GEPD: Parere sulla proposta modificata di regolamento del Consiglio recante modifica del regolamento (CE, Euratom) n. 1605/2002, che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee (COM(2006) 213 defin.) e sulla proposta di regolamento (CE, Euratom) della Commissione che modifica il regolamento (CE, Euratom) n. 2342/2002 recante modalità d'esecuzione del regolamento (CE, Euratom) n. 1605/2002 del Consiglio, che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee (SEC(2006) 866 defin.)

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del garante europeo della protezione dei dati: sulla proposta modificata di regolamento del Consiglio recante modifica del regolamento (CE, Euratom) n. 1605/2002, che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee (COM(2006) 213 defin.) e sulla proposta di regolamento (CE, Euratom) della Commissione che modifica il regolamento (CE, Euratom) n. 2342/2002 recante modalità d'esecuzione del regolamento (CE, Euratom) n. 1605/2002 del Consiglio, che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee (SEC(2006) 866 defin.)

(Pubblicato sulla GUUE n. C 94 del 28.4.2007)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽²⁾, in particolare l'articolo 41,

viste le richieste di parere a norma dell'articolo 28 del regolamento (CE) n. 45/2001 trasmesse dalla Commissione il 18 maggio 2006 (per quanto riguarda la proposta modificata di regolamento finanziario) e il 4 luglio 2006 (per quanto concerne la proposta sulle modalità di esecuzione);

HA ADOTTATO IL SEGUENTE PARERE

I. INTRODUZIONE

1. Il regolamento (CE, Euratom) n. 1605/2002 del Consiglio del 25 giugno 2002 che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee ⁽³⁾ (in appresso «RF») getta le basi giuridiche della riforma della gestione finanziaria. Nel dicembre 2002, previa un'ampia consultazione delle istituzioni, la Commissione ha adottato le modalità d'esecuzione del RF (in appresso «ME»). Entrambi i regolamenti, che si applicano a tutte le istituzioni, sono entrati in vigore il 1^o gennaio 2003.

2. La proposta modificata di regolamento del Consiglio recante modifica del regolamento (CE, Euratom) n. 1605/2002, che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee ⁽⁴⁾ (in appresso «proposta di RF») adottata nel 2006 viene presentata per ottemperare all'articolo 184 del RF, il quale prevede che il regolamento finanziario è soggetto a riesame ogni tre anni, oppure ogni volta che si riveli necessario. L'obiettivo principale della proposta di RF è migliorare l'efficacia e la trasparenza delle norme, mediante un migliore equilibrio tra il costo dei controlli ed i rischi finanziari inerenti, preservando al tempo stesso un alto grado di salvaguardia dei fondi comunitari. La proposta modificata del RF è stata approvata mediante concertazione tra il Parlamento europeo e il Consiglio alla fine di novembre 2006. Il presente parere tiene conto di tale testo ⁽⁵⁾.

3. Per accelerare il processo legislativo, la Commissione ha preso l'iniziativa di presentare una proposta di regolamento (CE, Euratom) della Commissione che modifica il regolamento (CE, Euratom) n. 2342/2002 recante modalità d'esecuzione del regolamento (CE, Euratom) n. 1605/2002 del Consiglio, che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee ⁽⁶⁾ (in appresso «proposta di ME»). Il GEPD viene consultato nel quadro di tali due proposte.

4. Il GEPD ritiene importante un'analisi delle proposte in quanto esse incideranno sul modo in cui vengono trattati alcuni dati personali delle persone fisiche relativi ad attività finanziarie. Uno dei punti principali delle proposte è la creazione e gestione da parte della Commissione di una base di dati centrale, comune a tutte le istituzioni ed organismi, di candidati e offerenti che si trovano in situazioni specifiche di esclusione in caso di frode e consentono lo scambio delle informazioni contenute nella base di dati con autorità a vari livelli. Il GEPD sottolinea che la prevista base di dati centrale, che includerebbe candidati e offerenti che si sono trovati in una delle situazioni di cui agli articoli 93, 94, 96, paragrafo 1, lettera b) e paragrafo 2, lettera a) del regolamento finanziario, esisteva già prima della modifica di quest'ultimo ⁽⁷⁾. L'attuale base di dati conta su una serie di allarmi di differenti livelli (1, 2, 3, 4, 5a e 5b) a seconda del loro impatto sui candidati ed offerenti. Tuttavia l'attuale base di dati, sviluppata a livello istituzionale dalla Commissione, ha una portata più ampia di quella prevista nella proposta di regolamento finanziario, (che contempla solo allarmi di livello 5). Tale base di dati centrale e altri aspetti della proposta richiedono un'attenta analisi dal punto di vista della protezione dei dati.

Consultazione con il GEPD

5. Le proposte di RF e di ME sono state trasmesse dalla Commissione al GEPD per un parere, ai sensi dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001 del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (in appresso «regolamento n. 45/2001»). Tenuto conto del carattere obbligatorio dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001, il GEPD si compiace del riferimento esplicito a questa consultazione nel preambolo delle proposte.

