Parere del Garante europeo della protezione dei dati sulla proposta di decisione del Consiglio che istituisce il sistema europeo di informazione sui casellari giudiziari (ECRIS) in applicazione dell'articolo 11 della decisione quadro 2008/.../GAI

(Pubblicato sulla GUUE n. C 42 del 20.2.2009)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41,

vista la richiesta di parere a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 trasmessa al GEPD il 27 maggio 2008,

HA ADOTTATO IL SEGUENTE PARERE:

I. OSSERVAZIONI INTRODUTTIVE

1. Il 27 maggio 2008 la Commissione ha adottato la proposta di decisione del Consiglio che istituisce il sistema europeo di informazione sui casellari giudiziari (ECRIS) in applicazione dell'articolo 11 della decisione quadro 2008/…/GAI (di seguito: «la proposta») ⁽¹⁾ che ha poi trasmesso al GEPD per consultazione conformemente all'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001.

2. Obiettivo della proposta è dare attuazione all'articolo 11 della decisione quadro del Consiglio relativa all'organizzazione e al contenuto degli scambi fra Stati membri di informazioni estratte dal casellario giudiziario ⁽²⁾ (di seguito: «la decisione quadro del Consiglio») per costruire e sviluppare un sistema informatizzato di scambio di informazioni tra gli Stati membri ⁽³⁾. Come indicato all'articolo 1, essa istituisce il sistema europeo di informazione sui casellari giudiziari (ECRIS) e definisce anche gli elementi di un formato standard per lo scambio elettronico delle informazioni e altre modalità generali e tecniche di attuazione per organizzare e agevolare gli scambi di informazioni.

3. Il GEPD si rallegra di essere stato consultato e raccomanda che il riferimento alla consultazione figuri nei considerando della proposta, come è avvenuto per una serie di altri testi legislativi sui quali il GEPD è stato consultato, a norma del regolamento (CE) n. 45/2001.

II. ANTEFATTI E CONTESTO

4. Il GEPD ricorda di aver reso un parere sulla decisione quadro del Consiglio in data 29 maggio 2006. Fra gli elementi di tale parere vale la pena ricordarne alcuni:

— accento sull'importanza di un formato standard come mezzo per evitare l'ambiguità circa il contenuto delle informazioni estratte dai casellari giudiziari,

— appoggio alle scelte operate nella decisione quadro del Consiglio di non prevedere una banca dati europea centralizzata e di non consentire l'accesso diretto a banche dati che sarebbero difficili da controllare,

— applicazione della decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale alle informazioni estratte dai casellari giudiziari, anche in relazione alle trasmissioni di dati personali a paesi terzi,

— efficacia dello scambio di informazioni in un contesto notevolmente differenziato di normative nazionali in materia di casellari giudiziari, e conseguente necessità di disposizioni supplementari per il suo funzionamento,

— suddivisione delle responsabilità tra gli Stati membri e conseguenti difficoltà per un controllo adeguato; si considerava positivamente la designazione di un'autorità centrale a livello nazionale,

— vasto campo di applicazione della decisione quadro del Consiglio, che si applica a tutte le condanne penali trasmesse al casellario giudiziario.

5. Questi elementi del parere del 2006 sono tuttora esplicativi del contesto in cui verrà analizzata la proposta. In particolare, è determinante per il contesto la discordanza del diritto interno in materia di casellari giudiziari, discordanza che sollecita l'adozione di misure supplementari affinché il sistema di scambio funzioni. La proposta ECRIS, in quanto tale, costituisce una misura supplementare. Anche il contesto, però, si sta sviluppando.

6. In primo luogo, la decisione quadro del Consiglio e la sua attuazione con la proposta ECRIS costituiscono un insieme nell'ambito dei vari nuovi strumenti giuridici intesi ad agevolare lo scambio di informazioni tra gli Stati membri dell'Unione europea ai fini dell'applicazione della legge.

