Parere del garanteeuropeo della protezione dei dati (GEPD) sulla proposta di decisione quadro delConsiglio sulla protezione dei dati personali trattati nell'ambito dellacooperazione giudiziaria e di polizia in materia penale

(COM (2005) 475 defin.)

(2006/C 47/12)

IL GARANTE EUROPEO DELLAPROTEZIONE DEI DATI,

visto il trattato cheistituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta deidiritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativaalla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati,

vista la richiesta diparere a norma dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati,

HA ADOTTATO IL SEGUENTEPARERE:

I OSSERVAZIONIPRELIMINARI

Consultazione del GEPD

1. La proposta didecisione quadro del Consiglio sulla protezione dei dati personali trattatinell'ambito della cooperazione giudiziaria e di polizia in materia penale èstata trasmessa dalla Commissione con lettera in data 4 ottobre 2005 al GEPD.Per quest'ultimo la lettera rappresenta una richiesta di fornire alleistituzioni e agli organismi comunitari un parere come previsto nell'articolo28, paragrafo 2 del regolamento (CE) n. 45/2001. Secondo il GEPD il presenteparere dovrebbe essere citato nel preambolo della decisione quadro.

Importanza dellapresente proposta

2. Il GEPD sottolinea quantoimportante sia la presente proposta dal punto di vista dei diritti e dellelibertà fondamentali delle persone fisiche in materia di protezione dei datipersonali. L'adozione della presente proposta significherebbe un notevolepasso in avanti per la protezione dei dati personali in un comparto importanteche richiede segnatamente un meccanismo coerente ed efficace per la protezionedei dati personali a livello di Unione europea.

3. Pertanto il GEPDrileva che assume sempre più peso la cooperazione giudiziaria e di polizia tragli Stati membri quale elemento dell'istituzione graduale di uno spazio dilibertà, sicurezza e giustizia. Il programma dell'Aia ha introdotto ilprincipio di disponibilità al fine di migliorare lo scambio transfrontaliero diinformazioni in materia di applicazione della legge. Secondo detto programma ⁽¹⁾il fatto che le informazioni attraversino le frontiere non dovrebbe più, di persé, essere rilevante. L'introduzione del principio di disponibilità rispecchiauna tendenza più generale ad agevolare lo scambio di informazioni in materia diapplicazione della legge (cfr. ad esempio la così detta convenzione di Prum ⁽²⁾firmata da sette Stati membri e la proposta svedese di decisione quadrorelativa alla semplificazione dello scambio di informazioni e di intelligencetra le autorità incaricate dell'applicazione della legge⁽³⁾). Nellastessa ottica si può considerare la recentissima approvazione da parte delParlamento europeo della direttiva del Parlamento europeo e del Consiglio riguardantela conservazione dei dati sulle comunicazioni ⁽⁴⁾. Questi sviluppirichiedono l'adozione di uno strumento giuridico per garantire l'efficaceprotezione dei dati personali in tutti gli Stati membri dell'Unione europeasulla base di norme comuni.

4. Il GEPD evidenzia cheil presente quadro generale della protezione di dati non è sufficiente inquesto settore. In primo luogo la direttiva 95/46/CE non si applica aitrattamenti dei dati personali effettuati per l'esercizio di attività che nonrientrano nel campo di applicazione del diritto comunitario, come quellepreviste dal titolo VI del trattato sull'Unione europea (articolo 3, paragrafo2 della direttiva). Anche se nella maggior parte degli Stati membri il campo diapplicazione della legge di attuazione è più ampio della direttiva stessa e nonesclude i trattamenti dei dati ai fini dell'applicazione della legge, ildiritto interno diverge notevolmente. In secondo luogo la convenzione 108 delConsiglio d'Europa ⁽⁵⁾ cui sono vincolati tutti gli Stati membri nonoffre la necessaria precisione in materia di protezione, come già ammesso almomento dell'adozione della direttiva 95/46/CE. In terzo luogo i due suddettistrumenti giuridici non prendono in considerazione le specificità dello scambiodei dati da parte delle autorità giudiziarie e di polizia ^(6).

Contributo al successodella cooperazione stessa

5. L'efficaceprotezione dei dati personali non è importante soltanto per le personeinteressate ma contribuisce anche al successo della stessa cooperazione giudiziariae di polizia. Per molti aspetti i due interessi pubblici vanno di pari passo.

6. Si tenga presente chei dati personali di cui trattasi sono spesso sensibili e sono stati ottenutidalle autorità giudiziarie e di polizia in seguito a indagini svolte supersone.

Se un'autorità è sicuradel livello di protezione dell'altro Stato membro, la disponibilità a scambiarei dati con le autorità di altri Stati membri aumenterà. Quali elementiimportanti della protezione dei dati il GEPD cita la riservatezza e lasicurezza dei dati stessi e i limiti imposti all'accesso e all'ulterioreutilizzazione.

7. Inoltre l'elevatolivello di protezione dei dati può garantire l'esattezza e l'affidabilità deidati personali. Nello scambio dei dati tra le autorità giudiziarie e/o dipolizia l'esattezza e l'affidabilità dei dati assumono ancora maggioreimportanza, soprattutto poichè, dopo successivi scambi e ritrasmissioni deidati tra le autorità incaricate dell'applicazione della legge, i dati sonoinfine trattati lontano dalla fonte e dal contesto in cui sono statiinizialmente raccolti e utilizzati. Di solito le autorità riceventi non sono aconoscenza di circostanze supplementari e devono fare pieno affidamento suidati in se stessi.

8. L'armonizzazione dellenorme nazionali relative ai dati personali nel settore della polizia e dellagiustizia, comprese le adeguate garanzie della protezione dei dati suddetti,può stimolare così la fiducia reciproca e l'efficacia dello scambio stesso.

Rispetto dei principidi protezione dei dati unitamente ad una serie di norme supplementari

9. In varie occasionisono state evidenziate la necessità e l'importanza della presente proposta.Nella conferenza di primavera svoltasi a Cracovia nell'aprile del 2005 leautorità europee responsabili della protezione dei dati hanno adottato unadichiarazione e un documento programmatico in cui invitavano ad adottare unnuovo quadro giuridico sulla protezione dei dati applicabile alle attività delterzo pilastro. Il nuovo quadro dovrebbe non solo rispettare i principi diprotezione dei dati stabiliti nella direttiva 95/46/CE — è importantegarantire la coerenza della protezione dei dati nell'Unione europea -, ma anchestabilire una serie di norme supplementari che tengano conto della peculiaritàdel settore dell'applicazione della legge ⁽⁷⁾. IlGEPD si compiace che la presente proposta tenga conto di tali punti dipartenza: essa rispetta i principi di protezione dei dati fissati nelladirettiva 95/46/CE e stabilisce una serie di norme supplementari.

10. Il presente parereesaminerà in qual misura il risultato sia accettabile dal punto di vista dellaprotezione dei dati, rispettando debitamente il contesto peculiare dellaprotezione dei dati nel settore dell'applicazione della legge. Da un lato idati interessati sono spessissimo molto sensibili (cfr. punto 6) e dall'altroci sono forti pressioni per accedervi, ai fini dell'efficienzadell'applicazione della legge, che può assicurare la tutela della vita el'integrità fisica delle persone. Secondo il GEPD le norme di protezione deidati dovrebbero soddisfare le esigenze giustificate dell'applicazione dellalegge ma anche proteggere le persone interessate dal trattamento e dall'accessoingiustificati.

Per ottemperare alprincipio di proporzionalità, il risultato delle riflessioni del legislatoreeuropeo deve rispettare i due interessi pubblici potenzialmente opposti.

In questo contesto ilGEPD ripete ancora una volta che molto spesso i due interessi vanno di paripasso.

Contesto del titolo VIdel trattato sull'Unione europea

11. Va detto infine chela presente proposta fa parte del titolo VI del trattato sull'Unione europea,il così detto terzo pilastro. L'intervento del legislatore europeo è vincolatoda limiti netti: la limitazione dei poteri legislativi dell'Unione alle materiedi cui agli articoli 30 e 31, i limiti del processo legislativo che nonprevedono la piena partecipazione del Parlamento europeo e i limiti delcontrollo giudiziario in quanto le competenze della Corte di giustizia delleComunità europee di cui all'articolo 35 del TUE sono incomplete. Detti limitiimpongono un'analisi ancora più attenta del testo della proposta.

II CONTESTO: SCAMBIODI INFORMAZIONI IN VIRTÙ DEL PRINCIPIO DI DISPONIBILITà, DELLA CONSERVAZIONEDEI DATI E DEI QUADRI SPECIFICI DEL SIS II E DEL VIS

II.1 Principio didisponibilità

12. La proposta èstrettamente connessa alla proposta di decisione quadro del Consiglio sulloscambio di informazioni in virtù del principio di disponibilità (COM(2005) 490defin.). Quest'ultima proposta mira ad attuare il principio di disponibilità,assicurando così che le informazioni disponibili alle autorità competenti diuno Stato membro per la lotta alla criminalità siano fornite alle autoritàomologhe di altri Stati membri. Dovrebbe scaturirne l'abolizione dellefrontiere interne per lo scambio di dette informazioni, che sarebbeassoggettato a condizioni uniformi in tutta l'Unione.

13. La strettaconnessione tra le due proposte deriva dal fatto che le informazioni in materiadi applicazione della legge comportano in larga misura dati personali. Non sipuò adottare la normativa sullo scambio di informazioni in materia diapplicazione della legge senza garantire l'adeguata protezione dei datipersonali. Allorché un intervento a livello di Unione europea portaall'abolizione delle frontiere interne per lo scambio di dette informazioni, laprotezione dei dati personali non può più essere oggetto del solo dirittointerno. È ormai compito delle istituzioni europee garantire la protezione deidati personali in tutto il territorio dell'Unione privo di frontiere interne.Questo compito è esplicitamente indicato nell'articolo 30, paragrafo 1, letterab) del TUE e discende dall'obbligo dell'Unione di rispettare i dirittifondamentali (articolo 6 del TUE). Inoltre:

— l'articolo 1,paragrafo 2 della presente proposta dispone esplicitamente che gli Stati membrinon possono più limitare né proibire il flusso transfrontaliero di informazioniper motivi legati alla protezione dei dati personali;

— la proposta didecisione quadro del Consiglio sullo scambio di informazioni in virtù delprincipio di disponibilità contiene vari rimandi alla presente proposta.

14. Il GEDP rileva che ladecisione quadro del Consiglio sullo scambio di informazioni in virtù delprincipio di disponibilità dovrebbe essere adottata unicamente a condizione chesia adottata anche la decisione quadro del Consiglio sulla protezione dei dati.Tuttavia la presente proposta di decisione quadro del Consiglio sullaprotezione dei dati ha i suoi meriti ed è necessaria anche in mancanza di unostrumento giuridico sulla disponibilità, come è stato sottolineato nellasezione I del presente parere.

15. Pertanto il GEDPesaminerà le due proposte in due pareri distinti, anche per un motivo pratico.Non è garantito che le proposte siano trattate congiuntamente e con la stessatempestività dal Consiglio e dal Parlamento europeo.

II.2 Conservazione deidati

16. Il 26 settembre 2005il GEPD ha presentato il suo parere sulla proposta di direttiva sulla conservazionedei dati sulle comunicazioni ⁽⁸⁾. In detto parere ha evidenziatoalcune importanti lacune della proposta ed ha suggerito di aggiungere alladirettiva disposizioni specifiche sull'accesso ai dati relativi al traffico eall'ubicazione da parte delle autorità competenti e sull'ulterioreutilizzazione dei dati nonché di aggiungere ulteriori garanzie complementari diprotezione dei dati. Il testo della direttiva adottato dal Parlamento europeo edal Consiglio contiene una disposizione limitata, ma assolutamenteinsufficiente, sulla protezione e sulla sicurezza dei dati e una disposizioneancora più carente sull'accesso, che affida al diritto interno l'emissione dimisure sull'accesso ai dati conservati, fatte salve le pertinenti disposizionidella normativa comunitaria o del diritto internazionale pubblico.

17. L'approvazionedella direttiva sulla conservazione dei dati sulle comunicazioni rende ancorapiù pressante definire il quadro giuridico della protezione dei datinell'ambito del terzo pilastro. Con l'adozione della direttiva illegislatore comunitario obbliga i fornitori di servizi di telecomunicazioni edi internet a conservare i dati ai fini dell'applicazione della legge, senza lenecessarie e adeguate garanzie ai fini della protezione delle persone interessate.La protezione resta lacunosa in quanto la direttiva non tratta(sufficientemente) l'accesso ai dati né la loro ulteriore utilizzazione unavolta che ai dati abbiano avuto accesso le autorità competenti nel settoredell'applicazione della legge.

18. La presente propostacolma una parte importante della lacuna, in quanto si applica all'ulterioreutilizzazione dei dati dopo l'accesso da parte delle autorità incaricatedell'applicazione della legge. Il GEPD tuttavia deplora che nemmeno la presenteproposta tratti l'accesso a tali dati.

Diversamente da quantoprevisto per il SIS II e il VIS (cfr. sezione II, punto 3 del presente parere),questa materia è lasciata alla discrezione del legislatore nazionale.

II.3 Trattamentonell'ambito del SIS II e del VIS

19. L'Unione europea stautilizzando o sviluppando attualmente vari sistemi di informazione su vastascala (Eurodac, SIS II, VIS) e sta cercando di realizzare sinergie tra di essi.Si tende inoltre sempre più ad ampliare l'accesso a detti sistemi ai finidell'applicazione della legge.

Questi sviluppi di ampiaportata devono tener conto, conformemente al programma dell'Aia, della«necessità di conseguire un giusto equilibrio tra gli obiettivi connessi conl'applicazione della legge e la tutela dei diritti fondamentalidell'individuo».

