29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/1

1.

Negli ultimi anni sono stati compiuti crescenti sforzi per migliorare la cooperazione giudiziaria in materia penale. Questo argomento, che ora occupa una posizione chiave nel programma di Stoccolma (4), è caratterizzato dalla particolare sensibilità dei dati personali pertinenti e dagli effetti che il trattamento di tali dati può avere sugli interessati.

2.

Per queste ragioni, il Garante europeo della protezione dei dati (GEPD) ha dedicato un’attenzione particolare a questo argomento (5) e con il presente parere intende sottolineare ancora una volta come la necessità di tutelare i diritti fondamentali rappresenti una pietra angolare dello spazio di libertà, sicurezza e giustizia descritto nel programma di Stoccolma.

3.

Il presente parere nasce in risposta a due iniziative per una direttiva promosse da una serie di Stati membri, come previsto dall’articolo 76 del TFUE, e precisamente:

4.

Il potere di esprimere un parere su queste iniziative rientra nel mandato conferito al GEPD dall’articolo 41 del regolamento (CE) n. 45/2001 di consigliare le istituzioni e gli organismi dell’Unione europea (UE) su tutte le questioni relative al trattamento di dati personali. Il presente parere, quindi, commenta le iniziative nella misura in cui le stesse si riferiscono al trattamento di dati personali. Non avendo ricevuto nessuna richiesta in tal senso, il GEPD ha emesso il parere di propria iniziativa (8).

5.

Il GEPD ricorda che ai sensi dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 la Commissione è tenuta a consultare il GEPD al momento dell’adozione di una proposta legislativa sulla tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali. Nel caso di un’iniziativa degli Stati membri, quest’obbligo non si applica strictu sensu. Tuttavia, dall’entrata in vigore del trattato di Lisbona, la procedura legislativa ordinaria si applica anche al settore della cooperazione giudiziaria e di polizia, con un’eccezione specifica prevista nell’articolo 76 del TFUE, ossia che un quarto degli Stati membri può prendere l’iniziativa per proporre misure UE. Ai sensi del trattato di Lisbona, queste iniziative sono allineate per quanto possibile con le proposte della Commissione e, ove possibile, si dovrebbero applicare garanzie procedurali. Per questo motivo le iniziative qui considerate sono accompagnate da una valutazione dell’impatto.

6.

In questo contesto, il GEPD non solo si rammarica di non essere stato consultato al momento della presentazione delle iniziative, ma raccomanda anche al Consiglio di stabilire una procedura che preveda la consultazione del GEPD qualora un’iniziativa promossa da Stati membri si riferisca al trattamento di dati personali.

7.

Benché perseguano obiettivi diversi — ossia il miglioramento della protezione delle vittime e la cooperazione transfrontaliera in materia penale mediante la raccolta di prove transfrontaliere —, le due iniziative presentano importanti somiglianze:

Per questi motivi, il GEPD ritiene opportuno esaminarle congiuntamente.

8.

In quest’ambito, è opportuno ricordare che anche la Commissione europea recentemente ha trattato la questione dell’acquisizione di prove con l’intento di trasmetterle alle autorità competenti in altri Stati membri (l’oggetto specifico dell’iniziativa OEI). In effetti, alla fine del 2009 è stato pubblicato un Libro verde  (11) — la cui fase di consultazione si è ormai conclusa (12) — con l’obiettivo della Commissione [derivato dal «Piano d’azione per l’attuazione del programma di Stoccolma» (13)] di presentare nel 2011 una proposta legislativa per ottenere un sistema generale di assunzione delle prove in materia penale basato sul principio del riconoscimento reciproco e riguardante tutti i tipi di prova (14).

9.

Le iniziative sopra citate rientrano nel filone delle azioni promosse dall’UE in relazione allo spazio di libertà, sicurezza e giustizia negli ultimi anni. Dal settembre 2001 si è registrata una crescita significativa dell’acquisizione e condivisione di informazioni nell’Unione europea (e con paesi terzi), anche grazie agli sviluppi nelle TCI e ad una serie di strumenti giuridici dell’UE. Anche le iniziative OPE e OEI mirano a migliorare lo scambio di informazioni relative alle persone fisiche nello spazio di libertà, sicurezza e giustizia.

10.

L’iniziativa OPE — basata sull’articolo 82, paragrafo 1, lettera d) del TFUE — si incentra sulla protezione delle vittime di atti criminali, in particolare donne, e mira a garantire loro una tutela efficace all’interno dell’Unione europea. Per raggiungere questo obiettivo, l’iniziativa OPE consente che le misure di protezione elencate nell’articolo 2, paragrafo 2, e adottate ai sensi della legge di uno Stato membro («Stato di emissione») possano essere estese ad un altro Stato membro dove la persona protetta si trasferisce («Stato di esecuzione») senza che la vittima debba avviare un nuovo procedimento o fornire nuove prove nello Stato di esecuzione.

11.

Le misure di protezione imposte (su richiesta della vittima) alla persona che determina il pericolo sono pertanto intese a proteggere la vita, l’integrità fisica e psicologica, la libertà o l’integrità sessuale della vittima nel territorio dell’UE a prescindere dai confini nazionali, e a cercare di impedire che vengano commessi nuovi reati contro la stessa vittima.

12.

L’OPE dovrebbe essere emesso su richiesta della vittima nello «Stato (membro) di emissione» da un’autorità giudiziaria (o equivalente), secondo una procedura costituita dalle seguenti fasi:

13.

Per realizzare tale obiettivo occorre adottare delle misure amministrative che in parte riguardano lo scambio di informazioni personali tra gli Stati membri «di emissione» e «di esecuzione» relativamente alla persona interessata (la «vittima») e alla persona che determina il pericolo. Lo scambio di dati personali è previsto nelle seguenti disposizioni:

14.

Le informazioni citate nel precedente paragrafo rientrano chiaramente nell’ambito dei dati personali, definiti in generale nella legislazione sulla protezione dei dati come «qualsiasi informazione concernente una persona fisica identificata o identificabile» (15) e chiariti ulteriormente dal Gruppo di lavoro dell’articolo 29. L’iniziativa OPE riguarda informazioni concernenti una persona (la vittima o la persona che determina il pericolo) ovvero informazioni utilizzate o che potrebbero essere utilizzate al fine di valutare, trattare in un certo modo o influire sullo stato di una persona (in particolare, la persona che determina il pericolo) (16).

15.

L’iniziativa OEI — basata sull’articolo 82, paragrafo 1, lettera a) del TFUE — richiede agli Stati membri di acquisire, conservare e trasmettere prove, anche se non ancora disponibili nella giurisdizione nazionale. L’iniziativa va pertanto al di là del principio di disponibilità, presentato nel programma dell’Aia del 2004 come un approccio innovativo allo scambio transfrontaliero di informazioni per le attività di contrasto (17). Inoltre, supera la decisione quadro 2008/978/GAI del Consiglio, del 18 dicembre 2008, relativa al mandato europeo di ricerca delle prove, che si applica esclusivamente a (date) prove già esistenti (18).

16.

Un OEI viene emesso affinché nello Stato di esecuzione siano compiuti uno o più atti d’indagine specifici ai fini dell’acquisizione di prove (potenzialmente non esistenti all’atto dell’emissione dell’ordine) e del loro trasferimento (articolo 12). Si applica a quasi tutte le misure di indagine (cfr. i considerando 6 e 7 dell’iniziativa).

17.

L’iniziativa OEI si prefigge l’obiettivo di creare un unico strumento efficiente e flessibile per l’acquisizione di prove situate in un altro Stato membro nell’ambito di un procedimento penale, in sostituzione dello strumento giuridico più complesso attualmente utilizzato dalle autorità giudiziarie (basato sull’assistenza giudiziaria reciproca, da un lato, e sul reciproco riconoscimento, dall’altro) (19).

18.

Ovviamente, le prove acquisite in virtù di un OEI (cfr. anche l’allegato A all’iniziativa) possono contenere dati personali, come nel caso delle informazioni relative ai conti bancari (articolo 23), delle informazioni relative a operazioni bancarie (articolo 24) e del controllo sulle operazioni bancarie (articolo 25) o potrebbero riguardare la comunicazione di dati personali (come nel caso di videoconferenze o teleconferenze, di cui agli articoli 21 e 22).

19.

Per questi motivi l’iniziativa OEI esercita un impatto significativo sul diritto alla protezione dei dati personali. Anche considerando che il termine per l’attuazione della decisione quadro 2008/978/GAI non è ancora scaduto (e pertanto è difficile valutare l’efficacia dello strumento e l’esigenza di ulteriori misure giuridiche) (20), il GEPD rammenta la necessità di una verifica periodica, alla luce dei principi di protezione dei dati, nonché dell’efficacia e della proporzionalità delle misure giuridiche adottate nello spazio di libertà, sicurezza e giustizia (21). Il GEPD raccomanda pertanto di aggiungere una clausola di valutazione all’iniziativa OEI, che imponga agli Stati membri di riferire periodicamente in merito all’applicazione dello strumento e alla Commissione di preparare una sintesi di tali relazioni e, se del caso, emettere adeguate proposte di modifica.

20.

Come già spiegato ai punti 13, 14 e 18, è evidente che ai sensi delle direttive proposte dati personali vengono trattati e scambiati dalle autorità competenti dei diversi Stati membri. In tali circostanze, l’interessato è tutelato dal diritto fondamentale alla protezione dei dati, riconosciuto nell’articolo 16 del TFUE e nell’articolo 8 della Carta dei diritti fondamentali dell’UE.

21.

Ciononostante, nella «Scheda circostanziata» che accompagna l’iniziativa OPE il «rischio di ledere diritti fondamentali» è stimato come pari a «0» (zero) (22), e nell’analisi di impatto contenuta nella «Scheda circostanziata» che accompagna l’iniziativa OEI non vengono considerate le questioni relative alla protezione dei dati (23).

22.

Il GEPD si rammarica di queste conclusioni e sottolinea l’importanza della protezione dei dati nel particolare contesto in cui vengono trattati dati personali, segnatamente:

23.

In tale contesto, le operazioni di trattamento dei dati esercitano un impatto significativo e possono influire in misura considerevole sui diritti fondamentali dell’interessato, compreso il diritto alla protezione dei dati personali.

24.

In considerazione di quanto precede, il GEPD si chiede per quale motivo le iniziative non affrontino la questione della protezione dei dati personali (a parte il riferimento ai doveri di riservatezza imposti ai soggetti coinvolti in un’indagine dall’articolo 18 dell’iniziativa OEI), né si riferiscano esplicitamente alla decisione quadro 2008/977/GAI che in realtà sarebbe applicabile alle operazioni di trattamento previste nelle due iniziative [cfr. articolo 1, paragrafo 2, lettera a)].

25.

Per questo motivo, il GEPD apprezza che durante i lavori preparatori in Consiglio relativi all’iniziativa OPE sia stato inserito un riferimento alla decisione quadro 2008/977/GAI (25) e confida che il Parlamento europeo confermi questa modifica rispetto alle iniziative originarie (26).

26.

Il GEPD si rammarica del fatto che un analogo considerando non sia stato ancora introdotto nell’iniziativa OEI, che comporta uno scambio di dati personali molto più intenso. A questo proposito, il GEPD apprezza che la Commissione europea, commentando l’iniziativa OEI, suggerisca di inserire un riferimento (nei considerando e nel corpo della proposta) all’applicabilità della decisione quadro 2008/977/GAI (27).

27.

Di conseguenza, e fatta salva la sezione III che segue, entrambe le iniziative dovrebbero contenere una disposizione specifica che chiarisca che la decisione quadro 2008/977/GAI si applica al trattamento dei dati previsto nelle iniziative.

28.

Entrambe le iniziative sollevano ancora una volta la questione fondamentale dell’applicazione incompleta e incoerente dei principi della protezione dei dati nel campo della cooperazione giudiziaria in materia penale (28).

