 descrive le modalità con cui le informazioni di cui al paragrafo 1 della disposizione devono essere comunicate al richiedente.

16.

L'attuazione efficace del diritto di informazione è fondamentale ai fini del buon funzionamento della procedura di Dublino. É essenziale in particolare assicurare che le informazioni siano fornite in modo da consentire al richiedente asilo di capire perfettamente la sua situazione e la portata dei suoi diritti, tra cui le misure procedurali che può prendere per dar seguito alle decisioni amministrative adottate nel suo caso.

17.

Per quanto riguarda gli aspetti pratici dell'attuazione del diritto, il GEPD desidera ricordare che, conformemente all'articolo 4, paragrafo 1, lettera g) e paragrafo 2 della proposta, gli Stati membri dovrebbero avvalersi di un opuscolo comune per i richiedenti contenente tra l'altro «gli estremi delle autorità di controllo nazionali che sono adite in materia di tutela dei dati personali». A tale riguardo, il GEPD desidera sottolineare che, anche se le autorità di controllo nazionali di cui all'articolo 4, paragrafo 2 della proposta sono in realtà adite in materia di tutela dei dati personali, la formulazione della proposta non dovrebbe impedire al richiedente (interessato) di presentare una domanda in primo luogo al responsabile del trattamento dei dati (in questo caso le autorità nazionali competenti incaricate della cooperazione di Dublino). La disposizione di cui all'articolo 4, paragrafo 2 nella formulazione attuale sembra indicare che il richiedente debba presentare la domanda — direttamente e in ogni caso — all'autorità di controllo nazionale, mentre, secondo la procedura abituale e la prassi seguita negli Stati membri, il richiedente presenta la domanda prima al responsabile del trattamento dati.

18.

Il GEPD propone inoltre che la formulazione dell'articolo 4, paragrafo 4, lettera g) sia riformulata per precisare i diritti da conferire al richiedente. La formulazione proposta non è chiara, dal momento che «il diritto di ottenere informazioni sulle procedure da seguire per esercitare tali diritti […]» può essere inteso in quanto parte del diritto di accesso ai dati e/o del diritto di chiedere che i dati inesatti siano rettificati […]. Inoltre, secondo l'attuale formulazione della succitata disposizione, gli Stati membri sono tenuti a informare il richiedente non tanto del contenuto bensì dell'«esistenza» dei diritti. Dal momento che sembra trattarsi di un problema di forma, il GEPD propone di riformulare come segue l'articolo 4, paragrafo 1, lettera g):

«Non appena venga presentata una domanda di protezione internazionale, le autorità competenti degli Stati membri informano i richiedenti asilo […]:

19.

Per quanto riguarda i metodi di comunicazione delle informazioni ai richiedenti, il GEPD fa presente i lavori intrapresi dal Gruppo di coordinamento della supervisione di Eurodac (8) (cui partecipano i rappresentanti dell'autorità di controllo nazionale di ciascuno degli Stati partecipanti e il GEPD). Il gruppo sta esaminando la questione nel quadro di EURODAC per proporre gli orientamenti del caso non appena saranno disponibili ed elaborati i risultati delle indagini nazionali. Benché questo studio coordinato riguardi specificatamente EURODAC, i suoi risultati sono sicuramente interessanti anche nel quadro di Dublino, dal momento che riguardano questioni quali le lingue/le traduzioni e la valutazione della reale comprensione dell'informazione da parte del richiedente asilo, ecc.

20.

Per quanto concerne le autorità di cui all'articolo 33 della proposta, il GEPD si rallegra del fatto che la Commissione pubblichi un elenco consolidato delle autorità di cui al paragrafo 1 della suddetta disposizione nella Gazzetta ufficiale dell’Unione europea. In caso di cambiamenti, la Commissione pubblica una volta all’anno un elenco consolidato aggiornato. La pubblicazione dell'elenco consolidato contribuirà a garantire la trasparenza e a facilitare il controllo da parte delle autorità per la protezione dei dati.

21.

Il GEPD prende atto dell'introduzione del nuovo meccanismo di scambio delle informazioni utili tra gli Stati membri prima che sia effettuato il trasferimento (prevista all'articolo 30 della proposta). La finalità dello scambio di informazioni è, a suo avviso, legittima.

22.

Il GEPD rileva altresì la presenza nella proposta di specifiche garanzie in materia di protezione dei dati in conformità dell'articolo 8, paragrafi 1, 2 e 3 della direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, quali: a) consenso esplicito del richiedente e/o del suo rappresentante, b) cancellazione immediata dei dati da parte dello Stato membro che provvede al trasferimento una volta portata a termine l'operazione e c) il «trattamento dei dati personali sanitari è effettuato unicamente da un professionista della sanità tenuto al segreto professionale in virtù della legislazione nazionale o di norme stabilite da organismi nazionali competenti, o da altra persona soggetta a un equivalente obbligo di segretezza» (che ha ricevuto una formazione medica adeguata). Il Garante è inoltre favorevole al fatto che lo scambio avvenga esclusivamente tramite il sistema sicuro DubliNet e a cura delle autorità preventivamente informate.

23.

Il modo in cui tale meccanismo dovrà essere strutturato è di importanza cruciale per la sua conformità al regime di protezione dei dati, soprattutto perché lo scambio di informazioni interesserà anche dati personali molto sensibili quali ad esempio le informazioni su «eventuali esigenze specifiche del richiedente da trasferire, ivi compresi, in determinati casi, dati sul suo stato di salute fisica e mentale». A questo proposito, il GEPD appoggia pienamente l'aggiunta dell'articolo 36 della proposta che impone agli Stati membri di adottare le misure necessarie per garantire che qualsiasi abuso dei dati (...) sia passibile di sanzioni, anche a carattere amministrativo e/o penale conformemente alla legislazione interna.

24.

L'articolo 32 della proposta della Commissione regola lo scambio di informazioni. Il GEPD, che ha contribuito in precedenza a detta disposizione, sostiene la formulazione proposta dalla Commissione.

25.

Il GEPD sottolinea l'importanza che lo scambio di informazioni sulle persone fisiche tra le autorità degli Stati membri avvenga tramite la rete DubliNet. Ciò consente non solo di offrire maggiore sicurezza ma anche di garantire una migliore rintracciabilità delle operazioni. A tale riguardo il GEPD fa riferimento al documento di lavoro dei servizi della Commissione del 6 giugno 2007«Documento di accompagnamento della relazione della Commissione al Parlamento europeo e al Consiglio sulla valutazione del sistema di Dublino» (9) in cui la Commissione rammenta che l'uso di DubliNet è sempre obbligatorio, tranne nei casi previsti all'articolo 15, paragrafo 1, secondo comma del regolamento (CE) n. 1560/2003 della Commissione, del 2 settembre 2003, recante modalità di applicazione del regolamento (CE) n. 343/2003 del Consiglio che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda d'asilo presentata in uno degli Stati membri da un cittadino di un paese terzo (10) (di seguito «regolamento di attuazione di Dublino»). Il GEPD insiste sul fatto che la possibilità di derogare all'uso di DubliNet di cui al suddetto articolo 15, paragrafo 1 dovrebbe essere interpretata in senso restrittivo.

26.

Alcune disposizioni sono state inserite o riformulate nella proposta per provvedere a ciò e il GEPD si compiace di tutti questi sforzi. Il nuovo articolo 33, paragrafo 4 della proposta, ad esempio, è stato riformulato per chiarire che non solo le richieste ma anche le risposte e tutta la corrispondenza scritta sono soggette a norme relative all’istituzione di linee di comunicazione elettronica sicure (previste all'articolo 15, paragrafo 1 del regolamento di attuazione di Dublino). Inoltre, la cancellazione del paragrafo 2 del nuovo articolo 38, che nel testo precedente (articolo 25) imponeva agli Stati membri di inviare le richieste e le risposte «utilizzando metodi che consentano di ottenere prova del ricevimento», serve a precisare che gli Stati membri dovrebbero usare DubliNet anche a questo riguardo.

27.

Il GEPD rileva che, per quanto riguarda lo scambio di informazioni personali, relativamente poco è stato regolamentato nell'ambito del sistema di Dublino. Benché taluni aspetti dello scambio siano già stati trattati nel regolamento di attuazione di Dublino, il presente regolamento non sembra coprire tutti gli aspetti dello scambio di informazioni personali, il che è deplorevole (11).

28.

A questo proposito vale la pena menzionare che la questione dello scambio di informazioni sul richiedente asilo è stata oggetto di discussione anche in sede di Gruppo di coordinamento della supervisione di Eurodac. Senza voler anticipare i risultati dei lavori del Gruppo, il GEPD desidera far presente già in questa fase che una delle possibili raccomandazioni potrebbe essere l'adozione di una serie di norme simili a quelle approvate nel manuale SIRENE di Schengen.

29.

Il GEPD appoggia il regolamento proposto dalla Commissione che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno Stati membri da un cittadino di un paese terzo o da un apolide e condivide l'interpretazione dei motivi addotti per la revisione del sistema esistente.

30.

Il GEPD si rallegra della coerenza della proposta della Commissione con altri strumenti giuridici che regolano il complesso quadro normativo di questo settore.

31.

Il GEPD si compiace della notevole attenzione accordata nella proposta al rispetto dei diritti fondamentali, in particolare la protezione dei dati personali. Questo approccio, a suo avviso, è un presupposto fondamentale per il miglioramento della procedura di Dublino. Richiama in particolare l'attenzione del legislatore sui nuovi meccanismi di scambio di dati che interesseranno, tra l'altro, i dati personali estremamente sensibili dei richiedenti asilo.

32.

Il GEPD desidera inoltre fare riferimento agli importanti lavori svolti in questo settore dal Gruppo di coordinamento della supervisione di Eurodac e ritiene che i relativi risultati possano utilmente contribuire ad una migliore elaborazione delle caratteristiche del sistema.

33.

Il GEPD ritiene che alcune osservazioni contenute nel presente parere possano essere ulteriormente sviluppate alla luce dell'attuazione pratica del sistema riveduto. In particolare, intende contribuire alla definizione delle misure di attuazione relative allo scambio di informazioni tramite DubliNet di cui ai punti da 24 a 27 del presente parere.

23.9.2009   

IT

Gazzetta ufficiale dell'Unione europea

C 229/6

1.

La Proposta di regolamento del Parlamento europeo e del Consiglio che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione del regolamento (CE) n. […/…] [che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide], (di seguito «la proposta» o «la proposta della Commissione») è stata inviata dalla Commissione al GEPD per consultazione il 3 dicembre 2008, ai sensi dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001. Tale consultazione dovrebbe essere esplicitamente menzionata nel preambolo del regolamento.

2.

Come indicato nella relazione, il GEPD ha contribuito a questa proposta in una fase precedente, e molti dei punti che ha sollevato in maniera informale nel corso dei lavori di preparazione sono stati presi in considerazione dalla Commissione nel testo definitivo della stessa.

3.

Il regolamento (CE) n. 2725/2000 (3) del Consiglio, che istituisce l’«Eurodac» (di seguito «regolamento Eurodac») è entrato in vigore il 15 dicembre 2000. L'Eurodac è un sistema informatico su scala comunitaria creato al fine di facilitare l’applicazione della convenzione di Dublino intesa ad istituire un meccanismo chiaro e efficace per determinare lo Stato competente per le domande di asilo presentate in uno degli Stati membri. La convenzione di Dublino è stata successivamente sostituita da un atto legislativo comunitario, il regolamento (CE) n. 343/2003 del Consiglio, del 18 febbraio 2003, che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda d’asilo presentata in uno degli Stati membri da un cittadino di un paese terzo (4) (di seguito, «il regolamento di Dublino») (5). L’Eurodac è diventato operativo il 15 gennaio 2003.

4.

La proposta è una revisione del regolamento Eurodac e del suo regolamento di attuazione, il regolamento n. 407/2002/CE del Consiglio, e si prefigge tra l'altro di:

5.

Va inoltre sottolineato che uno degli obiettivi principali della proposta è assicurare un maggior rispetto dei diritti fondamentali, in particolare la protezione dei dati personali. Il presente parere analizzerà se le disposizioni della presente proposta siano adeguate per il conseguimento di tale obiettivo.

6.

La proposta tiene conto dei risultati della relazione della Commissione del giugno 2007 sulla valutazione del sistema di Dublino (di seguito «relazione di valutazione»), che traccia il bilancio del primo triennio di funzionamento dell'Eurodac (2003-2005).

7.

Pur riconoscendo che il sistema istituito nel regolamento è stato applicato negli Stati membri in modo soddisfacente nell’insieme, la relazione di valutazione della Commissione punta il dito su alcuni problemi connessi all’efficienza delle disposizioni in vigore e sottolinea quelli che occorre risolvere per migliorare il sistema Eurodace agevolare l'applicazione del regolamento di Dublino. In particolare, la relazione di valutazione rileva i continui ritardi nella trasmissione delle impronte digitali da parte di alcuni Stati membri. Il regolamento Eurodac prevede attualmente un termine molto vago per la trasmissione delle impronte, il che nella pratica può tradursi in lungaggini notevoli. Si tratta di un problema fondamentale per l'efficacia del sistema in quanto un ritardo nella trasmissione può produrre risultati contrari ai principi di responsabilità sanciti dal regolamento di Dublino.