20. Nel parere del 19ottobre 2005 sulle proposte relative al sistema di informazione Schengen diseconda generazione (SIS II) ⁽⁹⁾, il GEPD ha sottolineato alcunipunti relativi all'applicazione contemporanea di norme generali (lex generalis)e di norme più specifiche (lex specialis) sulla protezione dei dati. Lapresente proposta può essere considerata una lex generalis che sostituisce laconvenzione 108 nell'ambito del terzo pilastro ⁽¹⁰⁾.

21. Il GEPD rileva alriguardo che la proposta prevede anche un quadro generale di protezione deidati per strumenti specifici come la parte relativa al terzo pilastro del SISII e l'accesso al sistema di informazione visti da parte delle autoritàincaricate dell'applicazione della legge ⁽¹¹⁾.

III NUCLEO CENTRALEDELLA PROPOSTA

III.1 Norme comuniapplicabili a ogni trattamento

Presupposti

22. A norma dell'articolo1, paragrafo 1, la proposta ha lo scopo di definire norme comuni per garantirela protezione dei dati personali nel corso delle attività di cooperazionegiudiziaria e di polizia in materia penale. L'articolo 1, paragrafo 1 dovrebbeessere letto in connessione con l'articolo 3, paragrafo 1, a norma del quale laproposta si applica al trattamento di dati personali (…) da parte diun'autorità competente ai fini della prevenzione, dell'indagine,dell'accertamento e del perseguimento dei reati penali.

23. Da tali disposizionirisulta che la decisione quadro proposta presenta due caratteristicheprincipali: definisce norme comuni e si applica ad ogni trattamento ai finidell'applicazione del diritto penale, anche se i dati in questione non sonostati trasmessi o messi a disposizione dalle autorità competenti di altri Statimembri.

24. Il GEPD sottolineal'importanza di queste due caratteristiche principali. La presente propostadovrebbe ambire a definire un quadro per la protezione dei dati che integripienamente il quadro giuridico già esistente nel primo pilastro. Solorispettando questa condizione l'Unione europea onorerà pienamente l'obbligoprevisto dall'articolo 6, paragrafo 2 del TUE di rispettare i dirittifondamentali garantiti dalla CEDU.

Norme comuni

25. Per quanto riguardala prima caratteristica, la presente proposta ha lo scopo di garantire che iprincipi esistenti in materia di protezione dei dati siano applicatinell'ambito del terzo pilastro. Inoltre, essa prevede norme comuni chespecificano tali principi ai fini della loro applicazione in detto ambito.Il GEPD rileva l'importanza di tali aspetti della proposta, che rispecchiano lanatura specifica e sensibile del trattamento dei dati personali in dettoambito. Il GEPD considera in particolare l'introduzione del principio delladistinzione tra dati personali di categorie di persone come un principiospecifico della protezione dei dati per il settore della cooperazionegiudiziaria e di polizia in materia penale in aggiunta ai principi esistentidella protezione dei dati (articolo 4, paragrafo 4).

Secondo il GEPD, ilprincipio stesso e le sue conseguenze giuridiche per la persona interessatadovrebbero addirittura essere maggiormente specificati (cfr. punti 88-92 delpresente parere).

26. Le norme devonoessere applicate a situazioni diverse, per cui non possono essereeccessivamente dettagliate.

D'altro canto, essedevono fornire al cittadino la necessaria certezza del diritto nonchéun'adeguata protezione dei suoi dati personali. Secondo il GEPD, l'equilibriotra queste due esigenze legislative potenzialmente conflittuali è in generalesalvaguardato dalla proposta. Le disposizioni offrono flessibilità ovenecessario, ma nella maggior parte dei settori sono abbastanza precise daproteggere il cittadino.

27. Riguardo a talunipunti, tuttavia, la proposta è troppo flessibile e non prevede le necessariesalvaguardie. Per esempio, l'articolo 7, paragrafo 1 della proposta prevedeun'eccezione generale alle salvaguardie, nei casi in cui «il diritto nazionalestabilisca diversamente». Permettere un siffatto ampio potere discrezionale diconservare i dati per un tempo più lungo di quanto necessario per lo scopoprevisto non solo sarebbe incompatibile con il diritto fondamentale allaprotezione dei dati, ma nuocerebbe anche all'esigenza fondamentale diarmonizzazione della protezione dei dati personali trattati nell'ambito dellacooperazione giudiziaria e di polizia in materia penale.

28. Le eccezioni, ovenecessario, dovrebbero limitarsi a disposizioni giuridiche, nazionali oeuropee, emanate per proteggere interessi pubblici specifici. L'articolo 7,paragrafo 1 dovrebbe menzionare tali interessi pubblici.

29. Ciò porta ad un altropunto. Qualora un altro strumento giuridico specifico adottato in virtù deltitolo VI del trattato UE preveda condizioni o restrizioni più precise per iltrattamento dei dati o per l'accesso ai dati, tale legislazione più specificadovrebbe applicarsi in quanto lex specialis. L'articolo 17 della propostaprevede deroghe agli articoli 12, 13, 14 e 15 nei casi in cui una legislazionespecifica adottata in virtù del titolo VI stabilisca condizioni specifiche perla trasmissione dei dati. Si tratta di un'illustrazione del carattere generaledella proposta (come sopra spiegato), che però non contempla tutte le ipotesi.Secondo il GEPD, l'articolo 17 dovrebbe:

— essere redatto intermini più generali: se esiste una legislazione più specifica che discipliniqualunque aspetto del trattamento dei dati (non soltanto la trasmissione deidati), si applica la legislazione specifica;

— contenere unasalvaguardia affinché le deroghe non possano abbassare il livello di protezione.

Applicabilità ad ognitrattamento

30. Per quanto riguardala seconda caratteristica, il risultato ideale sarebbe la disciplina di ogniraccolta e trattamento di dati personali nel quadro del terzo pilastro.

31. È essenziale chela decisione quadro, per conseguire il suo obiettivo, riguardi tutti i datigiudiziari e di polizia, anche se tali dati non sono trasmessi o messi adisposizione dalle autorità competenti di altri Stati membri.

32. Questo aspetto ètanto più importante in quanto eventuali limitazioni dei dati trasmessi alleautorità competenti di altri Stati membri o messi a loro disposizionerenderebbero particolarmente insicuro e impreciso il campo di applicazionedella decisione quadro, il che sarebbe contrario al suo obiettivo essenziale ⁽¹²⁾.Si recherebbe danno alla certezza del diritto delle persone. In una situazionenormale non si sa mai in anticipo, al momento della raccolta o del trattamentodi dati personali, se tali dati saranno pertinenti per uno scambio con leautorità competenti di altri Stati membri. Il GEPD rinvia in tale contesto alprincipio di disponibilità e alla soppressione delle frontiere interne per loscambio di dati relativi all'applicazione della legge.

33. Infine, il GEPDrileva che la proposta non si applica:

— al trattamentonel quadro del secondo pilastro del trattato UE (politica estera e di sicurezzacomune);

— al trattamentodei dati da parte di servizi di intelligence e all'accesso di detti servizi atali dati quando sono trattati dalle autorità competenti o da altri (il cherisulta dall'articolo 33 del TUE).

In questi settori, spettaal diritto nazionale fornire un'adeguata protezione alle persone interessate.Questo divario nella protezione a livello UE deve essere preso inconsiderazione nella valutazione della proposta: ⁽¹³⁾ dato chenon è possibile includere ogni trattamento nel campo dell'applicazione dellalegge, il legislatore deve garantire una protezione ancora più efficace neisettori che sono effettivamente contemplati dalla proposta.

III.2 Base giuridica

34. I considerando dellaproposta di decisione quadro del Consiglio sullo scambio di informazioni invirtù del principio di disponibilità menzionano una base giuridica specifica,ossia l'articolo 30, paragrafo 1, lettera b). La presente proposta non specificainvece quali disposizioni ai sensi dell'articolo 30 o dell'articolo 31costituiscano la base giuridica.

35. Sebbene non siacompito del GEPD, in quanto consulent sulla legislazione dell'Unione europea,scegliere la base giuridica di una proposta, è utile supporre che anche lapresente proposta possa essere basata sull'articolo 30, paragrafo 1, letterab). Inoltre, essa potrebbe essere basata sull'articolo 31, paragrafo 1, letterac) del TUE e dovrebbe essere anche interamente applicabile a situazioni nazionali,sempre che sia necessario per migliorare la cooperazione giudiziaria e dipolizia tra gli Stati membri. In questo contesto, il GEPD sottolinea una voltadi più che tutti i dati personali raccolti, archiviati, trattati o analizzatiai fini dell'applicazione della legge possono formare oggetto di scambio,segnatamente in base al principio di disponibilità, con le autorità competentidi un altro Stato membro.

36. Il GEPD condividel'opinione che l'articolo 30, paragrafo 1, lettera b) e l'articolo 31,paragrafo 1, lettera c) del TUE forniscano una base giuridica per disposizionisulla protezione dei dati non limitate alla protezione dei dati personalieffettivamente scambiati tra le autorità competenti degli Stati membri, maanche applicabili a situazioni nazionali. In particolare:

— l'articolo 30,paragrafo 1, lettera b), che può servire da base giuridica per disposizionirelative alla raccolta, all'archiviazione, al trattamento, all'analisi e alloscambio delle pertinenti informazioni, non si limita alle informazioni resedisponibili o trasmesse ad altri Stati membri. La sola limitazione postadall'articolo 30, paragrafo 1, lettera b) sta nella pertinenza delleinformazioni per la cooperazione di polizia;

— per quantoriguarda la cooperazione giudiziaria, l'articolo 31, paragrafo 1, lettera c) èperfino più esplicito, in quanto l'azione comune comprende «la garanzia dellacompatibilità delle normative applicabili negli Stati membri, nella misuranecessaria per migliorare la suddetta cooperazione»;

— dalla causaPupino ⁽¹⁴⁾ si evince che la Corte di giustizia applica principi deldiritto comunitario a questioni del terzo pilastro. Questa giurisprudenzarispecchia l'evoluzione dalla semplice cooperazione tra autorità degli Statimembri nell'ambito del terzo pilastro verso uno spazio di libertà, sicurezza egiustizia comparabile al mercato interno quale stabilito nel trattato CE;

— secondo il GEPD,il principio dell'efficacia implica un'interpretazione del trattato che nonostacoli l'efficace espletamento dei compiti delle istituzioni dell'Unioneeuropea, tra l'altro il compito di tutelare i diritti fondamentali;

— come precisato inprecedenza, una limitazione alle situazioni transfrontaliere non rispetterebbele conseguenze del principio di disponibilità e nuocerebbe alla certezza deldiritto delle persone.

37. Il GEPD richiamadistintamente l'attenzione sullo scambio di dati con paesi terzi. Gli Stati membriutilizzano i dati personali raccolti e trattati in paesi terzi ad essitrasferiti ai fini dell'applicazione della legge e trasferiscono dati personalida essi stessi raccolti e/o trattati alle autorità competenti di paesi terzi ea organismi internazionali.

38. Gli articoli 30 e 31del TUE non richiedono un trattamento dei dati personali raccolti da autoritàdi paesi terzi diverso da quello riservato ai dati inizialmente raccolti dalleautorità competenti degli Stati membri. I dati provenienti da paesi terzi, unavolta ricevuti, devono essere conformi alle stesse disposizioni applicabili aidati raccolti in uno Stato membro. Tuttavia, la qualità dei dati non può esseresempre facilmente garantita (questo aspetto sarà discusso nel capitolosuccessivo del presente parere).

39. La trasmissione didati personali da parte delle autorità competenti degli Stati membri a paesiterzi esula, in senso stretto, dal campo di applicazione del titolo VI deltrattato UE. Tuttavia, la possibilità di trasmettere dati a paesi terzisenza garantire la protezione delle persone interessate nuocerebbe gravementealla protezione prevista dalla presente proposta nel territorio dell'Unioneeuropea per i motivi menzionati nella sezione III.4 di questo parere. Inbreve:

— i diritti dellepersone interessate tutelati dalla presente proposta sono direttamente lesi sela trasmissione a paesi terzi non è soggetta alle disposizioni sulla protezionedei dati;

— si correrebbe ilrischio di un'eventuale elusione, da parte delle autorità competenti degliStati membri, delle rigorose disposizioni sulla protezione dei dati.

40. In sintesi, l'applicabilitàdelle norme comuni sulla protezione dei dati a dati personali scambiati dalleautorità competenti degli Stati membri con autorità di paesi terzi e conorganizzazioni internazionali è necessaria ai fini dell'efficacia delle normecomuni sulla protezione dei dati personali scambiati tra le autorità competentidegli Stati membri ed è pertanto necessaria per migliorare la cooperazione tragli Stati membri. Gli articoli 30 e 31 del TUE forniscono la base giuridicanecessaria.

II.3 Osservazionispecifiche sul campo di applicazione della proposta

Dati personalitrattati da autorità giudiziarie

41. I dati personali sonotrattati e scambiati dalle forze di polizia ed anche dalle autoritàgiudiziarie. La proposta, basata sugli articoli 30 e 31 del trattato UE, siapplica alla cooperazione tra forze di polizia e alla cooperazione tra autoritàgiudiziarie. A questo punto il campo di applicazione della proposta è più ampiodi quello della proposta di decisione quadro del Consiglio relativa alloscambio di informazioni, che si limita alla cooperazione di polizia e siapplica soltanto allo scambio di informazioni che precede l'avvio di unprocedimento giudiziario.

42. Il GEPD si compiacedel fatto che la proposta sia estesa ai dati personali trattati dalle autorità giudiziarie.Vi sono buone ragioni per occuparsi in una stessa proposta di dati dellapolizia e di dati delle autorità giudiziarie trattati ai fini dell'applicazionedella legge. In primo luogo, l'organizzazione dell'iter dell'indagine edell'azione penale varia da uno Stato membro all'altro. Il coinvolgimento delleautorità giudiziarie inizia in fasi differenti nei vari Stati membri. Insecondo luogo, tutti i dati personali presenti in tale iter possono finire inun fascicolo giudiziario. Non è logico avere regimi applicabili differenti perla protezione dei dati nelle fasi preliminari.