29.

Il GEPD è consapevole dell’importanza di rafforzare l’efficacia della cooperazione giudiziaria tra Stati membri, anche nei settori coperti dalle iniziative OPE e OEI (29). Inoltre, pur avendo ben presenti i vantaggi e l’esigenza di condividere le informazioni, il GEPD desidera sottolineare che il trattamento di tali dati deve avvenire nel rispetto — inter alia (30) — della normativa UE sulla protezione dei dati. Questa necessità appare ancora più evidente alla luce del trattato di Lisbona, che introduce l’articolo 16 del TFUE e conferisce un valore vincolante all’articolo 8 della Carta dei diritti fondamentali dell’Unione europea.

30.

Le situazioni che comportano lo scambio transfrontaliero di informazioni nell’UE meritano un’attenzione particolare, poiché il trattamento di dati personali in più di una giurisdizione aumenta i rischi per i diritti e gli interessi delle persone fisiche coinvolte. I dati personali saranno trattati in più giurisdizioni, dove i requisiti di legge e il contesto tecnico non sono necessariamente gli stessi.

31.

Questo implica inoltre l’incertezza giuridica per le persone interessate: possono essere coinvolte parti di altri Stati membri ed è possibile che si applichino le leggi nazionali di vari Stati membri, che potrebbero differire dalle leggi alle quali sono abituate le persone interessate, ovvero applicarsi in un sistema giuridico poco familiare. Questa situazione richiede maggiori sforzi per garantire l’osservanza dei requisiti derivanti dalla legislazione dell’UE sulla protezione dei dati (31).

32.

Secondo il parere del GEPD, il chiarimento circa l’applicabilità della decisione quadro 2008/977/GAI, come proposto al punto 27, è solo il primo passo.

33.

Le sfide specifiche per una protezione efficace nel settore della cooperazione giudiziaria in materia penale, insieme a una decisione quadro 2008/977/GAI non completamente soddisfacente (cfr. punti 52-56), possono richiedere disposizioni specifiche sulla protezione dei dati, laddove strumenti giuridici specifici dell’UE prevedano lo scambio di dati personali.

34.

La protezione efficace dei dati personali (come rilevato al punto 29) non è importante solo per gli interessati, ma contribuisce anche al successo della cooperazione giudiziaria. Di fatto, la volontà di scambiare questi dati con le autorità di altri Stati membri aumenterà se si è certi del livello di protezione, accuratezza e affidabilità dei dati personali in tali Stati membri (32). In breve, la definizione di uno standard comune (elevato) per la protezione dei dati in questo settore delicato contribuirà a promuovere la fiducia reciproca tra gli Stati membri e a rafforzare la cooperazione giudiziaria sulla base del riconoscimento reciproco, migliorando la qualità dei dati nello scambio di informazioni.

35.

In questo particolare contesto, il GEPD raccomanda di inserire garanzie specifiche per la protezione dei dati nelle iniziative OPE e OEI, in aggiunta al riferimento generale alla decisione quadro 2008/977/GAI (come proposto al paragrafo 27).

36.

Alcune di queste garanzie sono di carattere più generale e sono da inserire in entrambe le iniziative, in particolare le garanzie intese a migliorare l’accuratezza dei dati, così come la loro sicurezza e riservatezza. Altre garanzie si riferiscono a disposizioni specifiche dell’iniziativa OPE o OEI.

37.

Nelle situazioni previste dalle iniziative che comportano lo scambio di dati tra Stati membri si dovrebbe porre l’accento sul fatto di garantire l’accuratezza delle informazioni. A questo proposito, il GEPD apprezza che l’iniziativa OPE contenga nell’articolo 14 chiari obblighi a carico dell’autorità competente dello Stato di emissione di informare l’autorità competente dello Stato di esecuzione in merito a qualsivoglia modifica nonché alla scadenza o alla revoca dell’ordine di protezione.

38.

Il GEPD rileva inoltre che la necessità della traduzione potrebbe influire sull’accuratezza dell’informazione, soprattutto considerando che le iniziative si riferiscono a strumenti giuridici specifici che possono avere un significato diverso nelle varie lingue e nei vari sistemi giuridici. A questo proposito, il GEPD apprezza il fatto che l’iniziativa OPE affronti la questione delle traduzioni (articolo 16) e suggerisce anche di inserire una disposizione analoga nell’iniziativa OEI.

39.

L'incremento della cooperazione transfrontaliera che potrebbe derivare dall’adozione delle due iniziative richiede un’attenta analisi degli aspetti della sicurezza della trasmissione transfrontaliera di dati personali in relazione all’esecuzione dell’ordine di protezione europeo o dell’ordine europeo di indagine penale (33). Ciò è necessario, non solo per rispettare le norme di sicurezza nel trattamento dei dati personali ai sensi dell’articolo 22 della decisione quadro 2008/977/GAI, ma anche per garantire la segretezza delle indagini e la riservatezza del procedimento penale interessato, ai sensi dell’articolo 18 dell’iniziativa OEI, e, in quanto norma generale per i dati personali derivanti dallo scambio transfrontaliero, ai sensi dell’articolo 21 della decisione quadro 2008/977/GAI.

40.

Il GEPD sottolinea la necessità di sistemi di telecomunicazione sicuri per le procedure di trasmissione. Accoglie quindi con favore la disposizione sull’impiego della rete giudiziaria europea (34) quale strumento per garantire che OPE e OEI siano correttamente indirizzati alle autorità nazionali competenti, onde escludere o ridurre al minimo il rischio che autorità non pertinenti siano coinvolte nello scambio di dati personali (cfr. l’articolo 7, paragrafi 2 e 3, dell’iniziativa OPE e l’articolo 6, paragrafi 3 e 4 dell’iniziativa OEI).

41.

Di conseguenza, le iniziative dovrebbero comprendere disposizioni che richiedano agli Stati membri di garantire che:

42.

Inoltre, il GEPD raccomanda l’introduzione di disposizioni che garantiscano l’osservanza dei principi sostanziali sulla protezione dei dati nel trattamento dei dati personali, nonché di porre in essere i meccanismi interni necessari per dimostrare la conformità ai terzi interessati. Tali disposizioni contribuirebbero all’assunzione di responsabilità da parte dei responsabili del trattamento [secondo il «principio di responsabilità» discusso nel contesto dell’attuale riesame del quadro giuridico per la protezione dei dati (35)] che sarebbero tenuti a mettere in atto le misure necessarie per garantire la conformità. Le disposizioni dovrebbero comprendere:

43.

In considerazione delle caratteristiche particolarmente invadenti di certe misure investigative, il GEPD invita a una riflessione approfondita sull’ammissibilità delle prove acquisite per scopi diversi da prevenzione, indagine, accertamento o perseguimento di reati ovvero dall’esecuzione di sanzioni penali, nonché dall’esercizio del diritto alla difesa. In particolare, andrebbe considerato con attenzione l’utilizzo di prove ottenute ai sensi dell’articolo 11, paragrafo 1, lettera d) della decisione quadro 2008/977/GAI (36).

44.

Nell’iniziativa OEI dovrebbe pertanto essere introdotta un’eccezione all’applicazione del disposto dell’articolo 11, paragrafo 1, lettera d), che stabilisca che le prove acquisite ai sensi dell’OEI non si possono utilizzare per scopi diversi da prevenzione, indagine, accertamento o perseguimento di reati ovvero l’esecuzione di sanzioni penali e l’esercizio del diritto alla difesa.

45.

In relazione all’iniziativa OPE, il GEPD riconosce che i dati personali scambiati tra le autorità competenti ed elencati nell’allegato I dell’iniziativa (concernenti la vittima e la persona che determina il pericolo) sono adeguati, pertinenti e non eccessivi in relazione agli scopi per i quali vengono raccolti e sottoposti a ulteriore trattamento.

46.

Tuttavia, l’iniziativa non chiarisce a sufficienza — soprattutto nell’articolo 8, paragrafo 1, lettera b) — quali dati personali relativi alla vittima saranno comunicati alla persona che determina il pericolo dall’autorità competente dello Stato di esecuzione.

47.

Il GEPD ritiene opportuno considerare le circostanze e il contenuto delle misure di protezione emesse dall’autorità giudiziaria nello Stato membro di emissione prima di informare la persona che determina il pericolo, alla quale dovrebbero pertanto essere comunicati esclusivamente quei dati personali della vittima (che in alcuni casi possono comprendere i dati di contatto) che siano strettamente rilevanti per la piena esecuzione della misura di protezione.

48.

Il GEPD è consapevole del fatto che la comunicazione di informazioni di contatto (quali numeri di telefono, indirizzo della vittima o di altri luoghi di abituale frequentazione, come il luogo di lavoro o la scuola dei figli) effettivamente possa minacciare il benessere fisico e psicologico della vittima, oltre a ledere il suo diritto alla privacy e alla protezione dei dati personali. D’altro canto, l’indicazione degli indirizzi pertinenti in alcuni casi può essere necessaria per avvertire la persona che determina il pericolo in merito ai luoghi dove le è fatto divieto di recarsi, al fine di consentire l’osservanza dell’ordine e impedire eventuali potenziali sanzioni a causa della sua violazione. Inoltre, a seconda delle circostanze, l’identificazione del luogo/dei luoghi vietati alla persona che determina il pericolo può essere necessaria per non limitarne inutilmente la libertà di movimento.

49.

Alla luce di queste considerazioni, il GEPD evidenzia l’importanza dell’argomento e raccomanda che l’iniziativa OPE stabilisca chiaramente che, a seconda delle circostanze del caso, alla persona che determina il pericolo dovrebbero essere trasmessi esclusivamente i dati personali della vittima (che in alcuni casi possono comprendere i dati di contatto) che siano strettamente rilevanti per la piena esecuzione della misura di protezione (37).

50.

Infine, il GEPD chiede che venga chiarita l’espressione «strumenti elettronici» contenuta nel considerando 10 dell’iniziativa OPE. In particolare, occorre spiegare se il trattamento dei dati personali avviene utilizzando «strumenti elettronici» e in tal caso quali garanzie sono fornite.

51.

La decisione quadro 2008/977/GAI si applica a tutti gli scambi di dati personali ai sensi delle iniziative OPE e OEI.

52.

Benché il GEPD abbia riconosciuto che la decisione quadro 2008/977/GAI — quando attuata dagli Stati membri — sia un importante passo avanti per la protezione dei dati nella cooperazione giudiziaria e di polizia (38), la decisione quadro di per se stessa non è pienamente soddisfacente (39). La principale preoccupazione irrisolta si riferisce al suo ambito ristretto. La decisione quadro è limitata allo scambio di dati personali in materia giudiziaria e di polizia tra autorità e sistemi d’informazione in diversi Stati membri e a livello dell’UE (40).

53.

Anche se questa perplessità non può trovare soluzione nel contesto delle iniziative OPE e OEI, il GEPD insiste nel sottolineare che la mancanza di uno standard comune (elevato) di protezione dei dati nella cooperazione giudiziaria potrebbe implicare che un’autorità giudiziaria a livello nazionale o dell’UE, nel trattare un fascicolo penale comprendente informazioni provenienti da altri Stati membri (ivi comprese, ad esempio, prove raccolte sulla base di un ordine europeo di indagine penale), si troverebbe ad applicare norme diverse sul trattamento dei dati: autonome norme nazionali (conformi alla Convenzione 108 del Consiglio d’Europa) per i dati provenienti dallo stesso Stato membro e norme di attuazione della decisione quadro 2008/977/GAI per i dati provenienti da altri Stati membri. I diversi «elementi di informazione» potrebbero quindi essere soggetti a diversi regimi giuridici.

54.