Tutti i suddetti strumenti conferiscono sostanza al principio di disponibilità introdotto dal programma dell'Aia del 2004 ⁽⁴⁾. Mentre la maggior parte di essi è incentrata sulla cooperazione di polizia, lo strumento in questione costituisce un mezzo di cooperazione giudiziaria in materia penale ai sensi dell'articolo 31 del trattato UE ⁽⁵⁾. L'obiettivo, però, è lo stesso: agevolare lo scambio di informazioni ai fini dell'applicazione della legge. I suddetti strumenti spesso includono o sono supportati da sistemi TI e/o dalla standardizzazione delle prassi di scambio. Da questo punto di vista la proposta ECRIS non è isolata per valutarla, Il GEPD beneficia delle precedenti esperienze fatte con strumenti analoghi.

7. In secondo luogo, il quadro giuridico UE per la protezione dei dati si sta sviluppando. L'adozione della decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale, menzionata nel considerando 14 come quadro generale applicabile nell'ambito dello scambio informatizzato di informazioni estratte dai casellari giudiziari, è prevista per la fine del 2008. Detta decisione quadro prevederà garanzie minime per la protezione dei dati qualora i dati personali siano o siano stati trasmessi o resi disponibili tra Stati membri ⁽⁶⁾. Ne conseguirà una maggiore convergenza del diritto interno quanto alle condizioni di utilizzo dei dati personali (ai sensi dell'articolo 9 della decisione quadro del Consiglio relativa agli scambi di informazioni estratte dal casellario giudiziario).

8. Occorre al riguardo porre l'accento sul fatto che a seguito dei negoziati per la decisione quadro sulla protezione dei dati personali sono state introdotte modifiche, alcune delle quali condizioneranno specificamente il quadro giuridico in cui si effettua lo scambio di informazioni sui casellari giudiziari:

— limitazione del campo di applicazione, che ora riguarda soltanto i dati personali scambiati con altri Stati membri e non più i dati trattati unicamente all'interno di un solo Stato membro,

— mancanza di meccanismi di effettivo coordinamento tra le autorità di protezione dei dati.

9. Tenuto conto di quanto precede, l'articolo 9 della decisione quadro relativa agli scambi di informazioni estratte dal casellario giudiziario — che stabilisce alcune «condizioni di utilizzo dei dati personali» — va vista come una lex specialis in materia di protezione dei dati, che prevede garanzie supplementari rispetto a quelle stabilite dalla lex generalis, ovvero la decisione quadro sulla protezione dei dati personali.

Il suddetto articolo, in particolare i paragrafi 2 e 4, specifica il principio di limitazione delle finalità relativamente allo scambio di informazioni sui casellari giudiziari, per il quale ammette deroghe soltanto nelle circostanze esplicitamente menzionate dalle suddette disposizioni.

10. In terzo luogo, la Commissione europea ha presentato in stretta connessione con la proposta considerata, una comunicazione su una strategia europea in materia di «giustizia elettronica» ⁽⁷⁾, con la quale intende contribuire al rafforzamento e allo sviluppo di strumenti di giustizia elettronica a livello europeo. Vi figurano una serie di iniziative di notevole impatto sulla protezione dei dati personali come, ad esempio, la creazione di una rete di scambi protetti per la condivisione delle informazioni tra autorità giudiziarie e la creazione di una banca dati europea di traduttori e interpreti giudiziari. Il GEPD intende reagire alla comunicazione in un documento a parte.

III. SCAMBIO DI INFORMAZIONI PREVISTO NELLA

DECISIONE QUADRO DEL CONSIGLIO

11. L'articolo 11 della decisione quadro del Consiglio descrive quali informazioni devono o possono essere trasmesse (paragrafo 1) e al paragrafo 3 prevede la base giuridica della presente proposta. L'allegato II della decisione quadro del Consiglio contiene il modulo da utilizzare per lo scambio. Vi figurano le informazioni che devono essere fornite dallo Stato membro richiedente e le informazioni da trasmettere in risposta alla richiesta. Il modulo può essere modificato con una decisione del Consiglio, come attualmente proposto dalla Commissione.

12. L'articolo 11, paragrafo 1, opera una distinzione tra informazioni obbligatorie, informazioni facoltative, informazioni supplementari e altre eventuali informazioni. Il modulo dell'allegato II non rispecchia tali distinzioni. Ad esempio, le informazioni relative ai nomi dei genitori della persona oggetto di condanna nell'articolo 11 sono qualificate come informazioni facoltative che devono essere trasmesse solo se iscritte nel casellario giudiziario. L'allegato II non rispecchia il carattere facoltativo della trasmissione.