43. Per la sorveglianzadel trattamento dei dati è tuttavia necessario un approccio diverso. L'articolo30 della proposta elenca i compiti delle autorità di sorveglianza.

L'articolo 30, paragrafo9 stabilisce che i poteri dell'autorità di sorveglianza non pregiudicanol'indipendenza dei magistrati. Il GEPD raccomanda di chiarire nella propostache le autorità di sorveglianza non sorvegliano il trattamento dei dati daparte delle autorità giudiziarie quando agiscono nell'esercizio delle lorofunzioni giurisdizionali ⁽¹⁵⁾.

Trattamento effettuatodall' Europol e dall' Eurojust (e sistema di informazione doganale)

44. Conformementeall'articolo 3, paragrafo 2 della proposta, la decisione quadro non si applicaal trattamento dei dati personali effettuato dall'Europol, dall'Eurojust e dalsistema di informazione doganale ⁽¹⁶⁾.

45. In senso stretto taledisposizione è superflua, in ogni caso per quanto riguarda l'Europol el'Eurojust. Una decisione quadro ai sensi dell'articolo 34, paragrafo 2,lettera b) del TUE può essere adottata soltanto per il ravvicinamento delledisposizioni legislative e regolamentari degli Stati membri e non può averecome destinatari l'Europol e l'Eurojust.

46. Quanto alla sostanza,il testo dell'articolo 3, paragrafo 2 dà luogo alle osservazioni seguenti:

— la presenteproposta fornisce un quadro generale che in linea di massima dovrebbe essereapplicabile a tutte le situazioni che rientrano nel terzo pilastro. Laconformità del quadro giuridico per la protezione dei dati è in sé un elementoche migliora l'efficacia di tale protezione;

— per ora l'Europole l'Eurojust hanno a loro disposizione sistemi di protezione dei dati bendefiniti, compreso un sistema di sorveglianza. Non c'è pertanto alcuna urgenzaimmediata di adeguare le disposizioni applicabili al testo della proposta inquestione;

— a più lungotermine, tuttavia, le norme sulla protezione dei dati applicabili all'Europol eall'Eurojust dovrebbero essere rese pienamente conformi alla presente decisionequadro;

— ciò è tanto piùimportante in quanto la presente proposta di decisione quadro, a parte ilcapitolo III, si applica alla raccolta e al trattamento dei dati personali chesono trasmessi dagli Stati membri all'Europol e all'Eurojust.

III.4. Struttura dellaproposta

47. Il GEPD ha analizzatola proposta e ha concluso che, in generale, essa prevede una struttura diprotezione a vari livelli. Le norme comuni definite nel capitolo II dellaproposta (e su temi specifici nei capitoli IV-VII) contengono due livelli diprotezione:

— estensione alterzo pilastro dei principi generali di protezione dei dati di cui alladirettiva 95/46/CE e altri strumenti giuridici delle Comunità europee nonchéalla convenzione 108 del Consiglio d'Europa;

— normesupplementari sulla protezione dei dati, applicabili a tutti i trattamenti didati personali nel quadro del terzo pilastro. Esempi di tali normesupplementari si possono rilevare nell'articolo 4, paragrafi 3 e 4 dellaproposta.

48. Il capitolo IIIaggiunge un terzo livello di protezione per forme specifiche di trattamento. Ititoli delle due sezioni del capitolo III e il testo di varie disposizionidella proposta sembrano implicare che detto capitolo si applichi soltanto aidati trasmessi o messi a disposizione dalle autorità competenti di altri Statimembri. Di conseguenza, talune importanti disposizioni per la protezione deidati personali non si applicherebbero ai dati personali che non fosseroscambiati tra Stati membri. Ciò detto, il testo è ambiguo in quanto ledisposizioni stesse sembrano spingersi oltre le attività direttamente connessecon i dati scambiati. Tale limitazione del campo di applicazione non è comunqueesplicitamente spiegata o giustificata né nella relazione né nella valutazioned'impatto.

49. Il GEPD sottolinea ilvalore aggiunto di una siffatta struttura a vari livelli che può fornire di persé un'ottima protezione della persona interessata, tenuto conto delle esigenzespecifiche dell'applicazione della legge. Essa rispecchia la necessità diun'adeguata protezione dei dati, come indicato durante la conferenza diprimavera tenutasi a Cracovia nell'aprile del 2005, ed è in linea di massimaconforme all'articolo 8 della Carta dei diritti fondamentali dell'Unioneeuropea e alla convenzione europea per la salvaguardia dei diritti dell'uomo edelle libertà fondamentali, in particolare all'articolo 8.

50. Tuttavia un'analisidel testo della proposta dà luogo alle osservazioni in appresso.

51. In primo luogo sidovrebbe garantire che le norme supplementari per la protezione dei dati di cuial capitolo II (il secondo livello menzionato al punto 47) non deroghino aiprincipi generali della protezione dei dati.

Secondo il GEPD, lenorme supplementari di cui al capitolo II dovrebbero fornire una protezioneaddizionale alle persone interessate in relazione al contesto specifico delterzo pilastro (informazioni giudiziarie e di polizia), vale a dire chetali norme supplementari non possono comportare un abbassamento del livello diprotezione.

52. Inoltre, il capitoloIII sulle forme specifiche di trattamento (in cui è incorporato il terzolivello di protezione) non dovrebbe derogare al capitolo II. Secondo il GEPD, ledisposizioni del capitolo III dovrebbero fornire una protezione addizionalealle persone interessate nei casi in cui siano implicate le autorità competentidi più di uno Stato membro, ma tali disposizioni non possono comportare unabbassamento del livello di protezione.

53. In secondo luogo, lenorme di carattere generale non dovrebbero essere inserite nel capitolo III. IlGEPD raccomanda di trasferire tali norme al capitolo II. Nel capitolo IIIpossono essere inserite soltanto norme strettamente connesse con la protezionedei dati personali in caso di scambio di dati tra Stati membri. Ciò è perfinotanto più importante in quanto il capitolo III contiene disposizioni rilevantiai fini di un alto livello di protezione delle persone interessate nel contestodell'applicazione della legge (cfr. punto IV.1 del presente parere).

IV. ANALISI DEGLIELEMENTI DELLA PROPOSTA

IV.1. Punti dipartenza dell'analisi

54. Il GEPD intende tenerconto, nell'analizzare i diversi elementi sostanziali della proposta, della suastruttura e del suo contenuto particolari. Il GEPD non intende fareosservazioni su ciascun articolo della proposta.

55. Innanzi tutto, lamaggior parte delle disposizioni della proposta rispecchia gli altri strumentigiuridici dell'UE sulla protezione dei dati personali. Tali disposizioni sonoconformi al quadro giuridico dell'UE in materia di protezione dei dati e sonosufficienti a fornire adeguate garanzie di protezione dei dati nel terzopilastro.

56. Tuttavia, il GEPDrileva che alcune disposizioni attualmente contenute nel capitolo III dellaproposta — relative ad elementi specifici del trattamento e applicabiliin generale (cfr. punto 48 del presente parere) solo ai dati scambiati conaltri Stati membri — integrano i principi generali ed essenziali dellanormativa UE sulla protezione dei dati. Pertanto, tali disposizioni delCapitolo III dovrebbero essere trasferite al capitolo II e rese applicabili atutti i trattamenti di dati da parte delle autorità incaricatedell'applicazione della legge. Ciò riguarda le disposizioni relative allaverifica della qualità dei dati (articolo 9, paragrafi 1 e 6) e quelle chedisciplinano l'ulteriore trattamento dei dati personali (articolo 11, paragrafo1).

57. Altri articoli delcapitolo III della proposta non distinguono tra condizioni supplementarispecificamente connesse agli scambi di dati con altri Stati membri —quale il consenso dell'autorità competente dello Stato membro che trasmette idati — e garanzie che sono invece pertinenti e necessarie anche perquanto riguarda i dati trattati all'interno di uno Stato membro. In tali casi,il GEPD raccomanda che queste ultime garanzie siano rese generalmenteapplicabili, anche in relazione ai dati personali che non sono stati trasmessio resi disponibili da un altro Stato membro. Tale raccomandazione riguarda:

— la trasmissionedi dati a privati e ad autorità diverse da quelle incaricate dell'applicazionedella legge (lettere a) e b) degli articoli 13 e 14) e

— i trasferimenti apaesi terzi o a organismi internazionali [articolo 15, tranne la lettera c)].

58. In questa parte delparere viene inoltre richiamata l'attenzione del legislatore su alcune garanziesupplementari non previste dall'attuale proposta. Secondo il GEPD, taligaranzie supplementari dovrebbero essere fornite per quanto riguarda ledecisioni individuali automatiche, i dati personali ricevuti da paesi terzi,l'accesso alle banche dati di privati, il trattamento dei dati biometrici e deiprofili di DNA.

59. Inoltre, nellaseguente analisi vengono fornite raccomandazioni per migliorare il testoattuale, allo scopo di assicurare l'efficacia delle disposizioni, la coerenzadel testo e la conformità al quadro giuridico attuale in materia di protezionedei dati.

IV.2 Limitazione dellefinalità e ulteriore trattamento

60. L'articolo 4,paragrafo 1, lettera b) stabilisce che i dati personali devono essere rilevatiper finalità determinate, esplicite e legittime, e successivamente trattati inmodo non incompatibile con tali finalità. Di norma, i dati sono rilevati inrelazione ad un determinato reato (o, in taluni casi, per svolgere indagini suun gruppo o una rete criminale, ecc.). Essi possono essere utilizzati per lafinalità originaria ed essere successivamente trattati per un'altra finalitàpurché compatibile con quella originaria (i dati rilevati su una persona accusatadi traffico di droga potrebbero essere utilizzati nel contesto di un'indaginerelativa ad una rete di spacciatori di droga, ad esempio).

Tale approccio rispecchiacorrettamente il principio della limitazione delle finalità, quale sancitoanche all'articolo 8 della Carta dei diritti fondamentali dell'Unione europea,ed è pertanto conforme all'attuale normativa in materia di protezione dei dati.

Ulteriore trattamentoper finalità che rientrano nel campo d'applicazione

della decisione quadro

61. Il GEPD rileva che laproposta non affronta in modo del tutto soddisfacente una situazione che puòverificarsi nell'attività di polizia, ossia la necessità di utilizzareulteriormente i dati per una finalità considerata incompatibile con quella percui erano stati rilevati. I dati, una volta rilevati dalla polizia,potrebbero essere necessari per risolvere casi di reati del tutto diversi. Adesempio, i dati rilevati per il perseguimento di infrazioni stradali potrebberoessere successivamente utilizzati per localizzare e perseguire un ladro diautomobili. La seconda finalità, sebbene legittima, non può essere consideratapienamente compatibile con la finalità della rilevazione dei dati. Se leautorità incaricate dell'applicazione della legge non fossero autorizzate autilizzare i dati per questa seconda finalità, potrebbero essere indotte arilevare i dati per finalità ampie o non ben definite, nel qual caso ilprincipio della limitazione delle finalità perderebbe il suo valore per quantoriguarda la rilevazione. Inoltre, sarebbe ostacolata l'applicazione di altriprincipi, quali la proporzionalità, l'accuratezza e l'affidabilità [cfr.articolo 4, paragrafo 1, lettere c) e d)].

62. In base allanormativa UE sulla protezione dei dati i dati personali devono essere rilevatiper finalità determinate ed esplicite ed essere successivamente trattati inmodo non incompatibile con tali finalità. Tuttavia, il GEPD ritiene chedebba essere consentita una certa flessibilità quanto all'uso ulteriore. Lalimitazione relativa alla rilevazione ha maggiori probabilità di essererispettata se le autorità responsabili della sicurezza interna sanno di poterfare affidamento, con appropriate garanzie, su una deroga alla limitazione perl'uso ulteriore.

63. Va precisato chequesta necessità di trattamento ulteriore è riconosciuta all'articolo 11 dellaproposta, sebbene in modo del tutto insufficiente. L'articolo 11 si applicaunicamente ai dati ricevuti o resi disponibili dalle autorità competenti di unaltro Stato membro e non prevede sufficienti garanzie.

64. Il GEPD raccomandal'applicazione dell'articolo 11, paragrafo 1 per tutti i dati,indipendentemente dal fatto che essi siano stati ricevuti o meno da un altroStato membro.

Inoltre, dovrebberoessere aggiunte garanzie più rigorose a quanto sancito all'articolo 11,paragrafo 1, lettera b): l'uso ulteriore di dati per una finalità considerataincompatibile con quella iniziale dovrebbe essere consentito solo sestrettamente necessario, in un caso specifico, ai fini della prevenzione, delleindagini, dell'accertamento o del perseguimento dei reati penali o ai finidella tutela degli interessi o dei diritti fondamentali di una persona.

In pratica, il GEPDsuggerisce di formulare questa disposizione in un nuovo articolo 4 bis (in ognicaso, nel capitolo II della proposta).

65. I paragrafi 2 e 3dell'articolo 11 restano applicabili nella forma attuale; essi prevedonogaranzie supplementari per i dati ricevuti da altri Stati membri. Il GEPDrileva che l'articolo 11, paragrafo 3 si applica allo scambio di datiattraverso il SIS II; il GEPD ha già indicato nel suo parere sul SIS II cheoccorre assicurare che i dati SIS non possano essere utilizzati per finalitàdiverse da quelle del sistema stesso.