8.

La relazione di valutazione individua inoltre in molti casi una gestione insufficiente della cancellazione dei dati dovuta all’assenza di un metodo efficiente che permetta agli Stati membri di scambiarsi le informazioni relative allo status del richiedente asilo. Gli Stati membri che inseriscono dati relativi a una determinata persona spesso non sanno che un altro Stato membro d’origine ha provveduto a cancellare dati riguardanti la stessa persona e quindi non si rendono conto che dovrebbero procedere anch’essi alla cancellazione. Ne consegue uno scarso rispetto del principio secondo cui i dati vanno conservati in modo tale da consentire l’identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti.

9.

Inoltre, in base all’analisi presentata nella relazione di valutazione, la mancanza di chiarezza nella designazione delle autorità nazionali che hanno accesso all’Eurodac ostacola il ruolo di controllo della Commissione e del garante europeo della protezione dei dati.

10.

Dato il suo attuale ruolo di autorità di controllo dell'Eurodac, il GEPD è particolarmente interessato alla proposta della Commissione e a un risultato positivo della revisione del sistema Eurodac nel suo complesso.

11.

Il GEPD rileva che la proposta comporta vari aspetti relativi ai diritti fondamentali dei richiedenti asilo, quali il diritto di asilo, il diritto alle informazioni in senso lato e il diritto alla protezione dei dati personali. Tuttavia, data la missione del GEPD, il presente parere si concentrerà principalmente sulle questioni relative alla protezione dei dati affrontate dal regolamento riveduto. A questo proposito, il GEPD si compiace della notevole attenzione che la proposta dedica al rispetto e alla protezione dei dati personali. Coglie questa opportunità per sottolineare che assicurare un alto livello di protezione dei dati personali nonché metterla in pratica in modo più efficiente dovrebbe essere considerato un presupposto fondamentale per migliorare il funzionamento dell'Eurodac.

12.

Il presente parere si occupa principalmente delle seguenti modifiche del testo in quanto sono le più rilevanti dal punto di vista della protezione dei dati personali:

13.

Il GEPD si compiace che la proposta cerchi di rimanere coerente con altri strumenti giuridici che disciplinano l'istituzione e/o l'utilizzo di altri sistemi informatici su larga scala. In particolare, la condivisione di responsabilità per quanto riguarda la base di dati nonché il modo in cui è stato formulato nella proposta il modello di controllo sono coerenti con gli strumenti giuridici che istituiscono il sistema di informazione Schengen (SIS II) e il sistema di informazione visti (VIS).

14.

Il GEPD rileva la coerenza della proposta con la direttiva 95/46/CE e con il regolamento (CE) n. 45/2001. A questo proposito, il GEPD apprezza in particolare i nuovi considerando 17, 18 e 19, i quali stabiliscono che la direttiva 95/46/CE e il regolamento(CE) n. 45/2001 si applicano al trattamento dei dati personali effettuato in applicazione del regolamento proposto rispettivamente da parte degli Stati membri e da parte delle istituzioni e degli organismi comunitari interessati.

15.

Infine, il GEPD richiama l'attenzione sulla necessità di assicurare piena coerenza anche tra l'Eurodac e i regolamenti di Dublino e coglie l'opportunità del presente parere per fornire indicazioni più precise per quanto riguarda tale coerenza. Rileva tuttavia che in alcuni aspetti la questione è già stata affrontata nella proposta, ad esempio nella relazione, la quale indica che «la coerenza con il regolamento Dublino (anche per quanto riguarda le preoccupazioni connesse alla protezione dei dati, segnatamente il principio di proporzionalità) verrà garantita allineando il periodo di conservazione dei dati riguardanti cittadini di paesi terzi o apolidi cui sono state rilevate le impronte digitali in relazione all’attraversamento irregolare della frontiera esterna con il periodo durante il quale l’articolo 14, paragrafo 1, del regolamento Dublino attribuisce la competenza in base alle suddette informazioni (un anno).»

16.

Il GEPD si compiace del modello di controllo stabilito nella proposta nonché dei compiti specifici ad esso affidati in virtù degli articoli 25 e 26 della proposta. L'articolo 25 affida al GEPD due compiti di controllo:

L'articolo 26 tratta la questione della cooperazione tra le autorità nazionali di controllo e il GEPD.

17.

Il GEPD rileva inoltre che la proposta presenta un approccio analogo a quello impiegato nel SIS II e nel VIS: un sistema di controllo a vari livelli in cui le autorità per la protezione dei dati e il GEPD controllano rispettivamente il livello nazionale e quello comunitario, con un sistema di cooperazione istituito tra i due livelli. Il modello di cooperazione previsto nella proposta riflette inoltre la prassi attuale, che si è dimostrata efficiente ed ha incoraggiato una stretta collaborazione tra il GEPD e le autorità per la protezione dei dati. Pertanto, il GEPD si compiace che sia stato formalizzato nella proposta nonché del fatto che, pur disciplinando in tal senso, il legislatore abbia assicurato la coerenza con i sistemi di controllo di altri sistemi informatici su larga scala.

18.

Il GEPD rileva che la proposta non affronta la questione del subappalto di una parte dei compiti della Commissione ad un altro organismo o entità (quale un'impresa privata). Tuttavia il subappalto è comunemente utilizzato dalla Commissione nella gestione e nello sviluppo sia del sistema che delle infrastrutture di comunicazione. Anche se il subappalto non è di per sé in contrasto con i requisiti della protezione dei dati, si dovrebbero prevedere importanti garanzie al fine di assicurare che le attività di subappalto non si ripercuotano negativamente sull'applicabilità del regolamento (CE) n. 45/2001, ivi compreso il controllo della protezione dei dati da parte del GEPD. Inoltre, dovrebbero essere adottate garanzie di carattere maggiormente tecnico.

19.

A tale riguardo, il GEPD suggerisce che nel quadro della revisione del regolamento Eurodac vengano contemplate garanzie giuridiche analoghe a quelle previste negli strumenti giuridici del SIS II, assicurando che anche quando la Commissione affida la gestione del sistema un'altra autorità, ciò «non si ripercuota negativamente sull'efficacia dei meccanismi di controllo previsti dal diritto comunitario, siano essi a cura della Corte di giustizia, della Corte dei conti o del garante europeo della protezione dei dati»(articolo 15, paragrafo 7, decisione e regolamento SIS II).

20.

Le disposizioni sono anche più precise nell'articolo 47 del regolamento SIS II, il quale stabilisce: «La Commissione, qualora (…) deleghi le sue competenze ad un altro organismo o ad altri organismi (…) provvede affinché il garante europeo della protezione dei dati abbia la facoltà e sia in grado di svolgere pienamente i suoi compiti, compresa l’effettuazione di controlli in loco o l’esercizio dei poteri attribuitigli dall’articolo 47 del regolamento (CE) n. 45/2001».

21.

Le disposizioni summenzionate prevedono la necessaria chiarezza per quanto riguarda le conseguenze del subappalto di parte dei compiti della Commissione ad altre autorità. Il GEPD propone pertanto che vengano aggiunte al testo della proposta della Commissione disposizioni volte ad ottenere gli stessi effetti.

22.

L'articolo 3, paragrafo 5 della proposta riguarda la procedura per il rilevamento delle impronte digitali. Tale disposizione stabilisce che la procedura «è stabilita e applicata in conformità delle prassi nazionali dello Stato membro interessato e in conformità delle salvaguardie previste dalla Carta dei diritti fondamentali dell’Unione europea, dalla Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali e dalla Convenzione delle Nazioni Unite sui diritti del fanciullo». L'articolo 6 della proposta prevede che il limite minimo di età per il rilevamento delle impronte digitali di un richiedente è di 14 anni e che il rilevamento viene effettuato entro 48 ore dalla data della domanda.

23.

Innanzitutto, per quanto riguarda il limite di età, il GEPD sottolinea la necessità di garantire la coerenza della proposta con il regolamento di Dublino: il sistema Eurodac è stato istituito per assicurarne l'efficace applicazione. Ciò implica che l'eventuale impatto dell'attuale revisione del regolamento di Dublino sulla sua applicazione ai richiedenti asilo minorenni dovrebbe trovare riscontro nel regolamento Eurodac (6).

24.

In secondo luogo, per quanto riguarda la determinazione dei limiti di età per il rilevamento delle impronte digitali in generale, il GEPD desidera far notare che la maggior parte della documentazione attualmente disponibile tende a indicare che l'accuratezza dell'identificazione in base alle impronte digitali diminuisce con l'avanzare dell'età. È consigliabile al riguardo seguire attentamente lo studio sulle impronte digitali effettuato nell'ambito dell'attuazione del VIS. Senza voler anticipare i risultati dello studio, il GEPD desidera sottolineare già in questa fase che in tutti i casi in cui rilevare le impronte risultasse impossibile o portasse a risultati inattendibili è importante fare riferimento a procedure di ripiego, che dovrebbero rispettare pienamente la dignità della persona.

25.

In terzo luogo il GEPD prende atto degli sforzi fatti dal legislatore per garantire che le disposizioni relative al rilevamento delle impronte digitali siano conformi agli obblighi internazionali ed europei in materia di diritti umani. Richiama tuttavia l'attenzione sulle difficoltà riscontrate in vari Stati membri per determinare l'età dei giovani richiedenti asilo. Molto spesso i richiedenti asilo o gli immigranti clandestini non hanno documenti d'identità e per stabilire se procedere al rilevamento delle impronte occorre determinarne l'età. I metodi utilizzati a tal fine sono oggetto di molti dibattiti in vari Stati membri.

26.

A questo proposito il GEPD richiama l'attenzione sul fatto che il Gruppo di coordinamento della supervisione di Eurodac (7) ha avviato su questo tema un esame coordinato i cui risultati — previsti per il primo semestre 2009 — dovrebbero facilitare la definizione di procedure comuni in materia.

27.

A titolo di osservazione conclusiva, il GEPD ravvisa la necessità di coordinare ed armonizzare meglio a livello UE, in tutta la misura possibile, le procedure per il rilevamento delle impronte.

28.

L'articolo 4, paragrafo 1 della proposta specifica: «Dopo un periodo transitorio, un organo di gestione (“Autorità di gestione”) finanziato dal bilancio generale dell’Unione europea è responsabile della gestione operativa dell’Eurodac. In cooperazione con gli Stati membri, l’Autorità di gestione provvede a che in qualsiasi momento siano utilizzate, previa analisi costi/benefici, le migliori tecnologie disponibili per il sistema centrale». Pur rallegrandosi della prescrizione prevista, il GEPD desidera rilevare che l'espressione «le migliori tecnologie disponibili» ivi contenuta dovrebbe essere sostituita con «le migliori tecniche disponibili», che include sia la tecnologia utilizzata che il modo in cui l'installazione è progettata, costruita, conservata e gestita.

29.

L'articolo 9, paragrafo 1 della proposta affronta l'aspetto della cancellazione anticipata dei dati. La disposizione obbliga lo Stato membro di origine a cancellare dal sistema centrale «i dati riguardanti le persone che hanno acquisito la cittadinanza di uno Stato membro prima della scadenza del periodo di cui all’articolo 8» non appena lo Stato membro d’origine viene a conoscenza che gli interessati hanno acquisito tale cittadinanza. Il GEPD accoglie favorevolmente l'obbligo della cancellazione dei dati poiché ben concorda con il principio della qualità dei dati. Il GEPD, inoltre, ritiene che la revisione di questa disposizione fornisca l'opportunità di incoraggiare gli Stati membri a istituire procedure che assicurino una cancellazione dei dati affidabile e tempestiva (possibilmente automatica) quando una persona abbia ottenuto la cittadinanza di uno degli Stati membri.

30.

Il GEPD desidera altresì sottolineare che l'articolo 9, paragrafo 2 riguardante la cancellazione anticipata dovrebbe essere riformulato in quanto il testo proposto non è chiaro. Da un punto di vista stilistico il GEPD suggerisce di sostituire «da quello» con «da quelli».

31.

L'articolo 12 della proposta riguarda la conservazione dei dati. Il GEPD desidera rilevare che fissare 1 anno come periodo di conservazione dei dati (invece dei 2 anni previsti nell'attuale testo del regolamento) è un esempio di buona applicazione del principio della qualità dei dati, secondo il quale i dati dovrebbero essere conservati soltanto per il tempo necessario a raggiungere lo scopo per il quale sono stati trattati. È un miglioramento del testo che viene apprezzato.

32.

La disposizione che prevede la pubblicazione da parte dell'Autorità di gestione dell'elenco delle autorità aventi accesso ai dati Eurodac è accolta favorevolmente. Contribuirà ad una maggiore trasparenza e a creare uno strumento pratico per un migliore controllo del sistema, ad es. da parte delle autorità per la protezione dei dati.