II. ANALISI DELLE PROPOSTE

6. La Commissione, responsabile dell'esecuzione del bilancio generale dell'Unione europea nonché di ogni altro fondo gestito dalle Comunità, ha l'obbligo di combattere la frode e le altre attività illegali che ledono gli interessi finanziari delle Comunità. Le proposte di RF e di ME stabiliscono nuovi obblighi per la Commissione in materia di attribuzione di appalti e di concessione e di sovvenzioni a terzi nel contesto della gestione dei fondi comunitari. Tenendo conto del fatto che le proposte stabiliscono norme da rispettare per assicurare la tutela degli interessi finanziari delle Comunità, è essenziale che nel far ciò siano garantiti adeguatamente i diritti alla protezione dei dati e alla vita privata delle persone interessate quando vengono trattati dati personali.

II.1. Trasparenza

7. Il GEPD riconosce che le proposte promuovono importanti principi connessi alla sana gestione finanziaria, rafforzandoli o introducendone di nuovi. Ad esempio, il GEPD osserva che il considerando 1 della proposta di RF prevede che «in particolare si deve rafforzare la trasparenza fornendo informazioni in merito ai beneficiari dei finanziamenti comunitari ». Questo principio è sviluppato nell'articolo 30, paragrafo 3, e nell'articolo 53 del RF. 8. Tali disposizioni, che riguardano il principio della trasparenza, introducono la pubblicazione dei beneficiari di fondi provenienti dal bilancio. Il GEPD è favorevole all'inclusione di questo principio, nel dovuto rispetto della direttiva 95/46/CE e del regolamento n. 45/2001, ma desidera sottolineare che si dovrebbe rispettare un approccio proattivo ai diritti delle persone cui si riferiscono i dati ⁽⁸⁾, in quanto saranno divulgati dati personali. Tale approccio proattivo potrebbe consistere nell'informare preventivamente le persone interessate, nel momento in cui sono raccolti i dati personali, del fatto che tali dati potrebbero essere resi pubblici, e nel garantire che vengano rispettati il diritto di accesso e il diritto di opposizione delle persone cui si riferiscono i dati. Tale principio dovrebbe applicarsi anche alla pubblicazione a posteriori dei beneficiari (articolo 169 delle modalità di esecuzione).

II.2. Base di dati centrale del sistema di allarme rapido

9. L'articolo 95 della proposta di RF stabilisce che la Commissione crea e gestisce una base di dati centrale, in conformità della normativa comunitaria riguardante il trattamento dei dati personali, che contiene le informazioni pertinenti sui candidati e offerenti che si trovano in una delle situazioni di cui agli articoli 93, 94 ⁽⁹⁾, 96, paragrafo 1, lettera b) e paragrafo 2, lettera a). Come menzionato nell'introduzione, questa nuova versione dell'articolo 95, che sottolinea il ruolo guida della Commissione, non modifica nella sostanza la pratica esistente utilizzata sinora (l'articolo 95 del RF stabilisce che ogni istituzione ha la propria base di dati centrale). Infatti, attualmente le istituzioni ⁽¹⁰⁾ non hanno una base di dati separata ma utilizzano la base di dati informatica della Commissione europea e scambiano informazioni con quest'ultima ⁽¹¹⁾. Tale base di dati è gestita conformemente alla procedura prevista nella decisione della Commissione relativa al sistema di allarme rapido ⁽¹²⁾. La Commissione centralizza tutte le informazioni pertinenti e svolge il ruolo di punto di snodo centrale tra tutte le istituzioni che partecipano al sistema.

10. L'articolo 95 della proposta di RF stabilisce inoltre che la base di dati è comune alle istituzioni, alle agenzie esecutive e agli organismi di cui all'articolo 185 del RF. Nella versione concordata del regolamento finanziario, l'articolo 95 stabilisce inoltre che le autorità degli Stati membri e dei paesi terzi, nonché gli organismi che partecipano all'esecuzione del bilancio, comunicano all'ordinatore competente le informazioni sui candidati e offerenti che si trovano in una delle situazioni di cui all'articolo 93, paragrafo 1, lettera e) (vale a dire una sentenza passata in giudicato). Tali informazioni sono comunicate se la condotta dell'operatore in questione ha danneggiato gli interessi finanziari delle Comunità (articolo 95, paragrafo 2). Le conseguenze connesse al coinvolgimento di tali attori saranno analizzate in appresso.

11. Il GEPD concorda sul principio di una base di dati centrale dei candidati e offerenti che si sono trovati in una delle situazioni di cui agli articoli 93, 94, 96, paragrafo 1, lettera b) e paragrafo 2, lettera a) alla luce delle finalità del trattamento dei dati previste dal RF. Tali finalità sono potenziare l'efficacia, migliorare la tutela degli interessi finanziari delle Comunità e assicurare la circolazione di informazioni riservate concernenti terzi.

12. Tuttavia, benché al giorno d'oggi le basi di dati centrali e i sistemi su vasta scala stiano diventando di uso più comune, il GEPD ritiene che, in ciascun caso, la necessità di tale basi di dati debba essere adeguatamente ed attentamente valutata e che, quando tale base di dati viene istituita, occorra attuare garanzie specifiche alla luce dei principi di protezione dei dati. La ragione intrinseca è evitare qualsiasi sviluppo che pregiudichi indebitamente la protezione dei dati personali. Il GEPD ritiene che qualsiasi proposta che preveda la creazione di un deposito centrale di dati personali debba rispettare il quadro normativo europeo in materia di protezione dei dati ed attuarlo concretamente.