13. Il GEPD suggerisce di sfruttare questa occasione per rendere il modulo totalmente conforme all'articolo 11. Ciò consentirà di limitare la trasmissione di dati personali al minimo effettivamente necessario ai fini dello scambio. Nell'esempio summenzionato non sembra esserci la necessità di trasmettere automaticamente i nomi dei genitori delle persone oggetto di condanna: così facendo si potrebbe arrecare un danno inutile alle persone coinvolte, ossia i genitori.

IV. SISTEMA ECRIS

Considerazioni generali

14. L'articolo 3 è il punto focale della proposta. Prevede la creazione di ECRIS come un sistema basato su un'architettura informatica decentrata e composto di tre elementi: una banca dati di casellari giudiziari di ciascuno Stato membro, un'infrastruttura di comunicazione comune e un software di interconnessione.

15. Il GEPD appoggia la presente proposta di creazione dell'ECRIS, purché si tenga conto delle osservazioni formulate nel presente parere.

16. In questo contesto sottolinea che, da un lato, non è creata alcuna banca dati centrale europea e non è previsto un accesso diretto ai casellari giudiziari di altri Stati membri, mentre, dall'altro, a livello nazionale le responsabilità sono centralizzate presso le autorità centrali degli Stati membri, designate ai sensi dell'articolo 3 della decisione quadro del Consiglio. Questo meccanismo limita la conservazione e lo scambio di dati personali al minimo, mentre stabilisce anche chiaramente le responsabilità che incombono alle autorità centrali. Nell'ambito del meccanismo gli Stati membri sono responsabili della gestione delle banche dati nazionali relative ai casellari giudiziari nonché del funzionamento efficace degli scambi. Essi sono altresì responsabili del software di interconnessione (articolo 3, paragrafo 2, della proposta).

17. Sarà creata un'infrastruttura comune che, inizialmente, sarà la rete S-TESTA ⁽⁸⁾, la quale potrà essere sostituita da un'altra rete sicura gestita dalla Commissione (articolo 3, paragrafo 4, della proposta). Secondo l'interpretazione del GEPD, la Commissione sarà responsabile dell'infrastruttura comune, anche se ciò non risulta chiaramente dall'articolo 3.

Il GEPD suggerisce di chiarire questa responsabilità nel testo stesso, a fini di certezza del diritto.

Primo elemento: banche dati di casellari giudiziari di ciascuno Stato membro

18. Nel parere del 29 maggio 2006 il GEPD si era dichiarato favorevole a un'architettura decentrata. Tra l'altro, ciò evita di replicare ulteriormente i dati personali in una banca dati centrale. La scelta di un'architettura decentrata comporta automaticamente che gli Stati membri siano responsabili delle banche dati relative ai casellari giudiziari e al trattamento dei dati personali nell'ambito di tali banche. Più specificamente, sono le autorità centrali degli Stati membri ad essere responsabili del trattamento per le banche dati in questione. In qualità di responsabili del trattamento esse hanno competenza sul contenuto delle banche dati nonché sul contenuto delle informazioni che vengono scambiate.

La decisione quadro del Consiglio stabilisce gli obblighi che incombono allo Stato membro di condanna e allo Stato membro di nazionalità della persona interessata.

19. In questo contesto ECRIS costituisce una rete da pari a pari per lo scambio di informazioni tra le banche dati nazionali.

Una rete da pari a pari, quale è il caso di ECRIS, presenta taluni rischi che occorre affrontare:

— nella pratica, la suddivisione delle responsabilità tra le autorità centrali degli Stati membri non si produce da sola: risultano necessarie misure supplementari, ad esempio per garantire l'aggiornamento e l'uguaglianza delle informazioni detenute dallo Stato membro che trasmette e da quello che riceve (stato di condanna e stato di nazionalità),

— quest'architettura è fonte di grandi diversità nel modo in cui viene applicata dai vari Stati membri, diversità che risultano ancora più manifeste in un contesto di grandi differenze tra le legislazioni nazionali (quale è il caso dei casellari giudiziari).