33.

L'articolo 21 della proposta riguarda la conservazione delle registrazioni di tutte le operazioni di trattamento dei dati avvenute nel sistema centrale. Il paragrafo 2 prevede che tali registrazioni dovrebbero essere utilizzate esclusivamente per controllare, a fini della protezione dei dati, l’ammissibilità del trattamento (…). A questo proposito si potrebbe precisare che sono incluse anche le misure di autocontrollo.

34.

L'articolo 23, paragrafo 1, lettera e) della proposta recita:

«Lo Stato membro d'origine provvede a informare la persona soggetta al presente regolamento (…):

35.

Il GEPD fa notare che l'attuazione efficace del diritto di informazione è fondamentale ai fini del buon funzionamento dell'Eurodac. È essenziale in particolare assicurare che le informazioni siano fornite in modo da consentire al richiedente asilo di capire perfettamente la sua situazione e la portata dei suoi diritti, tra cui le misure procedurali che può prendere per dar seguito alle decisioni amministrative adottate nel suo caso.

36.

Per quanto riguarda gli aspetti pratici dell'attuazione del diritto, il GEPD desidera sottolineare che, anche se le autorità per la protezione dei dati sono in realtà adite in materia di tutela dei dati personali, la formulazione della proposta non dovrebbe impedire al richiedente (interessato) di presentare una domanda in primo luogo al responsabile del trattamento dei dati. La disposizione di cui all'articolo 23, paragrafo 1, lettera e) nella formulazione attuale sembra indicare che il richiedente debba presentare la domanda — direttamente e in ogni caso — all'autorità per la protezione dei dati mentre, secondo la procedura abituale e la prassi seguita negli Stati membri, il richiedente presenta la domanda prima al responsabile del trattamento dati.

37.

Il GEPD propone inoltre che il testo dell'articolo 23, paragrafo 1, lettera e) sia riformulato per precisare i diritti da conferire al richiedente. La formulazione proposta non è chiara, dal momento che «il diritto di ottenere informazioni sulle procedure da seguire per esercitare tali diritti (…)» può essere inteso in quanto parte del diritto di accesso ai dati e/o del diritto di chiedere che i dati inesatti siano rettificati (…). Inoltre, secondo l'attuale formulazione della succitata disposizione, gli Stati membri sono tenuti a informare la persona soggetta al regolamento non tanto del contenuto bensì dell'«esistenza» dei diritti. Dal momento che sembra trattarsi di un problema di forma, il GEPD propone di riformulare come segue l'articolo 23, paragrafo 1, lettera e):

«Lo Stato membro d'origine provvede a informare la persona soggetta al presente regolamento (…):

38.

Con la stessa logica l'articolo 23, paragrafo 10 dovrebbe essere modificato come segue: «In ciascuno Stato membro l’autorità nazionale di controllo, se del caso (oppure: su richiesta dell'interessato), assiste gli interessati nell’esercizio dei loro diritti, ai sensi dell’articolo 28, paragrafo 4, della direttiva 95/46/CE». Il GEPD desidera nuovamente sottolineare che, in linea di principio, non dovrebbe essere necessario un intervento dell'autorità per la protezione dei dati, mentre si dovrebbe incoraggiare il responsabile del trattamento dei dati a rispondere adeguatamente alle domande degli interessati. Ciò vale anche quando è necessaria la cooperazione tra autorità di Stati membri diversi. I responsabili del trattamento dei dati dovrebbero essere i principali responsabili di esaminare le richieste e cooperare a tal fine.

39.

Quanto all'articolo 23, paragrafo 9, il GEPD si compiace non soltanto dello scopo stesso della disposizione (che prevede il controllo del ricorso alle «ricerche speciali» secondo quanto raccomandato dalle autorità per la protezione dei dati nella prima relazione sulle ispezioni coordinate), ma anche della procedura proposta per realizzarlo.

40.

Per quanto riguarda i metodi di comunicazione delle informazioni ai richiedenti, il GEPD fa presente i lavori intrapresi dal Gruppo di coordinamento della supervisione di Eurodac, che sta esaminando la questione nel quadro di Eurodac per proporre — non appena saranno noti ed elaborati i risultati delle indagini nazionali — gli orientamenti del caso.

41.

Il GEPD appoggia la proposta di regolamento del Parlamento europeo e del Consiglio che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione del regolamento (CE) n. […/…] che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide.

42.

Il GEPD accoglie favorevolmente il modello di controllo proposto nonché il ruolo e i compiti che gli sono stati affidati nel nuovo sistema. Il modello previsto riflette la prassi corrente, che si è rivelata efficace.

43.

Il GEPD rileva che la proposta cerca di rimanere coerente con altri strumenti giuridici che disciplinano l'istituzione e/o l'utilizzo di altri sistemi informatici su larga scala.

44.

Il GEPD si compiace della notevole attenzione accordata nella proposta al rispetto dei diritti fondamentali e in particolare alla protezione dei dati personali. Come già accennato nel parere sulla revisione del regolamento di Dublino, questo approccio, a suo avviso, è un presupposto fondamentale per il miglioramento delle procedure di asilo nell'Unione europea.

45.

Il GEPD richiama l'attenzione sulla necessità di garantire la piena coerenza del regolamento Eurodac con quello di Dublino.

46.

Il GEPD ravvisa la necessità di coordinare ed armonizzare meglio, a livello UE, le procedure per il rilevamento delle impronte digitali, a prescindere dal fatto che si tratti di richiedenti asilo o di qualsiasi altra persona soggetta alla procedura Eurodac. Richiama specialmente l'attenzione sulla questione dei limiti di età per il rilevamento delle impronte e, in particolare, sulle difficoltà riscontrate in vari Stati membri per determinare l'età dei giovani richiedenti asilo.

47.

Il GEPD insiste sull'opportunità di chiarire le disposizioni relative ai diritti degli interessati e sottolinea in particolare che spetta principalmente ai responsabili del trattamento dei dati garantire l'applicazione di tali diritti.

23.9.2009   

IT

Gazzetta ufficiale dell'Unione europea

C 229/12

1.

L'iniziativa della Repubblica francese in vista dell'adozione della decisione del Consiglio sull'uso dell'informatica nel settore doganale è stata pubblicata nella Gazzetta ufficiale del 5 febbraio 2009 (4). Né lo Stato membro che ha presentato l'iniziativa né il Consiglio hanno chiesto il parere del GEPD al riguardo. Tuttavia, la commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha chiesto al GEPD di formulare le proprie osservazioni sull'iniziativa francese, conformemente all'articolo 41 del regolamento (CE) n. 45/2001, nel contesto del parere del Parlamento europeo sull'iniziativa. Mentre, in casi analoghi (5), il GEPD ha formulato un parere di propria iniziativa, il presente parere deve essere considerato anche quale risposta a tale richiesta del Parlamento europeo.

2.

Secondo il GEPD, il presente parere dovrebbe essere citato nel preambolo della decisione del Consiglio, così come il suo parere è citato in vari atti normativi adottati in base ad una proposta della Commissione.

3.

Benché lo Stato membro che presenta un'iniziativa relativa ad una misura legislativa a norma del titolo VI del trattato UE non sia giuridicamente vincolato a chiedere il parere del GEPD, le norme applicabili non precludono neppure questa possibilità. Il GEPD deplora che né la Repubblica francese né il Consiglio abbiano chiesto il suo parere nel presente caso.

4.

Il GEPD rileva che, considerati gli sviluppi in corso sulla proposta in sede di Consiglio, le osservazioni presentate nel presente parere sono basate sulla versione della proposta del 24 febbraio 2009 (5903/2/09 REV 2), pubblicata sul sito web del Parlamento europeo (6).

5.

Il GEPD ritiene necessarie maggiori spiegazioni sulla giustificazione dell'iniziativa nonché su determinati articoli e meccanismi della stessa. Deplora la mancanza di una valutazione d'impatto o di una relazione esplicativa a corredo dell'iniziativa. Ciò costituisce un elemento necessario per migliorare la trasparenza e più in generale la qualità del processo legislativo. Le informazioni esplicative faciliterebbero inoltre la valutazione di alcuni aspetti della proposta, ad es. riguardo alla necessità e giustificazione dell'accesso al SID da parte di Europol e Eurojust.

6.

Il GEPD ha preso in considerazione il parere 09/03 formulato il 24 marzo 2009 dall'autorità comune di controllo in materia doganale sul progetto di decisione del Consiglio sull'uso dell'informatica nel settore doganale.

7.

Il quadro giuridico del Sistema informativo doganale (in appresso «il SID») è attualmente disciplinato da strumenti sia del primo che del terzo pilastro. Il quadro giuridico del terzo pilastro che disciplina il sistema è costituito principalmente dalla convenzione del 26 luglio 1995 elaborata in base all'articolo K.3 del trattato sull'Unione europea sull'uso dell'informatica nel settore doganale (in appresso la «convenzione SID» (7) e dai protocolli del 12 marzo 1999 e dell'8 marzo 2003.

8.

Le attuali modalità di protezione dei dati comprendono l'applicazione della convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, del 28 gennaio 1981 (in appresso la «convenzione 108 del Consiglio d'Europa»). Inoltre, la decisione quadro 2008/977/GAI, è applicabile al SID ai sensi della proposta.

9.

La parte del sistema che rientra nel primo pilastro è disciplinata dal regolamento (CE) n. 515/97 del Consiglio, del 13 marzo 1997, relativo alla mutua assistenza tra le autorità amministrative degli Stati membri e alla collaborazione tra queste e la Commissione per assicurare la corretta applicazione delle normative doganale e agricola (8),

10.

La convenzione SID ha lo scopo, ai sensi dell'articolo 2, paragrafo 2, di facilitare la prevenzione, la ricerca e il perseguimento di gravi infrazioni alle leggi nazionali rendendo più efficaci, mediante la rapida diffusione di informazioni, le procedure di cooperazione e di controllo delle amministrazioni doganali degli Stati membri.

11.

Conformemente alla convenzione SID, il Sistema informativo doganale consiste in una base di dati centrale cui si può accedere tramite terminali in ogni Stato membro. Le altre caratteristiche principali sono le seguenti:

12.

L'iniziativa francese, basata sull'articolo 30, paragrafo 1, lettera a) e sull'articolo 34, paragrafo 2 del trattato sull'Unione europea, mira a sostituire la convenzione SID nonché il protocollo del 12 marzo 1999 e il protocollo dell'8 marzo 2003 per allineare la parte del sistema che rientra nel terzo pilastro agli strumenti del primo pilastro.

13.

Tuttavia, la proposta non si limita a sostituire il testo della convenzione SID con una decisione del Consiglio. Essa modifica numerose disposizioni della convenzione ed estende l'attuale ambito di accesso al SID consentendo a Europol e Eurojust di accedervi. Inoltre, la proposta include le analoghe disposizioni sul funzionamento del SID contenute nel summenzionato regolamento (CE) n. 766/2008, ad es. per quanto riguarda la creazione di un archivio di identificazione dei fascicoli a fini doganali (capitolo VI).

14.

La proposta tiene inoltre conto di nuovi strumenti giuridici quali la decisione quadro 2008/977/GAI e la decisione quadro 2006/960/GAI, del 13 dicembre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorità degli Stati membri dell'Unione europea incaricate dell'applicazione della legge (10).

15.

La proposta mira, tra l'altro, a:

16.

In questo contesto, il SID ha lo scopo, ai sensi dell'articolo 1 della proposta, di facilitare la prevenzione, la ricerca e il perseguimento di gravi infrazioni alle leggi nazionali rendendo più rapidamente disponibili i dati e più efficaci le procedure di cooperazione e di controllo delle amministrazioni doganali degli Stati membri. Tale disposizione rispecchia ampiamente l'articolo 2, paragrafo 2 della convenzione SID.

17.

Per conseguire questo obiettivo la proposta estende l'ambito di uso dei dati SID e offre anche la possibilità di effettuare consultazioni dei sistemi e analisi strategiche o operative. Il GEPD rileva l'ampliamento dello scopo e dell'elenco delle categorie di dati personali che possono essere raccolti e trattati, nonché dell'elenco degli interessati che hanno accesso diretto al SID.

18.

Dato il suo ruolo attuale di autorità di controllo degli elementi essenziali della parte del SID che rientra nell'ambito del primo pilastro, il GEPD è particolarmente interessato all'iniziativa e ai nuovi sviluppi in sede di Consiglio in relazione al suo contenuto. Il GEPD sottolinea la necessità di assicurare un approccio coerente e globale per allineare le parti del sistema che rientrano nel primo e nel terzo pilastro.

19.

Il GEPD rileva che la proposta comprende vari aspetti riguardanti i diritti fondamentali, in particolare la protezione dei dati personali nonché il diritto all'informazione e i diritti di altri interessati.

20.