Ad esempio, gli articoli 4 (qualità dei dati), 5 (liceità del trattamento) e 10 (trattamento di categorie particolari di dati) del regolamento 45/2001 sono particolarmente rilevanti per il trattamento dei dati personali da parte delle istituzioni europee.

13. Inoltre, il GEPD sottolinea che i dati personali dovrebbero essere raccolti per finalità legittime (articolo 4, paragrafo 1, lettera b) del regolamento n. 45/2001). In tale contesto, il GEPD ritiene che, pur rientrando nei legittimi interessi delle istituzioni e degli organismi creare il sistema al fine di preservare gli interessi finanziari e la reputazione delle Comunità, l'introduzione di un allarme contro una persona possa avere gravi effetti negativi per l'interessato e per tale ragione debbano essere istituite garanzie specifiche al fine di tutelare i legittimi interessi della persona cui si riferiscono i dati. Tali garanzie vengono approfondite nei punti seguenti.

II.2.a. Persone cui si riferiscono i dati

14. La base di dati del sistema d'allarme rapido si fonda «sullo schedario delle entità giuridiche» (in appresso SEG), convalidato a livello centrale, ed utilizza i dati in esso contenuti. Il SEG è una base di dati generale che contempla persone giuridiche o persone fisiche che in qualsiasi momento abbiano (abbiano avuto) transazioni contrattuali e/o finanziarie con i servizi della Commissione: fornitori di servizi, personale, esperti, beneficiari di sovvenzioni. L'articolo 95 della proposta di RF fa riferimento esclusivamente ai candidati e offerenti e non si applica a membri del personale in quanto questi non possono essere anche candidati e offerenti. A tale riguardo, il GEPD suggerisce di chiarire la definizione di candidati e offerenti nella proposta di ME, al fine di evitare confusioni tra le entità contemplate.

15. Inoltre, il GEPD suggerisce che la proposta di ME, all'articolo 134 bis, chiarisca le categorie di entità interessate dalla base di dati. L'articolo 134 bis riguarda i terzi, definiti anche chiamati entità giuridiche nel SEG, che sono persone fisiche o giuridiche. Inoltre, la proposta prevede una terza categoria nel senso che le informazioni possono anche riguardare persone fisiche aventi poteri di rappresentanza, di decisione o di controllo nei confronti delle persone giuridiche interessate. Pertanto, in quest'ultimo caso, le persone fisiche si trovano nel sistema nella misura in cui hanno poteri di rappresentanza. Nella pratica attuale, esse vengono incluse nella base di dati quale nuovo inserimento autonomo. I collegamenti e le differenze tra le persone giuridiche e le persone fisiche aventi poteri di rappresentanza, di decisione o di controllo nei confronti delle persone giuridiche interessate dovrebbero beneficiare di un chiarimento.

II.2.b. Aggiornamento delle informazioni registrate nella base di dati

16. Il principio della qualità dei dati (articolo 4 del regolamento 45/2001) prevede che i dati siano adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono raccolti ⁽¹³⁾. È evidente che la qualità dei dati personali può essere garantita solo verificandone regolarmente e adeguatamente l'esattezza. La procedura attualmente prevista dall'articolo 134 bis, paragrafo 2 della proposta di ME stabilisce che la Commissione fornisce, mediante un protocollo sicuro e con regolarità, dati convalidati contenuti nella base di dati alle persone designate di cui al paragrafo 1 dello stesso articolo. Il calendario proposto è poco chiaro. Il GEPD è consapevole che si stanno studiando alternative, le quali comportano la fornitura permanente dei dati. Tuttavia, ciò non sarebbe sufficiente. Infatti, secondo il GEPD, l'aggiornamento della base di dati centrale deve essere frequente e la frequenza deve essere strutturata e rispettare un calendario preciso (trasferimenti mensili o settimanali contribuirebbero ad assicurare l'esattezza e il tempestivo aggiornamento dei dati).

II.2.c. Gestione e sicurezza

17. La base di dati centrale deve essere adeguatamente protetta. La gestione ed il mantenimento di un livello ottimale di sicurezza per la base di dati centrale rappresentano un presupposto essenziale per assicurare un'adeguata protezione dei dati personali memorizzati nella base di dati e il relativo aggiornamento. Per ottenere questo livello soddisfacente di protezione, vanno implementate opportune garanzie per gestire i rischi potenziali connessi con l'infrastruttura del sistema e con le persone interessate.

18. A tale riguardo, il GEPD ritiene che occorra instaurare un sistema coerente per la selezione degli ordinatori, al fine di consentire l'adeguata protezione delle informazioni memorizzate nella base di dati centrale e salvaguardarne l'integrità. Benché l'articolo 134 bis preveda la selezione e definizione dei compiti dell'ordinatore competente a chiedere l'inserimento nella base di dati e a ricevere i dati convalidati contenuti nella base di dati, tale procedura è prevista solo per le istituzioni, agenzie esecutive od organismi di cui all'articolo 185 del RF ed attuata per la Commissione nella decisione della Commissione sul sistema d'allarme rapido. Non è prevista alcuna norma specifica per quanto riguarda la situazione degli Stati membri, dei paesi terzi o delle organizzazioni internazionali. Tale stato di cose potrebbe creare un'incoerenza nella protezione dei dati cui si accede.