20. L'armonizzazione dell'uso della rete stessa, e delle procedure che lo disciplinano, è pertanto fondamentale. Il GEPD rileva in particolare l'importanza che tutti gli usi che si fanno della rete siano armonizzati, con standard elevati in materia di protezione dei dati. Le misure di esecuzione che saranno adottate ai sensi dell'articolo 6 della proposta sono quindi della massima importanza. Il GEPD raccomanda che l'articolo 6 faccia riferimento ad un livello elevato di protezione dei dati quale condizione preliminare per tutte le misure di esecuzione da adottare.

21. A questo riguardo, le autorità nazionali di protezione dei dati possono svolgere un ruolo, purché operino in maniera armonizzata. Il GEPD suggerisce di includere un considerando in cui si metta in rilievo il ruolo delle autorità di protezione dei dati, così come il considerando 11 e l'articolo 3, paragrafo 5, rilevano che la Commissione assiste gli Stati membri. Il nuovo considerando dovrebbe anche incoraggiare le autorità di protezione dei dati a cooperare.

22. Infine il GEPD nota con favore la disposizione di cui all'articolo 3, paragrafo 3, destinata a promuovere le migliori tecniche disponibili per garantire la riservatezza e l'integrità dei dati dei casellari giudiziari inviati ad altri Stati membri. Tuttavia, sarebbe auspicabile che anche le competenti autorità di protezione dei dati fossero coinvolte insieme con (le autorità centrali de) gli Stati membri e la Commissione nell'identificazione di dette tecniche.

Secondo elemento: infrastruttura di comunicazione comune

23. La responsabilità della Commissione per l'infrastruttura di comunicazione comune implica la qualifica di fatto come il fornitore della rete. Ai fini della protezione dei dati la Commissione può essere considerata come il responsabile del trattamento ai sensi dell'articolo 2, lettera i), della decisione quadro del Consiglio sulla protezione dei dati personali, anche se con compiti limitati: fornire la rete e garantirne la sicurezza. Qualora in relazione alla fornitura della rete siano trattati dati personali oppure se emergono questioni di protezione dei dati relativamente alla sicurezza della rete, la Commissione svolgerà la funzione di responsabile del trattamento. In questo caso il ruolo della Commissione è analogo a quello che svolge nei sistemi SIS, VIS e Eurodac, vale a dire di responsabile per la gestione operativa (e non per il contenuto dei dati personali). Questo ruolo è stato definito come responsabile del trattamento «sui generis» ⁽⁹⁾.

24. L'infrastruttura di comunicazione comune si baserà su S-TESTA, almeno nel breve periodo. S-TESTA è volto a collegare tra loro gli organismi dell'UE con le autorità nazionali, quali amministrazioni ed agenzie ubicate in tutta Europa. Si tratta di una rete dedicata di telecomunicazioni. Il centro operativo dei servizi si trova a Bratislava. S-TESTA forma inoltre la struttura portante di altri sistemi informativi operanti nel contesto dello spazio di libertà, sicurezza e giustizia, quale il sistema di informazione Schengen. Il GEPD approva la scelta di S-TESTA che si è dimostrato un sistema affidabile per lo scambio.

25. Il ruolo della Commissione quale responsabile del trattamento «sui generis» ha anche conseguenze sulla legge applicabile in materia di protezione dei dati e sul controllo. L'articolo 3 del regolamento (CE) n. 45/2001 stipula che il regolamento «si applica al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organismi comunitari, nella misura in cui detto trattamento avviene nell'esercizio di attività che rientrano in tutto o in parte nel campo di applicazione del diritto comunitario».

26. Se tutte le attività di trattamento della Commissione o parte di esse rientrassero nel campo d'applicazione del diritto comunitario non vi sarebbero dubbi quanto all'applicabilità del regolamento (CE) n. 45/2001. In particolare l'articolo 1 del regolamento citato prevede che le istituzioni e gli organismi comunitari garantiscano la tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto alla vita privata per quanto attiene al trattamento di dati personali. Ai sensi dell'articolo 22 del medesimo regolamento, la Commissione «adotta opportune misure tecniche ed organizzative per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere».

Tali attività si svolgono sotto il controllo del GEPD.