Per quanto riguarda l'attuale regime di protezione dei dati nella convenzione SID, il GEPD deve far presente che alcune disposizioni attuali della convenzione devono essere modificate e aggiornate poiché non soddisfano più gli attuali obblighi e norme in materia di protezione dei dati. Il GEPD approfitta dell'occasione per sottolineare che garantire un elevato livello di protezione dei dati personali e una più efficace attuazione pratica dovrebbe essere considerato un presupposto essenziale per migliorare il funzionamento del SID.

21.

Dopo alcune osservazioni generali, il presente parere esaminerà in particolare le seguenti questioni pertinenti dal punto di vista della protezione dei dati personali:

22.

Come indicato nelle osservazioni introduttive, il GEPD è particolarmente interessato ai nuovi sviluppi riguardanti la parte del SID che rientra nell'ambito del terzo pilastro, poiché già svolge compiti di controllo degli elementi essenziali della parte che rientra nell'ambito del primo pilastro, conformemente al nuovo regolamento (CE) n. 766/2008 del Parlamento europeo e del Consiglio (11)

23.

In questo contesto, il GEPD desidera attirare l'attenzione del legislatore sul fatto che ha già formulato osservazioni sulle questioni relative al controllo della parte del SID che rientra nel primo pilastro in vari pareri, in particolare nel parere del 22 febbraio 2007 (12).

24.

In tale parere il GEPD ha sottolineato che la creazione e l'aggiornamento dei vari strumenti intesi a rafforzare la cooperazione comunitaria, come il SID, comportano un aumento della quantità di informazioni personali che saranno originariamente raccolte e successivamente scambiate dalle autorità amministrative degli Stati membri e, in alcuni casi, anche con paesi terzi. Le informazioni personali trattate e ulteriormente condivise possono comprendere informazioni relative al presunto o confermato coinvolgimento di persone fisiche in atti riprovevoli nel settore delle operazioni doganali o agricole. (…) Inoltre, la sua importanza è accresciuta se si considera il tipo di dati raccolti e condivisi, in particolare sospetti relativi al coinvolgimento di persone fisiche in atti riprovevoli, e la finalità e il risultato del trattamento.

25.

Il GEPD sottolinea che, diversamente dalle modifiche introdotte dal regolamento (CE) n. 766/2008 allo strumento del primo pilastro che disciplina il SID, la proposta prevede una revisione completa della convenzione SID, fornendo al legislatore l'opportunità di avere una visione più globale dell'intero sistema, in base ad un approccio coerente e globale.

26.

Secondo il GEPD tale approccio deve inoltre essere orientato verso il futuro. Nel decidere sul contenuto vero e proprio della proposta occorrerebbe debitamente riflettere sui nuovi sviluppi quali l'adozione della decisione quadro 2008/977/GAI e la (eventuale) futura entrata in vigore del trattato di Lisbona, tenendone adeguatamente conto.

27.

Per quanto riguarda l'entrata in vigore del trattato di Lisbona, il GEPD attira l'attenzione del legislatore sulla necessità di analizzare approfonditamente le possibili conseguenze che l'abolizione della struttura a pilastri dell'UE avrebbe sul SID all'atto dell'entrata in vigore del trattato di Lisbona, dal momento che il sistema è attualmente basato su una combinazione di strumenti del primo e del terzo pilastro. Il GEPD deplora la mancanza di informazioni esplicative su questo importante futuro sviluppo che avrebbe effetti significativi sul quadro giuridico che disciplinerà il SID in futuro. Più in generale, il GEPD si chiede se non sarebbe più opportuno che il legislatore procedesse alla revisione dopo l'entrata in vigore del trattato di Lisbona per evitare qualsiasi incertezza giuridica.

28.

Secondo il GEPD la sostituzione della convenzione SID nel suo complesso offre inoltre una buona opportunità per assicurare la coerenza del SID con altri sistemi e meccanismi che si sono sviluppati dopo l'adozione della convenzione. A tale proposito, il GEPD chiede che sia assicurata la coerenza, anche riguardo al modello di controllo, con altri strumenti giuridici, in particolare quelli che istituiscono il sistema di informazione Schengen II e il sistema di informazione visti.

29.

Il GEPD si compiace del fatto che la proposta tenga conto della decisione quadro sulla protezione dei dati personali, considerato lo scambio di dati tra gli Stati membri nel quadro del SID. L'articolo 20 della proposta stabilisce chiaramente che la decisione quadro 2008/977/GAI si applica alla protezione dello scambio di dati a norma della presente decisione, salvo disposizione contraria della presente decisione. Il GEPD rileva altresì che la proposta fa riferimento alla decisione quadro anche in altre disposizioni, ad es. all'articolo 4, paragrafo 5 in cui si afferma che non sono inclusi i dati personali elencati all'articolo 6 della decisione quadro 2008/977/GAI, all'articolo 8 sull'uso dei dati ottenuti dal SID per lo scopo previsto all'articolo 1, paragrafo 2 della decisione, all'articolo 22 relativo ai diritti delle persone per quanto riguarda i dati personali inseriti nel SID e all'articolo 29 relativo alle responsabilità e agli obblighi.

30.

Il GEPD ritiene che i concetti e principi stabiliti in tale decisione quadro siano appropriati nel contesto del SID e debbano pertanto essere applicabili ai fini sia della certezza del diritto che della coerenza tra i regimi giuridici.

31.

Detto questo, il GEPD rileva tuttavia che il legislatore dovrebbe prevedere le necessarie garanzie affinché, in attesa della piena attuazione della decisione quadro 2008/977/GAI, conformemente alle sue disposizioni finali, non vi siano carenze legislative nel sistema di protezione dei dati. In altri termini, il GEPD desidera sottolineare che è favorevole all'approccio secondo cui prima di effettuare nuovi scambi di dati devono essere previste le garanzie necessarie ed adeguate.

32.

Il GEPD ritiene che l'effettiva attuazione del diritto alla protezione dei dati e del diritto all'informazione sia un elemento fondamentale per il corretto funzionamento del Sistema informativo doganale. Le garanzie in materia di protezione dei dati non sono necessarie solo per assicurare l'effettiva tutela delle persone soggette al SID, ma dovrebbero servire anche a facilitare il corretto e più efficace funzionamento del sistema.

33.

Il GEPD attira l'attenzione del legislatore sul fatto che la necessità di forti ed efficaci garanzie in materia di protezione dei dati è ancora più evidente se si considera che il SID è una base di dati basata su «sospetti»più che su condanne o altre decisioni amministrative o giudiziarie. Ciò è rispecchiato dall'articolo 5 della proposta che stabilisce che i «dati relativi alle categorie di cui all'articolo 3 sono inseriti nel Sistema informativo doganale unicamente a fini di osservazione e di rendiconto, di sorveglianza discreta, di controlli specifici e di analisi strategica o operativa. Ai fini delle azioni (…), i dati personali (…) possono essere inseriti nel Sistema informativo doganale soltanto se, specialmente sulla base di precedenti attività illecite, vi sono motivi sostanziali per ritenere che la persona interessata abbia effettuato, stia effettuando o intenda effettuare gravi infrazioni alle leggi nazionali.» Considerata questa caratteristica del SID, la proposta richiede garanzie equilibrate, efficaci e maggiori in termini di protezione dei dati personali e meccanismi di controllo.

34.

Per quanto riguarda le disposizioni particolari della proposta relative alla protezione dei dati personali, il GEPD prende atto degli sforzi compiuti dal legislatore per fornire maggiori garanzie rispetto a quelle previste nella convenzione SID. Tuttavia, il GEPD deve ancora esprimere una serie di gravi preoccupazioni riguardo alle disposizioni relative alla protezione dei dati e in particolare all'applicazione del principio della limitazione delle finalità.

35.

Va inoltre menzionato in questo contesto che le osservazioni del presente parere sulle garanzie in materia di protezione dei dati non si limitano alle disposizioni che modificano o estendono il campo di applicazione della convenzione SID, ma riguardano anche le parti riprese dal testo attuale della convenzione. Come indicato nelle osservazioni generali, ciò è dovuto al fatto che secondo il GEPD alcune disposizioni della convenzione non sembrano più soddisfare gli attuali obblighi in materia di protezione dei dati e l'iniziativa francese offre l'opportunità di riconsiderare l'intero sistema ed assicurare l'adeguato livello di protezione dei dati, equivalente a quello previsto nella parte del sistema che rientra nel primo pilastro.

36.

Il GEPD rileva con soddisfazione che nel SID può essere incluso solo un elenco ristretto ed esaustivo di dati personali. Si compiace inoltre che la proposta preveda una definizione dei termini «dati personali» più ampia rispetto alla convenzione SID. Ai sensi dell'articolo 2, paragrafo 2 della proposta, si intende, per «dati personali», qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale.

37.

Un esempio di disposizione che solleva gravi preoccupazioni riguardo alla protezione dei dati è l'articolo 8 della proposta, in cui si afferma che gli Stati membri possono utilizzare i dati ottenuti dal SID soltanto per lo scopo previsto all'articolo 1, paragrafo 2. Essi possono tuttavia utilizzare tali dati a fini amministrativi o di altro genere, previa autorizzazione dello Stato membro che li ha inseriti nel Sistema e subordinatamente alle condizioni da esso stabilite. In tal caso l'utilizzazione è conforme alle leggi, ai regolamenti ed alle procedure dello Stato membro che intende servirsi dei dati conformemente all'articolo 3, paragrafo 2 della decisione quadro 2008/977/GAI. Questa disposizione riguardante l'uso dei dati ottenuti dal SID è essenziale per la struttura del sistema e richiede pertanto particolare attenzione.

38.

L'articolo 8 della proposta fa riferimento all'articolo 3, paragrafo 2 della decisione quadro 2008/977/GAI che riguarda i «principi di legalità, proporzionalità e finalità». L'articolo 3 della decisione quadro recita:

«1.   I dati personali possono essere raccolti dalle autorità competenti soltanto per finalità specifiche, esplicite e legittime nell'ambito dei loro compiti e possono essere trattati solo per la finalità per la quale sono stati raccolti. Il trattamento dei dati deve essere legale e adeguato, pertinente e non eccessivo rispetto alle finalità per le quali sono stati raccolti.

2.   L’ulteriore trattamento per un’altra finalità è ammesso a condizione che:

39.

Nonostante l'applicazione dell'articolo 3, paragrafo 2 della decisione quadro 2008/977/GAI, che prevede le condizioni generali alle quali è ammesso il trattamento per un’altra finalità, il GEPD attira l'attenzione sul fatto che la disposizione dell'articolo 8 della proposta, consentendo l'uso dei dati del SID a possibili fini amministrativi o di altro genere, non definiti dalla proposta, solleva preoccupazioni riguardo al rispetto degli obblighi in materia di protezione dei dati, in particolare il principio della limitazione delle finalità. Inoltre, lo strumento del primo pilastro non consente un siffatto uso generale. Il GEPD chiede pertanto di specificare le finalità per le quali i dati possono essere usati. Ciò è di primaria importanza dal punto di vista della protezione dei dati poiché si tratta dei principi fondamentali dell'uso dei dati nei sistemi su vasta scala: i dati dovrebbero essere usati solo per le finalità ben definite e chiaramente limitate previste dal quadro giuridico.

40.

L'articolo 8, paragrafo 4 della proposta riguarda il trasferimento di dati a paesi terzi o organizzazioni internazionali. Tale disposizione stabilisce che «i dati ottenuti dal SID possono, previa autorizzazione dello Stato membro che li ha inseriti nel Sistema e subordinatamente alle condizioni da esso stabilite, essere messi a disposizione di (…) paesi terzi e di organizzazioni internazionali o regionali che intendono servirsene. Ciascuno Stato membro adotta misure speciali per garantire la sicurezza dei dati trasferiti a servizi situati al di fuori del proprio territorio. I particolari di tali misure devono essere comunicati all'autorità comune di controllo di cui all'articolo 25.»

41.

Il GEPD rileva che si applica in questo contesto l'articolo 11 della decisione quadro sulla protezione dei dati personali. Va sottolineato tuttavia che, dato il carattere molto generale dell'applicazione della disposizione dell'articolo 8, paragrafo 4 della proposta, che consente in linea di principio agli Stati membri di trasferire i dati ottenuti dal SID a paesi terzi e organizzazioni internazionali o regionali che intendono servirsene, le garanzie previste in tale disposizione sono del tutto insufficienti dal punto di vista della protezione dei dati personali. Il GEPD chiede che l'articolo 8, paragrafo 4 sia riesaminato per assicurare un sistema uniforme di valutazione dell'adeguatezza mediante un meccanismo appropriato, ad es. il comitato di cui all'articolo 26 della proposta potrebbe partecipare a tale valutazione.

42.