Le conseguenze dell’applicazione di un «doppio» standard per la protezione di dati a ciascun fascicolo penale avente elementi transfrontalieri sono rilevanti nell’attività quotidiana (ad esempio la normativa sulla conservazione delle informazioni applicabile per ciascuno degli organi che trasmettono i dati; ulteriori restrizioni al trattamento richieste da ciascuno degli organi che trasmettono i dati; nel caso di una richiesta da un paese terzo, ciascun organo che trasmette i dati darebbe l’autorizzazione in base alla propria valutazione dell’adeguatezza e/o agli impegni internazionali; e differenze nella disciplina del diritto di accesso della persona interessata). Inoltre, la protezione e i diritti dei cittadini potrebbero variare ed essere oggetto di ampie deroghe diverse a seconda dello Stato membro in cui ha luogo il trattamento (41).

55.

Quindi il GEPD coglie l’occasione per ribadire il contenuto dei pareri già espressi in merito alla necessità di un quadro giuridico generale sulla protezione dei dati che ricomprenda tutte le aree di competenza dell’UE, ivi comprese pubblica sicurezza e giustizia, e che si applichi ai dati personali trasmessi o resi disponibili dalle autorità competenti di altri Stati membri e al trattamento a livello nazionale nello spazio di libertà, sicurezza e giustizia (42).

56.

Infine, il GEPD osserva che le norme sulla protezione dei dati dovrebbero applicarsi a tutti i settori e all’utilizzo dei dati per qualsivoglia scopo (43). Naturalmente, dovrebbero essere possibili eccezioni debitamente motivate e formulate chiaramente, in particolare per quanto concerne il trattamento dei dati personali nelle attività di contrasto (44). Le lacune nella protezione dei dati personali sono contrarie all’attuale quadro giuridico (rinnovato) dell’Unione europea. L’articolo 3, paragrafo 2, della direttiva 95/46/CE — che esclude dall’ambito di applicazione della direttiva il settore della polizia e della giustizia — non è conforme alla filosofia contenuta nell’articolo 16 del TFUE. Inoltre, queste lacune non sono coperte in misura sufficiente dalla convenzione n. 108 (45) del Consiglio d’Europa, vincolante per tutti gli Stati membri.

57.

Con riferimento alle iniziative OPE e OEI, il GEPD raccomanda quanto segue:

58.

Per quanto riguarda l’iniziativa OPE, il GEPD raccomanda:

59.

Per quanto riguarda l’iniziativa OEI, il GEPD raccomanda:

60.

Inoltre, e più in generale, il GEPD:

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/10

1.

Il 15 giugno 2010, la Commissione ha adottato la proposta di decisione del Consiglio relativa alla conclusione dell’accordo tra l’Unione europea e gli Stati Uniti d’America sul trattamento e il trasferimento di dati di messaggistica finanziaria dall’Unione europea agli Stati Uniti ai fini del programma di controllo delle transazioni finanziarie dei terroristi (TFTP), (in prosieguo «la proposta»). La proposta (che comprende il testo di un progetto di accordo con gli Stati Uniti) è stata inviata al GEPD ai fini di consultazione. Il Garante accoglie con favore tale consultazione e raccomanda di includere nel preambolo della proposta un riferimento al presente parere.

2.

La proposta della Commissione trae origine dai cambiamenti avvenuti nella struttura della SWIFT (3), che garantisce, a partire dal 1o gennaio 2010, che i messaggi SWIFT di transazione finanziaria interni allo Spazio economico europeo e alla Svizzera rimarranno all’interno della zona europea (diversa dalla zona transatlantica) e non saranno più trasmessi al centro operativo statunitense.

3.

Con la proposta in esame, la Commissione presenta un accordo internazionale fra l’UE e gli USA che, sulla base degli articoli 216 (accordi internazionali), 82 (cooperazione giudiziaria) e 87 (cooperazione di polizia) del trattato sul funzionamento dell’Unione europea, prevede il trasferimento al dipartimento del Tesoro statunitense di dati pertinenti di messaggistica finanziaria, necessari ai fini del programma di controllo delle transazioni finanziarie dei terroristi messo a punto dal dipartimento.

4.

A seguito della risoluzione del Parlamento europeo dell’11 febbraio 2010, con cui ha rifiutato il suo parere conforme alla conclusione dell’accordo interinale stipulato il 30 novembre 2009, il nuovo progetto mira, in particolare, ad affrontare le preoccupazioni relative alla protezione dei dati personali, un diritto fondamentale che, dopo l’entrata in vigore del trattato di Lisbona, ha acquisito un rilievo sempre maggiore nel quadro giuridico dell’Unione europea.

5.

La proposta evidenzia l’importanza della protezione dei dati facendo espresso riferimento ai pertinenti articoli dei trattati e ad altri strumenti internazionali e riconoscendone l’essenza di diritto fondamentale. Tuttavia, essa non prevede l’uso dell’articolo 16 del TFUE come base giuridica, malgrado l’articolo 1, paragrafo 1, dell’accordo proposto sottolinei che un alto livello di protezione dei dati costituisce uno dei suoi scopi precipui. A tale riguardo, il GEPD ribadisce che il presente accordo si riferisce non soltanto allo scambio, ma anche alla protezione dei dati personali. Pertanto, in qualità di base giuridica, l’articolo 16 del TFUE non risulta meno importante degli articoli 82 e 87 del TFUE relativi alla cooperazione giudiziaria e scelti come base giuridica.

6.

La proposta è soggetta alla procedura di cui all’articolo 218, paragrafo 6, del TFUE. Secondo tale procedura, il Consiglio può adottare una decisione che autorizzi la conclusione dell’accordo solo previa approvazione del Parlamento europeo. In tal senso, la proposta costituisce un «test» di grande importanza relativamente all’applicazione delle nuove procedure stabilite dal trattato di Lisbona a un accordo internazionale sulla protezione dei dati personali. Verificando che, nel presente accordo, i principi e le garanzie di protezione dei dati personali siano fissati in modo soddisfacente si aumentano le probabilità di successo di altri negoziati.

7.

A questo proposito, il GEPD sottolinea l’importanza dei negoziati per un accordo tra l’Unione europea e gli Stati Uniti d’America sulla protezione dei dati personali che vengono trasferiti e sottoposti a trattamento al fine di prevenire, accertare, indagare e reprimere i reati, compreso il terrorismo, nel quadro della cooperazione di polizia e giudiziaria in materia penale. Il 26 maggio 2010, la Commissione ha adottato il progetto di mandato per la messa a punto di tali negoziati. Nella presentazione del progetto, la Commissione ha sottolineato l’esigenza di un solido accordo relativo alla protezione dei dati personali (4).

8.

Alla luce di quanto precede, il GEPD raccomanda di aggiungere all’attuale proposta un chiaro riferimento ai negoziati con gli USA per quanto attiene a questo quadro generale sulla protezione transatlantica dei dati. Occorre garantire la possibilità di applicare tali norme anche all’accordo TFTP II. Il GEPD raccomanda di prevedere tale obbligo nell’accordo in oggetto o, almeno, di concordare con il governo degli Stati Uniti che un eventuale accordo futuro sulla protezione dei dati riguarderà gli scambi previsti dalla proposta in oggetto.

9.

Infine, il GEPD contribuisce attivamente alle posizioni del gruppo di lavoro articolo 29 per la protezione dei dati personali e del gruppo di lavoro sulla polizia e la giustizia. Oltre ai punti già definiti o ancora da definire in tali posizioni, il presente parere analizza la proposta in oggetto elaborando le precedenti osservazioni del GEPD, relative sia all’accordo interinale che ai negoziati in corso con gli Stati Uniti.

10.

Il GEPD riconosce che la proposta in oggetto contiene alcuni miglioramenti sostanziali rispetto all’accordo interinale TFTP I, quali:

11.

Inoltre, a seguito delle richieste del Parlamento europeo e delle autorità europee di protezione dei dati, la proposta stabilisce una serie di disposizioni (dall’articolo 14 all’articolo 18) relative ai diritti degli interessati, come: il diritto all’informazione, il diritto di accesso, il diritto di rettifica, cancellazione o blocco, nonché il diritto al ricorso. Tuttavia, occorre ancora chiarire la reale esecutorietà di tali disposizioni e le procedure che i cittadini o i residenti non statunitensi sono tenuti a seguire (v. sotto il paragrafo II.2.3).

12.

Il GEPD condivide in toto l’esigenza di garantire il pieno rispetto della vita privata e la protezione dei dati personali, così come previsto dall’articolo 1, paragrafo 1, della proposta. A tale riguardo, il Garante evidenzia che occorre affrontare alcune questioni ancora aperte e migliorare taluni elementi chiave, al fine di soddisfare le condizioni del quadro giuridico dell'UE in merito alla protezione dei dati personali.

13.

Il GEPD è pienamente consapevole del fatto che la lotta contro il terrorismo e il finanziamento dello stesso potrebbero richiedere restrizioni per quanto concerne il diritto alla protezione dei dati personali, nonché le disposizioni in materia di segreto bancario. Questo caso è già contemplato in una serie di documenti dell’UE (6) che contengono un certo numero di provvedimenti volti a combattere lo scorretto utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo. Tali documenti, inoltre, contengono specifiche disposizioni che consentono lo scambio di informazioni con autorità di paesi terzi, nonché garanzie per la protezione dei dati personali, conformemente alla direttiva 95/46/CE.

14.

Inoltre, l’accordo relativo alla mutua assistenza giudiziaria tra l’UE e gli USA autorizza esplicitamente lo scambio di informazioni su conti bancari e transazioni finanziarie fra le autorità di contrasto e, relativamente a tale scambio, prevede condizioni e limitazioni. Anche a livello internazionale, i cosiddetti principi di Egmont (7) creano la base per lo scambio internazionale fra le unità di informazione finanziaria di dati relativi alle transazioni finanziarie, pur stabilendo limitazioni e garanzie per quanto concerne l’utilizzo dei dati scambiati. Inoltre, sono già attivi strumenti per lo scambio di dati fra USA, Europol ed Eurojust in grado di garantire lo scambio di informazioni e, contemporaneamente, la protezione dei dati personali.

15.

In tale contesto, la proposta della Commissione evidenzia l’utilità del programma TFTP presentato dal dipartimento del Tesoro statunitense e dalle relazioni dell’eminente personalità europea designata. Tuttavia, la condizione stabilita dall’articolo 8 della CEDU al fine di giustificare l’ingerenza nella vita privata si configura come «necessità» piuttosto che come «utilità».

16.

Secondo il GEPD occorrono prove sufficienti a dimostrare il reale valore aggiunto di tale accordo tenendo conto degli strumenti già esistenti o, in altre parole, valutando fino a che punto l’accordo sia realmente necessario al fine di ottenere risultati che non sarebbero raggiungibili attraverso l’utilizzo di strumenti meno invasivi della vita privata, fra cui quelli già stabiliti dal quadro europeo e dal quadro internazionale attuali. Il GEPD sostiene che tale valore aggiunto debba essere definito in modo inequivocabile quale prerequisito per qualunque accordo con gli USA in merito allo scambio di dati finanziari, vista anche la natura invasiva dell’accordo (v. anche i paragrafi 18-22 sulla proporzionalità).

17.

Il Garante non è in grado di valutare la necessità del presente accordo. Tuttavia, anche riconoscendo tale necessità, permangono altri punti che meritano l’attenzione dei negoziatori.

18.

La proporzionalità, inoltre, rappresenta il criterio principale adottato nella valutazione della quantità dei dati personali trasferiti e del relativo periodo di conservazione. L’articolo 4 della proposta limita la portata delle richieste statunitensi. Tuttavia, la proposta continua a prevedere che i dati personali saranno trasferiti in massa alle autorità statunitensi per poi essere conservati, in linea di principio, per un periodo quinquennale, indifferentemente per dati estratti o aventi un nesso comprovato con un’indagine o un’azione penale specifica.

19.

Malgrado le richieste del Parlamento europeo e delle autorità europee di protezione dei dati, la proposta si basa ancora sull’idea che i dati personali saranno trasmessi in massa al dipartimento del Tesoro statunitense. A tale proposito è importante chiarire che l’impossibilità di effettuare una ricerca mirata tramite il sistema SWIFT non può essere considerata quale motivo sufficiente per rendere legali trasferimenti di dati in massa ai sensi della normativa UE concernente la protezione dei dati.