27. Tuttavia, per quanto riguarda il caso in esame e contrariamente al sistema d'informazione Schengen ⁽¹⁰⁾, va rilevato che la base giuridica per le attività di trattamento si ritrova nel titolo VI del trattato UE (terzo pilastro). Ciò significa che il regolamento (CE) n. 45/2001 non si applica automaticamente, né si applica alle attività di trattamento della Commissione qualunque altro quadro giuridico sulla protezione dei dati e sul controllo. Questo è un fatto poco felice per l'ovvia ragione di un'assenza di protezione dell'interessato, in particolare dal momento che il trattamento dei dati personali relativi a condanne penali è di natura sensibile, come risulta dall'articolo 10, paragrafo 5, del regolamento (CE) n. 45/2001 ai cui sensi il trattamento che riguarda condanne penali rientra tra le operazioni che potrebbero presentare rischi specifici. La situazione è ancor più infelice dal momento che il GEPD è, sulla base di altri strumenti giudici, coinvolto nel controllo di S-TESTA. Per questo motivo il GEPD propone di aggiungere alla decisione ⁽¹¹⁾ una disposizione in cui si dichiari che il regolamento (CE) n. 45/2001 si applica al trattamento dei dati personali sotto responsabilità della Commissione.

Terzo elemento: software di interconnessione

28. La proposta opera una distinzione tra l'infrastruttura tecnica comune per la connessione delle banche dati e il software di interconnessione. Come già indicato, gli Stati membri sono responsabili del software di interconnessione. Conformemente al considerando 11, la Commissione può fornire tale software, ma gli Stati membri sono liberi di utilizzarlo o meno al posto del loro software di interconnessione.

29. Si pone il problema del perché le responsabilità dell'infrastruttura tecnica e della connessione del software debbano essere distinte e non attribuite entrambe alla Commissione. Esse riguardano in effetti la rete tra autorità centrali degli Stati membri (i punti d'accesso nazionali alla rete) e non lo scambio d'informazioni all'interno degli Stati membri.

30. Attribuire questa responsabilità supplementare alla Commissione non comprometterebbe il carattere decentrato dell'architettura informatica, mentre d'altro canto l'efficacia dello scambio dovrebbe essere ottimale. Migliorare l'efficacia è importante sotto il profilo della protezione dei dati per motivi connessi alla qualità dei dati: devono infatti essere scambiati solo i dati essenziali, evitando che siano fornite informazioni supplementari a causa di imperfezioni del sistema. Inoltre, riunire le responsabilità dell'infrastruttura di comunicazione comune a un unico livello consente una migliore supervisione del sistema.

31. Ciò è tanto più importante alla luce della funzione del software di strumento per lo scambio. Caratteristiche importanti del software di interconnessione consistono nel permettere di controllare l'identità del mittente nonché la compatibilità e integrità delle richieste, e, di conseguenza, consentire la convalida delle richieste. L'interoperabiltà del software utilizzato dagli Stati membri è pertanto essenziale.

Non tutti gli Stati membri devono necessariamente utilizzare il medesimo software (anche se ciò sarebbe la soluzione più pratica), ma i software utilizzati devono essere pienamente interoperabili.

32. La proposta riconosce la necessità di armonizzare gli aspetti connessi al software di interconnessione. Le misure di esecuzione di cui all'articolo 6, da adottare mediante procedura di comitato, comprendono, ad esempio, «procedure di verifica della conformità delle applicazioni informatiche alle specifiche tecniche». L'articolo 6 menziona inoltre un pacchetto comune di protocolli, che tuttavia non è prescritto per il software di interconnessione. L'articolo 6 non prevede neanche l'individuazione di un software.

33. Per i suddetti motivi, al fine di migliorare l'efficacia e la sicurezza degli scambi, il GEPD raccomanda quanto segue:

— come minimo, dovrebbero essere adottate misure di esecuzione che assicurino l'interoperabilità del software,

— preferibilmente, il testo dovrebbe imporre alla Commissione e agli Stati membri, probabilmente mediante procedura di comitato, di sviluppare o individuare un software che soddisfi tutte le condizioni sopra elencate,

— il testo dovrebbe indicare che la Commissione sarà responsabile del software di interconnessione.

V. ALTRE QUESTIONI

Manuale

34. L'articolo 6, lettera b), prevede che un manuale da adottare secondo la procedura di comitato stabilisca le procedure di scambio delle informazioni e «tratti in particolare delle modalità di identificazione degli autori dei reati». Il GEPD si chiede cosa conterrà precisamente questo manuale e se sarà prevista, ad esempio, l'identificazione mediante il ricorso a dati biometrici.