Ulteriore trattamentoper finalità al di fuori dell'ambito della cooperazione giudiziaria e dipolizia

66. In alcuni casi i datidevono essere trattati per la tutela di altri interessi importanti. In talicasi essi possono essere trattati anche da autorità diverse dalle autoritàcompetenti ai sensi della presente decisione quadro. Tali competenze degliStati membri potrebbero implicare un trattamento invasivo della vita privata(ad esempio, il controllo di una persona che non è sospettata) e dovrebberopertanto essere corredate di condizioni molto rigorose, come l'obbligo pergli Stati membri di adottare normative specifiche per fare ricorso a talederoga. Nel quadro del primo pilastro, la questione è stata affrontataall'articolo 13 della direttiva 95/46/CE, a norma del quale in casi specificisono ammesse restrizioni ad alcune disposizioni della direttiva. Gli Statimembri che applicano tali restrizioni devono a tal fine conformarsiall'articolo 8 della CEDU.

67. Seguendo la stessalogica, la presente decisione quadro dovrebbe stabilire nel capitolo II chegli Stati membri possono adottare misure legislative per consentire l'ulterioretrattamento qualora una siffatta misura sia necessaria per garantire:

— la prevenzionedi minacce alla sicurezza pubblica, alla difesa o alla sicurezza nazionale;

— la tutela diun importante interesse economico o finanziario di uno Stato membro odell'Unione europea;

— la protezionedella persona interessata.

IV.3 Principi relativialla legittimazione del trattamento dei dati

68. A norma dell'articolo5 della proposta, i dati possono essere trattati dalle autorità competentisoltanto se ciò è previsto da una legge che stabilisca che il trattamento deidati è necessario per svolgere i compiti legittimi dell'autorità interessata eai fini della prevenzione, delle indagini, dell'accertamento o delperseguimento dei reati penali. Il GEPD sostiene i requisiti rigorosidell'articolo 5.

69. Tuttavia, il testodell'articolo 5 sottovaluta la necessità di legittimare il trattamento deidati, in casi specifici, per altri motivi giuridici. Si tratta di unadisposizione importante che dovrebbe, ad esempio, consentire alla polizia diadempiere gli obblighi giuridici, ai sensi del diritto nazionale, di divulgareinformazioni ai servizi di immigrazione o alle autorità fiscali. Pertanto, il GEPDsuggerisce che l'articolo 5 tenga conto di altri motivi giuridici giustificatiper il trattamento dei dati personali quali la necessità di soddisfare unobbligo giuridico al quale il responsabile del trattamento è soggetto, ilconsenso inequivocabile della persona interessata, a condizione che iltrattamento sia effettuato nell'interesse della persona stessa, o la necessitàdi tutelare gli interessi vitali della persona interessata.

70. Il GEPD sottolineache il rispetto dei principi relativi alla legittimazione del trattamento deidati è particolarmente importante per quanto riguarda la cooperazionegiudiziaria e di polizia se si considera che la raccolta illegittima di datipersonali da parte delle forze di polizia potrebbe implicare l'impossibilità diutilizzare i dati personali quale mezzo di prova in procedimenti giudiziari.

IV.4 Necessità eproporzionalità

71. Gli articoli 4 e 5della proposta mirano inoltre ad assicurare

— in modogeneralmente soddisfacente — che le limitazioni della protezione dei datipersonali siano necessarie e proporzionali, come richiesto dal dirittodell'Unione europea e dalla giurisprudenza della Corte europea dei dirittidell'uomo riguardo all'articolo 8 della CEDU:

— l'articolo 4,paragrafo 1, lettera c) stabilisce la regola generale che i dati devono essereadeguati, pertinenti e non eccedenti rispetto alle finalità per le qualivengono rilevati e/o per le quali vengono successivamente trattati;

— l'articolo 5precisa che il trattamento deve essere necessario per svolgere i compitilegittimi dell'autorità interessata e ai fini della prevenzione, delleindagini, dell'accertamento o del perseguimento dei reati penali;

— l'articolo 4,paragrafo 4 stabilisce che il trattamento dei dati personali è necessariosoltanto se sono soddisfatte talune condizioni specifiche.

72. Il GEPD rileva che laformulazione proposta dell'articolo 4, paragrafo 4 non soddisfa i criteristabiliti dalla giurisprudenza della Corte europea dei diritti dell'uomoriguardo all'articolo 8 della CEDU, secondo cui una restrizione alla vitaprivata può essere imposta solo qualora ciò sia necessario in una societàdemocratica. Secondo la proposta, il trattamento dei dati sarebbe consideratonecessario non solo qualora rendesse possibile alle autorità incaricate dell'applicazionedella legge e alle autorità giudiziarie lo svolgimento dei loro compiti, maanche qualora vi fossero ragionevoli motivi per credere che i dati personali inquestione fossero tali da agevolare o accelerare semplicemente laprevenzione, le indagini, l'accertamento o il perseguimento di un reato penale.

73. Tali criteri nonsoddisfano i requisiti dell'articolo 8 della CEDU, poichè si può ritenere chequasi tutti i trattamenti di dati personali facilitino le attività delleautorità di polizia o giudiziarie, sebbene i dati in questione non sianoeffettivamente necessari per svolgere tali attività.

74. Il testo attualedell'articolo 4, paragrafo 4 renderebbe possibile una raccolta eccessivamenteampia di dati personali, in base unicamente al convincimento che i datipersonali possano facilitare la prevenzione, le indagini, l'accertamento o ilperseguimento di un reato penale. Il trattamento di dati personali deve inveceessere considerato necessario solo qualora le autorità competenti possano chiaramentedimostrarne la necessità e a condizione che non siano disponibili misure menoinvasive della vita privata.

75. Il GEPD raccomandapertanto di riformulare il primo trattino dell'articolo 4, paragrafo 4 in mododa assicurare il rispetto della giurisprudenza relativa all'articolo 8 dellaCEDU. Inoltre, a fini di sistematicità, il GEPD suggerisce che l'articolo4, paragrafo 4 sia trasferito alla fine dell'articolo 5.

IV.5 Trattamentiriguardanti categorie particolari di dati

76. L'articolo 6stabilisce un divieto in linea di principio del trattamento di dati sensibili,ossia di dati personali che rivelano l'origine razziale o etnica, le opinionipolitiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale orelativi alla salute o alla vita sessuale. Tale divieto non si applica qualorail trattamento sia previsto da una legge e sia assolutamente necessario perl'adempimento delle legittime funzioni dell'autorità interessata ai fini dellaprevenzione, delle indagini, dell'accertamento o del perseguimento dei reatipenali. I dati sensibili possono inoltre essere trattati qualora la personainteressata abbia dato il proprio esplicito consenso. In entrambi i casi sonoprevisti specifici ed adeguati meccanismi di salvaguardia.

77. Il testo dell'articolo6 si presta a due osservazioni. In primo luogo, l'articolo 6 si basa troppoampiamente sul consenso della persona interessata. Il GEPD sottolinea che iltrattamento di dati sensibili sulla base del consenso esplicito della personainteressata dovrebbe essere consentito solo nella misura in cui il trattamentosia effettuato nell'interesse della persona stessa e il rifiuto del consensonon dovrebbe comportare conseguenze negative per tale persona. Il GEPDraccomanda di modificare di conseguenza l'articolo 6 per renderlo, tra l'altro,coerente con l'attuale normativa UE in materia di protezione dei dati.

78. In secondo luogo, ilGEPD ritiene che possano essere presi in considerazione anche altri motivigiuridici per il trattamento, quale la necessità di tutelare gli interessivitali della persona interessata o di un'altra persona (qualora la personainteressata sia fisicamente o giuridicamente incapace di dare il proprioconsenso).

79. Nel settore dellacooperazione giudiziaria e di polizia, assume sempre maggiore importanza iltrattamento di altre categorie di dati personali eventualmente sensibili, qualii dati biometrici e i profili di DNA. Tali dati non sono esplicitamentecontemplati dall'articolo 6 della proposta. Il GEPD invita il legislatore UE a rivolgereparticolare attenzione all'atto dell'integrazione dei principi generali sullaprotezione dei dati stabiliti dalla presente proposta nella successivalegislazione riguardante il trattamento di tali categorie particolari di dati.Un esempio è costituito dall'attuale proposta di decisione quadro del Consigliosullo scambio di informazioni in virtù del principio di disponibilità (cfr.punti 12-15), che consente esplicitamente il trattamento e gli scambi di datibiometrici e di profili di DNA (cfr. allegato II della proposta) ma non esaminala sensibilità e le particolarità di tali dati dal punto di vista dellaprotezione dei dati stessi.

80. Il GEPD raccomanda diprevedere garanzie specifiche, in particolare allo scopo di assicurare che:

— i dati biometricie i profili di DNA siano usati unicamente in base a norme tecniche consolidateed interoperabili;

— il lorolivello di accuratezza sia adeguatamente preso in considerazione e possa esserecontestato dalla persona interessata mediante strumenti prontamente disponibili;

— il rispettodella dignità delle persone sia pienamente garantito.

Spetta al legislatoredecidere se tali garanzie supplementari debbano essere previste nella presentedecisione quadro o negli strumenti giuridici specifici che disciplinano laraccolta e lo scambio di tali categorie particolari di dati.

IV.6 Accuratezza eaffidabilità

81. L'articolo 4,paragrafo 1, lettera d) stabilisce le norme generali relative alla qualità deidati. In base a tale articolo, il responsabile del trattamento è tenuto agarantire che i dati siano esatti e, se necessario, aggiornati, prendendo tuttele misure ragionevoli per cancellare o rettificare i dati inesatti o incompletirispetto alle finalità per le quali sono raccolti o successivamente trattati. Ciòè conforme ai principi generali della normativa UE in materia di protezione deidati.

82. L'articolo 4,paragrafo 1, lettera d), terza frase prevede che gli Stati membri possonodisporre per il trattamento dei dati diversi livelli di accuratezza ed affidabilità.

Secondo il GEPD taledisposizione deroga al principio generale dell'accuratezza. Raccomanda pertantodi precisare la natura derogatoria della disposizione aggiungendo all'iniziodella terza frase dell'articolo 4, paragrafo 1, lettera d) il termine«tuttavia» o «ciononostante». In tali casi, quando cioè non sia possibilegarantire pienamente l'accuratezza dei dati, il responsabile del trattamento ètenuto a distinguere i dati sulla base del loro livello di accuratezza edaffidabilità, facendo in particolare riferimento alla fondamentale distinzionetra i dati basati sui fatti e i dati basati su opinioni e considerazionipersonali.

Il GEPD sottolineal'importanza di tale obbligo sia per le persone interessate, sia per leautorità incaricate dell'applicazione della legge, soprattutto quando iltrattamento dei dati avvenga lontano dalla loro fonte (cfr. punto 7 delpresente parere).

Verifica della qualitàdei dati

83. Il principio generalesancito all'articolo 4, paragrafo 1, lettera d) è integrato dalle garanzie piùspecifiche previste dall'articolo 9 relativo alla verifica della qualità deidati. In particolare l'articolo 9 prevede che:

1. la qualità dei datipersonali sia verificata prima che questi siano trasmessi o resi disponibili;che sia inoltre regolarmente verificata la qualità dei dati resi disponibilimediante l'accesso diretto automatico (articolo 9, paragrafi 1 e 2);

2. in tutte letrasmissioni di dati, devono essere indicate le decisioni giudiziarie e ledecisioni di proscioglimento, i dati basati su opinioni devono essereverificati alla fonte prima di essere trasmessi e occorre indicare il lorolivello di accuratezza e affidabilità (articolo 9, paragrafo 1);

3. i dati personali sianocontrassegnati su richiesta della persona interessata qualora questa ritengache essi non siano precisi e qualora non possa essere accertato se essi siano omeno precisi (articolo 9, paragrafo 6).

84. Pertanto, seapplicati congiuntamente, l'articolo 4, paragrafo 1 e l'articolo 9 assicuranoche la qualità dei dati personali sia adeguatamente verificata sia dallapersona interessata, sia dalle autorità che sono più vicine alle fonti dei datitrattati e che pertanto sono maggiormente in grado di controllarli.

85. Il GEPD giudicapositivamente tali disposizioni in quanto, pur essendo incentrate sulleesigenze delle autorità incaricate dell'applicazione della legge, assicuranoche ogni dato sia tenuto nella debita considerazione e utilizzato in base allasua accuratezza e affidabilità, evitando così che la persona interessata siapenalizzata in modo sproporzionato dall'eventuale imprecisione di alcuni datiche la riguardano.

86. La verifica dellaqualità dei dati è per la persona interessata un elemento essenziale diprotezione, specialmente per quanto riguarda i dati personali trattati dalleautorità di polizia e dalle autorità giudiziarie. Il GEPD deplora pertanto chel'applicabilità dell'articolo 9 relativo alla verifica della qualità dei datisia limitata ai dati trasmessi ad altri Stati membri o resi loro disponibili.Purtroppo ciò comporta che la qualità dei dati personali, essenziale anche afini di applicazione della legge, venga pienamente garantita solo quando i datiin questione sono trasmessi o resi disponibili ad altri Stati membri, ma nonquando sono trattati all'interno di uno Stato membro ⁽¹⁷⁾. Nell'interessesia delle persone interessate, sia delle autorità competenti, è inveceessenziale assicurare che la corretta verifica della qualità si applichi atutti i dati personali, compresi quelli non trasmessi o resi disponibili da unaltro Stato membro.

87. Il GEPD raccomandapertanto di eliminare in ogni caso i limiti del campo di applicazionedell'articolo 9, paragrafi 1 e 6 spostando tali disposizioni nel capitolo IIdella proposta.

Distinzione tra lediverse categorie di dati

88. L'articolo 4,paragrafo 3 prevede per il responsabile del trattamento l'obbligo di effettuareuna chiara distinzione tra i dati personali di diverse categorie di persone(persone sospettate, persone condannate, testimoni, vittime, informatori,persone in contatto, altre categorie di persone). Il GEPD è favorevole a taleimpostazione. Se è vero che le autorità incaricate dell'applicazione dellalegge e le autorità giudiziarie potrebbero avere bisogno di trattare datirelativi a categorie molto diverse di persone, è essenziale distinguere talidati in base al diverso grado di coinvolgimento in un reato. In particolare lecondizioni per la raccolta dei dati, i limiti di tempo, le condizioni in basealle quali si rifiuta l'accesso o non vengono fornite informazioni alla personainteressata, le modalità di accesso ai dati da parte delle autorità competentidovrebbero rispecchiare le particolarità delle differenti categorie di datitrattati e le diverse finalità per le quali tali dati sono raccolti dalleautorità incaricate dell'applicazione della legge e dalle autorità giudiziarie.