20.

Pertanto, il GEPD sostiene che occorra trovare soluzioni al fine di garantire la sostituzione dei trasferimenti in massa con meccanismi che, all’interno dell’UE, consentano di filtrare i dati sulle transazioni finanziarie e assicurino l’invio esclusivo di dati pertinenti e necessari alle autorità statunitensi. Nel caso in cui sia impossibile trovare immediatamente tali soluzioni, l’accordo è comunque tenuto a stabilire un breve periodo di transizione, al termine del quale non saranno più ammessi trasferimenti in massa.

21.

Per quanto riguarda il periodo di conservazione dei dati, il GEPD riconosce che la proposta stabilisce correttamente i periodi massimi, nonché i meccanismi atti a garantire la cancellazione dei dati personali qualora non risultino più necessari. Tuttavia, le disposizioni dell’articolo 6 della proposta relative ai dati non estratti sembrano muoversi nella direzione opposta. Innanzitutto, la nozione di «dati non estratti» non appare subito evidente e, pertanto, necessita di una spiegazione. In secondo luogo, mancano prove a sostegno delle ragioni per le quali è necessario conservare per 5 anni i dati non estratti.

22.

Il GEPD riconosce appieno la necessità di garantire che i dati personali richiesti per un’indagine o un’azione penale antiterrorismo siano consultabili e che vengano trattati e conservati per tutto il periodo necessario, in alcuni casi anche dopo i 5 anni, dato che il loro utilizzo potrebbe essere richiesto in caso di indagini o di azioni penali che si protraggono nel tempo. Tuttavia, supponendo che i dati non estratti siano stati trasmessi in massa e non siano mai stati consultati né utilizzati per un’indagine o un’azione penale specifica, il periodo ammesso per la loro conservazione dovrebbe essere molto più limitato. A tale proposito, è utile evidenziare come la Corte costituzionale federale tedesca ha sostenuto che, in caso di conservazione di dati sulle telecomunicazioni, un periodo di 6 mesi è già troppo lungo e, di conseguenza, necessita di un’adeguata giustificazione (8). A quanto pare, la Corte costituzionale ha valutato tale periodo di 6 mesi come limite massimo per quei dati non connessi ad alcuna indagine specifica.

23.

Secondo quanto stabilito nel mandato di negoziato, un’autorità giudiziaria pubblica ha la responsabilità di ricevere le richieste del dipartimento del Tesoro statunitense, di valutare la loro conformità all’accordo e, se del caso, di chiedere al fornitore di trasferire i dati sulla base di un sistema «push». Sia il Parlamento europeo che il GEPD hanno accolto con favore tale approccio che, nel rispetto delle costituzioni nazionali e dei sistemi giuridici degli Stati membri, rappresenta una garanzia fondamentale per la realizzazione di trasferimenti leciti ed equilibrati dei dati, nonché di una supervisione indipendente.

24.

Tuttavia, la proposta conferisce tale compito a Europol, un’agenzia dell’UE istituita per prevenire e combattere la criminalità organizzata, il terrorismo e altre forme gravi di criminalità che interessano due o più Stati membri (9). Risulta evidente che Europol non è un’autorità giudiziaria.

25.

Inoltre, sulla base dell’accordo proposto, Europol dimostra interessi specifici per lo scambio dei dati personali. L’articolo 10 della proposta conferisce a Europol il potere di chiedere informazioni pertinenti ottenute tramite il TFTP se ha motivo di ritenere che la persona o l’ente in questione ha un nesso con il terrorismo. È difficile conciliare tale potere, che può rivelarsi importante per l’adempimento della missione di tale agenzia e che esige buone relazioni con il dipartimento del Tesoro statunitense, con il compito di garantire una supervisione indipendente.

26.

In aggiunta, il GEPD si chiede fino a che punto l’attuale quadro giuridico affidi a Europol (specialmente senza cambiare la sua base giuridica, così come disposto dalla procedura ordinaria stabilita dal trattato di Lisbona) i compiti e i poteri di rendere «vincolante» (articolo 4, paragrafo 5) una richiesta amministrativa proveniente da un paese terzo per una società privata che, in tal modo, viene «autorizzata e obbligata» a fornire i dati al detto paese. In tale contesto, è utile notare che, nell’attuale legislazione UE, non è chiaro se una decisione di Europol presa nei confronti di una società privata sarà soggetta a controllo giudiziario da parte della Corte di giustizia dell’Unione europea.

27.

In base a quanto sopra esposto, il GEPD ribadisce la propria posizione asserendo che, anche al fine di rispettare il mandato di negoziato e l’attuale quadro giuridico dell’UE, il compito di valutare le richieste del dipartimento del Tesoro statunitense dovrebbe essere affidato a un’autorità giudiziaria pubblica.

28.

Come già affermato nella parte introduttiva del presente parere, la proposta stabilisce una serie di diritti degli interessati, quali: il diritto all’informazione, il diritto di accesso, il diritto di rettifica, cancellazione o blocco, nonché il diritto al ricorso. Tuttavia, se da un lato è importante migliorare alcuni aspetti di tali disposizioni, dall’altro occorre garantire la loro reale esecutorietà.

29.

Per quanto concerne il diritto di accesso ai propri dati personali, l’accordo stabilisce una serie di limitazioni. Il GEPD riconosce che, specialmente nell’ambito della lotta al terrorismo, è possibile che vengano messe in atto limitazioni nella misura in cui sono necessarie. Tuttavia, la proposta dovrebbe chiarire che, mentre la comunicazione all’interessato dei dati personali può subire notevoli limitazioni nelle circostanze di cui all’articolo 15, paragrafo 2, la comunicazione di tali informazioni alle autorità europee di protezione dei dati a livello nazionale dovrebbe essere sempre possibile, al fine di consentire loro l’efficace esecuzione della funzione di controllo. Naturalmente, nell’adempimento dei propri compiti, le autorità di protezione dei dati dovranno rispettare l’obbligo di riservatezza e non potranno comunicare i dati alla persona interessata, fintantoché sussistano le condizioni per un’eccezione.

30.

Relativamente al diritto di rettifica, l’articolo 17, paragrafo 2, stabilisce che «la parte che constati l'inesattezza o l’inaffidabilità delle informazioni trasmesse all'altra parte o da questa pervenute ai sensi del presente accordo ne dà, se possibile, comunicazione all'altra parte». Il GEPD ritiene che l’obbligo di rettificare dati inesatti o inaffidabili costituisca una garanzia fondamentale non soltanto per gli interessati, ma anche ai fini dell’efficacia dell’azione svolta dalle autorità di contrasto. In tale ottica, le autorità che effettuano lo scambio di dati dovrebbero mettere a punto meccanismi atti a garantire che tale rettifica sia sempre possibile e, di conseguenza, nella proposta andrebbe cancellata l’espressione «se possibile».

31.

Tuttavia, l’interesse principale del GEPD riguarda la concreta applicabilità di tali diritti. Da un lato, per motivi di sicurezza e trasparenza sotto il profilo giuridico, la proposta dovrebbe specificare ulteriormente le procedure concrete a cui gli interessati potrebbero ricorrere per esercitare i diritti riconosciuti dall’accordo, sia nell’UE che negli USA.

32.

Dall’altro lato, l’articolo 20, paragrafo 1, sancisce in modo chiaro ed esplicito che l’accordo «non crea né conferisce diritti o benefici a persone o enti, pubblici o privati». Il GEPD nota che questa clausola sembra annullare o almeno mettere in dubbio l’effetto vincolante di quelle disposizioni dell’accordo che prevedono diritti degli interessati non ancora riconosciuti né esercitabili ai sensi della legislazione statunitense, in particolare quando gli interessati dei dati non sono cittadini o residenti permanenti statunitensi. Ad esempio, la legge USA sulla tutela della vita privata (US Privacy Act) prevede uno specifico diritto di accesso alle informazioni personali che risulta maggiore rispetto al generico diritto di accesso riconosciuto al vasto pubblico dalla normativa USA sulla libertà di informazione (US Freedom of Information Act). Tuttavia, la legge Usa sulla tutela della vita privata stabilisce chiaramente che una richiesta di accesso ai propri dati personali è possibile soltanto per «un cittadino statunitense o uno straniero che risiede stabilmente e legalmente negli USA» (10).

33.

Pertanto, il GEPD raccomanda di rivedere l’attuale formulazione dell’articolo 20, paragrafo 1, al fine di garantire che i diritti conferiti dalla proposta siano chiaramente enunciati e risultino realmente applicabili anche in territorio statunitense.

34.

L’articolo 12 della proposta stabilisce vari livelli di monitoraggio delle condizioni e delle salvaguardie fissate dall’accordo. I «supervisori indipendenti» monitoreranno in tempo reale e retrospettivamente le ricerche effettuate dal dipartimento del Tesoro statunitense. Inoltre, una «personalità indipendente nominata dalla Commissione europea» condurrà un monitoraggio costante del primo livello di supervisione, compresa la sua indipendenza. Occorre chiarire quali saranno i compiti di tale personalità indipendente, in che modo sarà garantita la reale possibilità di adempierli e quali saranno i suoi interlocutori.

35.

L’articolo 13, inoltre, stabilisce un meccanismo per una verifica congiunta che sarà effettuata dopo sei mesi e, in seguito, periodicamente da parte di una delegazione congiunta UE-USA che, per quanto riguarda la delegazione UE, comprende i rappresentanti di due autorità di protezione dei dati. Tale verifica porterà alla stesura di una relazione che la Commissione presenterà al Parlamento europeo e al Consiglio.

36.

Il GEPD sottolinea che la supervisione indipendente costituisce un elemento chiave del diritto alla protezione dei dati personali, come confermato dall’articolo 16 del TFUE e dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea. Recentemente, nella sentenza 9 marzo 2010, Commissione/Germania (11), la Corte di giustizia dell’Unione europea ha stabilito rigidi criteri per l’indipendenza. È ovvio che gli stessi rigidi criteri non possono essere imposti a paesi terzi ma, d’altro canto, è chiaro che un’adeguata protezione dei dati personali (12) può avvenire soltanto nella misura in cui esistono garanzie sufficienti di supervisione indipendente. Questa è anche una condizione per accordi internazionali con paesi aventi un sistema giuridico che non stabilisce la necessità di controllo da parte di un’autorità indipendente.

37.

Alla luce di quanto precede, è fondamentale che almeno le modalità della supervisione e della verifica congiunta, nonché i poteri e le garanzie di indipendenza delle persone coinvolte nel controllo siano definiti chiaramente nell’accordo invece di essere «coordinati congiuntamente» o stabiliti in una fase successiva dalle parti. In particolare, è importante garantire che sia la personalità nominata dalla Commissione europea che i rappresentanti delle autorità europee di protezione dei dati siano messe in condizione di agire in modo indipendente e di adempiere efficacemente ai propri compiti di supervisione.

38.

Inoltre, la proposta non deve fissare unicamente la data della prima verifica congiunta, da effettuare dopo sei mesi, ma anche il termine ultimo della revisione successiva che, ad esempio, potrebbe avere luogo ogni anno successivo. Il GEPD raccomanda altresì di stabilire un nesso fra l'esito di tali verifiche congiunte e la durata dell’accordo.

39.

In tale contesto, il GEPD evidenzia che sarebbe auspicabile una clausola di caducità, anche alla luce dell’eventuale disponibilità di soluzioni più mirate a lungo termine. Una siffatta clausola potrebbe anche essere un buon incentivo per garantire che gli sforzi necessari siano volti allo sviluppo di soluzioni che renderebbero superfluo l’invio di dati in massa al dipartimento del Tesoro statunitense.

40.