Il GEPD prende atto con soddisfazione delle disposizioni sulla modifica dei dati (capitolo IV, articolo 13), che costituiscono un importante elemento del principio della qualità dei dati. Il GEPD si compiace in particolare dell'estensione e della modifica, rispetto alla convenzione SID, del campo di applicazione di tale disposizione che prevede adesso anche la rettifica e la cancellazione dei dati. Ad esempio l'articolo 13, paragrafo 2 stabilisce che qualora uno Stato membro che ha fornito i dati o Europol rilevi o sia portato a rilevare che i dati da esso inseriti sono di fatto inesatti oppure che sono stati inseriti o memorizzati contrariamente alla presente decisione, esso modifica, completa, rettifica o cancella nel modo idoneo i dati e ne informa gli altri Stati membri e Europol.

43.

Il GEPD prende atto delle disposizioni del capitolo V sulla conservazione dei dati che è essenzialmente basato sulla convenzione SID e prevede tra l'altro termini per la conservazione dei dati trasferiti dal SID.

44.

Il capitolo IX (Protezione dei dati personali) rispecchia molte delle disposizioni della convenzione SID. Prevede tuttavia una significativa modifica, ossia l'applicazione della decisione quadro sulla protezione dei dati personali al SID, indicando all'articolo 22 della proposta che «i diritti delle persone per quanto riguarda i dati personali inseriti nel Sistema informativo doganale, in particolare il diritto di accesso, di rettifica, di cancellazione o di blocco, sono esercitati conformemente alle leggi, ai regolamenti ed alle procedure dello Stato membro che attua la decisione quadro 2008/977/GAI in cui sono fatti valere» In questo contesto, il GEPD desidera rilevare in particolare l'importanza del mantenimento della procedura che consente agli interessati di far valere i loro diritti e di poter chiedere l'accesso in ogni Stato membro. Il GEPD osserverà attentamente l'attuazione pratica di questo importante diritto degli interessati.

45.

La proposta estende inoltre il campo di applicazione della convenzione SID per quanto riguarda il divieto di trasferire i dati dal SID in altri registri nazionali. La convenzione SID stabilisce espressamente all'articolo 14, paragrafo 2 che «i dati personali inseriti da altri Stati membri non possono essere trasferiti dal SID in altri registri nazionali». L'articolo 21, paragrafo 3 della proposta consente di copiarli «in caso di copie nei sistemi di gestione dei rischi intesi ad orientare i controlli doganali a livello nazionale oppure di copie in un sistema di analisi operativa utilizzato per coordinare le azioni». A tale proposito, il GEPD condivide le osservazioni formulate dall'autorità comune di controllo in materia doganale nel parere 09/03, in particolare per quanto riguarda i termini «sistemi di gestione dei rischi» nonché la necessità di disciplinare ulteriormente i casi in cui la copia consentita all'articolo 21, paragrafo 3 è possibile.

46.

Il GEPD si compiace delle disposizioni sulla sicurezza, che sono essenziali per l'efficace funzionamento del SID (capitolo XII).

47.

La proposta aggiunge disposizioni sull'archivio d'identificazione dei fascicoli a fini doganali (articoli 16-19). Ciò rispecchia la creazione dell'archivio d'identificazione dei fascicoli a fini doganali nello strumento del primo pilastro. Il GEPD, pur non mettendo in questione la necessità di tali nuovi archivi nel quadro del SID, richiama l'attenzione sull'esigenza di adeguate garanzie in materia di protezione dei dati. In questo contesto, il GEPD si compiace del fatto che l'eccezione prevista all'articolo 21, paragrafo 3 non si applichi agli archivi d’identificazione dei fascicoli a fini doganali.

48.

La proposta garantisce l'accesso al sistema da parte dell'Ufficio europeo di polizia (Europol) e dell'Unità europea di cooperazione giudiziaria (Eurojust).

49.

Innanzitutto, il GEPD sottolinea la necessità di definire chiaramente lo scopo dell'accesso e di valutare la proporzionalità e necessità dell'estensione dell'accesso. Mancano le informazioni sul motivo per cui è necessario estendere l'accesso al sistema ad Europol e Eurojust. Il GEPD rileva inoltre che quando si tratta dell'accesso a basi di dati, di funzionalità e del trattamento di dati personali è chiaramente necessario valutare in anticipo non solo l'utilità di tale accesso, ma anche la necessità reale e documentata della proposta. Il GEPD sottolinea che non è stata fornita alcuna motivazione.

50.

Il GEPD chiede inoltre che nel testo vengano definite chiaramente le precise missioni per le quali può essere concesso ad Europol e Eurojust di avere accesso ai dati.

51.

Ai sensi dell'articolo 11, «Europol ha il diritto, nei limiti del suo mandato e ai fini dell'adempimento dei suoi compiti, di accedere ai dati inseriti nel SID, di consultarli direttamente e di inserire dati nel suddetto sistema.».

52.

Il GEPD accoglie con favore le limitazioni introdotte nella proposta, quali in particolare:

53.

Il GEPD vorrebbe inoltre far presente che allorché la proposta fa riferimento alla convenzione Europol occorrerebbe tener conto della decisione del Consiglio in base alla quale, a decorrere dal 1o gennaio 2010, Europol diventerà un'agenzia dell'UE.

54.

L'articolo 12 della proposta riguarda l'accesso di Eurojust al SID. Esso stabilisce che fatto salvo il capitolo IX, i membri nazionali e i loro assistenti hanno il diritto, nei limiti del loro mandato e ai fini dell'adempimento dei compiti di Eurojust, di accedere ai dati inseriti nel SID a norma degli articoli 1, 3, 4, 5 e 6 e di consultarli. La proposta prevede meccanismi analoghi a quelli previsti per Europol riguardo al consenso dello Stato membro che ha inserito i dati. Le osservazioni di cui sopra riguardo all'esigenza di giustificare la necessità di fornire l'accesso e di prevedere le adeguate e necessarie limitazioni qualora l'accesso sia consentito si applicano anche ad Eurojust.

55.

Il GEPD accoglie con favore la limitazione dell'accesso al SID ai membri nazionali di Eurojust, ai loro aggiunti e ai loro assistenti. Il GEPD rileva tuttavia che l'articolo 12, paragrafo 1 menziona solo i membri nazionali e i loro assistenti mentre altri paragrafi dello stesso articolo menzionano anche gli aggiunti. Il legislatore dovrebbe assicurare chiarezza e coerenza in questo contesto.

56.

Per quanto riguarda il proposto controllo della parte del SID che rientra nel terzo pilastro, il GEPD attira l'attenzione del legislatore sulla necessità di assicurare un controllo coerente e globale dell'intero sistema. Dovrebbe essere tenuto conto del complesso quadro giuridico che disciplina il SID, fondato su due basi giuridiche, e dovrebbero essere evitati due diversi modelli di controllo sia per motivi di chiarezza giuridica che per motivi pratici.

57.

Come precedentemente indicato nel parere, il GEPD svolge attualmente le funzioni di autorità di controllo degli elementi essenziali della parte del sistema che rientra nell'ambito del primo pilastro. Ciò è conforme all'articolo 37 del regolamento (CE) n. 515/97 che stabilisce che il garante europeo della protezione dei dati controlla la conformità del SID con le disposizioni del regolamento (CE) n. 45/2001. Il GEPD rileva che il modello di controllo, quale figura nella proposta francese, non tiene conto di questo ruolo. Il modello di controllo è basato sul ruolo dell'autorità comune di controllo del SID.

58.

Il GEPD, pur apprezzando il lavoro svolto dall'autorità comune di controllo del SID, sottolinea due motivi per cui dovrebbe essere applicato un modello di controllo coordinato, coerente con i suoi attuali compiti di controllo in altri sistemi su vasta scala. In primo luogo, tale modello assicurerebbe la coerenza interna tra le parti del sistema che rientrano nel primo e nel terzo pilastro. In secondo luogo, assicurerebbe la coerenza con i modelli istituiti in altri sistemi su vasta scala. Pertanto, il GEPD raccomanda di applicare al SID nel suo complesso un modello analogo a quello usato nel SIS II («controllo coordinato» o «modello a vari livelli»). Come indicato nel parere del GEPD sulla parte del SID che rientra nell'ambito del primo pilastro, nel quadro del SIS II, il legislatore europeo ha optato per una razionalizzazione del modello di controllo applicando lo stesso modello a vari livelli descritto sia per il sistema nel contesto del primo pilastro che per quello del contesto del terzo pilastro.

59.

Il GEPD ritiene che la soluzione più opportuna al riguardo consista nell'introduzione di un sistema di controllo più uniforme, ossia il modello già sperimentato basato su una struttura a tre livelli: autorità per la protezione dei dati a livello nazionale, GEPD a livello centrale e coordinamento tra entrambi. Il GEPD è convinto che la sostituzione della convenzione SID costituisca un'opportunità unica per assicurare la semplificazione e una maggiore coerenza del controllo, del tutto in linea con altri sistemi su vasta scala (VIS, SIS II, Eurodac).

60.

Infine, il modello di controllo coordinato tiene anche maggiormente conto delle modifiche che saranno introdotte dall'entrata in vigore del trattato di Lisbona e dall'abolizione della struttura a pilastri dell'UE.

61.

Il GEPD non assume posizione sull'eventuale necessità, in conseguenza dell'inserimento del modello di controllo coordinato, di modifiche allo strumento del primo pilastro che disciplina il SID, ossia il regolamento (CE) n. 766/2008 recante modifica del regolamento (CE) n. 515/97 del Consiglio, ma attira l'attenzione del legislatore sulla necessità di analizzare tale aspetto anche dal punto di vista della coerenza giuridica.

62.

L'articolo 7, paragrafo 2 prevede l'obbligo per ciascuno Stato membro di inviare agli altri Stati membri e al comitato di cui all'articolo 26 un elenco delle autorità competenti da esso nominate per accedere al SID, precisando, per ciascuna autorità, a quali dati può avere accesso e per quali scopi.

63.

Il GEPD attira l'attenzione sul fatto che la proposta prevede soltanto lo scambio tra gli Stati membri delle informazioni sulle autorità che hanno accesso al SID e la relativa comunicazione al comitato di cui all'articolo 26, ma che non è prevista la pubblicazione di un siffatto elenco di autorità. Ciò è deprecabile poiché tale pubblicazione contribuirebbe a ottenere una maggiore trasparenza e creare uno strumento pratico per un efficace controllo del sistema, ad es. da parte delle competenti autorità per la protezione dei dati.

64.

Il GEPD appoggia la proposta di decisione del Consiglio sull'uso dell'informatica nel settore doganale. Sottolinea che, a causa dei lavori legislativi in corso in sede di Consiglio, le sue osservazioni non sono basate sul testo definitivo della proposta.

65.

Deplora la mancanza di documenti esplicativi che potrebbero fornire necessari chiarimenti e informazioni sugli obiettivi e le particolarità di alcune disposizioni della proposta.

66.

Il GEPD chiede che nella proposta sia riservata maggiore attenzione alla necessità di garanzie specifiche in materia di protezione dei dati. Ritiene che riguardo a varie questioni l'attuazione pratica delle garanzie in materia di protezione dei dati debba essere meglio assicurata, in particolare riguardo all'applicazione della limitazione delle finalità in relazione all'uso dei dati inseriti ne SID. Il GEPD ritiene che questo sia un presupposto essenziale per migliorare il funzionamento del Sistema informativo doganale.

67.

Il GEPD chiede di inserire nella proposta un modello di controllo coordinato. Va rilevato che il GEPD svolge attualmente compiti di controllo sulla parte del sistema che rientra nel primo pilastro. Sottolinea che per motivi di coerenza il migliore approccio consiste nell'applicare il modello di controllo coordinato anche alla parte del sistema che rientra nel terzo pilastro. Questo modello assicurerebbe, se necessario e opportuno, la coerenza con altri strumenti giuridici che disciplinano l'istituzione e/o l'uso di altri sistemi informatici su vasta scala.

68.

Il GEPD chiede maggiori spiegazioni sulla necessità e proporzionalità dell'accesso da parte di Eurojust e Europol. Rileva la mancanza di informazioni esplicative su tale questione nella proposta.

69.

Il GEPD insiste inoltre sul rafforzamento della disposizione dell'articolo 8, paragrafo 4 della proposta riguardante il trasferimento di dati a paesi terzi o organizzazioni internazionali Ciò include la necessità di assicurare un sistema uniforme di valutazione dell'adeguatezza.

70.

Il GEPD chiede l'inserimento di una disposizione sulla pubblicazione dell'elenco delle autorità che hanno accesso al SID, al fine di migliorare la trasparenza e facilitare il controllo del sistema.

23.9.2009   

IT

Gazzetta ufficiale dell'Unione europea

C 229/19

1.

Il 10 dicembre 2008, la Commissione ha adottato due proposte di modifica, rispettivamente, del regolamento (CE) n. 726/2004 e della direttiva 2001/83/CE (3). Il regolamento (CE) n. 726/2004 istituisce procedure comunitarie per l’autorizzazione e la sorveglianza dei medicinali per uso umano e veterinario, e istituisce l’agenzia europea per i medicinali (in seguito «l’EMEA») (4). La direttiva 2001/83/CE contiene norme riguardanti il codice comunitario relativo ai medicinali per uso umano e regola i processi specifici a livello di Stato membro (5). Le proposte di modifica si riferiscono, in entrambi gli strumenti, alle parti che si occupano della farmacovigilanza dei medicinali per uso umano.