89. A tale proposito ilGEPD chiede di prestare speciale attenzione ai dati relativi alle personenon sospette. Occorre stabilire condizioni e garanzie specifiche per rispettareil principio di proporzionalità ed evitare di recare pregiudizio alle personenon attivamente coinvolte in un reato.

La proposta dovrebbecontenere disposizioni supplementari per questa categoria di persone, in mododa restringere le finalità del trattamento, stabilire precisi limiti di tempo elimitare l'accesso ai dati. Il GEPD raccomanda di modificare la proposta diconseguenza.

90. L'attuale testo dellaproposta contiene, all'articolo 7, paragrafo 1, una garanzia specifica relativaalle persone non sospette. Secondo il GEPD si tratta di una garanziaimportante, soprattutto perché gli Stati membri non è consentito prevederederoghe. Purtroppo l'articolo 7, paragrafo 1 prevede garanzie specifiche soloriguardo ai limiti di tempo, e la sua applicabilità è limitata alla categoriadi persone di cui all'articolo 4, paragrafo 3, ultimo trattino della proposta.Non prevede pertanto garanzie soddisfacenti e non copre l'intero gruppo dellepersone non sospette. ⁽¹⁸⁾.

91. Anche i dati relativialle persone condannate meritano una particolare attenzione. Per quantoriguarda questi dati, infatti, si dovrebbe tenere debito conto delle iniziativerecenti e future concernenti gli scambi di informazioni estratte dai casellarigiudiziari, assicurandone la coerenza. ⁽¹⁹⁾

92. Sulla scorta diquanto sopra, il GEPD raccomanda di aggiungere all'articolo 4 un nuovoparagrafo contenente i seguenti elementi:

— disposizionisupplementari per restringere le finalità del trattamento, stabilire precisilimiti di tempo e limitare l'accesso ai dati per quanto riguarda le persone nonsospette;

— obbligo pergli Stati membri di stabilire le conseguenze giuridiche delle distinzioni cheoccorre effettuare fra i dati personali di differenti categorie di persone,rispecchiando le particolarità delle differenti categorie di dati trattati e lediverse finalità per le quali tali dati sono raccolti dalle autorità incaricatedell'applicazione della legge e dalle autorità giudiziarie;

—   le conseguenze giuridichedovrebbero riferirsi alle condizioni per la raccolta di dati personali, ailimiti di tempo, all'ulteriore trasferimento e impiego dei dati ed allecondizioni in base alle quali si rifiuta l'accesso o non vengono forniteinformazioni alla persona interessata.

IV.7 Limiti di tempo perla memorizzazione dei dati personali

93. L'articolo 4,paragrafo 1, lettera e) e l'articolo 7, paragrafo 1 della proposta sanciscono iprincipi generali che disciplinano i limiti di tempo per la memorizzazione deidati personali. In linea di massima i dati personali non dovrebbero esserememorizzati per un tempo più lungo di quanto necessario per lo scopo per ilquale sono stati raccolti. Ciò è conforme alla normativa UE in materia diprotezione dei dati. ⁽²⁰⁾

94. Tuttavia ladisposizione generale di cui all'articolo 7, paragrafo 1 si applica «tranne chenei casi in cui il diritto nazionale stabilisca diversamente». Il GEPD rilevache si tratta di un'eccezione molto generale che va oltre le derogheammissibili a norma dell'articolo 4, paragrafo 1, lettera e) e propone di sopprimerela deroga generale di cui all'articolo 7, paragrafo 1, o quantomeno di limitareesplicitamente gli interessi pubblici che giustificano il ricorso a tale derogada parte degli Stati membri.⁽²¹⁾

95. L'articolo 7,paragrafo 2 prevede che il rispetto dei limiti di tempo sia assicurato medianteadeguate misure procedurali e tecniche e sia regolarmente verificato. IL GEPDsi compiace per tale disposizione, ma raccomanda di stabilire esplicitamenteche le adeguate misure procedurali e tecniche dovrebbero prevedere lasoppressione automatica e periodica dei dati personali dopo un certo lasso ditempo.

IV.8 Scambi di datipersonali con paesi terzi

96. L'efficacia dellacooperazione giudiziaria e di polizia all'interno delle frontiere dell'UEdipende sempre più dalla cooperazione con i paesi terzi e gli organismiinternazionali.

Sia a livello nazionaleche a livello di UE sono attualmente in discussione, o vengono prese inconsiderazione, varie azioni volte a migliorare l'applicazione della legge e lacooperazione giudiziaria con paesi terzi o organismi internazionali. ⁽²²⁾È’ probabile che lo sviluppo di questa cooperazione internazionale dipenderàmolto dagli scambi di dati personali.

97. È quindi essenzialeche i principi dell'equità e legittimità del trattamento, e in generali quellirelativi al giusto processo, si applichino anche alla raccolta e agli scambi didati personali oltre le frontiere dell'Unione, e che i dati personali sianotrasferiti a paesi terzi o ad organismi internazionali solo se i paesi terzi inquestione assicurano un adeguato livello di protezione o garanzie appropriate.

Trasferimenti di datipersonali a paesi terzi

98. In questa ottica ilGEPD esprime il suo apprezzamento per l'articolo 15 della proposta, che prevedela protezione in caso di trasferimento alle autorità competenti di paesi terzio a organismi internazionali. Tuttavia tale disposizione, contenuta nelcapitolo III della proposta, si applica unicamente ai dati ricevuti o residisponibili dalle autorità competenti di altri Stati membri. Tale limitazionefa sì che il sistema di protezione dei dati a livello di Unione europea resticarente per quanto riguarda i dati che non sono ricevuti da autorità competentidi altri Stati membri.

Secondo il GEPD tale carenzaè inaccettabile per i seguenti motivi.

99. Innanzitutto illivello di protezione offerto dalla normativa UE in caso di trasferimento a unpaese terzo non dovrebbe essere determinato dalla fonte dei dati —un'autorità di polizia di uno Stato membro che trasferisce dati ad un paeseterzo, o un'autorità di polizia di un altro Stato membro.

100. In secondo luogo vanotato che le norme che disciplinano i trasferimenti di dati personali a paesiterzi rappresentano un principio fondamentale della normativa in materia diprotezione dei dati. Tale principio non costituisce soltanto una delledisposizioni fondamentali della direttiva 95/46/CE, ma è sancito anche dalProtocollo addizionale alla Convenzione 108 ⁽²³⁾. Le norme comunirelative alla protezione dei dati personali di cui all'articolo 1 dellaproposta non possono essere garantite se le norme comuni relative aitrasferimenti di dati personali a paesi terzi non contemplano tutte leoperazioni di trattamento.

Pertanto, se i datipersonali potessero essere trasmessi a paesi terzi che non offrono un livellodi protezione adeguato, i diritti che la presente proposta garantisce allepersone interessate ne risulterebbero direttamente pregiudicati.

101. In terzo luogo, perquanto riguarda i dati trattati solo all'interno di un paese, la limitazionedel campo di applicazione di tali «norme ai dati scambiati» si tradurrebbenell'assenza di garanzie: paradossalmente sarebbe più «facile» trasferire datipersonali a paesi terzi, senza alcuna protezione adeguata dei dati stessi,piuttosto che ad altri Stati membri. Ne potrebbero conseguire fenomeni di«riciclaggio delle informazioni». Le autorità competenti degli Stati membripotrebbero eludere le norme rigorose sulla protezione dei dati trasmettendo idati a paesi terzi o organismi internazionali, dove un'autorità competente diun altro Stato membro potrebbe avervi accesso o da dove potrebbero addiritturaessere rinviati all'autorità di cui sopra.

102. Pertanto il GEPDraccomanda di modificare la presente proposta per far sì che l'articolo 15si applichi allo scambio di tutti i dati personali con paesi terzi.Tale raccomandazione non riguarda l'articolo 15, paragrafo 1, lettera c),che di per sé può applicarsi solo ai dati personali scambiati con altri Statimembri.

Trasferimentieccezionali a paesi non adeguati

103. L'articolo 15stabilisce per i trasferimenti alle autorità competenti di paesi terzi o adorganismi internazionali una serie di condizioni paragonabili a quelle previstedall'articolo 25 della direttiva 95/46/CE. Tuttavia l'articolo 15, paragrafo 6prevede la possibilità di trasferire dati a paesi terzi o organismiinternazionali in cui non è garantito un adeguato livello di protezione deidati se il trasferimento è assolutamente necessario per salvaguardare gli interessiessenziali di uno Stato membro o per prevenire gravi pericoli imminenti cheminacciano la sicurezza pubblica o una persona o più persone specifiche.

104. Occorre precisarequando sia applicabile l'eccezione di cui al paragrafo 6. Pertanto il GEPD raccomanda:

— di precisare chetale eccezione costituisce semplicemente una deroga alla condizione della«protezione adeguata», ma non incide sulle altre condizioni di cui all'articolo15, paragrafo 1;

— di aggiungere chei trasferimenti di dati effettuati in virtù di tale eccezione dovrebbero esseresoggetti a condizioni appropriate (ad esempio l'esplicita condizione che i datisiano trattati solo a titolo temporaneo e per finalità precise) e che sarannonotificati all'autorità di controllo competente.

Trattamento di datipersonali ricevuti da paesi terzi

105. In considerazionedell'intensificarsi degli scambi di dati personali con le autorità giudiziariee di polizia di paesi terzi, si dovrebbe altresì prestare particolareattenzione ai dati personali «importati» da paesi terzi che non offronoadeguate garanzie di rispetto dei diritti umani e, in particolare, diprotezione dei dati personali.

106. In una prospettivapiù ampia il GEPD ritiene che il legislatore debba garantire che i datipersonali ricevuti da paesi terzi siano almeno conformi alle normeinternazionali relative al rispetto dei diritti umani. Ad esempio le autoritàincaricate dell'applicazione della legge e le autorità giudiziarie nondovrebbero trattare o fare affidamento su dati raccolti sotto tortura o inviolazione dei diritti umani, o liste nere basate esclusivamente su opinionipolitiche o preferenze sessuali a meno che ciò non avvenga nell'interesse dellapersona interessata. Pertanto il GEPD raccomanda che tale punto sia precisatoalmeno in un considerando della proposta, eventualmente con un riferimento aipertinenti strumenti internazionali. ⁽²⁴⁾

107. Per quanto riguardapiù specificamente la protezione dei dati personali, il GEPD rileva che, quandoi dati personali sono trasmessi da paesi privi di norme e garanzie adeguate inmateria di protezione dei dati personali, occorre valutare debitamentel'eventuale mancanza di qualità dei dati onde evitare che le autoritàincaricate dell'applicazione della legge dell'UE facciano erroneamente affidamentosu tali informazioni e che si arrechi pregiudizio alle persone interessate.

108. Il GEPD raccomandapertanto di aggiungere all'articolo 9 della proposta una disposizione cheimpone di valutare specificamente la qualità dei dati personali trasmessi dapaesi terzi all'atto della loro ricezione e di indicare il grado di accuratezzae di affidabilità di tali dati.

IV.9 Scambi di datipersonali con privati e con autorità diverse dalle autorità incaricatedell'applicazione della legge.

109. Gli articoli 13 e 14della proposta stabiliscono una serie di requisiti che devono esseresoddisfatti nei casi in cui i dati personali vengono ulteriormente trasmessi aprivati e ad autorità diverse dalle autorità incaricate dell'applicazione dellalegge. Come indicato in precedenza, questi articoli integrano le norme piùgenerali figuranti al Capitolo II, che dovrebbero comunque essere rispettate.

110. Il GEPD ritiene che iltrasferimento a privati e ad altri organismi pubblici possa essere necessarioin casi particolari allo scopo di prevenire e combattere la criminalità, ma cheesso debba essere soggetto a condizioni specifiche e rigorose. Ciò èconforme al punto di vista espresso dai commissari europei per la protezionedei dati nel documento di sintesi di Cracovia ⁽²⁵⁾.

111. In questaprospettiva, il GEPD ritiene che le condizioni supplementari stabilite dagliarticoli 13 e 14 possano essere considerate soddisfacenti se applicateunitamente alle norme generali di cui al Capitolo II, compresa un'applicazioneglobale delle norme sull'ulteriore trattamento (cfr. IV.2). Tuttavia, l'attualeproposta limita l'applicabilità degli articoli 13 e 14 ai dati personaliricevuti o resi disponibili dalle autorità competenti di un altro Stato membro.⁽²⁶⁾

112. L'applicabilità generaledi queste ultime condizioni è ancor più importante se si considera il crescentescambio di dati fra autorità incaricate dell'applicazione della legge e altreautorità o privati, anche all'interno degli Stati membri. Il partenariatopubblico/privato in attività di applicazione della legge ne costituisce unesempio .

113. Il GEPD raccomandaquindi di modificare l'attuale proposta per assicurare che gli articoli 13 e 14si applichino agli scambi di tutti i dati personali, compresi quellinon trasmessi o resi disponibili da un altro Stato membro. Questaraccomandazione non riguarda l'articolo 13, lettera c) e l'articolo 14, letterac).

Accesso e ulterioreutilizzo di dati personali controllati da privati

114. Lo scambio di datipersonali con privati è bidirezionale: comporta la trasmissione o la messa adisposizione di dati personali anche da parte di privati ad autorità incaricatedell'applicazione della legge e autorità giudiziarie.