19. Il GEPD consiglia di inserire in norme amministrative complementari disposizioni relative al modo in cui viene accordato l'accesso ai dati alle autorità e agli organismi degli Stati membri, dei paesi terzi e delle organizzazioni internazionali nonché riguardo alla quantità di dati cui si può accedere.

Infatti, il GEPD ritiene importante non solo garantire la sicurezza delle informazioni memorizzate nella base di dati ma anche che le informazioni vengano trasmesse alle autorità pertinenti ed autorizzate e, in seno a queste ultime, esclusivamente ai funzionari competenti.

II.2.d. Scambio di dati

20. Il GEPD prende atto della creazione di un unico punto di accesso centrale alla base di dati, che è coordinato dalla Commissione. Inoltre, la proposta di RF estende l'attuale campo di applicazione del sistema di allarme rapido in quanto prevede l'accesso per un maggior numero di autorità ed organismi rispetto alla precedente versione. Pertanto, la proposta di RF prevede diverse situazioni per quanto riguarda l'accesso alle informazioni. Le situazioni riguardano autorità ed organismi differenti e devono essere analizzate separatamente. Dal punto di vista della protezione dei dati, il GEPD osserva che tale diritto di accesso alla base di dati, accordato a differenti organismi, comporta un trasferimento di dati a ciascuno degli organismi interessati, nonostante il fatto che i dati siano memorizzati dalla Commissione. Pertanto, l'analisi deve essere svolta alla luce degli articoli 7, 8 e 9 del regolamento n. 45/2001, che riguardano il trasferimento di dati.

21. La proposta di RF opera una distinzione tra due casi di trasferimento di dati. Il primo riguarda il trasferimento di dati fra istituzioni e organismi comunitari o al loro interno. Il secondo riguarda il diritto di accesso degli Stati membri e dei paesi terzi o delle organizzazioni internazionali. Ai fini del presente parere, il GEPD svolge un'analisi separata della situazione degli Stati membri e di quella dei paesi terzi o delle organizzazioni internazionali, in quanto essi sono contemplati separatamente dal regolamento n. 45/2001.

22. La prima situazione è disciplinata dall'articolo 95, paragrafo 1 della proposta di RF, il quale stabilisce che la base di dati creata e gestita dalla Commissione è comune alle istituzioni, alle agenzie esecutive e agli organismi di cui all'articolo 185 del RF. Il GEPD sottolinea che, quando è previsto un trasferimento di dati personali fra istituzioni e organismi comunitari o al loro interno, si applica l'articolo 7 del regolamento n. 45/2001. Pertanto, il GEPD ricorda che nel procedere al trattamento dei dati personali il destinatario persegue unicamente le finalità per cui questi gli sono stati trasmessi.

23. L'accesso da parte degli Stati membri, dei paesi terzi e delle organizzazioni internazionali è disciplinato dal secondo comma dell'articolo 95, paragrafo 2 della proposta di RF.

Essi hanno accesso alle informazioni contenute nella base di dati e ne tengono conto, come opportuno e sotto la propria responsabilità, per l'aggiudicazione di appalti associati all'esecuzione del bilancio. Pertanto, la proposta prevede l'accesso automatico alla base di dati nel quadro dell'aggiudicazione di appalti associati all'esecuzione del bilancio.

24. Il GEPD sottolinea che quando gli Stati membri sono destinatari dei dati in questione è d'applicazione l'articolo 8 del regolamento n. 45/2001. Tale articolo riguarda il trasferimento dei dati personali a destinatari diversi da istituzioni e da organismi comunitari e soggetti alla direttiva 95/46/CE. In questo caso, è probabile che l'articolo 8, lettera a) sia rispettato, considerando che la «necessità» dei dati per l'espletamento di compiti da parte del destinatario è collegata al modo scelto dalla Commissione per eseguire il bilancio. Inoltre, tutti questi organismi agiscono conformemente alla legislazione nazionale di recepimento della direttiva 95/46/CE e ai fini dell'esecuzione del bilancio europeo.

25. Per quanto riguarda i paesi terzi e le organizzazioni internazionali, è d'applicazione l'articolo 9 del regolamento n. 45/2001 ⁽¹⁴⁾. L'articolo 9, paragrafo 1, vieta il trasferimento di dati personali a destinatari che non siano le istituzioni e gli organismi comunitari né siano soggetti alla normativa nazionale adottata in attuazione della direttiva 95/46/CE, a meno che nel paese del destinatario o all'interno dell'organizzazione internazionale destinataria sia assicurato un livello adeguato di protezione e il trasferimento dei dati avvenga strettamente nell'ambito dei compiti che rientrano nelle competenze del responsabile del trattamento. Il regolamento n. 45/2001 consente deroghe, che riguardano l'aggiudicazione di appalti associati all'esecuzione del bilancio.

Tuttavia, il GEPD sottolinea che tali eccezioni devono essere interpretate in senso restrittivo. È preferibile prevedere garanzie adeguate nel caso di trasferimenti strutturali. Nel contesto del trasferimento dalla base di dati centrale, i trasferimenti sono strutturali e pertanto occorrerebbe stabilire nelle modalità di esecuzione la necessità di garanzie, quali clausole contrattuali nelle convenzioni di sovvenzione dei fondi dell'UE.

26. Inoltre, ai paesi terzi non vengono forniti solo dati dalla base di dati centrale, conformemente all'articolo 95 del RF.