35. Il GEPD sottolinea che l'identificazione degli autori di reati non dovrebbe comportare lo scambio di dati personali non esplicitamente menzionati nella decisione quadro. Inoltre, il manuale dovrebbe prevedere garanzie adeguate per il trattamento e la trasmissione di categorie speciali di dati, quali i dati biometrici.

Raccolta di dati statistici

36. L'articolo 6, lettera c), e l'articolo 8 fanno riferimento alla raccolta di dati statistici, che rappresenta un elemento chiave non solo per valutare l'efficacia del sistema di scambio di dati, ma anche per controllare il rispetto delle garanzie in materia di protezione dei dati. Tenuto conto di quanto precede, il GEPD raccomanda che, in linea con gli altri strumenti giuridici relativi allo scambio di dati personali ⁽¹²⁾, siano definiti più dettagliatamente i dati statistici da raccogliere, tenendo in debito conto la necessità di assicurare il controllo della protezione dei dati. Ad esempio, i dati statistici potrebbero includere esplicitamente elementi come il numero di richieste di accesso o di rettifica dei dati personali, la durata e la completezza del processo di aggiornamento, la qualifica delle persone che possono accedere ai dati e i casi di violazione della sicurezza. Inoltre, i dati statistici e le relazioni basate su di essi dovrebbero essere messi integralmente a disposizione delle autorità competenti per la protezione dei dati.

Coordinamento del controllo del trattamento dei dati

37. Il GEPD ha già sottolineato, nel suo parere del 29 maggio 2006 sulla decisione quadro relativa agli scambi di informazioni estratte dal casellario giudiziario, che la proposta non dovrebbe riguardare soltanto la cooperazione tra le autorità centrali, ma anche la cooperazione tra le varie autorità competenti per la protezione dei dati. Ciò è diventato ancor più necessario in quanto i negoziati sulla decisione quadro relativa alla protezione dei dati hanno portato alla soppressione della disposizione che istituiva un gruppo che riunisce le autorità dell'UE per la protezione dei dati e ne coordina le attività con riguardo al trattamento dei dati nel quadro della cooperazione di polizia e giudiziaria in materia penale.

38. Pertanto, onde garantire l'efficace controllo e la buona qualità della circolazione transfrontaliera dei dati estratti dal casellario giudiziario, sarebbe necessario predisporre opportuni meccanismi di coordinamento tra le autorità preposte alla protezione dei dati. Questi meccanismi dovrebbero tener conto anche della competenza in materia di controllo del GEPD per quanto riguarda l'infrastruttura S-TESTA e potrebbero formare oggetto di una disposizione specifica o essere aggiunti alla misure di esecuzione da adottare ai sensi dell'articolo 6 della proposta.

Traduzioni

39. I considerando 6 e 8 e la relazione della Commissione fanno riferimento a un ampio ricorso alla traduzione automatica. Pur rallegrandosi di qualsiasi misura intesa a migliorare la reciproca comprensione delle informazioni trasmesse, il GEPD sottolinea l'importanza di definire e circoscrivere precisamente l'uso della traduzione automatica. In effetti, una volta che saranno state effettuate accurate pretraduzioni delle categorie di reati elencati nell'allegato della decisione, l'uso di codici comuni consentirà alle autorità nazionali di leggere la traduzione automatica di tali categorie nella rispettiva lingua nazionale. Questo uso della traduzione automatica è uno strumento utile e potrebbe favorire la reciproca comprensione dei vari reati penali.

40. Tuttavia, l'uso della traduzione automatica per la trasmissione di informazioni che non sono state accuratamente pretradotte, come osservazioni o precisazioni supplementari aggiunte in casi specifici, rischia di compromettere la qualità delle informazioni trasmesse — e pertanto delle decisioni prese basandosi su tali informazioni — e dovrebbe quindi essere esclusa in linea di principio. Il GEPD raccomanda di precisare questo aspetto nei considerando della decisione del Consiglio.