115. In tal caso i datipersonali raccolti per scopi commerciali (transazioni commerciali, marketing,fornitura di servizi, ecc.) e gestiti da responsabili del controllo privatisono accessibili alle autorità pubbliche e da esse ulteriormente utilizzati perl'assai diverso scopo della prevenzione, delle indagini, dell'accertamento odel perseguimento dei reati penali. Inoltre, l'accuratezza e l'affidabilità deidati trattati per scopi commerciali dev'essere attentamente valutataallorquando detti dati sono utilizzati a fini di applicazione della legge ⁽²⁷).

116. Un recentissimo eimportante esempio di accesso a basi dati private a fini di applicazione dellalegge è rappresentato dal testo approvato della direttiva sulla conservazionedei dati sulle comunicazioni (cfr. punti 16-18), in base al quale i fornitoridi servizi di comunicazione elettronica accessibili al pubblico o di retipubbliche di comunicazione dovranno conservare fino a due anni i daticoncernenti le comunicazioni per assicurare che essi siano disponibili ai finidelle indagini, dell'accertamento e del perseguimento di reati gravi. In baseal testo approvato, le questioni concernenti l'accesso a questi datitravalicano la legislazione comunitaria e potrebbero non essere disciplinatidalla direttiva. Queste importanti questioni potrebbero invece essere oggettodi legislazione nazionale o di azioni nel quadro del Titolo VI del TUE ⁽²⁸⁾.

117. Nel suo parere sullaproposta di direttiva, il GEPD ha difeso un'interpretazione più ampia deltrattato CE, in quanto la limitazione dell'accesso è necessaria per assicurareun'adeguata protezione della persona interessata i cui dati in materia dicomunicazioni debbono essere conservati.

Sfortunatamente, illegislatore europeo non ha incluso nella succitata direttiva norme in materiadi accesso.

118. Nel presente parere,il GEPD afferma nuovamente di preferire nettamente che la legislazione UEfornisca norme comuni sull'accesso e sull'ulteriore utilizzo da parte delleautorità incaricate dell'applicazione della legge.

Fintantoché ciò non saràtrattato nell'ambito del primo pilastro, uno strumento del terzo pilastropotrebbe fornire la necessaria tutela. Questa posizione del GEPD è altresìcorroborata dal generale aumento degli scambi di dati fra Stati membri e dallarecente proposta sul principio di disponibilità. Norme nazionali diversesull'accesso e sull'ulteriore utilizzo non sarebbero compatibili con laproposta «libera circolazione» a livello di UE delle informazioni in materia diapplicazione della legge che comprende anche dati provenienti da basi datiprivate.

119. Di conseguenza, ilGEPD ritiene che si debbano applicare norme comuni in materia di accesso daparte delle autorità incaricate dell'applicazione della legge a dati personaliconservati da privati, così da assicurare che l'accesso venga permessounicamente sulla base di condizioni e limitazioni ben definite. Inparticolare, l'accesso da parte delle autorità competenti dovrebbe essereconsentito soltanto caso per caso, in circostanze e per scopi specifici, edessere sottoposto a controllo giudiziario negli Stati membri.

IV.10 Diritti dellapersona interessata

120. Il Capitolo IVriguarda i diritti della persona interessata secondo modalità generalmentecoerenti con l'attuale normativa in materia di protezione dei dati e conl'articolo 8 della Carta dei diritti fondamentali dell'UE.

121. Il GEPD saluta confavore queste disposizioni, in quanto esse forniscono una serie armonizzata didiritti per le persone interessate, tenendo conto delle particolarità deltrattamento da parte delle autorità incaricate dell'applicazione della legge edelle autorità giudiziarie. Si tratta di un miglioramento significativoconsiderato che l'attuale situazione è caratterizzata da un'ampia varietà dinorme e pratiche, soprattutto per quanto riguarda il diritto di accesso. AlcuniStati membri non consentono alla persona interessata di accedere ai suoi datima hanno un sistema di «accesso indiretto» (da parte dell'autorità nazionalepreposta alla protezione dei dati a nome della persona interessata).

122. Nella proposta, leeventuali deroghe al diritto di accesso diretto sono armonizzate. Ciò èparticolarmente importante per consentire ai cittadini i cui dati sono semprepiù trattati e scambiati da autorità competenti di diversi Stati membri UE diavvalersi di una serie armonizzata di diritti in quanto persone interessate, aprescindere dallo Stato membro in cui i dati vengono raccolti o trattati ⁽²⁹⁾.

123. Il GEPD riconoscel'opportunità di limitare i diritti delle persone interessate nei casi in cuiciò sia necessario ai fini della prevenzione, delle indagini, dell'accertamentoo del perseguimento di reati penali. In ogni caso, poichè queste limitazionidevono essere considerate eccezioni ai diritti fondamentali delle personeinteressate, si dovrebbe applicare una rigorosa verifica sotto il profilo dellaproporzionalità.

Ciò significa che leeccezioni dovrebbero essere limitate e ben definite e che le restrizionidovrebbero essere, dove possibile, parziali e limitate nel tempo.

124. In questaprospettiva, il GEPD vorrebbe attirare l'attenzione del legislatore soprattuttosulla lettera a) del paragrafo 2 degli articoli 19, 20, 21, che stabilisceun'assai ampia ed indefinita deroga ai diritti delle persone interessate,affermando che questi diritti possono essere limitati, se necessario, per«permettere al responsabile del controllo di svolgere correttamente i propricompiti».

Inoltre, questa deroga sisovrappone alla disposizione della lettera b), che permette limitazioni deidiritti delle persone interessate allorquando ciò sia necessario per «non comprometterele indagini, inchieste o procedimenti in corso o lo svolgimento dei legittimidoveri delle autorità competenti». Mentre quest'ultima deroga può essereconsiderata giustificata, la prima sembra imporre una limitazionesproporzionata dei diritti della persona interessata.

Pertanto, il GEPDraccomanda di sopprimere la lettera a) del paragrafo 2 degli articoli 19,20, 21.

125. Inoltre, il GEPDraccomanda di migliorare gli articoli 19, 20, 21 come segue:

— specificare chele restrizioni dei diritti della persona interessata non sono obbligatorie, nonsi applicano per un periodo indeterminato e sono permesse «soltanto» nei casispecifici elencati negli articoli;

— tenere conto chele informazioni dovrebbero essere fornite dal responsabile del trattamento inmodo autonomo e non sulla base di una richiesta da parte della personainteressata;

— aggiungereall'articolo 19, paragrafo 1), lettera c) che si dovrebbero anche fornireinformazioni sui «limiti di tempo per la conservazione dei dati»;

— assicurare (modificandol'articolo 20, paragrafo 1 in linea con altri strumenti UE per la protezionedei dati) che le informazioni — dove i dati non siano stati ottenutidalla persona interessata o siano stati ottenuti da questa senza che ne avesseconoscenza — le verranno fornite al più tardi al «momento della primacomunicazione»;

— garantire che ilmeccanismo per introdurre un ricorso contro il rifiuto o la limitazione deidiritti della persona interessata sia applicabile a casi di limitazione deldiritto di essere informati e modificare di conseguenza l'ultima frasedell'articolo 19, paragrafo 4.

Decisioni individualiautomatiche

126. Il GEPD esprimerammarico per il fatto che la proposta non affronti per niente l'importantequestione delle decisioni individuali automatiche. In effetti, l'esperienzapratica dimostra che le autorità incaricate dell'applicazione della legge fannoun uso sempre crescente del trattamento automatico di dati al fine di valutaredeterminati aspetti personali degli individui, in particolare per valutarnel'affidabilità e la condotta.

127. Il GEPD — purriconoscendo che questi sistemi potrebbero essere necessari in certi casi peraumentare l'efficacia delle attività di applicazione della legge —osserva che le decisioni basate unicamente sul trattamento automatico di datidovrebbero essere soggette a condizioni e salvaguardie molto rigide allorquandoproducono effetti giuridici nei confronti di una persona oppure comportano perquesta significative conseguenze. Ciò ha ancor maggiore importanza nel contestodel terzo pilastro, giacché in questo caso le autorità competenti sono dotatedi un potere pubblico coercitivo e pertanto le loro decisioni o azioni possonoavere conseguenze su di una persona o essere più intrusive di quanto accadrebbenormalmente allorquando siffatte decisioni/azioni sono prese da privati.

128. In particolare, econformemente ai principi generali in materia di protezione di dati, siffattedecisioni o azioni dovrebbero essere consentite soltanto se espressamenteautorizzate dalla legge o dalla competente autorità di sorveglianza edovrebbero essere soggette a misure appropriate volte a salvaguardare gliinteressi legittimi della persona interessata. Inoltre, la persona interessatadovrebbe disporre di strumenti prontamente disponibili che le consentano dipresentare il suo punto di vista ed essere in grado di conoscere la logicadella decisione, a meno che ciò non sia incompatibile con lo scopo per il qualei dati vengono trattati.

129. Il GEPD raccomandapertanto di introdurre una disposizione specifica sulle decisioni individualiautomatiche, in linea con l'attuale legislazione UE in materia di protezione didati.

IV.11 Sicurezza deltrattamento

130. Per quanto riguardala sicurezza del trattamento, l'articolo 24 prevede che il responsabile deltrattamento sia tenuto a prendere misure tecniche ed organizzative adeguate, inlinea con le disposizioni degli altri strumenti UE in materia di protezione deidati. Inoltre, il paragrafo 2 contiene un elenco completo e dettagliato dellemisure da adottare per il trattamento automatizzato dei dati.

131. Il GEPD si rallegradi questa disposizione; tuttavia, nell'intento di facilitare un efficacecontrollo da parte delle competenti autorità, suggerisce di aggiungereall'elenco delle misure enumerate nel paragrafo 2 la seguente misurasupplementare: «k) garantire il controllo sistematico e la verificadell'efficacia delle misure di sicurezza (autocontrollo sistematico dellemisure di sicurezza)» ⁽³⁰⁾.

Registrazione dei dati

132. L'articolo 10stabilisce che qualsiasi trasmissione o ricevimento automatico di datipersonali venga registrato (in caso di trasmissione automatica) o documentato(in caso di trasmissione non automatica) onde garantire la successiva verificadella legittimità della trasmissione e del trattamento dei dati. Detteinformazioni sono comunicate all'autorità di controllo competente su richiestadi quest'ultima.

133. Il GEPD si compiacedi questa disposizione. Rileva tuttavia che per assicurare un controllo globalee verificare l'uso corretto dei dati personali sarebbe opportuno registrare odocumentare anche l'accesso ai dati. Ciò è essenziale, in quanto un controlloefficace del corretto trattamento dei dati personali deve incentrarsi nonsoltanto sulla legittimità della trasmissione dei dati personali tra autorità,ma anche sulla legittimità dell'accesso da parte delle medesime autorità ⁽³¹⁾.Pertanto, il GEPD raccomanda di modificare l'articolo 10 prevedendo cheanche l'accesso ai dati sia registrato o documentato.

V.12 Ricorsigiurisdizionali, responsabilità e sanzioni

134. Il capitolo VI dellaproposta concerne i ricorsi giurisdizionali (articolo 27), la responsabilità(articolo 28) e le sanzioni (articolo 29). Le disposizioni sono in generalecoerenti con la vigente normativa UE in materia di protezione dei dati.

135. In particolare, perquanto riguarda le sanzioni, il GEPD si rallegra della precisazione secondocui, in caso di violazione delle disposizioni di attuazione della decisionequadro, le sanzioni dovranno essere efficaci, commisurate e dissuasive.Inoltre, le sanzioni penali previste per i reati commessi intenzionalmente checomportano violazioni gravi — segnatamente con riguardo alla riservatezzae alla sicurezza del trattamento — assicureranno un effetto dissuasivomaggiore per le violazioni più gravi della normativa in materia di protezionedei dati.

IV.13 Controllo,sorveglianza e funzioni consultive

136. Le disposizionidella proposta relative al controllo e alla sorveglianza del trattamento deidati nonché alla consultazione sulle questioni attinenti al trattamento deidati sono in larga misura analoghe alle disposizioni della direttiva 95/46/CE.Il GEPD si compiace che nella sua proposta la Commissione abbia optato permeccanismi già sperimentati e ben funzionanti e sottolinea in particolarel'introduzione di un sistema (obbligatorio) di controllo preliminare. Talesistema è previsto non soltanto dalla direttiva 95/46/CE, ma anche dalregolamento 45/2001/CE e si è dimostrato uno strumento efficace a disposizionedel GEPD per la sorveglianza del trattamento dei dati da parte delleistituzioni e degli organi della Comunità europee.

137. Un altro strumentodi controllo e sorveglianza del trattamento dei dati dimostratosi efficace è lanomina dei responsabili della protezione dei dati da parte di un responsabiledel trattamento. Tale strumento, già applicato in vari Stati membri, è previstodal regolamento 45/2001/CE come strumento obbligatorio e svolge un ruolo chiavea livello di Comunità europee. I responsabili della protezione dei dati sonoamministratori incaricati di garantire in maniera indipendente, nell'ambito diun'organizzazione, l'applicazione interna delle disposizioni in materia diprotezione dei dati.

138. Il GEPD raccomandadi aggiungere le disposizioni in materia di responsabili della protezionedei dati alla proposta. Tali disposizioni potrebbero essere elaborate sulmodello degli articoli da 24 a 26 del regolamento 45/2001/CE.

139. La proposta didecisione quadro è destinata agli Stati membri. È pertanto logico chel'articolo 30 preveda un controllo da parte di autorità di sorveglianzaindipendenti.

Detto articolo èformulato in modo analogo all'articolo 28 della direttiva 95/46/CE. Le autoritànazionali dovrebbero cooperare tra di loro, come pure con le autorità dicontrollo comuni istituite ai sensi del titolo VI del trattato UE e con ilGEPD. Inoltre, l'articolo 31 della proposta prevede l'istituzione di un gruppodi lavoro destinato a svolgere un ruolo analogo a quello previsto per il gruppodi cui all'articolo 29 nelle materie del primo pilastro. Tutti i soggettiattivi nell'ambito della protezione dei dati sono menzionati nell'articolo 31della proposta. 140. È chiaro che, in una proposta destinata a migliorare lacooperazione giudiziaria e di polizia tra Stati membri, la cooperazione tratutti i soggetti impegnati nel campo della protezione dei dati svolge un ruoloimportante.