L'articolo 134 bis delle ME prevede anche il ricevimento di dati da paesi terzi ed organizzazioni internazionali, e in tal senso essi certificano alla Commissione che le informazioni sono state compilate e trasmesse in conformità alle norme in materia di protezione dei dati a carattere personale. In tale contesto il GEPD sottolinea l'importanza del principio della qualità dei dati quando questi sono oggetto di trasferimenti internazionali. Occorre assicurare che vengano rispettate le disposizioni del regolamento n. 45/2001 relative all'esattezza e all'aggiornamento dei dati che vengono forniti alla Commissione e registrati nella base di dati.

Pertanto, quando sono concluse convenzioni di finanziamento, sarà importante definire i dati interessati e le garanzie annesse alla loro qualità. La necessità di tali garanzie dovrebbe essere prevista anche nelle modalità di esecuzione.

II.2.e. Diritti dei candidati e offerenti

27. I candidati e offerenti registrati nella base di dati centrale godono di garanzie relative alla gestione dei loro dati personali nella base di dati centrale. Tali garanzie dovrebbero riguardare segnatamente i diritti dell'interessato ad essere informato e ad aver accesso ai dati che lo riguardano.

28. Il diritto di informazione è contemplato dall'articolo 134 bis, paragrafo 1, terzo comma della proposta di ME.

Tuttavia, il GEPD ritiene che la formulazione di tale comma debba essere riveduta ed interpretata come segue: «Le istituzioni, le agenzie esecutive, le autorità e gli organismi di cui all'articolo 95, paragrafi 1 e 2 del regolamento finanziario certificano alla Commissione che le informazioni sono state compilate e trasmesse in conformità alle norme in materia di protezione dei dati a carattere personale e che il terzo interessato è stato informato della comunicazione delle informazioni». Il GEPD sottolinea che il regolamento n. 45/ 2001 è applicabile alle istituzioni, alle agenzie esecutive e agli organismi ma che negli Stati membri saranno applicabili le legislazioni nazionali che attuano la direttiva 95/46/CE. Tuttavia, a livello nazionale possono sorgere problemi quando un paese terzo non garantisce ai propri cittadini il diritto ad essere informati. Il GEPD ritiene che la Commissione debba assicurare un meccanismo che consenta a qualsiasi candidato o offerente di essere a conoscenza della propria inclusione nella base di dati centrale.

29. Inoltre, il GEPD concorda su un approccio proattivo al diritto all'informazione ⁽¹⁵⁾. Nel caso del controllo preventivo relativo all'attuazione del sistema di allarme rapido della Corte di giustizia ⁽¹⁶⁾, il GEPD approva che tutti i terzi siano informati preventivamente del fatto che i loro dati personali possono essere utilizzati dalla Corte non solo per scopi interni relativi al processo di aggiudicazione, ma che possono anche essere comunicati ad altre istituzioni nel contesto degli articoli 93 e 94 del RF allo scopo di essere inclusi nella base di dati della Commissione prevista dall'articolo 95 del RF. In tali casi, se sono inclusi nella base di dati della Commissione, i terzi sono già stati informati della possibilità di essere esclusi dalla partecipazione ad un processo di aggiudicazione o dalla concessione di un appalto. Nella stessa prospettiva, il GEPD riconosce inoltre gli sforzi compiuti per prevedere diritti all'informazione supplementari. Ad esempio, il considerando 36 della proposta di RF concerne il diritto all'informazione degli offerenti non selezionati dopo l'aggiudicazione di un contratto. Come già sottolineato nel presente parere, il GEPD suggerisce che tale procedura venga seguita in tutte le istituzioni, autorità e organismi interessati e che venga disposta nella proposta di ME.

30. L'articolo 13 del regolamento (CE) n. 45/2001 stabilisce il diritto di accesso dell'interessato alle informazioni trattate dai responsabili del trattamento dei dati. Pertanto, al fine di dare attuazione a tale diritto, si dovrebbe stabilire nelle modalità di esecuzione che qualsiasi terzo inserito nella base di dati ha un diritto di accesso ai dati che lo riguardano e che tale diritto non dovrebbe essere limitato per ragioni diverse da quelle indicate nell'articolo 20 del regolamento n. 45/2001. Inoltre, il diritto di accesso è strettamente collegato all'approccio proattivo summenzionato nel senso che il fatto di non essere consapevole dell'inclusione nella base di dati comporta in particolare che gli interessati non saranno in grado di esercitare il loro diritto di accesso.

II.2.f. Necessità del controllo preventivo

31. Ai sensi dell'articolo 27, paragrafo 2, lettera b) del regolamento (CE) n. 45/2001, i trattamenti destinati a valutare aspetti della personalità degli interessati, inclusi aspetti quali capacità, efficienza e comportamento, possono presentare rischi specifici per i diritti degli interessati. Ciò è d'applicazione anche quando i trattamenti dei dati sono volti ad escludere taluno dal beneficio di un diritto, di una prestazione o della conclusione di un contratto (articolo 27, paragrafo 2, lettera d).