Al fine di accrescere l’efficacia della supervisione e della verifica congiunta, occorre rendere disponibili le informazioni e i dati pertinenti sul numero di richieste di accesso e di ricorso, sull’eventuale seguito dato alla richiesta (cancellazione, rettifica, ecc.), nonché sul numero di decisioni che limitano i diritti degli interessati. Allo stesso modo, per quanto riguarda la verifica, le informazioni devono essere disponibili e trasmesse non soltanto in merito alla quantità dei messaggi «trattati» dal dipartimento del Tesoro statunitense, ma anche a quella dei messaggi ad esso «forniti». Nell’accordo occorre specificare tale aspetto.

41.

Inoltre, i poteri e le competenze delle autorità europee di protezione dei dati non devono essere limitate in alcun modo dalla presente proposta. In quest’ottica, il GEPD osserva che la proposta fa un passo indietro rispetto all’accordo interinale TFTP. In realtà, mentre l’accordo precedente stabiliva nel suo preambolo che «il presente accordo non deroga alle competenze di cui dispongono le autorità degli Stati membri preposte alla protezione dei dati in materia di tutela delle persone in ordine al trattamento dei dati personali», ora la proposta fa riferimento al «controllo delle competenti autorità di protezione dei dati […] in modo coerente con le disposizioni specifiche del presente accordo». Il GEPD, pertanto, raccomanda che la proposta stabilisca chiaramente che l’accordo non deroga o non limita i poteri delle autorità europee di protezione dei dati.

42.

Il GEPD riconosce che la presente proposta prevede alcuni miglioramenti sostanziali rispetto all’accordo interinale TFTP I, quali l’esclusione di dati SEPA, una definizione più limitata di terrorismo e disposizioni più dettagliate sui diritti degli interessati.

43.

Il Garante, tuttavia, osserva che occorre soddisfare un presupposto essenziale per la valutazione della legittimità di un nuovo accordo TFTP. La necessità del progetto deve essere determinata in relazione a strumenti europei ed internazionali già esistenti.

44.

In caso di valutazione positiva, il GEPD sottolinea che permangono ancora alcune questioni aperte da affrontare e elementi chiave da migliorare, al fine di soddisfare le condizioni del quadro giuridico dell’UE in merito alla protezione dei dati personali, quali:

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/16

1.

Il 20 luglio 2010 la Commissione ha adottato una comunicazione dal titolo «Panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia» (in prosieguo la «comunicazione») (3). La comunicazione è stata trasmessa al GEPD per consultazione.

2.

Il GEPD si compiace di essere stato consultato dalla Commissione. Già prima dell’adozione della comunicazione il GEPD aveva avuto la possibilità di formulare osservazioni informali, molte delle quali sono state prese in considerazione nella versione definitiva del documento.

3.

Il GEPD accoglie con favore l’obiettivo della comunicazione, volto a illustrare per la prima volta «tutte le misure dell’UE, vigenti o in fase di attuazione o di esame, che disciplinano la raccolta, la conservazione o lo scambio transfrontaliero di informazioni personali a fini di contrasto o di gestione dell’immigrazione» (4). Obiettivo del documento è inoltre fornire ai cittadini una panoramica del tipo di dati personali raccolti, conservati o scambiati e del fine per cui vengono effettuate queste operazioni, e da chi. La Commissione ritiene altresì che la comunicazione debba anche fungere da strumento di riferimento trasparente per tutti quanti intendano partecipare al dibattito sulla direzione che dovrà prendere in futuro la politica dell’UE in questo settore, contribuendo in tal modo a un dialogo politico informato con tutte le parti interessate.

4.

Concretamente, la comunicazione riferisce di essere volta a chiarire, per ciascuno strumento, lo scopo principale, la struttura, il tipo di dati personali che tratta, «l’elenco delle autorità che hanno accesso a tali dati» (5) e le disposizioni in materia di protezione e conservazione. L’allegato I, inoltre, contiene qualche esempio del modo in cui tali strumenti funzionano nella pratica.

5.

Il documento espone altresì i principi generali («principi sostanziali» e «principi orientati al processo») cui la Commissione intende attenersi nello sviluppo futuro degli strumenti di raccolta, conservazione e scambio di dati. Tra i «principi sostanziali» elencati nella comunicazione figurano principi quali la salvaguardia dei diritti fondamentali, in particolare del diritto al rispetto della vita privata e alla protezione dei dati, la necessità, la sussidiarietà e l’attenta gestione del rischio. Nei «principi orientati al processo» rientrano l’efficacia economica, l’elaborazione delle politiche «dal basso», la ripartizione chiara delle responsabilità nonché le clausole di revisione e caducità.

6.

Secondo la comunicazione, tali principi varranno altresì per la valutazione degli strumenti esistenti. La Commissione ritiene che, applicando un approccio di elaborazione e valutazione delle politiche basato su principi, aumenteranno la coerenza e l’efficacia degli strumenti attuali e futuri nel pieno rispetto dei diritti fondamentali dei cittadini.

7.

Il GEPD osserva che la comunicazione è un documento importante che fornisce una panoramica completa degli strumenti esistenti e che saranno (eventualmente) adottati in futuro per lo scambio di informazioni nello spazio di libertà, sicurezza e giustizia. Contiene un’elaborazione dei capitoli 4.2.2 (Gestione del flusso di informazioni) e 5.1 (Gestione integrata delle frontiere esterne) del programma di Stoccolma (6). Svolgerà un ruolo essenziale nello sviluppo futuro di questo spazio e, di conseguenza, il GEPD ritiene utile formulare osservazioni sui vari elementi della comunicazione, indipendentemente dal fatto che il testo del documento in sé resterà invariato.

8.

Il GEPD intende illustrare alcuni concetti aggiuntivi che a suo parere devono essere presi in considerazione nell’ulteriore sviluppo dello spazio di libertà, sicurezza e giustizia. Il presente documento precisa vari concetti precedentemente espressi nel parere del GEPD del 10 luglio 2009 sulla comunicazione della Commissione al Parlamento europeo e al Consiglio dal titolo «Uno spazio di libertà, sicurezza e giustizia al servizio dei cittadini» (7), nonché in una serie di altri pareri e osservazioni, approfondendo altresì le considerazioni formulate in occasioni passate. In tale contesto occorre fare riferimento anche alla relazione sul futuro della privacy, adottata dal gruppo di lavoro «articolo 29» e dal gruppo di lavoro «polizia e giustizia» il 1o dicembre 2009. Tale relazione, che costituisce un contributo congiunto alla consultazione della Commissione europea sul quadro giuridico relativo al diritto fondamentale alla protezione dei dati personali, ed è stata sostenuta dal GEPD, ha fornito orientamenti importanti sul futuro della protezione dei dati, applicabili anche allo scambio di informazioni nel settore della cooperazione di polizia e giudiziaria in materia penale.

9.

Il GEPD accoglie con favore la comunicazione quale risposta all’invito del Consiglio europeo (8) a sviluppare strumenti di gestione delle informazioni a livello UE in conformità della strategia di gestione delle informazioni dell’UE e a riflettere sulla necessità di adottare un modello europeo di scambio delle informazioni.

10.

Il GEPD osserva inoltre che la comunicazione deve essere interpretata anche come una risposta al programma di Stoccolma, precedentemente citato, che invita a sviluppare lo scambio di informazioni nell’ambito della sicurezza interna dell’UE all’insegna della coerenza e del consolidamento. Più precisamente, il capitolo 4.2.2 del programma di Stoccolma invita la Commissione europea a valutare ciò che occorre per sviluppare un modello europeo di scambio delle informazioni basato sulla valutazione degli strumenti attuali, tra cui il quadro di Prüm e la cosiddetta «decisione quadro svedese». Tali valutazioni permetteranno di stabilire se questi strumenti funzionano come si intendeva all’origine e se soddisfano gli obiettivi della strategia di gestione delle informazioni.

11.

In tale contesto è utile sottolineare il fatto che il programma di Stoccolma fa riferimento a una solida disciplina della protezione dei dati quale prerequisito principale per la strategia di gestione delle informazioni dell’UE. Il forte rilievo accordato alla protezione dei dati è pienamente in linea con il trattato di Lisbona, che, come prima indicato, contiene una disposizione generale sulla protezione dei dati la quale conferisce a chiunque, cittadini di paesi terzi compresi, un diritto alla protezione dei dati opponibile dinanzi a un giudice, e obbliga Consiglio e Parlamento europeo a istituire un quadro globale in materia di protezione dei dati.

12.

Il GEPD sostiene altresì il requisito della strategia di gestione delle informazioni che prevede che tutte le nuove misure legislative volte ad agevolare la conservazione e lo scambio di dati personali vengano proposte solo qualora la loro necessità sia suffragata da prove concrete. Il GEPD ha sostenuto tale approccio in vari pareri su proposte legislative riguardanti lo spazio di libertà, sicurezza e giustizia, ad esempio sul SIS di seconda generazione (9), sull’accesso delle autorità di contrasto all’Eurodac (10), sulla revisione dei regolamenti Eurodac e Dublino (11), sulla comunicazione della Commissione sul programma di Stoccolma (12) e sul codice di prenotazione (PNR) (13).

13.

Di fatto, la necessità di valutare tutti gli strumenti esistenti sullo scambio di informazioni prima di proporne di nuovi è di rilevanza fondamentale. Ciò è tanto più importante se si considera che il quadro attuale è un mosaico complesso di strumenti e sistemi differenti, alcuni dei quali sono stati attuati solo di recente e pertanto non è ancora stato possibile valutarne l’efficacia, altri sono in fase di attuazione e alcuni dei nuovi sono tuttora oggetto di attività legislativa.

14.

Il GEPD rileva pertanto con soddisfazione che la comunicazione stabilisce un chiaro collegamento con altre iniziative avviate dalla Commissione al fine di fare il punto sullo scambio di informazioni nello spazio di libertà, sicurezza e giustizia e valutare la situazione in questo settore, dando seguito al programma di Stoccolma.

15.

In tale contesto, il GEPD si compiace in particolare della «mappatura delle informazioni» lanciata dalla Commissione nel gennaio 2010 ed effettuata in stretta collaborazione con un gruppo ad hoc composto da rappresentanti degli Stati membri dell’UE e dell’EFTA, di Europol, Eurojust, Frontex e del GEPD (14). Come indicato nella comunicazione, la Commissione intende riferire al Consiglio e al Parlamento europeo in merito alla «mappatura delle informazioni» ancora nel 2010. Come passo successivo, la Commissione intende altresì presentare una comunicazione sul modello europeo di scambio delle informazioni.

16.

Il GEPD accoglie molto favorevolmente l’istituzione di un chiaro collegamento tra la comunicazione e la «mappatura delle informazioni» poiché esiste una evidente interconnessione tra loro. Ovviamente è ancora prematuro valutare quale sarà l’esito di tali iniziative e, più in generale, delle discussioni sul modello europeo di scambio delle informazioni (ad oggi la Commissione ha presentato la «mappatura delle informazioni» solo come un «esercizio di valutazione»). Il GEPD continuerà a seguire questo lavoro. Inoltre, già in questa fase, richiama l’attenzione sulla necessità di operare sinergicamente ed evitare conclusioni divergenti tra tutte le iniziative intraprese dalla Commissione nell’ambito delle discussioni sul modello europeo di scambio delle informazioni.

17.

Il GEPD desidera altresì fare riferimento alla revisione del quadro per la protezione dei dati, attualmente in corso e, più in particolare, all’intenzione della Commissione di presentare un quadro globale per la protezione dei dati, compresa la cooperazione di polizia e giudiziaria in materia penale.

18.