Pertanto, il GEPD sirallegra del risalto dato nella proposta alla cooperazione tra autorità dicontrollo.

141. Inoltre, il GEPDsottolinea l'importanza di un approccio coerente per quanto riguarda lequestioni attinenti alla protezione dei dati, che potrebbe essere rafforzatopromuovendo la comunicazione tra il gruppo di cui all'articolo 29 e il gruppodi lavoro istituito dall'attuale proposta di decisione quadro. Il GEPDraccomanda che l'articolo 31, paragrafo 2 della proposta sia modificato perautorizzare il presidente del gruppo di cui all'articolo 29 a partecipare o afarsi rappresentare alle riunioni del nuovo gruppo di lavoro.

142. Il testodell'articolo 31 della presente proposta contiene una notevole differenzarispetto all'articolo 29 della direttiva 95/46/CE. Il GEPD è membro a pienotitolo del gruppo di cui all'articolo 29. Ciò comprende il diritto di voto. Laproposta attuale prevede anch'essa la partecipazione del GEPD al gruppo dilavoro (in base all'articolo 31), ma non il diritto di voto. Non è chiaro perquale motivo l'attuale proposta si discosti dall'articolo 29 della direttiva95/46/CE. Secondo il GEPD il testo proposto è ambiguo circa il ruolo del GEPD,il che potrebbe ostacolare l'efficacia della sua partecipazione ai lavori delgruppo di lavoro. Il GEPD raccomanda pertanto di mantenere la coerenza con iltesto della direttiva.

IV.14 Altredisposizioni

143. Il capitolo VIIIdella proposta contiene alcune disposizioni finali che modificano laconvenzione Schengen e altri strumenti relativi al trattamento e allaprotezione dei dati personali.

Convenzione Schengen

144. L'articolo 33 dellaproposta stabilisce che gli articoli da 126 a 130 della convenzione Schengensono sostituiti dalla decisione quadro per le materie che ricadono nell'ambitodi applicazione del trattato UE. I suddetti articoli della convenzione Schengencontengono le norme generali in materia di protezione dei dati relativamente altrattamento dei dati trasmessi in applicazione della convenzione (ma al difuori del Sistema d'Informazione Schengen).

145. Il GEPD si compiacedi questa sostituzione, che migliora la coerenza del regime di protezione deidati nel terzo pilastro e rappresenta per certi versi un miglioramentosignificativo della protezione dei dati personali, ad esempio grazie alrafforzamento dei poteri delle autorità di controllo. Su alcuni punti essacomporta tuttavia un'involontaria — e inopportuna — diminuzione dellivello di protezione dei dati. Alcune disposizioni della convenzione Schengensono in effetti più restrittive di quelle della decisione quadro.

146. Il GEPD attiral'attenzione in particolare sull'articolo 126, paragrafo 3, lettera b) dellaconvenzione Schengen, che stabilisce che i dati possono essere utilizzatisoltanto dalle autorità giudiziarie, dai servizi e dagli organi che assolvonoun compito o una funzione nell'ambito delle finalità stabilite dalla convenzione.Tale disposizione sembra escludere la trasmissione a soggetti privati, chesarebbe invece autorizzata dalla proposta di decisione quadro. Un altro puntoriguarda il fatto che le disposizioni in materia di protezione dei dati dellaconvenzione Schengen si applicano anche a tutti i dati trasmessi a partire da unarchivio non automatizzato o inseriti in un siffatto archivio (articolo 127),mentre gli archivi non strutturati sono esclusi dal campo di applicazione dellaproposta di decisione quadro.

Convenzione relativaall'assistenza giudiziaria in materia penale tra gli Stati membridell'Unione europea

147. L'articolo 34stabilisce che l'articolo 23 della convenzione relativa all'assistenzagiudiziaria in materia penale tra gli Stati membri dell'Unione europea èsostituito dalla decisione quadro. Il GEPD rileva che, se per certi versiquesta sostituzione garantirebbe in generale una migliore protezione dei datipersonali scambiati nel quadro della convenzione, per altri potrebbe anche farsorgere qualche problema di compatibilità tra i due strumenti.

148. In particolare, laconvenzione riguarda anche l'assistenza giudiziaria in materia diintercettazione delle telecomunicazioni. In questo caso, lo Stato membrorichiesto può dare il proprio accordo all'intercettazione o alla trasmissionedella registrazione delle telecomunicazioni alle condizioni applicabili in uncaso analogo a livello nazionale.

Ai sensi dell'articolo23, paragrafo 4 della convenzione, ove queste condizioni supplementaririguardino l'utilizzo di dati personali, esse prevalgono sulle norme in materiadi protezione dei dati di cui all'articolo 23.

Analogamente, l'articolo23, paragrafo 5 stabilisce la precedenza delle norme supplementari asalvaguardia delle informazioni raccolte da squadre investigative comuni. IlGEPD rileva che, qualora l'articolo 23 fosse sostituito dalla proposta inesame, non sarebbe chiaro se le suddette norme supplementari restinoapplicabili.

Raccomanda pertanto dichiarire questo punto, onde valutare attentamente le conseguenze di unasostituzione totale dell'articolo 23 della convenzione con la decisione quadro.

Convenzione delConsiglio d'Europa sulla protezione delle persone

rispetto altrattamento automatizzato di dati di carattere personale

149. L'articolo 34,paragrafo 2 stabilisce che qualsiasi riferimento alla suddetta convenzione deveessere considerato come un riferimento alla decisione quadro. L'interpretazionee la concreta applicabilità di tale disposizione sono tutt'altro che chiare. Adogni modo, il GEPD presume che questa disposizione si applichi soltanto entro ilimiti del campo di applicazione ratione materiae della decisione quadro.

Questioni finali

150. Per quanto riguardala coerenza sistematica del testo della proposta, il GEPD rileva che alcuniarticoli potrebbero trovare una collocazione migliore.

Suggerisce pertanto:

1) di spostare l'articolo16 («Comitato») dal capitolo III («Forme specifiche di trattamento») a un nuovocapitolo;

2) di spostare gliarticoli 25 («Registro») e 26 («Controllo preliminare») dal capitolo V(«Riservatezza e sicurezza del trattamento») a un nuovo capitolo.

V CONCLUSIONI

Un notevole passoavanti

a) L'adozione dellapresente proposta rappresenterebbe un notevole passo avanti per la protezionedei dati personali, in un settore importante che richiede particolarmente unmeccanismo coerente ed efficace per la protezione dei dati personali a livellodi Unione europea.

b) L'efficace protezionedei dati personali non solo è importante per le persone interessate, macontribuisce anche al successo della stessa cooperazione giudiziaria e dipolizia.

Per molti aspetti i dueinteressi pubblici vanno di pari passo.

Norme comuni

c) Secondo il GEPD, unnuovo quadro per la protezione dei dati dovrebbe non solo rispettare i principidella protezione dei dati — vista l'importanza di garantire la coerenzadella protezione dei dati nell'ambito dell'Unione europea — ma anchefornire una serie di norme supplementari che tengano conto della specificitàdel settore dell'applicazione della legge.

d) La presente propostasoddisfa tali requisiti: garantisce che i principi esistenti in materia diprotezione dei dati di cui alla direttiva 95/46/CE siano applicati nel settoredel terzo pilastro, in quanto la maggior parte delle disposizioni dellaproposta riflettono altri strumenti giuridici dell'UE sulla protezione dei datipersonali e sono coerenti con tali strumenti. Inoltre prevede norme comuni chespecificano tali principi ai fini dell'applicazione in questo settore, che sonogeneralmente sufficienti a fornire adeguate garanzie di protezione dei dati nelterzo pilastro.

Applicabilità ad ognitrattamento

e) È essenziale che ladecisione quadro, per conseguire il suo obiettivo, riguardi tutti i datigiudiziari e di polizia, anche se tali dati non sono trasmessi o messi adisposizione dalle autorità competenti di altri Stati membri.

f) L'articolo 30,paragrafo 1, lettera b) e l'articolo 31, paragrafo 1, lettera c) del TUEforniscono una base giuridica per disposizioni sulla protezione dei dati nonlimitate alla protezione dei dati personali effettivamente scambiati tra leautorità competenti degli Stati membri, ma anche applicabili a situazioninazionali.

g) La proposta non siapplica al trattamento nel quadro del secondo pilastro del trattato UE(politica estera e di sicurezza comune), né al trattamento dei dati da parte diservizi di intelligence e all'accesso di detti servizi a tali dati quando sonotrattati dalle autorità competenti o da altri (il che risulta dall'articolo 33TUE). In questi settori, spetta al diritto nazionale fornire un'adeguataprotezione alle persone interessate.

Questo divario nellaprotezione a livello UE richiede una protezione ancora più efficace nei settoriche sono effettivamente contemplati dalla proposta.

h) Il GEPD si rallegra delfatto che la proposta comprende i dati personali trattati da autoritàgiudiziarie.

In relazione ad altristrumenti giuridici

i) Qualora un altrostrumento giuridico specifico adottato in virtù del titolo VI del trattato UEpreveda condizioni o restrizioni più precise per il trattamento dei dati o perl'accesso ai dati, lo strumento giuridico specifico dovrebbe applicarsi inquanto lex specialis.

j) La presente propostadi decisione quadro del Consiglio sulla protezione dei dati personali ha i suoimeriti ed è necessaria anche in mancanza di uno strumento giuridico sulladisponibilità (come proposto dalla Commissione il 12 ottobre 2005).

k) L'approvazione daparte del Parlamento europeo della direttiva riguardante la conservazione deidati sulle comunicazioni rende ancora più urgente stabilire un quadro giuridicoper la protezione dei dati nel terzo pilastro.

Struttura dellaproposta

l) Le norme supplementaridi cui al capitolo II (in aggiunta ai principi generali della direttiva95/46/CE) dovrebbero fornire una protezione addizionale alle personeinteressate in relazione al contesto specifico del terzo pilastro, ma nonpossono comportare un abbassamento del livello di protezione.

m) Il capitolo IIIrelativo a forme specifiche di trattamento (in cui è inserito il terzo livellodi protezione) non può derogare al capitolo II: le disposizioni del capitoloIII dovrebbero offrire una protezione addizionale alle persone interessate insituazioni in cui sono coinvolte le autorità competenti di più di uno Stato membro,ma tali disposizioni non possono comportare un abbassamento del livello diprotezione.

n) Le disposizioni inmateria di verifica della qualità dei dati (articolo 9, paragrafi 1 e 6) equelle che disciplinano l'ulteriore trattamento dei dati personali (articolo11, paragrafo 1) dovrebbero essere trasferite al capitolo II e rese applicabilia tutti i trattamenti di dati da parte delle autorità incaricatedell'applicazione della legge, anche se i dati personali non sono statitrasmessi o resi disponibili da un altro Stato membro. E' essenziale, inparticolare, sia per le persone interessate che per le autorità competenti,assicurare che un'adeguata verifica della qualità sia effettuata per tutti idati personali.

Limitazione dellefinalità

o) La proposta nonaffronta in modo del tutto soddisfacente una situazione che può verificarsinelle attività di polizia, ossia la necessità di utilizzare ulteriormente idati per una finalità considerata incompatibile con quella per cui erano statirilevati.

p) In base alla normativaUE sulla protezione dei dati i dati personali devono essere rilevati perfinalità determinate ed esplicite ed essere successivamente trattati in modonon incompatibile con tali finalità. Dev'essere consentita una certaflessibilità quanto all'uso ulteriore. La limitazione relativa alla rilevazioneha maggiori probabilità di essere rispettata se le autorità responsabili dellasicurezza interna sanno di poter fare affidamento, con appropriate garanzie, suuna deroga alla limitazione per l'uso ulteriore.

q) La decisione quadrodovrebbe stabilire nel capitolo II che gli Stati membri possono adottare misurelegislative per consentire l'ulteriore trattamento qualora una siffatta misurasia necessaria per garantire:

— la prevenzione diminacce alla sicurezza pubblica, alla difesa o alla sicurezza nazionale;

— la tutela di unimportante interesse economico o finanziario di uno Stato membro;

— la protezionedella persona interessata.

Tali competenze degliStati membri potrebbero implicare un trattamento invasivo della vita privata edovrebbero pertanto essere corredate di condizioni molto rigorose.

Necessità eproporzionalità

r) I principi dinecessità e proporzionalità della proposta dovrebbero riflettere appieno lagiurisprudenza della Corte europea dei diritti dell'uomo, assicurando che iltrattamento di dati personali sia considerato necessario solo qualora leautorità competenti possano chiaramente dimostrarne la necessità e a condizioneche non siano disponibili misure meno invasive della vita privata.

Scambi di datipersonali con paesi terzi

s) La possibilità ditrasmettere dati ai paesi terzi senza garantire la protezione della personainteressata comprometterebbe in modo grave la protezione prevista dallapresente proposta nel territorio dell'Unione europea. Il GEPD raccomandapertanto di modificare la presente proposta per far sì che l'articolo 15 siapplichi allo scambio di tutti i dati personali con paesi terzi. Taleraccomandazione non riguarda l'articolo 15, paragrafo 1, lettera c).

t) Allorché datipersonali sono trasmessi da paesi terzi, prima dell'utilizzo di tali datidovrebbe esserne valutata attentamente la qualità alla luce del rispetto deidiritti umani e delle norme in materia di protezione dei dati.