VI. CONCLUSIONI

41. Il GEPD raccomanda che nei considerando della proposta sia introdotto un riferimento alla presente consultazione.

42. Si suggerisce di sfruttare questa occasione per adeguare totalmente il modulo conformemente all'articolo 11 della decisione quadro del Consiglio sulle informazioni estratte dal casellario giudiziario, che distingue tra informazioni obbligatorie, informazioni facoltative, informazioni supplementari ed altre eventuali informazioni.

43. Il GEPD appoggia la proposta di creazione dell'ECRIS, purché si tenga conto delle osservazioni formulate nel presente parere, ossia:

— chiarire nel testo la responsabilità della Commissione in relazione all'infrastruttura di comunicazione comune per garantire la certezza del diritto,

— aggiungere nella decisione una disposizione al fine di precisare che il regolamento (CE) n. 45/2001 si applica al trattamento dei dati personali sotto responsabilità della Commissione,

— l'articolo 6 deve fare riferimento ad un livello elevato di protezione dei dati quale condizione preliminare per tutte le misure di esecuzione da adottare,

— un considerando dovrebbe sottolineare il ruolo delle autorità per la protezione dei dati in relazione alle misure di esecuzione e incoraggiare la cooperazione tra tali autorità,

— occorre adottare misure di esecuzione che garantiscano l'interoperabilità del software,

— la Commissione e gli Stati membri dovrebbero essere tenuti — probabilmente mediante la procedura di comitato

— a sviluppare o individuare un software che risponda a tutti i necessari requisiti,

— il testo dovrebbe indicare che la Commissione sarà responsabile del software di interconnessione.

44. I dati statistici da raccogliere dovrebbero essere definiti più in dettaglio e tener debitamente conto della necessità di garantire il controllo della protezione dei dati.

45. Dovrebbero essere elaborati opportuni meccanismi di coordinamento tra autorità competenti per la protezione dei dati, tenendo conto della competenza del GEPD in materia di controllo per quanto riguarda l'infrastruttura S-TESTA.

46. Nei considerando della decisione del Consiglio occorre specificare che l'uso della traduzione automatica non dovrebbe essere esteso alla trasmissione di informazioni che non siano state accuratamente pretradotte.

Fatto a Bruxelles, il 16 settembre 2008.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE              
(1) COM(2008) 332 definitivo.

(2) Non ancora adottata; la versione più recente della proposta, riformulata dal Consiglio, è disponibile nel registro pubblico del Consiglio (doc. 5968/08).

(3) Considerando 6 della proposta.

(4) GU C 53 del 3.3.2005, pag. 1.

(5) Un altro esempio è lo scambio di informazioni tramite Eurojust. Il quadro giuridico per tale scambio sarà modificato a seguito dell'adozione di una decisione del Consiglio relativa al rafforzamento dell'Eurojust e che modifica la decisione 2002/187/GAI (cfr. iniziativa pubblicata nella GU C 54 del 27.2.2008, pag. 4).

(6) Cfr. articolo 1 della proposta di decisione quadro del Consiglio (versione più recente disponibile nel registro del Consiglio, 24 giugno 2008, doc. 9260/08).

(7) Comunicazione della Commissione al Consiglio, al Parlamento europeo e al Comitato economico e sociale europeo — Verso una strategia europea in materia di «giustizia elettronica», COM(2008) 329 defin.

(8) Servizi transeuropei sicuri per la comunicazione telematica tra amministrazioni.

(9) Si veda il parere del 19 ottobre 2005 su tre proposte riguardanti il sistema di informazione Schengen di seconda generazione (SIS II) (GU C 91 del 19.4.2006, pag. 38, punto 5.1).

(10) E i sistemi VIS e Eurodac che sono sistemi rientranti pienamente nel campo di applicazione del diritto comunitario.

(11) Si veda nello stesso ordine di problemi del terzo pilastro l'articolo 39, paragrafo 6, della decisione del Consiglio che istituisce l'Ufficio europeo di polizia (Europol) che garantisce l'applicazione del regolamento (CE) n. 45/2001 al trattamento di dati personali relativi al personale Europol (testo del 24 giugno 2008, doc. 8706/08 del Consiglio).

(12) Cfr., ad esempio, l'articolo 3, paragrafo 3, e l'articolo 3, paragrafo 4, del regolamento (CE) n. 2725/2000 del Consiglio, dell'11 dicembre 2000, che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione della convenzione di Dublino.