2.

La «farmacovigilanza» può essere definita come la scienza e le attività che hanno per oggetto l'individuazione, la valutazione, la comprensione e la prevenzione delle reazioni avverse a medicinali (6). Il sistema di farmacovigilanza attualmente in vigore in Europa permette a pazienti e operatori sanitari di segnalare le reazioni avverse a medicinali agli organismi pubblici e privati competenti a livello nazionale e europeo. L’EMEA gestisce una base di dati europea (la base di dati EudraVigilance) che funge da punto centralizzato di gestione e segnalazione di sospette reazioni avverse a medicinali.

3.

La farmacovigilanza è considerata un complemento necessario al sistema comunitario di autorizzazione dei medicinali risalente al 1965, anno di adozione della direttiva 65/65/CEE del Consiglio (7).

4.

Dalla relazione e dalla valutazione d’impatto allegate alle proposte risulta che l’attuale sistema di farmacovigilanza presenta una serie di carenze, tra cui la mancanza di chiarezza per quanto riguarda i ruoli e le responsabilità dei vari attori coinvolti, complicate procedure di segnalazione delle reazioni avverse a medicinali, l’esigenza di potenziare la trasparenza e la comunicazione sulla sicurezza dei farmaci e la necessità di razionalizzare la pianificazione della gestione dei rischi dei medicinali.

5.

L’obiettivo generale delle due proposte è rimediare a tali carenze e migliorare e potenziare il sistema comunitario di farmacovigilanza nell’intento generale di tutelare maggiormente la salute pubblica, di garantire il corretto funzionamento del mercato interno e di semplificare le attuali norme e procedure (8).

6.

Il funzionamento generale dell’attuale sistema di farmacovigilanza si basa sul trattamento dei dati personali. Tali dati sono inclusi nelle segnalazioni di reazioni avverse a medicinali e possono considerarsi dati relativi alla salute («dati sanitari») delle persone interessate, in quanto rivelano informazioni sull’uso di medicinali e sui problemi di salute ad essi associati. Il trattamento di questi dati è soggetto a rigide norme sulla protezione dei dati conformemente all’articolo 10 del regolamento (CE) n. 45/2001 e all’articolo 8 della direttiva 95/46/CE (9). L’importanza di proteggere tali dati è stata recentemente più volte sottolineata dalla Corte europea dei diritti dell'uomo nel contesto dell’articolo 8 della Convenzione europea dei diritti dell'uomo: «La protezione dei dati personali, in particolare dei dati medici, è di importanza fondamentale per l'esercizio da parte di una persona del diritto al rispetto della sua vita privata e familiare, garantito dall'articolo 8 della convenzione» (10).

7.

Ciononostante, nell’attuale testo del regolamento (CE) n. 726/2004 e della direttiva 2001/83/CE non figura alcun riferimento alla protezione dei dati, eccettuato un riferimento specifico incluso nel regolamento, che sarà discusso a partire dal punto 21.

8.

Il garante europeo della protezione dei dati (GEPD) si rammarica della mancata considerazione, nelle proposte di modifica, degli aspetti connessi alla protezione dei dati e di non essere stato consultato formalmente sulle due proposte di modifica conformemente all’articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001. Il presente parere si basa pertanto sull’articolo 41, paragrafo 2 del medesimo regolamento. Il GEPD raccomanda di includere nel preambolo di entrambe le proposte un riferimento al presente parere.

9.

Il GEPD osserva che, quantunque la protezione dei dati non sia sufficientemente considerata né nell’attuale quadro giuridico relativo alla farmacovigilanza né nelle proposte, l’applicazione pratica del sistema comunitario centrale EudraVigilance solleva chiaramente questioni connesse alla protezione dei dati. A tal fine, nel giugno 2008 l’EMEA ha notificato al GEPD l’attuale sistema EudraVigilance per un controllo preventivo a norma dell’articolo 27 del regolamento (CE) n. 45/2001.

10.

Il presente parere e le conclusioni del GEPD sul controllo preventivo (la cui pubblicazione è prevista per quest’anno) si sovrapporranno necessariamente in alcuni punti. Tuttavia, ciascun strumento si concentra su un aspetto diverso: mentre il presente parere verte sul quadro giuridico generale su cui si basa il sistema derivante dal regolamento (CE) n. 726/2004 e dalla direttiva 2001/83/CE, nonché dalle relative proposte di modifica, il controllo preventivo costituisce un’analisi dettagliata della protezione dei dati, incentrata sulle modalità di elaborazione delle attuali norme negli strumenti successivi (ad es., decisioni e linee direttrici), emanati dall’EMEA o dalla Commissione e dall’EMEA congiuntamente, e sulle modalità di funzionamento pratico del sistema EudraVigilance.

11.

Il presente parere procederà dapprima ad una spiegazione semplificata del sistema di farmacovigilanza dell’UE quale deriva dal regolamento (CE) n. 726/2004 e dalla direttiva 2001/83/CE nell’attuale formulazione. Successivamente, analizzerà la necessità del trattamento dei dati personali nel contesto della farmacovigilanza. Quindi, discuterà le proposte della Commissione intese a migliorare il quadro giuridico, attuale e previsto, e formulerà raccomandazioni su come garantire e migliorare le norme relative alla protezione dei dati.

12.

Nell’Unione europea vari sono gli attori che partecipano alla raccolta e diffusione delle informazioni sulle reazioni avverse a medicinali. A livello nazionale, i due attori principali sono i titolari di autorizzazioni all’immissione in commercio (ditte autorizzate a immettere i medicinali sul mercato) e le autorità nazionali competenti (autorità responsabili dell’autorizzazione all’immissione in commercio). Le autorità nazionali competenti autorizzano i medicinali mediante procedure nazionali che includono la «procedura di mutuo riconoscimento» e la «procedura decentrata» (11). Per i medicinali autorizzati mediante la cosiddetta «procedura decentrata», anche la Commissione europea può agire in qualità di autorità competente. Un altro attore importante a livello europeo è l’EMEA. Uno dei compiti dell’agenzia consiste nel garantire la divulgazione delle informazioni sulle reazioni avverse a medicinali autorizzati nella Comunità, mediante una base di dati, ossia la summenzionata base di dati EudraVigilance.

13.

La direttiva 2001/83/CE menziona in termini generali la responsabilità che incombe agli Stati membri di applicare un sistema di farmacovigilanza in cui siano raccolte le informazioni «utili per la sorveglianza dei medicinali» (articolo 102). Conformemente agli articoli 103 e 104 della direttiva 2001/83/CE [vedi anche gli articoli 23 e 24 del regolamento (CE) n. 726/2004], i titolari di autorizzazioni all’immissione in commercio devono disporre di un sistema di farmacovigilanza proprio per essere responsabili dei prodotti che hanno immesso in commercio e per garantire, se necessario, l’eventuale adozione di misure appropriate. Le informazioni sono raccolte presso gli operatori sanitari o i pazienti direttamente. Il titolare dell’autorizzazione all’immissione in commercio deve comunicare per via elettronica all’autorità nazionale competente tutte le informazioni pertinenti per il rapporto rischio/beneficio di un medicinale.

14.

La stessa direttiva 2001/83/CE non è molto precisa né riguardo al tipo di informazioni sulle reazioni avverse da raccogliere a livello nazionale, né sulle loro modalità di conservazione o di comunicazione. Gli articoli 104 e 106 fanno riferimento solo a «relazioni» che occorre redigere. È possibile trovare norme più dettagliate su tali relazioni nelle linee direttrici elaborate dalla Commissione, previa consultazione dell’EMEA, degli Stati membri e delle parti interessate, conformemente all’articolo 106. In queste linee direttrici sulla farmacovigilanza dei medicinali per uso umano (in seguito denominate «le linee direttrici») si fa riferimento alle cosiddette «relazioni sulla sicurezza riguardanti casi specifici» (in seguito «ICSR»), che sono relazioni sulle reazioni avverse a medicinali riguardanti uno specifico paziente (12). Dalle linee direttrici risulta che un elemento delle informazioni minime richieste nelle ICSR è il «paziente identificabile» (13). Si indica che il paziente può essere identificato mediante le iniziali, il numero di paziente, la data di nascita, il peso, l’altezza e il sesso, il numero di fascicolo di ospedale, informazioni sulla sua storia clinica o sui suoi genitori (14).

15.

Sottolineando l’identificabilità del paziente, il trattamento di tali informazioni rientra chiaramente nell’ambito delle norme sulla protezione dei dati stabilite nella direttiva 95/46/CE. Infatti, benché il paziente non sia menzionato per nome, risulta possibile identificarlo mettendo assieme le diverse informazioni (ad es., ospedale, data di nascita, iniziali) e in circostanze specifiche (ad es., comunità chiuse o piccole località). Pertanto, le informazioni trattate nel contesto della farmacovigilanza dovrebbero essere considerate, in linea di massima, come relative ad una persona fisica identificabile ai sensi dell’articolo 2, lettera a) della direttiva 95/46/CE (15). Benché questo aspetto non sia chiaro né nel regolamento né nella direttiva, lo è nelle linee direttrici, ove si dichiara che le informazioni devono essere il più possibile complete, tenuto conto della legislazione dell'UE sulla protezione dei dati (16).

16.

Va rilevato che, malgrado le linee direttrici, la segnalazione di reazioni avverse a livello nazionale è lungi dall’essere uniforme. Questo aspetto sarà ulteriormente discusso nei punti 24 e 25.

17.

Nel sistema di farmacovigilanza dell’UE, svolge un ruolo fondamentale la base di dati EudraVigilance, gestita dall’EMEA. Come già detto, EudraVigilance è una rete e un sistema di gestione centralizzati del trattamento dei dati, il cui fine consiste nel segnalare e valutare sospette reazioni avverse durante lo sviluppo e dopo l’autorizzazione all’immissione in commercio dei medicinali nella Comunità europea e nei paesi appartenenti allo spazio economico europeo. La base giuridica della base di dati EudraVigilance è l’articolo 57, paragrafo 1, lettera d) del regolamento (CE) n. 726/2004.

18.

L’attuale base di dati EudraVigilance consta di due componenti, ossia 1) le informazioni derivanti dalle sperimentazioni cliniche (effettuate nella fase precedente l’immissione in commercio del medicinale, detto perciò periodo «pre-autorizzazione») e 2) le informazioni derivanti dalle relazioni sulle reazioni avverse (raccolte nella fase successiva, detto perciò periodo «post-autorizzazione»). Il presente parere si occupa in particolare del periodo «post-autorizzazione», su cui si incentrano le proposte di modifica.

19.

La base di dati EudraVigilance contiene dati sui pazienti, derivanti dalle ICSR. Le autorità nazionali competenti [vedi. articolo 102 della direttiva 2001/83/CE e l’articolo 22 del regolamento (CE) n. 726/2004] e in alcuni casi i titolari di autorizzazioni all’immissione in commercio direttamente [ved. articolo 104 della direttiva 2001/83/CE e articolo 24 del regolamento (CE) n. 726/2004] trasmettono le ICSR all’EMEA.

20.

Il presente parere verte in particolare sul trattamento delle informazioni personali relative ai pazienti. Va rilevato, tuttavia, che la base di dati EudraVigilance contiene anche informazioni personali sulle persone che lavorano per l’autorità nazionale competente o i titolari dell’autorizzazione all’immissione in commercio quando inseriscono informazioni nella base di dati. Il sistema memorizza nome e cognome, indirizzo, estremi e dati del documento d’identità di queste persone. Un’altra categoria di informazioni personali è costituita dai dati relativi alle cosiddette «persone qualificate incaricate della farmacovigilanza», nominate dai titolari di autorizzazioni all’immissione in commercio conformemente all’articolo 103 della direttiva 2001/83/CE. Ovviamente, al trattamento di tali informazioni si applicano appieno i diritti e gli obblighi derivanti dal regolamento (CE) n. 45/2001.

21.

L’articolo 57, paragrafo 1, lettera d) del regolamento (CE) n. 726/2004 dispone che la base di dati sia consultabile in modo permanente da tutti gli Stati membri. Gli operatori sanitari, i titolari di autorizzazioni all'immissione in commercio e il pubblico devono pertanto disporre di appropriati livelli di accesso a tale base di dati; è garantita la protezione dei dati personali. Come già detto al punto 7, questa è l’unica disposizione, sia nel regolamento che nella direttiva, che fa riferimento alla protezione dei dati.

22.