32. Alla data di adozione del presente parere, la Commissione europea e la Corte di giustizia delle Comunità europee hanno trasmesso una notificazione al GEPD affinché effettui il controllo preventivo del sistema di allarme rapido basato sulla versione attuale del RF. Poiché la nuova versione del RF introduce modifiche nella gestione della base di dati per quanto riguarda la creazione e il funzionamento di una base di dati comune a cui gli Stati membri, i paesi terzi e le organizzazioni internazionali avranno accesso e alla quale trasmetteranno i dati, il GEPD ritiene che si tratti di una modifica sostanziale che rientra nell'ambito dell'articolo 27 del regolamento (CE) n. 45/2001. Pertanto, quando la Commissione adotterà le misure volte ad attuare il nuovo quadro giuridico, il GEPD effettuerà un controllo preventivo del sistema.

III. TERMINI PER LA CONSERVAZIONE E CONTROLLO DI BILANCIO

33. Il GEPD desidera cogliere questa opportunità per evidenziare una disposizione che ha trattato in precedenti casi di controllo preventivo relativi a questioni di bilancio, anche se le attuali modifiche che fanno parte delle proposte non la contemplano.

Quadro esistente

34. L'articolo 49 delle attuali ME, relativo alla conservazione dei documenti giustificativi da parte degli ordinatori, dispone che «i sistemi e procedure di gestione riguardanti la conservazione dei documenti giustificativi originali prevedono quanto segue: (...) d) la conservazione di questi documenti per un periodo di almeno cinque anni dalla data di concessione del discarico da parte del Parlamento europeo per l'esercizio finanziario al quale i documenti si riferiscono. I documenti relativi ad operazioni non definitivamente chiuse sono conservati oltre il termine di cui al primo comma, lettera d), e fino alla fine dell'anno che segue quello della chiusura di dette operazioni»..

35. Il principio relativo alla conservazione dei documenti giustificativi stabilito dalle ME prevede pertanto un eventuale periodo massimo di conservazione di sette anni, ai fini dello scarico di bilancio dei conti delle istituzioni e degli organismi europei.

36. I documenti giustificativi conservati dagli ordinatori possono contenere dati personali e in tal senso sono d'applicazione anche i principi sulla conservazione dei dati personali stabiliti dal regolamento (CE) n. 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.

37. Quale principio generale, l'articolo 4, paragrafo 1, lettera c) del regolamento n. 45/2001 prevede che i dati personali debbano essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono raccolti o successivamente trattati. L'articolo 4, paragrafo 1, lettera e) dello stesso regolamento prevede inoltre che i dati personali possano essere conservati in modo da consentire l'identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti o successivamente trattati.

38. L'articolo 37 del regolamento prevede norme specifiche per quanto concerne la conservazione dei dati relativi al traffico delle comunicazioni e alla fatturazione nel contesto delle reti interne di telecomunicazioni. Tali reti sono definite all'articolo 34 come «reti o terminali di telecomunicazione che funzionano sotto il controllo di un'istituzione o di un organismo comunitario». L'articolo si applica pertanto ai dati relativi al traffico delle comunicazioni e alla fatturazione raccolti dalle reti interne delle istituzioni od organismi comunitari.

39. Ai sensi dell'articolo 37, paragrafo 1, i dati sul traffico delle comunicazioni, che sono trattati e conservati per stabilire le chiamate ed altri collegamenti sulla rete di telecomunicazioni, sono cancellati o resi anonimi contestualmente alla cessazione della chiamata o di altro collegamento. Il principio è pertanto quello di cancellare i dati appena non sono più necessari per lo stabilimento della chiamata o del collegamento.

40. Tuttavia l'articolo 37, paragrafo 2 prevede che i dati relativi al traffico delle comunicazioni ⁽¹⁷⁾, indicati in un elenco approvato dal GEPD, possano essere sottoposti a trattamento a fini di gestione del bilancio e del traffico, nonché di verifica dell'utilizzazione autorizzata del sistema di telecomunicazioni.

Essi devono essere cancellati o resi anonimi non appena possibile e in ogni caso non oltre sei mesi dalla loro raccolta, a meno che la loro ulteriore conservazione non sia necessaria all'accertamento, all'esercizio o alla difesa di un diritto, in una causa pendente in sede giudiziaria. Se il periodo di sei mesi scade senza che venga istituito un procedimento, i dati relativi al traffico delle comunicazioni devono essere cancellati o resi anonimi. Se entro tale periodo è stato avviato un procedimento, quest'ultimo interromperà il periodo di prescrizione sino alla fine del procedimento stesso ed oltre, sino al termine del periodo di prescrizione previsto per qualsiasi ricorso o sino alla conclusione del procedimento d'appello, a seconda dei casi. La conservazione dei dati relativi al traffico delle comunicazioni e alla fatturazione al di là di tale periodo di sei mesi può essere giustificata solo ai sensi dell'articolo 20.

41. L'articolo 20 del regolamento (CE) n. 45/2001 prevede la possibilità di applicare deroghe e limitazioni alla cancellazione immediata dei dati relativi al traffico delle comunicazioni prevista dall'articolo 37, paragrafo 1, in taluni casi circoscritti elencati nell'articolo. In particolare, i dati possono essere conservati se e in quanto necessario per salvaguardare: le attività volte a prevenire, indagare, accertare e perseguire reati; importanti interessi economici o finanziari di uno Stato membro o dell'Unione europea, anche in campo monetario, fiscale e di bilancio; la tutela dell'interessato o dei diritti e delle libertà altrui. L'articolo 20, quale eccezione ai principi della protezione dei dati previsti dal regolamento, deve essere interpretato in modo restrittivo e si applica solo caso per caso. Inoltre, l'articolo 20 prevede eccezioni esclusivamente alla cancellazione immediata dei dati sul traffico delle comunicazioni prevista dall'articolo 37, paragrafo 1, e non alla limitazione di sei mesi prevista dall'articolo 37, paragrafo 2. Pertanto, l'articolo 20 non può servire a giustificare la conservazione dei dati sul traffico delle comunicazioni oltre sei mesi a fini generali di revisione contabile conformemente all'articolo 49 delle ME.

Necessità di riesame

42. Il GEPD raccomanda pertanto che le disposizioni delle ME in materia di conservazione dei documenti giustificativi vengano riesaminate al fine di garantire il rispetto dei principi che disciplinano la protezione dei dati personali.

43. Al fine di assicurare il rispetto di tali principi, devono essere esaminate le informazioni contenute nei documenti giustificativi.

Infatti i documenti giustificativi contengono diversi livelli di informazione: informazioni generali relative allo scarico di bilancio, ivi compresa un'eventuale revisione contabile, e informazioni particolareggiate che in quanto tali non sono necessarie per il controllo di bilancio.

44. Il principio generale dovrebbe essere che se i documenti giustificativi contengono dati personali, possono essere trattati solo i dati personali necessari ai fini dello scarico di bilancio. Per quanto possibile, i documenti che contengono dati personali non necessari a tali fini dovrebbero essere soppressi. La conservazione dei dati pertinenti può essere mantenuta esclusivamente per il tempo necessario ai fini dello scarico di bilancio. Il periodo di 5-7 anni stabilito dall'articolo 49 delle ME deve, in ogni caso, essere considerato un termine massimo per la conservazione dei documenti giustificativi.

45. Per quanto concerne la conservazione dei documenti giustificativi che contengono informazioni quali i dati sul traffico delle comunicazioni, il principio dovrebbe essere che tali dati debbano essere soppressi in quanto non sono necessari ai fini dello scarico di bilancio. Se i documenti giustificativi sono disposti a strati, il livello più basso di maggior dettaglio, che può contenere dati sul traffico delle comunicazioni, non è necessario e non dovrebbe essere conservato a scopi di scarico di bilancio. Se i documenti giustificativi non sono disposti a strati, si dovrebbe allora prevedere il trattamento parziale delle informazioni contenute nei documenti, purché ciò non comporti uno sforzo sproporzionato.

46. Per illustrare questo punto, il GEPD desidera portare l'esempio della contabilizzazione della telefonia fissa nelle istituzioni.

Per quanto riguarda la telefonia fissa il principio stabilito nell'articolo 37 implica che i dati sul traffico delle comunicazioni quali il numero di chiamata, il numero chiamato e la durata della chiamata possono essere conservati a fini di gestione del traffico e del bilancio, ivi compresa la verifica dell'utilizzazione autorizzata del sistema di comunicazioni, fino a un massimo di sei mesi. Una volta che è stata debitamente verificata l'utilizzazione autorizzata degli strumenti di comunicazione, qualsiasi dato sul traffico delle comunicazioni dovrebbe essere cancellato o reso anonimo.

Nel caso in cui fosse necessario conservare i dati per la revisione contabile dei costi delle comunicazioni conformemente alle ME, non è necessario conservare dati particolareggiati. I soli dati pertinenti che possono essere conservati ai fini del bilancio riguardano i costi delle comunicazioni che non rivelano alcun dato sottostante sul traffico delle comunicazioni. ⁽¹⁸⁾

Proposte di modifica dell'articolo 49

47. Al fine di affrontare questo problema di compatibilità, il GEPD propone di aggiungere all'articolo 49 delle ME un paragrafo così formulato: «I dati personali contenuti in documenti giustificativi dovrebbero essere soppressi ove possibile qualora tali dati non siano necessari ai fini della scarico di bilancio. In ogni caso, dovrebbe essere rispettato l'articolo 37, paragrafo 2 del regolamento (CE) n. 45/2001 per quanto riguarda la conservazione dei dati sul traffico delle comunicazioni».

IV. CONCLUSIONE

Il GEPD si compiace di essere stato consultato su queste proposte, che prevedono una gestione finanziaria sana e più trasparente dei fondi comunitari. Si rallegra inoltre di questa opportunità di mettere in luce una serie di aspetti specifici della protezione dei dati relativi alla loro attuazione, in particolare nel contesto del sistema di allarme rapido.