A tale proposito il GEPD rileva che, in riferimento alla «salvaguardia dei diritti fondamentali, in particolare del diritto al rispetto della vita privata e alla protezione dei dati», la comunicazione cita l’articolo 16 del trattato sul funzionamento dell’Unione europea (TFUE) quale base giuridica del lavoro sul quadro globale per la protezione dei dati. In tale contesto il GEPD osserva inoltre che la comunicazione non analizza specifiche disposizioni di protezione dei dati contenute negli strumenti esaminati, in quanto la Commissione, in virtù del summenzionato articolo 16, sta attualmente lavorando a un nuovo quadro globale per la protezione dei dati personali nell’UE. Il GEPD auspica che in tale contesto venga fornito un quadro completo dei regimi esistenti, ed eventualmente divergenti, in materia di protezione dei dati e che la Commissione basi l’ulteriore processo decisionale su tale quadro.

19.

Ultima ma non meno importante considerazione, pur accogliendo con favore gli obiettivi e il contenuto principale della comunicazione, il GEPD richiama altresì l’attenzione sul fatto che questo documento deve essere considerato solo come un primo passo nel processo di valutazione e che deve essere seguito da ulteriori misure concrete da cui deve scaturire una politica UE globale, integrata e strutturata in materia di scambio e gestione delle informazioni.

20.

Nel testo della comunicazione la Commissione definisce il principio di limitazione delle finalità come «un aspetto fondamentale di quasi tutti gli strumenti esaminati nella presente comunicazione».

21.

Il GEPD accoglie con favore il rilievo accordato dalla comunicazione al principio di limitazione delle finalità, che prevede la necessità di precisare chiaramente le finalità della raccolta dei dati personali al momento della stessa nonché di trattare tali dati in modo non incompatibile con le finalità iniziali. Qualsiasi deviazione dal principio di limitazione delle finalità costituisce una deroga e può essere attuata solo nel rispetto di condizioni rigorose e con le necessarie garanzie giuridiche, tecniche e di altro tipo.

22.

Il GEPD si rammarica tuttavia che la comunicazione descriva questo principio essenziale della protezione dei dati come un aspetto fondamentale solo «di quasi tutti gli strumenti esaminati nella presente comunicazione». A pagina 22, inoltre, la comunicazione si riferisce al SIS, al SIS II e al VIS affermando che «ad eccezione di questi sistemi di informazione centralizzati, la limitazione delle finalità risulta essere un fattore primario nel predisporre le misure di gestione delle informazioni a livello UE».

23.

Tale formulazione potrebbe essere interpretata nel senso che questo principio non è stato considerato come un aspetto fondamentale in tutti i casi e per tutti i sistemi e gli strumenti connessi allo scambio di informazioni nell’UE. A tale proposito il GEPD osserva che, conformemente a quanto stabilito dall’articolo 13 della direttiva 95/46/CE e dall’articolo 3, paragrafo 2, della decisione quadro 2008/977/GAI (15), le deroghe e le restrizioni a questo principio sono possibili e possono risultare necessarie. È tuttavia obbligatorio garantire che vengano proposti e adottati eventuali nuovi strumenti relativi allo scambio di informazioni nell’UE solo qualora sia stata riservata la debita considerazione al principio di limitazione delle finalità e laddove eventuali deroghe e restrizioni a questo principio siano state decise caso per caso e siano state oggetto di una seria valutazione. Tali considerazioni valgono anche per il SIS, il SIS II e il VIS.

24.

Qualsiasi altro approccio è incompatibile con l’articolo 8 della Carta dei diritti fondamentali dell’Unione e con la legislazione dell’UE sulla protezione dei dati [ad esempio la direttiva 95/46/CE, il regolamento (CE) n. 45/2001 e la decisione quadro 2008/977/GAI] nonché con la giurisprudenza della Corte europea dei diritti dell’uomo. Il mancato rispetto del principio di limitazione delle finalità potrebbe inoltre provocare il cosiddetto «slittamento della funzione» di questi sistemi (16).

25.

La comunicazione (a pagina 25) fa riferimento alle condizioni stabilite dalla giurisprudenza della Corte europea dei diritti dell’uomo riguardo al «criterio di proporzionalità» e dichiara che «in tutte le proposte future, la Commissione valuterà l’impatto stimato dell’iniziativa sul diritto di ciascuno al rispetto della vita privata e alla protezione dei dati personali e preciserà perché tale impatto è necessario e per quale motivo la soluzione proposta è proporzionata all’obiettivo legittimo del mantenimento della sicurezza interna nell’Unione europea, della prevenzione dei reati o della gestione dell’immigrazione».

26.

Il GEPD accoglie con favore dette dichiarazioni, avendo a sua volta insistito sul fatto che il rispetto della proporzionalità e della necessità deve essere predominante nell’adozione di qualsivoglia decisione su sistemi, nuovi o già esistenti, che prevedono la raccolta e lo scambio di dati personali. In prospettiva, si tratta di una condizione essenziale anche per l’attuale riflessione sulla configurazione che dovrebbero assumere la strategia di gestione delle informazioni dell’UE e il modello europeo di scambio delle informazioni.

27.

In tale contesto, il GEPD accoglie con favore il fatto che, diversamente dalla formulazione utilizzata dalla Commissione in riferimento al principio di limitazione delle finalità (cfr. i paragrafi 20-22 del presente parere), per quanto riguarda il principio di necessità la Commissione si impegna a valutare l’impatto sul diritto di ciascuno al rispetto della vita privata e alla protezione dei dati personali di tutte le proposte future.

28.

Ciò detto, il GEPD richiama l’attenzione sul fatto che tutte queste condizioni di proporzionalità e necessità derivano dall’attuale legislazione dell’UE (in particolare dalla Carta dei diritti fondamentali, ora integrata nel diritto primario dell’Unione europea) e dalla giurisprudenza consolidata della Corte europea dei diritti dell’uomo. In altre parole, la comunicazione non introduce alcun nuovo elemento. Anzi, a parere del GEPD, la comunicazione non dovrebbe limitarsi a ribadire tali condizioni, ma dovrebbe prevedere misure e meccanismi concreti volti a garantire il rispetto dei principi sia di necessità che di proporzionalità nonché la loro applicazione pratica in tutte le proposte che incidono sui diritti delle persone. La valutazione d’impatto sulla tutela della vita privata, discussa ai paragrafi 38-41, potrebbe rappresentare un valido strumento per la realizzazione di questo obiettivo. Inoltre, di questa valutazione non dovrebbero essere oggetto solo le nuove proposte, ma anche i sistemi e i meccanismi esistenti.

29.

Il GEPD coglie inoltre questa opportunità per sottolineare che, nel prendere in considerazione i principi di proporzionalità e necessità nella strategia di gestione delle informazioni dell’UE, occorre insistere sulla necessità di un giusto equilibrio tra la protezione dei dati da una parte e l’applicazione della legge dall’altra. Il conseguimento di questo equilibrio non significa che la protezione dei dati rappresenterà un ostacolo all’utilizzo delle informazioni necessarie alla soluzione di un reato. È possibile utilizzare tutte le informazioni necessarie a tal fine, nel rispetto della normativa sulla protezione dei dati (17).

30.

Il programma di Stoccolma prevede la realizzazione di una valutazione oggettiva ed esauriente di tutti gli strumenti e i sistemi riguardanti lo scambio di informazioni nell’Unione europea. Ovviamente il GEPD sostiene appieno tale approccio.

31.

La comunicazione, tuttavia, al momento non sembra completamente equilibrata. Sembra accordare priorità, almeno in merito a cifre e statistiche, a quegli strumenti che si sono rivelati efficaci nel corso degli anni e che vengono considerati esempi virtuosi, quali il numero di «hit» (segnalazioni positive) individuati nei sistemi SIS ed Eurodac. Il GEPD non mette in discussione il successo globale di questi sistemi. A titolo di esempio, tuttavia, il GEPD ricorda che dalle relazioni di attività dell’Autorità di controllo comune per il SIS (18) emerge che in un non esiguo numero di casi le segnalazioni nel SIS erano obsolete, compitate male o errate, carenze che hanno comportato (o avrebbero potuto comportare) conseguenze negative per gli interessati. Nella comunicazione tali informazioni non vengono riportate.

32.

Il GEPD raccomanda alla Commissione di riconsiderare l’approccio adottato nella comunicazione. Suggerisce che, al fine di garantire un giusto equilibrio, nel lavoro futuro sulla gestione delle informazioni vengano indicate anche le disfunzioni e le lacune del sistema, quali ad esempio il numero di persone che sono state arrestate erroneamente o che hanno subito disagi di sorta a seguito di una falsa risposta pertinente nel sistema.

33.

Ad esempio, il GEPD suggerisce di integrare i dati sugli «hit» del sistema SIS/Sirene (Allegato I) con un riferimento al lavoro svolto dall’ACC sull’affidabilità e l’accuratezza delle segnalazioni.

34.

Tra i «principi orientati al processo» elencati alle pagine 26-27, la comunicazione fa riferimento alla «ripartizione chiara delle responsabilità», in particolare riguardo alla questione della configurazione iniziale delle strutture di governance. In tale contesto la comunicazione indica i problemi riscontrati in merito al progetto SIS II e le future responsabilità dell’agenzia IT.

35.

Il GEPD desidera cogliere questa occasione per sottolineare l’importanza del principio di «responsabilità», che deve essere attuato anche nel settore della cooperazione giudiziaria e di polizia in materia penale e svolgere un ruolo importante nell’elaborazione della nuova e più evoluta politica dell’UE in materia di scambio di dati e gestione delle informazioni. Il principio di responsabilità è attualmente oggetto di discussione nel contesto del futuro del quadro europeo per la protezione dei dati quale strumento volto a esortare ulteriormente i responsabili del trattamento dei dati a ridurre il rischio di non conformità attuando meccanismi adeguati a un’efficace protezione dei dati. In base a tale principio, i responsabili del trattamento dei dati sono tenuti ad attuare sistemi di controllo e meccanismi interni volti a garantire la conformità e a fornire prove concrete — quali relazioni di audit — della stessa alle parti interessate esterne, autorità di controllo comprese (19). Il GEPD ha sottolineato la necessità di adottare tali misure anche nei pareri formulati sul VIS e sul SIS II nel 2005.

36.

La Commissione cita il concetto di «privacy by design» (tutela della vita privata fin dalla progettazione) a pagina 25 della comunicazione (in riferimento alla «salvaguardia dei diritti fondamentali, in particolare del diritto al rispetto della vita privata e alla protezione dei dati», che figura tra i principi sostanziali) dichiarando che «nello sviluppare nuovi strumenti basati sull’uso delle tecnologie dell’informazione, la Commissione si impegnerà a seguire l’approccio privacy by design (tutela della vita privata fin dalla progettazione)».

37.

Il GEPD accoglie con favore il riferimento a questo concetto (20), che viene attualmente sviluppato a livello sia privato che pubblico in generale e deve svolgere un ruolo importante anche nei settori della polizia e della giustizia (21).

38.

Il GEPD è convinto che questa comunicazione costituisca una buona occasione per riflettere in maniera più approfondita su cosa si intenda per una effettiva «valutazione d’impatto sulla tutela della vita privata e la protezione dei dati».

39.

Il GEPD rileva che né gli orientamenti generali descritti nella comunicazione né gli orientamenti per la valutazione d’impatto della Commissione (22) specificano questo aspetto e lo traducono in un requisito politico.

40.

Il GEPD raccomanda pertanto che per gli strumenti futuri venga effettuata una più specifica e rigorosa valutazione d’impatto sulla tutela della vita privata e la protezione dei dati, o come valutazione separata o nell’ambito della valutazione d’impatto generale sui diritti fondamentali. Occorre definire caratteristiche e indicatori specifici affinché tutte le proposte che incidono sulla tutela della vita privata e sulla protezione dei dati siano oggetto di un’analisi approfondita. Il GEPD propone inoltre che la questione venga affrontata nell’ambito del lavoro attualmente in corso sul quadro globale per la protezione dei dati.

41.