L’articolo 57, paragrafo 1, lettera d) ha portato al seguente regime sull'accesso. Una volta che l’EMEA riceve un’ICSR, questa è inserita direttamente nel gateway di EudraVigilance, al quale l’EMEA, le autorità nazionali competenti e la Commissione hanno pieno accesso. Una volta che l’ICSR è stata convalidata (controllata sotto il profilo dell'autenticità e dell'unicità) dall’EMEA, l’informazione è trasferita dall’ICSR alla vera e propria base di dati. L’EMEA, le autorità nazionali competenti e la Commissione hanno pieno accesso alla base di dati, mentre l’accesso dei titolari di autorizzazioni all’immissione in commercio alla base di dati è soggetto a talune restrizioni, si limita cioè esclusivamente ai dati che essi stessi hanno trasmesso all'EMEA. Le informazioni aggregate relative alle ICSR sono infine inserite nel sito Web di EudraVigilance, che è accessibile al grande pubblico, operatori sanitari compresi.

23.

Il 19 dicembre 2008, l’EMEA ha pubblicato sul suo sito Web un progetto di politica di accesso sulla consultazione pubblica (17). Il documento mostra come l’EMEA prevede di attuare l’articolo 57, paragrafo 1, lettera d) del regolamento (CE) n. 726/2004. Il GEPD ritornerà brevemente su questo tema a partire dal punto 48.

24.

La valutazione d’impatto della Commissione mostra che l’attuale sistema di farmacovigilanza dell’UE, considerato complesso e poco chiaro, è carente per vari aspetti. Il complicato sistema di raccolta, memorizzazione e condivisione dei dati da parte dei diversi attori a livello nazionale ed europeo è presentato come una delle principali carenze. Tale situazione è ulteriormente complicata dal fatto che esistono disparità nell’applicazione della direttiva 2001/83/CE negli Stati membri (18). Di conseguenza, le autorità nazionali competenti e l'EMEA sono spesso confrontate a relazioni, riguardanti casi di reazioni avverse ai medicinali, incomplete o ridondanti (19).

25.

Ciò è dovuto al fatto che, nonostante la descrizione del contenuto delle ICSR figurante nelle linee direttrici summenzionate, gli Stati membri hanno facoltà di decidere come approntare tali relazioni a livello nazionale. Il margine di scelta riguarda sia i mezzi di comunicazione usati dai titolari di autorizzazioni all’immissione in commercio per la segnalazione alle autorità nazionali competenti, sia le informazioni effettive incluse nelle relazioni (in Europa non esiste un modulo uniforme di segnalazione). Inoltre, alcune autorità nazionali competenti possono applicare specifici criteri di qualità per l’ammissibilità delle relazioni (in funzione del contenuto, del livello di completezza, ecc.), mentre in altri paesi può non essere così. È ovvio che l’approccio utilizzato a livello nazionale per la segnalazione e la valutazione di qualità delle ICSR ha un impatto diretto sul modo in cui tale segnalazione è effettuata all’EMEA, cioè alla base di dati EudraVigilance.

26.

Il GEPD desidera sottolineare che le summenzionate carenze non portano solo a inconvenienti pratici ma costituiscono anche una minaccia notevole per la protezione dei dati sanitari dei cittadini. Benché, come illustrato nei punti precedenti, il trattamento di dati sanitari sia effettuato in varie fasi del processo di funzionamento del sistema di farmacovigilanza, non esistono attualmente disposizioni relative alla protezione di tali dati. Unica eccezione è il riferimento generale alla protezione dei dati all'articolo 57, paragrafo 1, lettera d) del regolamento (CE) n. 726/2004 che riguarda solo l'ultima fase del trattamento di dati, segnatamente l'accessibilità dei dati contenuti nella base di dati EudraVigilance. Inoltre, la mancanza di chiarezza per quanto riguarda i ruoli e le responsabilità dei vari attori coinvolti nel trattamento nonché la mancanza di norme specifiche per il trattamento stesso costituiscono una minaccia per la riservatezza, e anche per l'integrità e per la responsabilità dei dati personali trattati.

27.

Il GEPD desidera pertanto sottolineare che la mancanza di un'analisi approfondita della protezione dei dati, che appare nel quadro normativo sul quale poggia il sistema di farmacovigilanza dell'UE, deve essere parimenti considerata una carenza dell'attuale sistema. Occorre rimediare a tale carenza modificando la normativa vigente.

28.

Innanzi tutto e in generale, il GEPD desidera sollevare la questione se il trattamento dei dati sanitari relativi a persone fisiche identificabili sia effettivamente necessario in tutte le fasi del sistema di farmacovigilanza (a livello nazionale ed europeo).

29.

Come illustrato sopra, nelle ICSR il paziente non è menzionato con il nome e non è identificato come tale. Tuttavia, il paziente potrebbe ancora essere identificabile in taluni casi combinando vari elementi d'informazione delle ICSR. Come risulta dalle linee direttrici in taluni casi, è indicato il numero specifico del paziente, il che implica che il sistema nel suo insieme consente di rintracciare la persona di cui si tratta. Tuttavia, né la direttiva né il regolamento indicano che la tracciabilità delle persone rientra nelle finalità del sistema di farmacovigilanza.

30.

Il GEPD esorta pertanto il legislatore a precisare se la tracciabilità debba realmente essere una delle finalità del sistema di farmacovigilanza ai vari livelli del trattamento e più specificamente nell'ambito della base di dati Eudravigilance.

31.

A tale riguardo è utile fare un raffronto con il regime previsto per la donazione e il trapianto di organi (20). Nell'ambito del trapianto di organi, la tracciabilità di un organo fino al donatore nonché al ricevente di tale organo è di estrema importanza, specie nei casi di eventi o reazioni avversi gravi.

32.

Nell'ambito della farmacovigilanza, tuttavia, il GEPD non dispone di prove sufficienti per concludere che la tracciabilità sia realmente sempre necessaria. La farmacovigilanza riguarda la segnalazione delle reazioni avverse ai medicinali che sono e saranno utilizzati da un numero (prevalentemente) sconosciuto di persone. Vi è tuttavia, in ogni caso nel periodo post-autorizzazione, un collegamento meno sistematico e particolare tra le informazioni sulle reazioni avverse e la persona interessata, come nel caso delle informazioni relative agli organi e alle persone coinvolte nel trapianto di un organo specifico. È ovvio che i pazienti che hanno utilizzato un determinato medicinale e hanno segnalato reazioni avverse sono interessati a sapere l'esito di ogni ulteriore valutazione. Ciò tuttavia non significa che le informazioni segnalate debbano in ogni caso essere collegate a questa persona specifica durante tutto il processo di farmacovigilanza. In numerosi casi dovrebbe essere sufficiente collegare le informazioni relative alle reazioni avverse al medicinale stesso, il che consente agli attori interessati, magari tramite gli operatori sanitari, di informare i pazienti in generale sulle conseguenze dell'assunzione di un determinato medicinale.

33.

Se la tracciabilità è prevista nonostante tutto, il GEPD desidera rammentare l'analisi effettuata nel suo parere riguardo alla proposta della Commissione di direttiva relativa alle norme di qualità e sicurezza degli organi umani destinati ai trapianti. In tale parere ha spiegato il nesso tra la tracciabilità, l'identificabilità, l'anonimato e la riservatezza dei dati. L'identificabilità è un termine fondamentale nella normativa in materia di protezione dei dati (21). Le norme in materia di protezione dei dati si applicano ai dati riguardanti le persone che sono identificate o identificabili  (22). La tracciabilità dei dati fino a una persona specifica può essere allineata alla identificabilità. Nella normativa in materia di protezione dei dati, l'anonimato è il contrario dell'identificabilità, e pertanto della tracciabilità. Solo se è impossibile identificare (o rintracciare) la persona alla quale si riferiscono i dati, questi ultimi sono considerati anonimi. Il concetto di «anonimato» è quindi diverso da come è regolarmente inteso nella vita quotidiana, ossia che una persona non può essere identificata a partire dai dati in quanto tali, ad esempio perché il suo nome è stato cancellato. In tali situazioni si fa riferimento invece alla riservatezza dei dati, ossia le informazioni sono (pienamente) accessibili solo alle persone autorizzate. Mentre la tracciabilità e l'anonimato non possono coesistere, lo possono invece la tracciabilità e la riservatezza.

34.

Oltre alla tracciabilità, un'altra motivazione del fatto che i pazienti devono essere identificabili in tutto il processo di farmacovigilanza potrebbe essere il buon funzionamento del sistema. Il GEPD ritiene che quando le informazioni si riferiscono a una persona identificabile e quindi unica, è più facile per le autorità competenti (ossia le autorità nazionali competenti e l'EMEA) monitorare e controllare il contenuto delle ICSR (ad esempio verificare l'esistenza di duplicati). Benché il GEPD riconosca la necessità di un siffatto meccanismo di controllo, non è convinto che ciò di per sé giustifichi la conservazione dei dati identificabili in tutte le fasi del processo di farmacovigilanza e soprattutto nella base di dati EudraVigilance. Le duplicazioni possono essere evitate già a livello nazionale strutturando e coordinando meglio il sistema di segnalazione, ad esempio tramite un sistema decentrato esaminato in appresso, ai punti 42 e successivi.

35.

Il GEPD riconosce che in circostanze particolari è impossibile rendere anonimi i dati, ad esempio quando si tratta di determinati medicinali usati da un gruppo molto limitato di persone. Per questi casi specifici occorre prevedere garanzie per adempiere gli obblighi derivanti dalla normativa in materia di protezione dei dati.

36.

Per concludere, il GEPD dubita seriamente della necessità della tracciabilità o dell'uso di dati relativi a pazienti identificabili in ogni fase del processo di farmacovigilanza. Il GEPD è consapevole che non è possibile escludere il trattamento di dati identificabili in ogni fase, soprattutto a livello nazionale, nell'ambito del quale avviene la raccolta effettiva delle informazioni relative alle reazioni avverse. Tuttavia, le norme in materia di protezione dei dati impongono che il trattamento di dati sanitari avvenga solo quando è strettamente necessario. L'uso di dati identificabili dovrebbe pertanto essere ridotto per quanto possibile ed evitato o interrotto quanto prima possibile nei casi in cui non è ritenuto necessario. Il GEPD esorterebbe pertanto il legislatore a rivalutare la necessità di utilizzare tali informazioni a livello europeo e nazionale.

37.

Si rileva che nei casi in cui è veramente necessario trattare i dati identificabili o quando i dati non possono essere resi anonimi (cfr. punto 35), occorre esaminare le possibilità tecniche di identificazione indiretta delle persone interessate, ad esempio facendo uso di meccanismi di pseudonimia (23).

38.

Il GEPD raccomanda pertanto di inserire nel regolamento (CE) n. 726/2004 e nella direttiva 2001/83/CE un nuovo articolo che prevede che le disposizioni del regolamento (CE) n. 726/2004 e della direttiva 2001/83/CE lascino impregiudicati i diritti e gli obblighi derivanti dalle disposizioni del regolamento (CE) n. 45/2001 e della direttiva 95/46/CE rispettivamente, con riferimento specifico all'articolo 10 del regolamento (CE) n. 45/2001 e all'articolo 8 della direttiva 95/46/CE rispettivamente. A ciò va aggiunto che i dati sanitari identificabili sono trattati solo quando strettamente necessario e le parti coinvolte dovrebbero valutare questa necessità in ogni singola fase del processo di farmacovigilanza.

39.

Benché la protezione dei dati sia quasi non presa in considerazione nelle proposte di modifica, un'analisi più dettagliata della proposta resta istruttiva, in quanto mostra che alcune delle modifiche previste aumentano l'impatto e i conseguenti rischi per la protezione dei dati.

40.

L'obiettivo generale delle due proposte è quello di migliorare la coerenza delle norme, chiarire le responsabilità, semplificare il sistema di segnalazione e rafforzare la base di dati EudraVigilance (24).

41.

La Commissione ha chiaramente cercato di chiarire le responsabilità proponendo di modificare le disposizioni vigenti in modo tale che nella legislazione stessa sia precisato in maniera più esplicita «chi deve fare cosa». Naturalmente la chiarezza in merito agli attori coinvolti e ai loro rispettivi obblighi riguardanti la segnalazione di reazioni avverse rafforza la trasparenza del sistema e costituisce pertanto uno sviluppo positivo dal punto di vista della protezione dei dati. I pazienti dovrebbero in generale poter comprendere dalla legislazione come, quando e da chi sono trattati i loro dati personali. Tuttavia, i doveri e le responsabilità che ci si propone di chiarire dovrebbero altresì essere esplicitamente posti in relazione con i doveri e le responsabilità derivanti dalla legislazione in materia di protezione dei dati.

42.

La semplificazione del sistema di segnalazione dovrebbe essere realizzata mediante l'uso dei portali Web nazionali sulla sicurezza dei medicinali collegati al portale Web europeo sulla sicurezza dei medicinali [cfr. il nuovo articolo 106 della direttiva 2001/83/CE e il nuovo articolo 26 del regolamento (CE) n. 726/2004]. I portali Web nazionali conterranno moduli accessibili al pubblico per la comunicazione di sospette reazioni avverse da parte dei professionisti del settore sanitario e dei pazienti [cfr. il nuovo articolo 106, paragrafo 3 della direttiva 2001/83/CE e il nuovo articolo 25 del regolamento (CE) n. 726/2004]. Anche il portale Web europeo conterrà informazioni sulle modalità di segnalazione, compresi i moduli standard online per la comunicazione da parte dei pazienti e dei professionisti del settore sanitario.