Scambi di datipersonali con privati e con autorità diverse dalle autorità

incaricatedell'applicazione della legge

u) Il trasferimento aprivati e ad altri organismi pubblici può essere necessario in casi particolariallo scopo di prevenire e combattere la criminalità, ma esso dovrebbe esseresoggetto a condizioni specifiche e rigorose. Il GEPD raccomanda di modificarel'attuale proposta per assicurare che gli articoli 13 e 14 si applichino agliscambi di tutti i dati personali, compresi quelli non trasmessi o residisponibili da un altro Stato membro. Questa raccomandazione non riguardal'articolo 13, lettera c) e l'articolo 14, lettera c).

v) Si dovrebberoapplicare norme comuni in materia di accesso da parte delle autorità incaricatedell'applicazione della legge a dati personali conservati da privati, così daassicurare che l'accesso venga permesso unicamente sulla base di condizioni elimitazioni ben definite.

Categorie particolaridi dati

w) Si dovrebberoprevedere garanzie specifiche, in particolare allo scopo di assicurare che:

— i dati biometricie i profili di DNA siano usati unicamente in base a norme tecniche consolidateed interoperabili;

— il loro livellodi sicurezza sia adeguatamente preso in considerazione e possa esserecontestato dalla persona interessata mediante strumenti prontamentedisponibili;

— il rispetto delladignità delle persone sia pienamente garantito.

Distinzione tra lediverse categorie di dati

x) I dati personaliriguardanti diverse categorie di persone (persone sospettate, personecondannate, vittime, testimoni, ecc.) dovrebbero essere trattati in base acondizioni e salvaguardie diverse e appropriate. Pertanto il GEPD propone diaggiungere all'articolo 4 un nuovo paragrafo contenente i seguenti elementi:

— obbligo per gliStati membri di stabilire le conseguenze giuridiche delle distinzioni chedevono essere effettuate fra i dati personali di differenti categorie dipersone,

— disposizionisupplementari per restringere le finalità del trattamento, stabilire precisilimiti di tempo e limitare l'accesso ai dati per quanto riguarda le persone nonsospette.

Decisioni individualiautomatiche

y) Le decisioni basateunicamente sul trattamento automatico di dati dovrebbero essere soggette acondizioni e salvaguardie molto rigide allorquando producono effetti giuridicinei confronti di una persona oppure comportano per questa significativeconseguenze. Pertanto il GEPD raccomanda di introdurre disposizioni specifichesulle decisioni individuali automatiche, analoghe a quelle previste dalladirettiva 95/46/CE.

Selezione di altreraccomandazioni

z) Il GEPD raccomandaquanto segue:

— riformulare ilprimo trattino dell'articolo 4, paragrafo 4 al fine di assicurare il rispettodella giurisprudenza relativa all'articolo 8 della CEDU, poichè la formulazioneproposta per l'articolo 4, paragrafo 4 non soddisfa i criteri stabiliti dallagiurisprudenza della Corte europea dei diritti dell'uomo riguardo all'articolo8 della CEDU;

— sopprimerel'ampia deroga di cui all'articolo 7, paragrafo 1 o almeno limitareespressamente gli interessi pubblici che giustificano il ricorso ad essa daparte degli Stati membri;

— modificarel'articolo 10 in modo da prevedere che anche l'accesso ai dati sia registrato odocumentato;

— sopprimere lalettera a) del paragrafo 2 degli articoli 19, 20 e 21;

— aggiungere allaproposta disposizioni relative ai responsabili della protezione dei dati,disposizioni che potrebbero seguire il modello degli articoli da 24 a 26 delregolamento 45/2001/CE;

— modificarel'articolo 31, paragrafo 2 della proposta in modo da autorizzare anche ilpresidente del gruppo di cui all'articolo 29 a partecipare o a farsirappresentare alle riunioni del nuovo gruppo di lavoro.

Bruxelles, 19 dicembre2005

Peter HUSTINX

Garante europeo dellaprotezione dei dati

NOTE            

(1) Punto 18 del programma.

(2) Convenzione tra il Regno del Belgio,la Repubblica federale di Germania, il Regno di Spagna, la Repubblica Francese,il Granducato del Lussemburgo, il Regno dei Paesi Bassi e la RepubblicaAustriaca per rafforzare la cooperazione transfrontaliera, in particolare perquanto riguarda la lotta al terrorismo, alla criminalità transfrontaliera eall'immigrazione clandestina, firmata il 27 maggio 2005 a Prüm (Germania).

(3) Iniziativa del Regno di Svezia voltaall'adozione della decisione quadro relativa alla semplificazione dello scambiodi informazioni e intelligence tra le autorità degli Stati membri dell'Unioneeuropea incaricate dell'applicazione della legge, in particolare con riguardoai reati gravi, compresi gli atti terroristici (GU C 281 del 18 novembre 2004,pag. 5).

(4) In base alla proposta di direttiva delParlamento europeo e del Consiglio riguardante la conservazione di datitrattati nell'ambito della fornitura di servizi pubblici di comunicazioneelettronica e che modifica la direttiva 2002/58/CE (COM(2005) 438 defin.).

(5) Convenzione del Consiglio d'Europasulla protezione delle persone rispetto al trattamento automatizzato di dati dicarattere personale del 28 gennaio 1981.

(6) Il Consiglio d'Europa ha formulato laraccomandazione n. R (87) 15 del 1987 che disciplina l'uso dei dati personalinel settore della polizia, ma la raccomandazione non è di per sé vincolante pergli Stati membri.

(7) Cfr. anche «Il GEPD in quantoconsulente delle istituzioni comunitarie sulle proposte legislative e suidocumenti connessi» del 18 marzo 2005, pubblicato sul sito www.edps.eu.int.

(8) Parere del garante europeo dellaprotezione dei dati sulla proposta di direttiva del Parlamento europeo e delConsiglio relativa alla conservazione dei dati trattati in relazione allafornitura di servizi di comunicazione elettronica pubblici e recante modificadella direttiva 2002/58/CE (COM(2005) 438 defin.), pubblicato sul sitowww.edps. eu.int.

(9) Punto 2.2.4. del parere.

(10) Convenzione del Consiglio d'Europa sullaprotezione delle persone rispetto al trattamento automatizzato di dati dicarattere personale del 28 gennaio 1981.

(11) Proposta di decisione del Consigliorelativa all'accesso per consultazione al sistema d'informazione visti (VIS) daparte delle autorità degli Stati membri competenti per la sicurezza interna edell'Europol ai fini della prevenzione, individuazione e investigazione direati terroristici e di altri reati gravi (COM(2005) 600 defin. del 24 novembre2005. Il GEPD intende emettere un parere sulla proposta all'inizio del 2006.

(12) Il GEPD rinvia allo stessoragionamento della Corte nella (tra l'altro) sentenza pronunciata nella causaÖsterreichischer Rundfunk e altri, Cause riunite C-465/00, C-138/01 e C-139/01,Racc. [2003], pag. I- 4989.

(13) Si veda, nello stesso senso, il punto33 del parere del GEPD del 26 settembre 2005 sulla proposta di direttiva delParlamento europeo e del Consiglio riguardante la conservazione di datitrattati nell'ambito della fornitura di servizi pubblici di comunicazioneelettronica e che modifica la direttiva 2002/58/CE, punto 33.

(14) Sentenza della Corte del 16 giugno2005, Pupino, causa C-105/03.

(15) La disposizione potrebbe esseresimile a quella dell'articolo 46 del regolamento 45/2001/CE.

(16) Il sistema di informazione doganale èun sistema limitato ma piuttosto complesso che consta di elementi nazionali esovranazionali e che è comparabile al sistema di informazione Schengen. Datel'importanza relativamente limitata della presente proposta per il sistema diinformazione doganale e la complessità del sistema stesso, quest'ultimo nonsarà oggetto di questo parere. Il GEPD se ne occuperà in un altro contesto.

(17) Inoltre ciò non sarebbe conforme allaraccomandazione n. R(87)15 del Comitato dei Ministri del Consiglio d'Europaagli Stati membri tesa a regolamentare l'utilizzo dei dati a caratterepersonale nel settore della polizia. In particolare il principio 7.2 prevedeche vengano istituiti «controlli regolari» della qualità dei dati personalid'accordo con l'autorità di controllo o in conformità del diritto nazionale.

(18) Si veda, per maggiori dettagli, ilpunto 94 del presente parere.

(19) La decisione 2005/876/GAI delConsiglio relativa allo scambio di informazioni estratte dal casellariogiudiziario è entrata in vigore il 9 dicembre. La decisione completa e agevolail funzionamento dei meccanismi esistenti per la trasmissione delleinformazioni relative alle condanne basati sulle convenzioni in vigore, sustrumenti quali la Convenzione europea di assistenza giudiziaria in materiapenale del 1959, e sulla Convenzione relativa all'assistenza giudiziaria inmateria penale tra gli Stati membri dell'Unione europea del 2000. Tale testosarà in seguito sostituito da una decisione quadro del Consiglio più precisa.La Commissione sta pensando di proporre una nuova decisione quadro nel settore.

(20) Oltre alla disposizione generalerelativa ai limiti di tempo per la memorizzazione dei dati personali, di cuiall'articolo 7, la proposta prevede altre disposizioni specifiche concernenti idati personali scambiati con altri Stati membri. In particolare l'articolo 9,paragrafo 7 prevede che i dati personali siano cancellati:

1. quando non avrebbero dovuto esseretrasmessi, resi disponibili o ricevuti;

2. dopo un limite di tempo comunicatodall'autorità che trasmette, a meno che i dati personali non servanoulteriormente per un procedimento giudiziario;

3. se non sono o non sono più necessariper il fine per cui erano stati trasmessi.

(21) Si potrebbe prendere in considerazioneuna limitazione riguardante la lotta contro il terrorismo e/o gli specificiinteressi pubblici di cui all'articolo 4, paragrafo 1, lettera e): motivistorici, statistici o scientifici.

(22) Si veda, ad esempio, la recentecomunicazione della Commissione sulla strategia relativa alla dimensioneesterna dello spazio di libertà, sicurezza e giustizia (COM(2005 491 defin.).

(23) Il protocollo addizionale allaConvenzione sulla protezione delle persone rispetto al trattamentoautomatizzato dei dati a carattere personale, concernente le autorità dicontrollo ed i flussi transfrontalieri è stato firmato l'8 novembre 2001 ed èentrato in vigore il 1o luglio 2004. Questo strumento giuridico internazionalevincolante è stato finora firmato da 11 Stati (9 dei quali membri dell'UE).L'articolo 2, paragrafo 1 del protocollo sancisce il principio generale secondocui ciascuna Parte prevede che il trasferimento di dati personali verso undestinatario soggetto alla giurisdizione di uno Stato o di un organismo che nonè Parte della Convenzione può essere effettuato solo se detto Stato o dettoorganismo assicura un livello di protezione adeguato per il trasferimento didati in questione.

(24) Ad esempio la Convenzione dell'ONUcontro la tortura ed altre pene o trattamenti crudeli, disumani o degradanti,firmata da tutti gli Stati membri dell'UE ed entrata in vigore il 26 giugno1987. In particolare l'articolo 15 stabilisce che «Ogni Stato parte vigilaaffinché ogni dichiarazione di cui si sia stabilito che è stata ottenuta con latortura, non possa essere invocata come elemento di prova in un procedimento,se non contro la persona accusata di tortura, al fine di determinare che unadichiarazione è stata resa».

(25) Documento di sintesisull'applicazione della legge e lo scambio di informazioni nell'UE, adottato nella conferenza di primaveradelle autorità europee incaricate della protezione dei dati, Cracovia, 25-26aprile

(26) Cfr. il programma legislativo e dilavoro della Commissione per il 2006 (COM(2005) 531 defin.).

(27) Ad esempio, una bolletta telefonicasarà affidabile per scopi commerciali fintantochè indicherà correttamente lechiamate effettuate; tuttavia, la stessa bolletta telefonica potrebbe nonessere pienamente affidabile per le autorità incaricate dell'applicazione dellalegge come prova conclusiva che qualcuno abbia effettuato una determinatachiamata.

(28) Secondo i considerando delladirettiva «Le questioni relative all'accesso ai dati conservati ai sensi dellapresente direttiva da parte di autorità pubbliche nazionali per attività di cuial primo trattino dell'articolo 3, paragrafo 2, della direttiva 95/46/CE,ricadono al di fuori del campo di applicazione del diritto comunitario. Essetuttavia possono formare oggetto di legislazione nazionale o di azione ai sensidel titolo VI del trattato sull'Unione europea, considerando sempre che talilegislazioni o azioni devono rispettare pienamente i diritti fondamentali cherisultano dalle tradizioni costituzionali comuni degli Stati membri e che sonogarantiti dalla CEDU. L'articolo 8 della CEDU, nell'interpretazione della Corteeuropea dei diritti dell'uomo…»

(29) In particolare, il Capitolo IVriguarda il diritto di informazione (Articoli 19 e 20) e il diritto di accesso,rettifica, cancellazione o congelamento dei dati (Articolo 21). In generale,questi articoli attribuiscono alle persone interessate tutti i diritti di normagarantiti dalla normativa UE in materia di protezione dei dati, fissando nelcontempo una serie di eccezioni intese a tener conto delle particolarità delterzo pilastro. In particolare, le limitazioni dei diritti della personainteressata sono permesse da disposizioni quasi identiche fissate inriferimento sia al diritto di informazione (Articolo 19, punto 2 e articolo 20,paragrafo 2) che al diritto di accesso (Articolo 21, paragrafo 2).

(30) Cfr. al riguardo il parere del GEPDsulla proposta di regolamento del Parlamento europeo e del Consiglioconcernente il sistema di informazione visti (VIS) e lo scambio di dati traStati membri sui visti per soggiorni di breve durata, COM(2004) 835 definitivo,pubblicato su www.edps.eu.int

(31) Ciò è in linea con le disposizionidell'articolo 18 della proposta, in base alle quali l'autorità che trasmette idati è informata, quando lo richieda, sull'ulteriore trattamento dei datipersonali trasmessi o resi disponibili, e dell'articolo 24, relativo allemisure di sicurezza, anche alla luce del proposto autocontrollo sistematico ditali misure.