In tale contesto, inoltre, potrebbe essere utile fare riferimento all’articolo 4 della raccomandazione RFID (23), in cui la Commissione invitava gli Stati membri ad assicurarsi che l’industria, in cooperazione con le parti interessate della società civile, metta a punto un quadro per la realizzazione di valutazioni d’impatto sulla tutela della vita privata e la protezione dei dati. Anche la risoluzione di Madrid, adottata nel novembre 2009 dalla conferenza internazionale dei commissari in materia di protezione dei dati e della vita privata, incoraggiava a realizzare valutazioni d’impatto sulla tutela della vita privata e la protezione dei dati prima di attuare nuovi sistemi e tecnologie di informazione per il trattamento di dati personali o di apportare modifiche sostanziali a trattamenti esistenti.

42.

Il GEPD rileva che la comunicazione non prende specificamente in considerazione l’importante questione dei diritti degli interessati, che costituiscono un elemento fondamentale della protezione dei dati. È indispensabile che in tutti i vari sistemi e strumenti relativi allo scambio di informazioni vengano garantiti ai cittadini diritti analoghi riguardo al modo in cui vengono trattati i loro dati personali. Di fatto, molti dei sistemi citati nella comunicazione fissano norme specifiche sui diritti degli interessati, ma esistono differenze notevoli tra i diversi sistemi e strumenti, senza una valida giustificazione.

43.

Il GEPD invita pertanto la Commissione a esaminare più attentamente la questione dell’allineamento dei dati degli interessati nell’UE nel prossimo futuro.

44.

Pur facendo riferimento all’utilizzo dei dati biometrici (24), la Commissione non prende specificamente in considerazione l’attuale fenomeno del crescente utilizzo dei dati biometrici nel settore dello scambio di informazioni nell’UE, compresi i sistemi informatici europei su larga scala e altri strumenti per la gestione delle frontiere. La comunicazione non fornisce indicazioni concrete neanche riguardo al modo in cui la Commissione intende affrontare la questione in futuro né riferisce se stia lavorando a una politica globale riguardo a tale tendenza sempre più diffusa. Questo è deplorevole considerato che si tratta di una questione di grande importanza e sensibilità dal punto di vista della protezione dei dati.

45.

In tale contesto il GEPD desidera ricordare di avere evidenziato in molte occasioni, in varie sedi e in diversi pareri (25), i possibili rischi collegati al grande impatto che l’utilizzo dei dati biometrici ha sui diritti delle persone. In tali occasioni ha altresì suggerito di inserire rigorose garanzie per l’utilizzo di elementi biometrici in determinati strumenti e sistemi. Il GEPD ha richiamato inoltre l’attenzione su un problema dovuto alle inesattezze insite nella raccolta e nel confronto dei dati biometrici.

46.

Il GEPD coglie pertanto l’occasione per chiedere alla Commissione di elaborare una politica chiara e rigorosa sull’utilizzo dei dati biometrici nello spazio di libertà, sicurezza e giustizia sulla base di una valutazione seria e ponderando caso per caso la necessità di utilizzare elementi biometrici, nel pieno rispetto di principi fondamentali per la protezione dei dati quali la proporzionalità, la necessità e la limitazione delle finalità.

47.

In una precedente occasione (26) il GEPD aveva sollevato una serie di preoccupazioni riguardo al concetto di interoperabilità. Una delle conseguenze dell’interoperabilità dei sistemi è che potrebbe costituire un incentivo a proporre, per i sistemi IT su larga scala, nuovi obiettivi che esulano dalla loro finalità iniziale e/o a utilizzare i dati biometrici come chiave primaria in questo settore. Sono necessarie garanzie e condizioni specifiche per i vari tipi di interoperabilità. In tale contesto il GEPD ha altresì sottolineato che l’interoperabilità dei sistemi deve essere attuata tenendo nella debita considerazione i principi di protezione dei dati e in particolare il principio di limitazione delle finalità.

48.

In tale contesto il GEPD rileva che la comunicazione non fa espressamente riferimento alla questione dell’interoperabilità dei sistemi. Il GEPD invita pertanto la Commissione a elaborare una politica su questo aspetto essenziale dello scambio di informazioni nell’UE, che deve essere preso in considerazione nell’esercizio di valutazione.

49.

La comunicazione contiene un capitolo sulle proposte legislative che la Commissione presenterà in futuro. Tra le altre, il documento accenna a una proposta di programma per viaggiatori registrati e a una proposta relativa all’introduzione di un sistema di ingresso/uscita. Il GEPD desidera formulare alcune osservazioni su entrambe le proposte di cui sopra, riguardo alle quali, come suggerisce la comunicazione, la Commissione ha già adottato una decisione.

50.

Come evidenziato al punto 3 del presente parere, la comunicazione intende illustrare «tutte le misure dell’UE (…) che disciplinano la raccolta, la conservazione o lo scambio transfrontaliero di informazioni personali a fini di contrasto o di gestione dell’immigrazione».

51.

In tale contesto il GEPD si interroga sullo scopo effettivo del programma per viaggiatori registrati e si chiede in che modo questa proposta, attualmente all’esame della Commissione, possa essere attuata a fini di contrasto o di gestione dell’immigrazione. A pagina 20 la comunicazione afferma che grazie a questo programma «alcune categorie di persone che viaggiano di frequente da paesi terzi verso l’UE potrebbero usufruire (…) di verifiche di frontiera semplificate attraverso porte automatiche». Tali strumenti sembrano pertanto finalizzati ad agevolare gli spostamenti delle persone che viaggiano di frequente e, di conseguenza, non presentano alcun collegamento (diretto o chiaro) con le finalità di contrasto o di gestione dell’immigrazione.

52.

In riferimento al futuro sistema UE di ingresso/uscita, la comunicazione (pagina 20) accenna al problema dei soggiornanti «fuoritermine» (cosiddetti overstayer) e afferma che questa categoria di persone «rappresenta la principale categoria di immigrati irregolari nell’UE». Quest’ultima osservazione viene presentata come il motivo per cui la Commissione ha deciso di proporre l’introduzione di un sistema di ingresso/uscita per i cittadini di paesi terzi ammessi nell’UE per soggiorni di breve durata fino a tre mesi.

53.

La comunicazione riferisce inoltre che «questo sistema registrerebbe la data e il luogo d’ingresso, la durata del soggiorno autorizzato e segnalerebbe automaticamente alle autorità competenti i fuoritermine. Basato sulla verifica dei dati biometrici, userebbe lo stesso sistema di confronto biometrico e la stessa strumentazione operativa dei sistemi SIS II e VIS».

54.

Il GEPD ritiene che sia indispensabile specificare il gruppo destinatario di soggiornanti «fuoritermine» sulla base di una definizione giuridica esistente o giustificarne l’individuazione con dati o statistiche attendibili. Ciò è tanto più importante se si considera che tutti i calcoli relativi al numero di «fuoritermine» presenti nell’UE sono attualmente basati solo su stime teoriche. È inoltre necessario chiarire le misure che dovranno essere adottate nei confronti dei «fuoritermine» dopo l’individuazione degli stessi da parte del sistema, in quanto l’UE è priva di una politica chiara ed esauriente sulle persone che soggiornano oltre i termini nel territorio dell’UE.

55.

La formulazione della comunicazione, inoltre, suggerisce che la decisione di introdurre il sistema è già stata adottata dalla Commissione, ma al contempo la comunicazione indica che al momento la Commissione sta effettuando una valutazione d’impatto. Il GEPD sottolinea che la decisione di introdurre questo complesso sistema, invasivo della vita privata, deve essere adottata solo sulla base di una valutazione d’impatto specifica che fornisca informazioni e prove concrete atte a motivare la necessità di utilizzare tale sistema e l’impossibilità di prevedere soluzioni alternative basate sui sistemi esistenti.

56.

La Commissione, infine, sembra collegare questo futuro sistema al sistema di confronto biometrico e alla strumentazione operativa dei sistemi SIS II e VIS, senza tuttavia fare riferimento al fatto che né il SIS II né il VIS sono ancora operativi e che le date esatte della loro entrata in funzione al momento non sono note. In altre parole, il sistema di ingresso/uscita dipenderà in ampia misura da sistemi biometrici e operativi che non sono ancora entrati in funzione e, di conseguenza, le loro prestazioni e funzionalità non possono materialmente essere state oggetto di una valutazione adeguata.

57.

Nell’ambito delle iniziative per cui la Commissione deve realizzare studi — sulle quali la Commissione non ha pertanto adottato una decisione definitiva — la comunicazione, sulla base delle richieste formulate nel programma di Stoccolma, fa riferimento a tre iniziative: un sistema UE di controllo delle transazioni finanziarie dei terroristi (equivalente al TFTP statunitense), un sistema elettronico di autorizzazione di viaggio e un indice europeo dei casellari giudiziari (EPRIS).

58.

Il GEPD seguirà da vicino tutti gli sviluppi connessi a queste iniziative e, se del caso, formulerà osservazioni e suggerimenti.

59.

Il GEPD sostiene appieno la comunicazione che illustra tutti i sistemi di scambio di informazioni sia esistenti che previsti in futuro nell’UE. Il GEPD ha sottolineato la necessità di valutare tutti gli strumenti esistenti sullo scambio di informazioni prima di proporne di nuovi in molti pareri e osservazioni.

60.

Il GEPD accoglie inoltre con favore il riferimento della comunicazione al lavoro, attualmente in corso, sul quadro globale per la protezione dei dati, svolto sulla base dell’articolo 16 del TFUE, di cui si deve tenere conto anche nell’ambito del lavoro sul panorama della gestione delle informazioni nell’UE.

61.

Il GEPD considera questa comunicazione come un primo passo nel processo di valutazione, cui deve fare seguito un’analisi concreta dalla quale deve scaturire una politica UE globale, integrata e strutturata in materia di scambio e gestione delle informazioni. In tale contesto, il GEPD si compiace del collegamento istituito con altre iniziative avviate dalla Commissione in risposta al programma di Stoccolma, in particolare la «mappatura delle informazioni» effettuata dalla Commissione in stretta collaborazione con un gruppo ad hoc.

62.

Il GEPD suggerisce che nel lavoro futuro sulla gestione delle informazioni vengano indicate e prese in considerazione anche le carenze e le lacune dei sistemi, quali ad esempio il numero di persone che sono state arrestate erroneamente o hanno subito disagi di sorta a seguito di una falsa risposta pertinente nel sistema.

63.

Il principio di limitazione delle finalità deve essere ritenuto un aspetto fondamentale di tutti gli strumenti relativi allo scambio di informazioni nell’UE; possono essere proposti nuovi strumenti solo qualora durante la loro elaborazione il principio di limitazione delle finalità sia stato debitamente considerato e rispettato. La necessità di procedere in tal senso sussiste anche durante la loro attuazione.

64.

Il GEPD incoraggia inoltre la Commissione a garantire il rispetto dei principi sia di necessità che di proporzionalità, nonché la loro applicazione pratica in tutte le nuove proposte che incidono sui diritti delle persone, sviluppando misure e meccanismi concreti. È inoltre necessario valutare i sistemi esistenti riguardo a tale questione.

65.

Il GEPD è peraltro convinto che questa comunicazione costituisca un’ottima occasione per avviare un dibattito su cosa si intenda effettivamente per «valutazione d’impatto sulla tutela della vita privata e la protezione dei dati» nonché per precisare meglio tale concetto.

66.

Il GEPD invita inoltre la Commissione a elaborare una politica più coerente e omogenea sui prerequisiti per l’utilizzo dei dati biometrici, a sviluppare una politica sull’operabilità dei sistemi e a prevedere un maggiore allineamento a livello UE in termini di diritti degli interessati.

67.

Il GEPD accoglie inoltre con favore il riferimento al concetto di «privacy by design» (tutela della vita privata fin dalla progettazione), attualmente sviluppato a livello sia privato che pubblico in generale, e che deve pertanto svolgere un ruolo importante anche nei settori della polizia e della giustizia.

68.