43.

Il GEPD desidera sottolineare che, benché l'uso di tali portali Web e dei moduli standard rafforzi l'efficienza del sistema di segnalazione, aumenta nel contempo i rischi del sistema per la protezione dei dati. Il GEPD esorta il legislatore a sviluppare siffatto sistema di segnalazione fatti salvi i requisiti della normativa in materia di protezione dei dati. Ciò implica, come indicato, che la necessità del trattamento dei dati personali debba essere valutata correttamente per quanto riguarda ogni fase del processo. Ciò dovrebbe apparire nella maniera in cui sono organizzate la segnalazione a livello nazionale e la comunicazione delle informazioni all'EMEA e alla base di dati EudraVigilance. In senso lato, il GEPD raccomanda fortemente di elaborare moduli uniformi a livello nazionale per evitare che pratiche divergenti portino a livelli diversi di protezione dei dati.

44.

Il sistema previsto sembra implicare che i pazienti possano segnalare direttamente all'EMEA o forse anche direttamente alla stessa base di dati EudraVigilance. Ciò significherebbe che nell'attuale applicazione della base di dati EudraVigilance, le informazioni sarebbero inserite nel Gateway di EudraVigilance, che, come illustrato ai punti 21-22, è pienamente accessibile per la Commissione e le autorità nazionali competenti.

45.

In generale, il GEPD raccomanda fortemente un sistema di segnalazione decentrato. La comunicazione di informazioni al portale Web europeo dovrebbe essere coordinata mediante l'uso dei portali Web nazionali che sono di responsabilità delle autorità nazionali competenti. Occorre ricorrere alla segnalazione indiretta da parte dei pazienti, ossia tramite gli operatori sanitari (mediante l'uso di portali Web o no) anziché alla possibilità di segnalazione diretta da parte dei pazienti soprattutto alla base di dati EudraVigilance.

46.

Un sistema di segnalazione attraverso i portali Web richiede in ogni caso norme di sicurezza rigorose. Al riguardo il GEPD rimanda al suo parere — citato in precedenza — sulla proposta di direttiva concernente i diritti dei pazienti relativi alla sanità transfrontaliera, in particolare la parte sulla sicurezza dei dati negli Stati membri e sulla tutela della vita privata nelle applicazioni di sanità elettronica (e-health) (25). In quel parere il GEPD aveva già sottolineato che la tutela della vita privata e la sicurezza dovrebbero costituire parte integrante della progettazione e della realizzazione delle applicazioni di sanità elettronica (e-health) (principio della «tutela della vita privata fin dalla progettazione», «privacy by design») (26).La stessa considerazione si applica ai portali Web previsti.

47.

Il GEPD raccomanderebbe dunque di inserire nei nuovi articoli proposti 25 e 26 del regolamento (CE) n. 726/2004 e 106 della direttiva 2001/83/CE, che riguardano lo sviluppo di un sistema di segnalazione delle reazioni avverse attraverso i portali Web, l'obbligo di prevedere idonee misure di tutela della vita privata e di sicurezza. I principi di riservatezza, integrità, responsabilità e disponibilità dei dati potrebbero anche essere menzionati come obiettivi di sicurezza maggiori, che dovrebbero essere ugualmente garantiti in tutti gli Stati membri. Si potrebbe inoltre aggiungere l'uso di norme e mezzi tecnici idonei, ad esempio la cifratura e l'autenticazione della firma digitale.

48.

Il testo proposto per il nuovo articolo 24 del regolamento (CE) n. 762/2004 riguarda la base di dati EudraVigilance. Precisa che il rafforzamento di tale base di dati implica che le diverse parti interessate faranno maggior uso della base stessa, attingendo alle informazioni in essa contenute o inserendovele. Due paragrafi dell'articolo 24 rivestono un interesse particolare.

49.

L'articolo 24, paragrafo 2 riguarda l'accessibilità alla base di dati. Esso sostituisce l'attuale articolo 57, paragrafo 1, lettera d) del regolamento (CE) n. 726/2004, discusso in precedenza, come unica disposizione che si riferisce attualmente alla protezione dei dati. Il riferimento alla protezione dei dati è mantenuto ma è ridotto il numero di attori che vi sono soggetti. Mentre il testo attuale prevede che gli operatori sanitari, i titolari delle autorizzazioni all'immissione in commercio e il pubblico dispongano di appropriati livelli di accesso alla base, con la garanzia della protezione dei dati personali, la Commissione propone ora di cancellare dall'elenco i titolari delle autorizzazioni all'immissione in commercio e di dare loro accesso «nella misura necessaria per permettere loro di adempiere i propri obblighi in materia di farmacovigilanza», senza alcun riferimento alla protezione dei dati. I motivi di questa modifica non sono chiari.

50.

L'articolo 24, paragrafo 3 stabilisce inoltre le regole di accesso alle ICSR, accesso che il pubblico può richiedere e che deve essere concesso entro 90 giorni «a condizione che la divulgazione non comprometta il carattere anonimo delle segnalazioni». Il GEPD condivide il principio di questa disposizione, ossia che soltanto dati anonimi possono essere divulgati. Tuttavia desidera sottolineare, come precisato in precedenza, che l'anonimato deve essere inteso come assoluta impossibilità di identificare la persona che ha segnalato le reazioni avverse (vedasi anche il punto 33).

51.

L'accessibilità del sistema EudraVigilance dovrebbe essere in generale riesaminata alla luce delle norme sulla protezione dei dati. Questo aspetto si ripercuote direttamente anche sul progetto di politica di accesso pubblicato dall'EMEA nel dicembre 2008, menzionato al punto 23 (27). Nella misura in cui le informazioni contenute nella base di dati EudraVigilance riguardano necessariamente persone fisiche identificabili, l'accesso a tali dati dovrebbe essere il più restrittivo possibile.

52.

Il GEPD raccomanda pertanto di inserire nel testo proposto per l'articolo 24, paragrafo 2 del regolamento (CE) n. 726/2004 una frase che precisi che l'accessibilità alla base di dati EudraVigilance è disciplinata secondo i diritti e gli obblighi derivanti dalla normativa comunitaria sulla protezione dei dati.

53.

Il GEPD desidera sottolineare che, se vengono trattati dati identificabili, il soggetto responsabile di tale trattamento dovrebbe osservare tutti i requisiti della normativa comunitaria sulla protezione dei dati. Ciò implica tra l'altro che le persone interessate siano precisamente ragguagliate sul trattamento che subiranno i dati, sull'identità di chi li tratterà e su qualsiasi altra informazione richiesta in base all'articolo 11 del regolamento (CE) n. 45/2001 e/o all'articolo 10 della direttiva 95/46/CE. Le persone interessate dovrebbero inoltre poter rivendicare i propri diritti a livello nazionale come europeo, ad esempio il diritto di accesso [articolo 12 della direttiva 95/46/CE e articolo 13 del regolamento (CE) n. 45/2001], il diritto di opposizione [articolo 18 del regolamento (CE) n. 45/2001 e articolo 14 della direttiva 95/46/CE], ecc.

54.

Il GEPD desidera pertanto raccomandare di aggiungere al testo proposto per l'articolo 101 della direttiva 2001/83/CE un paragrafo in cui si precisi che, in caso di trattamento di dati personali, la persona interessata è adeguatamente informata in conformità all'articolo 10 della direttiva 95/46/CE.

55.

Nella normativa attuale e in quella proposta l'accesso a informazioni personali contenute nella base di dati EudraVigilance non è disciplinato. Occorre sottolineare che se si ravvisa la necessità di conservare dati personali nella base di dati, come appena detto, il paziente in questione dovrebbe poter rivendicare il diritto di accesso ai propri dati, in conformità all'articolo 13 del regolamento (CE) n. 45/2001. Il GEPD desidera dunque raccomandare di aggiungere un paragrafo al testo proposto per l'articolo 24 in cui si precisi che sono adottate misure affinché la persona interessata possa esercitare il diritto di accesso ai dati che la riguardano, come previsto dall'articolo 13 del regolamento (CE) n. 45/2001.

56.

Il GEPD ritiene che l'assenza di valutazione adeguata delle implicazioni della farmacovigilanza concernenti la protezione dei dati sia una delle carenze dell'attuale quadro normativo definito dal regolamento (CE) n. 726/2004 e dalla direttiva 2001/83/CE. L'attuale modifica del regolamento (CE) n. 726/2004 e della direttiva 2001/83/CE dovrebbe essere l'occasione per introdurre la protezione dei dati come elemento del tutto sviluppato e importante della farmacovigilanza.

57.

Una questione generale che occorre pertanto affrontare è l'effettiva necessità di trattare dati sanitari personali in tutte le fasi della farmacovigilanza. Come chiarito nel presente parere il GEPD dubita seriamente che vi sia questa necessità ed esorta il legislatore a riesaminarla ai differenti livelli del processo. È evidente che il fine della farmacovigilanza può in molti casi essere raggiunto condividendo informazioni sulle reazioni avverse anonime ai sensi della normativa sulla protezione dei dati. La duplicazione delle segnalazioni può essere evitata applicando, già a livello nazionale, procedure di segnalazione dei dati ben strutturate.

58.

Le modifiche proposte prevedono un sistema di segnalazione semplificato e il rafforzamento della base di dati EudraVigilance. Il GEPD ha chiarito che queste modifiche aumentano i rischi per la protezione dei dati, soprattutto nei casi di segnalazione diretta dei pazienti all'EMEA o alla base di dati EudraVigilance. Al riguardo il GEPD raccomanda fortemente un sistema di segnalazione decentralizzato e indiretto, in base al quale la comunicazione al portale Web europeo è coordinata per il tramite dei portali Web nazionali. Il GEPD sottolinea inoltre che la tutela della vita privata e la sicurezza dovrebbero costituire parte integrante della progettazione e della realizzazione di un sistema di segnalazione mediante portali Web (principio della «tutela della vita privata fin dalla progettazione»).

59.

Sottolinea altresì che, se vengono trattati dati sanitari di persone fisiche identificate o identificabili, il soggetto responsabile di tale trattamento dovrebbe osservare tutti i requisiti della normativa comunitaria sulla protezione dei dati.

60.

Più precisamente il GEPD raccomanda di:

23.9.2009   

IT

Gazzetta ufficiale dell'Unione europea

C 229/27

23.9.2009   

IT

Gazzetta ufficiale dell'Unione europea

C 229/28

1.

Barcs–Terezino Polje

2.

Beremend–Baranjsko Petrovo Selo

3.

Berzence–Gola

4.

Drávaszabolcs–Donji Miholjac

5.

Drávaszabolcs (fiume, su richiesta) (1)

6.

Gyékényes–Koprivnica (ferrovia)

7.

Letenye–Goričan I

8.

Letenye–Goričan II (autostrada)

9.

Magyarboly–Beli Manastir (ferrovia)

10.

Mohács (fiume)

11.

Murakeresztúr–Kotoriba (ferrovia)

12.

Udvar–Dubosevica

1.

Bácsalmás–Bajmok (2)

2.

Hercegszántó–Bački Breg

3.

Kelebia–Subotica (ferrovia)

4.

Mohács (fiume)

5.

Röszke–Horgoš (autostrada)

6.

Röszke–Horgoš (ferrovia)

7.

Szeged (fiume) (2)

8.

Tiszasziget–Đjala (Gyála) (2)

9.

Tompa–Kelebija

1.

Ágerdőmajor (Tiborszállás)–Carei (ferrovia)

2.

Ártánd–Borș

3.

Battonya–Turnu

4.

Biharkeresztes–Episcopia Bihorului (ferrovia)

5.

Csengersima–Petea

6.

Gyula–Vărșand

7.

Kiszombor–Cenad

8.

Kötegyán–Salonta (ferrovia)

9.

Létavértes–Săcuieni (3)

10.

Lőkösháza–Curtici (ferrovia)

11.

Méhkerék–Salonta

12.

Nagylak–Nădlac

13.

Nyírábrány–Valea Lui Mihai (ferrovia)

14.

Nyírábrány–Valea Lui Mihai

15.

Vállaj–Urziceni

1.

Barabás–Kosino (4)

2.

Beregsurány–Luzhanka

3.

Eperjeske–Salovka (ferrovia)

4.

Lónya–Dzvinkove (5)

5.

Tiszabecs–Vylok

6.

Záhony–Čop (ferrovia)

7.

Záhony–Čop

1.

Budapest Nemzetközi Repülőtér

2.

Debrecen Repülőtér

3.

Sármellék

1.

Békéscsaba

2.

Budaörs

3.

Fertőszentmiklós

4.

Győr–Pér

5.

Kecskemét

6.

Nyíregyháza

7.

Pápa

8.

Pécs–Pogány

9.

Siófok–Balatonkiliti

10.

Szeged

11.

Szolnok

23.9.2009   

IT

Gazzetta ufficiale dell'Unione europea

C 229/30