Sulla sostanza, il GEPD formula le seguenti raccomandazioni:

— inserire nelle modalità di esecuzione riferimenti a un approccio proattivo (informazioni preliminari e informazioni di ritorno) che dovrebbe essere ampiamente applicato da tutte le istituzioni, le autorità e gli organismi interessati, alla luce del principio della trasparenza;

— quando si crea una base di dati centrale si devono porre in essere garanzie specifiche alla luce dei principi della protezione dei dati;

— l'articolo 134 bis delle modalità di esecuzione dovrebbe chiarire le nozioni di candidati e offerenti nonché le categorie di entità interessate dalla base di dati;

— nelle modalità di esecuzione si dovrebbe prevedere un calendario preciso per quanto riguarda l'aggiornamento delle informazioni contenute nella base di dati;

— per evitare incoerenze, occorre creare un sistema di selezione degli ordinatori tra gli Stati membri, le autorità e gli organismi; il loro accesso alle informazioni, nonché la quantità di dati cui si può avere accesso conformemente all'articolo 95, paragrafo 2, dovrebbero essere definiti in norme amministrative supplementari;

— nel contesto dei trasferimenti di dati personali dalla base di dati centrale, tali trasferimenti sono strutturali e pertanto le modalità di esecuzione dovrebbero sancire la necessità di garanzie quali clausole contrattuali;

— quando si ricevono dati da paesi terzi e da organizzazioni internazionali, sarà importante definire i dati contemplati e le garanzie connesse alla loro qualità, e la necessità di dette garanzie dovrebbe pertanto essere prevista nelle modalità di esecuzione;

— dovrebbe essere riveduta la formulazione dell'articolo 134 bis, paragrafo 1, terzo comma delle modalità di esecuzione affinché faccia riferimento alle istituzioni, agenzie esecutive, autorità ed organismi di cui all'articolo 95, paragrafi 1 e 2 del regolamento finanziario;

— per quanto riguarda il diritto di accesso di candidati e offerenti, dovrebbe essere inserito un riferimento all'articolo 13 del regolamento (CE) n. 45/2001;

— al fine di affrontare la questione della compatibilità con l'articolo 37 del regolamento (CE) n. 45/2001, il GEPD propone di aggiungere un paragrafo all'articolo 49 delle ME;

Quanto alla procedura, il GEPD:

— raccomanda che nel preambolo della proposta venga fatto esplicito riferimento al presente parere;

— ricorda che, poiché le operazioni di trattamento previste introdurranno notevoli modifiche nella gestione della base di dati e rientreranno pertanto nel campo di applicazione dell'articolo 27 del regolamento (CE) n. 45/2001, il GEPD deve effettuare un controllo preventivo del sistema prima che esso venga attuato.

Fatto a Bruxelles, addì 12 dicembre 2006

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

(1) GU L 281 del 23.11.1995, pag. 31.

(2) GU L 8 del 12.1.2001, pag. 1

(3) GU L 248 del 16.9.2002, pag. 1.

(4) Doc. COM(2006) 213 defin.—2005/0090 (CNS)

(5) L'articolo 95, paragrafo 3, secondo comma è stato soppresso dalla proposta modificata, il che rappresenta un miglioramento del testo dal punto di vista della protezione dei dati.

(6) Doc. SEC(2006) 866 defin.

(7) Per un'analisi della situazione attuale, cfr. il parere del GEPD in materia di controllo preventivo sul sistema di allarme rapido della Commissione 6 dicembre 2006, consultabile all'indirizzo: www.edps.europa.eu.

(8) Cfr. articoli 11-13 e 18 del regolamento 45/2001. Sul concetto di approccio proattivo cfr.: documento di inquadramento del GEPD: accesso del pubblico ai documenti e protezione dei dati, 12 luglio 2005, disponibile all'indirizzo: http://www.edps.europa.eu/EDPSWEB/edps/lang/en/pid/ 21

(9) Gli articoli 93 e 94 (in combinato disposto con l'articolo 114, paragrafo 2) prevedono l'obbligo di escludere i terzi dalla partecipazione a una procedura di aggiudicazione degli appalti o di concessione delle sovvenzioni quando si trovano in una delle situazioni elencate all'articolo 93 del RF o di vietare l'aggiudicazione di appalti o la concessione di sovvenzioni a terzi che si trovino in una situazione di conflitto di interessi o che abbiano dichiarato il falso nel fornire le informazioni chieste dall'amministrazione aggiudicatrice come condizione per la partecipazione all'aggiudicazione dell'appalto o alla concessione della sovvenzione.

(10) Articolo 1 del RF: ai fini del RF, il Comitato economico e sociale, il Comitato delle regioni, il mediatore e il garante europeo della protezione dei dati devono essere assimilati alle istituzioni delle Comunità.

(11) Cfr. parere del GEPD in materia di controllo preventivo sul sistema di allarme rapido della Corte di giustizia delle Comunità europee, che sarà pubblicato nel nostro sitoWeb.

(12) C(2004) 193/3 modificato dall'errata corrige C(2004)517 e modificato da ultimo dal regolamento interno del 2006; cfr.: http://ec. europa.eu/budget/library/sound_fin_mgt/ews_decision_en.pdf.

(13) Nel sistema di allarme rapido sono contenute le seguenti informazioni: nome e indirizzo della persona fisica — Tipo di allarme nel sistema di allarme rapido — Data di avvio — data di fine dell'attivazione dell'allarme — Servizio della Commissione che ha richiesto di inserire la segnalazione nel sistema d'allarme rapido.

(14) L'articolo 9 è comparabile agli articoli 25 e 26 della direttiva 95/46/EC.

(15) Cfr. supra sul principio della trasparenza.

(16) Di prossima pubblicazione nel nostro sito Web: www.europa.edps.eu.

(17) I dati relativi alla fatturazione non sono espressamente menzionati nell'articolo 37, paragrafo 2, ma vi possono essere inclusi implicitamente.

(18) Se ne può trovare una chiara illustrazione nel parere del GEPD sulla procedura TOP 50 del Parlamento europeo (caso 2004-0126).