Ultima ma non meno importante considerazione, il GEPD richiama l’attenzione sulle osservazioni e preoccupazioni espresse riguardo al capitolo intitolato «Proposte legislative che presenterà la Commissione» relativamente al sistema di ingresso/uscita e al programma per viaggiatori registrati.

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/24

—

sul sito Internet della Commissione europea dedicato alla concorrenza, nella sezione relativa alle concentrazioni (http://ec.europa.eu/competition/mergers/cases/). Il sito offre varie modalità per la ricerca delle singole decisioni, tra cui indici per impresa, per numero del caso, per data e per settore,

—

in formato elettronico sul sito EUR-Lex (http://eur-lex.europa.eu/it/index.htm) con il numero di riferimento 32010M5952. EUR-Lex è il sistema di accesso in rete al diritto comunitario.

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/24

—

sul sito Internet della Commissione europea dedicato alla concorrenza, nella sezione relativa alle concentrazioni (http://ec.europa.eu/competition/mergers/cases/). Il sito offre varie modalità per la ricerca delle singole decisioni, tra cui indici per impresa, per numero del caso, per data e per settore,

—

in formato elettronico sul sito EUR-Lex (http://eur-lex.europa.eu/it/index.htm) con il numero di riferimento 32010M6040. EUR-Lex è il sistema di accesso in rete al diritto comunitario.

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/25

—

sul sito Internet della Commissione europea dedicato alla concorrenza, nella sezione relativa alle concentrazioni (http://ec.europa.eu/competition/mergers/cases/). Il sito offre varie modalità per la ricerca delle singole decisioni, tra cui indici per impresa, per numero del caso, per data e per settore,

—

in formato elettronico sul sito EUR-Lex (http://eur-lex.europa.eu/it/index.htm) con il numero di riferimento 32010M6072. EUR-Lex è il sistema di accesso in rete al diritto comunitario.

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/26

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/27

Občina Benedikt

Čolnikov trg 5

SI-2234 Benedikt

SLOVENIJA

1.

Aiuti a favore di investimenti nelle aziende agricole per la produzione primaria:

2.

Aiuti a favore di investimenti nella conservazione di paesaggi e fabbricati tradizionali:

3.

Aiuti a favore della ricomposizione fondiaria:

4.

Aiuti intesi a promuovere la produzione di prodotti agricoli di qualità:

5.

Aiuti a favore dell'assistenza tecnica nel settore agricolo:

Občina Piran

Tartinijev trg 2

SI-6330 Piran

SLOVENIJA

Regione del Veneto

Palazzo Balbi

Dorsoduro 3901

30123 Venezia VE

ITALIA

Tel. +39 412795030

Fax +39 412795085

E-mail: dir.formazione@regione.veneto.it

Provincie Utrecht

Casella postale 80300

3508 TH Utrecht

NEDERLAND

1.

Fino al 100 % dei costi per la rimozione e la distruzione dei capi morti se esiste l'obbligo di effettuare test EST su tali animali.

2.

Fino al 100 % dei costi per la rimozione e fino al 75 % dei costi per la distruzione delle carcasse:

3.

Fino al 61 % dei costi per la rimozione e fino al 59 % dei costi per la distruzione:

Lietuvos Respublikos žemės ūkio ministerija

Gedimino pr. 19

LT-01103 Vilnius

LIETUVA/LITHUANIA

Department of Agriculture, Fisheries and Food

Agriculture House

Kildare Street

Dublin 2

IRELAND

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/34

1.

Malta Freeport

2.

Mġarr Yacht Marina

3.

Msida Yacht Marina

4.

Valletta Seaport

1.

Malta International Airport, Luqa

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/35

1.

È indetta una gara per l'aggiudicazione della riduzione del dazio all'importazione di sorgo di cui al codice NC 1007 00 90 proveniente dai paesi terzi.

2.

L'aggiudicazione è effettuata conformemente alle disposizioni del regolamento (UE) n. 1262/2010 della Commissione (1).

1.

Il termine di presentazione delle offerte per la prima gara parziale scade il 13 gennaio 2011 alle ore 10 (ora di Bruxelles).

Il termine di presentazione delle offerte per le gare parziali successive scade i seguenti giorni alle ore 10 (ora di Bruxelles):

2.

Il presente bando è pubblicato esclusivamente per indire la presente gara. Fatta salva la possibilità di modifica o di sostituzione, è valido per tutte le gare parziali effettuate nel periodo di validità della presente gara.

1.

Le offerte devono pervenire per iscritto, entro le date e le ore indicate nel titolo II, mediante deposito contro dichiarazione di ricevuta oppure per via elettronica a uno dei seguenti indirizzi:

Indirizzo di consegna:

Le offerte non presentate per via elettronica devono pervenire al relativo indirizzo in doppia busta sigillata. La busta interna, anch'essa sigillata, deve recare la seguente dicitura «Offerta relativa alla gara per l'aggiudicazione della riduzione del dazio all'importazione di sorgo — regolamento (UE) n. 1262/2010».

Fino al momento in cui lo Stato membro in questione non comunica all'interessato l'avvenuta aggiudicazione, le offerte presentate non possono essere ritirate.

2.

L'offerta, nonché la prova e la dichiarazione di cui all'articolo 7, paragrafo 3, del regolamento (CE) n. 1296/2008 della Commissione (2), sono redatte nella lingua ufficiale o in una delle lingue ufficiali dello Stato membro il cui organismo competente ha ricevuto l'offerta.

a)

il diritto al rilascio, nello Stato membro in cui è stata presentata l'offerta, di un titolo di importazione indicante la riduzione del dazio all'importazione prevista nell'offerta e aggiudicata per il quantitativo in causa;

b)

l'obbligo di chiedere un titolo di importazione per tale quantitativo nello Stato membro di cui alla lettera a).

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/37

1.

È indetta una gara per l'aggiudicazione della riduzione del dazio all'importazione di granturco di cui al codice NC 1005 90 00 proveniente dai paesi terzi.

2.

L'aggiudicazione è effettuata conformemente alle disposizioni del regolamento (UE) n. 1262/2010 della Commissione (1).

1.

Il termine di presentazione delle offerte per la prima gara parziale scade il 13 gennaio 2011 alle ore 10 (ora di Bruxelles).

Il termine di presentazione delle offerte per le gare parziali successive scade i seguenti giorni alle ore 10 (ora di Bruxelles):

2.

Il presente bando è pubblicato esclusivamente per indire la presente gara. Fatta salva la possibilità di modifica o di sostituzione, è valido per tutte le gare parziali effettuate nel periodo di validità della presente gara.

1.

Le offerte devono pervenire per iscritto, entro le date e le ore indicate nel titolo II, mediante deposito contro dichiarazione di ricevuta oppure per via elettronica a uno dei seguenti indirizzi:

Indirizzo di consegna:

Le offerte non presentate per via elettronica devono pervenire al relativo indirizzo in doppia busta sigillata. La busta interna, anch'essa sigillata, deve recare la seguente dicitura «Offerta relativa alla gara per l'aggiudicazione della riduzione del dazio all'importazione di granturco — regolamento (UE) n. 1262/2010».

Fino al momento in cui lo Stato membro in questione non comunica all'interessato l'avvenuta aggiudicazione, le offerte presentate non possono essere ritirate.

2.

L'offerta, nonché la prova e la dichiarazione di cui all'articolo 7, paragrafo 3, del regolamento (CE) n. 1296/2008 della Commissione (2), sono redatte nella lingua ufficiale o in una delle lingue ufficiali dello Stato membro il cui organismo competente ha ricevuto l'offerta.

a)

il diritto al rilascio, nello Stato membro in cui è stata presentata l'offerta, di un titolo di importazione indicante la riduzione del dazio all'importazione prevista nell'offerta e aggiudicata per il quantitativo in causa;

b)

l'obbligo di chiedere un titolo di importazione per tale quantitativo nello Stato membro di cui alla lettera a).

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/39

1.

È indetta una gara per l’aggiudicazione della riduzione del dazio all’importazione di granturco di cui al codice NC 1005 90 00 proveniente dai paesi terzi.

2.

L’aggiudicazione è effettuata conformemente alle disposizioni del regolamento (UE) n. 1262/2010 della Commissione (1).

1.

Il termine di presentazione delle offerte per la prima gara parziale scade il 13 gennaio 2011 alle ore 10 (ora di Bruxelles).

Il termine di presentazione delle offerte per le gare parziali successive scade i seguenti giorni alle ore 10 (ora di Bruxelles):

2.

Il presente bando è pubblicato esclusivamente per indire la presente gara. Fatta salva la possibilità di modifica o di sostituzione, è valido per tutte le gare parziali effettuate nel periodo di validità della presente gara.

1.

Le offerte devono pervenire per iscritto, entro le date e le ore indicate nel titolo II, mediante deposito contro dichiarazione di ricevuta oppure per via elettronica a uno dei seguenti indirizzi:

Indirizzo di consegna:

Le offerte non presentate per via elettronica devono pervenire al relativo indirizzo in doppia busta sigillata. La busta interna, anch’essa sigillata, deve recare la seguente dicitura «Offerta relativa alla gara per l’aggiudicazione della riduzione del dazio all’importazione di granturco — regolamento (UE) n. 1262/2010».

Fino al momento in cui lo Stato membro in questione non comunica all’interessato l’avvenuta aggiudicazione, le offerte presentate non possono essere ritirate.

2.

L’offerta, nonché la prova e la dichiarazione di cui all’articolo 7, paragrafo 3, del regolamento (CE) n. 1296/2008 della Commissione (2), sono redatte nella lingua ufficiale o in una delle lingue ufficiali dello Stato membro il cui organismo competente ha ricevuto l’offerta.

a)

il diritto al rilascio, nello Stato membro in cui è stata presentata l’offerta, di un titolo di importazione indicante la riduzione del dazio all’importazione prevista nell’offerta e aggiudicata per il quantitativo in causa;

b)

l’obbligo di chiedere un titolo di importazione per tale quantitativo nello Stato membro di cui alla lettera a).

29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/41

1.

In data 17 dicembre 2010 è pervenuta alla Commissione la notifica di un progetto di concentrazione in conformità dell'articolo 4 del regolamento (CE) n.139/2004 del Consiglio (1). Con tale operazione Veolia Eau — Compagnie Génerale des Eaux SCA («Veolia Eau», Francia), appartenente al gruppo Veolia Environnement, e Electricité de France International SA («EDFI», Francia), appartenente al gruppo Electricité de France («EDF»), acquisiscono, ai sensi dell'articolo 3, paragrafo 1, lettera b), del regolamento comunitario sulle concentrazioni, il controllo comune della Société d'Energie et d'Eau du Gabon («SEEG», Gabon), mediante acquisto di quote della holding di SEEG, Veolia Water India Africa SA («VWIA», Francia), attualmente sotto il controllo esclusivo di Veolia Eau.

2.

Le attività svolte dalle imprese interessate sono le seguenti:

3.

A seguito di un esame preliminare la Commissione ritiene che la concentrazione notificata possa rientrare nel campo d'applicazione del regolamento comunitario sulle concentrazioni. Tuttavia, si riserva la decisione definitiva al riguardo. Si rileva che, ai sensi della comunicazione della Commissione concernente una procedura semplificata per l'esame di determinate concentrazioni a norma del regolamento comunitario sulle concentrazioni (2), il presente caso potrebbe soddisfare le condizioni per l'applicazione della procedura di cui alla comunicazione stessa.

4.

La Commissione invita i terzi interessati a presentare eventuali osservazioni sulla concentrazione proposta.

Le osservazioni devono pervenire alla Commissione entro dieci giorni dalla data di pubblicazione della presente comunicazione. Le osservazioni possono essere trasmesse alla Commissione per fax (+32 22964301), per e-mail all’indirizzo COMP-MERGER-REGISTRY@ec.europa.eu o per posta, indicando il riferimento COMP/M.6105 — Veolia/EDF/Société d'Energie et d'Eau du Gabon, al seguente indirizzo: