Parere del garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio recante modifica del regolamento (CE) n. 515/97 del Consiglio, relativo alla mutua assistenza tra le autorità amministrative degli Stati membri e alla collaborazione tra queste e la Commissione per assicurare la corretta applicazione delle normative doganale e agricola (COM (2006) 866 defin.)

(Pubblicato sulla G.U.U.E. n. C 94 del 28.4.2007)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽²⁾, in particolare l'articolo 41,

viste la richiesta di parere a norma dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001 pervenuta il 4 gennaio 2007 dalla Commissione,

HA ADOTTATO IL SEGUENTE PARERE

INTRODUZIONE

1. L'obiettivo della proposta di regolamento del Parlamento europeo e del Consiglio recante modifica del regolamento (CE) n. 515/97 del Consiglio del 13 marzo relativo alla mutua assistenza tra le autorità amministrative degli Stati membri e alla collaborazione tra queste e la Commissione per assicurare la corretta applicazione delle normative doganale e agricola ⁽³⁾ (in appresso denominata «la proposta») è duplice. Da un lato, la proposta mira ad allineare l'attuale regolamento (CE) n. 515/97 con i nuovi poteri comunitari nel settore della cooperazione doganale comunitaria. Dall'altro, la proposta mira a rafforzare la cooperazione e gli scambi di informazioni fra gli Stati membri e fra essi e la Commissione.

2. Per realizzare questo duplice obiettivo, la proposta aumenta inter alia, le funzionalità dell'attuale sistema d'informazione doganale (SID) e istituisce un nuovo repertorio europeo di dati che rispecchierà i movimenti dei contenitori e/o dei mezzi di trasporto così come delle merci e delle persone coinvolte («repertorio europeo di dati»).

3. La proposta recepisce altresì nella legislazione comunitaria l'archivio europeo d'identificazione dei fascicoli a fini doganali (FIDE), originariamente creato dagli Stati membri ai sensi del titolo VI del trattato sull'Unione europea ⁽⁴⁾. D'ora in poi, FIDE rientrerà sia nell'ambito delle azioni della Comunità europea che del terzo pilastro, e il suo funzionamento sarà disciplinato in ogni situazione dal pertinente strumento giuridico. Lo stesso vale per il SID ⁽⁵⁾. In pratica, si raggiunge questo risultato costituendo due basi di dati, disponibili per enti diversi al fine di assicurare il loro uso per finalità diverse (primo e terzo pilastro).

I. Consultazione del garante europeo della protezione dei dati

4. La proposta è stata sottoposta dalla Commissione al parere del garante europeo della protezione dei dati (GEPD), come previsto dall'articolo 28, paragrafo 2 del regolamento 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (in appresso denominato «regolamento (CE) n. 45/2001»). Il GEPD ha ricevuto questa richiesta il 4 gennaio 2007.

5. Tenuto conto del carattere vincolante dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001, si dovrebbe menzionare questo esercizio di consultazione nel preambolo della proposta, prima dei considerando. A tal fine, il GEPD propone di riprendere il testo utilizzato in altre proposte legislative per fare riferimento ai pareri del GEPD ⁽⁶⁾, così formulato: «consultato il garante europeo della protezione dei dati».

II. Importanza della proposta dal punto di vista della protezione dei dati

6. La creazione e l'aggiornamento dei vari strumenti intesi a rafforzare la cooperazione comunitaria, cioè SID, FIDE e il repertorio europeo di dati, comporta un aumento della quantità di informazioni personali che saranno originariamente raccolte e successivamente scambiate dalle autorità amministrative degli Stati membri e, in alcuni casi, anche con paesi terzi. Le informazioni personali trattate e ulterioriormente condivise possono comprendere informazioni relative al presunto o confermato coinvolgimento di persone fisiche in atti riprovevoli nel settore delle operazioni doganali o agricole. Da questo punto di vista, la proposta ha effetti importanti per quanto riguarda la protezione dei dati personali. Inoltre, la sua importanza è accresciuta se si considera il tipo di dati raccolti e condivisi, in particolare sospetti relativi al coinvolgimento di persone fisiche in atti riprovevoli, e la finalità e il risultato del trattamento.

7. Considerati gli effetti della proposta sulla protezione dei dati personali, il GEPD ritiene opportuno esprimere il presente parere analizzando l'impatto della proposta sulla protezione dei diritti e delle libertà delle persone fisiche in riferimento al trattamento dei dati personali.

III. Principali elementi della proposta e osservazioni preliminari

8. I principali elementi della proposta significativi dal punto di vista della protezione dei dati personali sono i seguenti: (i) la creazione di un repertorio europeo di dati (articoli 18 bis e 18 ter), (ii) le disposizioni che aggiornano le norme relative al SID (articoli da 23 a 37); e (iii) le norme che istituiscono il FIDE quale base di dati comunitaria (articoli da 41 bis a 41quinques). Ugualmente pertinenti sono varie disposizioni, comprese quelle relative al controllo sulla protezione dei dati che sono state modificate per tener conto dell'adozione del regolamento (CE) n. 45/2001 (articoli 37, 42, e 43).

9. Il GEPD ricorda che nel suo precedente parere sulla proposta di regolamento relativo alla reciproca assistenza amministrativa per la tutela degli interessi finanziari della Comunità contro la frode e ogni altra attività illecita ⁽⁷⁾ aveva evidenziato la necessità di adattare alcune delle disposizioni del regolamento (CE) del Consiglio n. 515/97 per allinearlo con la nuova legislazione sulla protezione dei dati applicabile alle istituzioni dell'UE, cioè il regolamento (CE) n. 45/2001. Il GEPD esprime quindi soddisfazione per le modifiche della proposta in questo senso.

10. Il GEPD constata inoltre con piacere che le disposizioni che istituiscono il repertorio europeo di dati e quelle che aggiornano le norme relative al SID contengono garanzie intese ad assicurare la protezione delle informazioni personali e della vita privata delle persone fisiche. Il GEPD saluta altresì con favore la decisione di far rientrare FIDE nel campo di applicazione della legislazione comunitaria e quindi del regolamento (CE) n. 45/2001.

11. Il GEPD comprende l'importanza degli obiettivi perseguiti dalla proposta, segnatamente il rafforzamento della cooperazione sia fra Stati membri che fra questi e la Commissione. Riconosce altresì la necessità di predisporre o aggiornare gli attuali strumenti come il SID e il FIDE al fine di raggiungere questi obiettivi. Il GEPD constata inoltre con piacere che a tale scopo la proposta comprende garanzie di protezione dei dati che tengono conto dell'attuale legislazione in materia di protezione dei dati applicabile alle istituzioni dell'UE. Il GEPD ritiene tuttavia che vi sia margine per un miglioramento inteso a garantire la compatibilità globale della proposta con l'attuale quadro giuridico sulla protezione dei dati e l'effettiva protezione dei dati personali delle persone fisiche. A tal fine il GEPD formula le osservazioni e avanza i suggerimenti esposti nella seguente sezione.

ANALISI DELLA PROPOSTA

I. Creazione del repertorio europeo di dati

12. Ai sensi dell'articolo 18 bis, paragrafo 1 della proposta, la Commissione creerà e gestirà un repertorio europeo di dati allo scopo di «individuare le spedizioni di merci che possano far parte di operazioni contrarie alle regolamentazioni doganale e agricola, nonché i mezzi di trasporto» . La Commissione otterrà la maggior parte dei dati da prestatori di servizi pubblici o privati attivi nella catena logistica internazionale o nel trasporto di merci. Il repertorio potrà essere arricchito da «altre fonti di dati» (articolo 18 bis, paragrafo 2, lettera b).

L'articolo 18 bis, paragrafo 3 elenca i dati che potranno essere inseriti nel repertorio, compreso l'elenco di dati personali in questione ⁽⁸⁾. La Commissione renderà disponibili i dati del repertorio alle autorità competenti degli Stati membri.

13. La proposta afferma che la creazione di un repertorio sarà utile per individuare operazioni che presentano rischi di irregolarità in riferimento alla legislazione doganale e agricola.

Il GEPD ritiene tuttavia che, come dovrebbe accadere ogni volta che viene creata una base di dati centrale, la sua necessità debba essere opportunamente ed attentamente valutata e, al momento della costituzione della base di dati, debbano essere attuate garanzie specifiche alla luce di principi relativi alla protezione di protezione dei dati. Questo allo scopo di evitare sviluppi che potrebbero incidere indebitamente sulla protezione dei dati personali.

14. Il GEPD ritiene che la proposta non fornisca argomentazioni sufficienti a sostegno della necessità della creazione del repertorio. Per garantire che vengano create soltanto base di dati centrale realmente necessarie, il GEPD invita la Commissione a condurre un'adeguata valutazione della necessità della creazione di un repertorio e a riferire in merito alle sue conclusioni.

15. Quanto alle garanzie in materia di protezione dei dati, il GEPD prende atto che la proposta ne prevede alcune, ma ritiene tuttavia che siano necessarie misure supplementari.

I.1. Applicazione del regolamento (CE) n. 45/2001

16. Il GEPD osserva che, tenendo conto del fatto che la Commissione costituirà e gestirà il repertorio europeo di dati e che esso conterrà dati personali, il regolamento (CE) n. 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati è sicuramente applicabile al repertorio.

Di conseguenza, la Commissione nel suo ruolo di responsabile del trattamento del repertorio ⁽⁹⁾ deve garantire la conformità con tutte le disposizioni contenute in detto regolamento.

17. Sebbene, alla luce di quanto sopra, il regolamento (CE) n. 45/2001 si applichi di per sè alla creazione e alla gestione del repertorio, per ragioni di coerenza il GEPD giudica che sarebbe opportuno includere un nuovo paragrafo che ne rammenti l'applicazione. In effetti, il GEPD rileva che l'articolo 34 della proposta relativa al sistema d'informazione doganale (SID) e all'archivio europeo d'identificazione dei fascicoli a fini doganali (FIDE) contiene una disposizione che rammenta l'applicazione del regolamento (CE) n. 45/2001. Per coerenza con questa impostazione, una disposizione analoga dovrebbe essere inclusa per il repertorio. Di conseguenza, il GEPD suggerisce che l'articolo 18, paragrafo 1 comprenda un nuovo paragrafo che riprenda come segue il testo dell'articolo 34: La Commissione considera il repertorio europeo di dati un sistema di trattamento di dati personali soggetto al regolamento (CE) n. 45/2001.

18. Il GEPD osserva che l'articolo 18 bis, paragrafo 2, lettera b) della proposta conferma l'applicazione del regolamento (CE) n. 45/2001 per determinati utilizzi del repertorio, in particolare allorquando la Commissione utilizza il repertorio per stabilire un raffronto tra i dati … a compilarne un indice, integrarli … A meno che una dichiarazione generale confermi l'applicazione del regolamento (CE) n. 45/2001 al repertorio nel suo insieme, comprese le operazioni di trattamento effettuate dalla costituzione fino alla gestione del repertorio, qualsiasi altra attività/fase che non sia esplicitamente menzionata dall'articolo 18 bis, paragrafo 2, lettera b) può essere considerata non contemplata dal regolamento (CE) n. 45/2001. Questa è un'ulteriore ragione a sostegno dell'introduzione del testo suggerito sopra.

19. Il GEPD ricorda che la Commissione, in conformità del regolamento (CE) n. 45/2001, avrà tra l'altro l'obbligo di informare di tale fatto le persone fisiche i cui nomi sono inclusi nel repertorio ⁽¹⁰⁾. In particolare, si dovrebbe tenere presente che un siffatto diritto esiste anche se le informazioni personali inserite nel repertorio sono state raccolte da fonti pubbliche. Inoltre, tenendo conto delle finalità della direttiva, la Commissione sarà vincolata dall'articolo 27 del regolamento n. 45/2001, in base al quale il GEPD deve effettuare un controllo preventivo del sistema prima che venga realizzato ⁽¹¹⁾.

I.2. Applicazione delle disposizioni nazionali di attuazione della direttiva 95/46/CE

20. Ai sensi dell'articolo 18 bis, paragrafo 2, lettera c) della proposta, la Commissione è autorizzata a mettere i dati a disposizione delle autorità competenti degli Stati membri. Il GEPD osserva che, anche se un siffatto trasferimento è disciplinato dal regolamento (CE) n. 45/2001, i successivi utilizzi dei dati da parte delle autorità degli Stati membri saranno disciplinati dalla direttiva 95/46/CE del 24 ottobre 1995. Seppure l'articolo 18 bis, paragrafo 2, lettera c) sembri inteso a rendere tale concetto, come ulteriormente illustrato in appresso, il suo testo potrebbe essere migliorato e per esprimere il concetto più chiaramente.

21. L'articolo 18 bis, paragrafo 2, lettera c) afferma: «Nella gestione di tale repertorio la Commissione è autorizzata a mettere i dati di tale repertorio a disposizione delle autorità competenti di cui all'articolo 1, paragrafo 1, al solo scopo di conseguire gli obiettivi del presente regolamento e purché siano rispettate le disposizioni nazionali di attuazione della direttiva 95/46/CE» E' opinione del GEPD che l'articolo 18 bis, paragrafo 2, lettera c) non rispecchi chiaramente il concetto secondo cui gli ulteriori utilizzi dei dati personali da parte delle autorità degli Stati membri sono disciplinati dalle disposizioni nazionali di attuazione della direttiva 95/46/CE. Per esprimere più chiaramente questo punto, il GEPD ritiene che la parte finale dell'articolo 18 bis, paragrafo 2, lettera c) debba essere così modificato: «… al solo scopo di conseguire gli obiettivi del presente regolamento. I successivi utilizzi dei dati personali da parte di dette autorità sono soggetti alle disposizioni nazionali di attuazione della direttiva 95/46/CE». In ogni caso, questo ulteriore utilizzo a livello nazionale dovrà essere compatibile con le finalità per le quali i dati sono resi disponibili dalla Commissione, a meno che non vengano soddisfatte condizioni speciali (cfr. articolo 6, paragrafo 1, lettera b) e articolo 13, paragrafo 1 della direttiva 95/46/CE).

I.3. Osservazioni supplementari

22. Il GEPD appoggia l'impostazione adottata nell'articolo 18, paragrafo 4 della proposta, mirante a limitare all'interno della Commissione i servizi autorizzati a trattare dati personali contenuti nel repertorio europeo di dati. Questa impostazione è in linea con l'articolo 22 del regolamento (CE) n. 45/2001 secondo cui i responsabili del trattamento, inter alia, adottano misure tecniche e organizzative, come assicurare che le informazioni siano disponibili sulla base della «necessità di sapere», al fine di garantire un adeguato livello di sicurezza dei dati.

23. L'ultimo comma dell'articolo 18, paragrafo 4 stabilisce che i dati personali non necessari per conseguire l'obiettivo perseguito siano resi anonimi, precisando poi che in ogni caso essi possono essere conservati per un anno al massimo. Il GEPD vede con favore quest'obbligo, in linea con l'articolo 4, paragrafo 1, lettera e) del regolamento, che specifica che i dati personali possono essere conservati in modo da consentire l'identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti o successivamente trattati.

24. Come previsto dall'articolo 22 del regolamento (CE) n. 45/2001, il repertorio deve essere opportunamente protetto. Garantire che venga rispettato un livello di sicurezza ottimale per il repertorio costituisce un requisito fondamentale per la protezione dei dati personali conservati nella base di dati. Mentre le disposizioni che disciplinano il sistema di informazione doganale prevedono l'attuazione di misure di sicurezza specifiche, la proposta non contempla alcuna disposizione in merito per il repertorio europeo di dati. Il GEPD ritiene che le questioni di sicurezza in relazione a questo repertorio debbano essere oggetto di norme amministrative complementari che prevedano misure specifiche per garantire la riservatezza delle informazioni. Al momento dell'adozione di queste norme il GEPD dovrebbe essere consultato.

II. Modifiche delle disposizioni sul sistema di informazione doganale (SID)

25. Gli articoli da 23 a 41 del regolamento (CE) del Consiglio n. 515/97 fissano le disposizioni che istituiscono il sistema di informazione doganale, una base di dati gestita dalla Commissione, a disposizione degli Stati membri e della Commissione, intesa ad assisterli nel prevenire, ricercare e perseguire le operazioni contrarie alle regolamentazioni doganale e agricola.

II.1. Ampliamento dei possibili utilizzi dei dati personali conservati nel SID

26. La proposta ha modificato alcune delle disposizioni iniziali che definiscono il funzionamento e l'utilizzo del SID. In particolare, l'articolo 25 ha esteso le categorie di dati personali che possono essere conservati nel SID e l'articolo 27 ha ampliato l'elenco di utilizzi possibili dei dati personali conservati nel SID per includere l'analisi operativa che permette, tra l'altro, «la valutazione dell'affidabilità della fonte di informazioni e delle informazioni stesse», «la formulazione di constatazioni, raccomandazioni (...) per individuare operazioni e o identificare persone fisiche o giuridiche». Inoltre, l'articolo 35, paragrafo 3 apre la possibilità di copiare il contenuto del SID in altri sistemi di trattamento dei dati per immetterli in «sistemi di gestione dei rischi intesi ad orientare i controlli doganali a livello nazionale, oppure in un sistema di analisi operativa che consenta di orientare le azioni di coordinamento a livello comunitario».

27. Secondo la proposta, gli utilizzi supplementari di cui sopra sono necessari per aiutare a individuare e perseguire le operazioni contrarie alle regolamentazioni doganale e agricola. Pur non mettendo in discussione l'esistenza di tale necessità, il GEPD è dell'avviso che la proposta della Commissione avrebbe dovuto fornire informazioni più ampie e validi motivi a sostegno di siffatta necessità.

28. Il GEPD constata con piacere che le modifiche di cui sopra sono state accompagnate da garanzie in materia di protezione dei dati. In effetti, la proposta ha mantenuto un elenco chiuso di dati personali che possono essere inseriti nel SID (articolo 25, paragrafo 1) unicamente se esistono «indizi effettivi» che inducono a ritenere che la persona in questione abbia effettuato, stia effettuando o effettuerà atti riprovevoli (articolo 27, paragrafo 2). Inoltre, secondo l'articolo 25, paragrafo 3, i dati sensibili ⁽¹²⁾ non possono essere inseriti nel SID. L'articolo 35, paragrafo 3 ha altresì limitato le persone fisiche autorizzate a copiare il contenuto del SID per le finalità definite nell'articolo stesso e il periodo di conservazione dei dati copiati dal SID. Queste misure sono in linea con il principio relativo alla qualità dei dati di cui all'articolo 4 del regolamento (CE) n. 45/2001.

II.2. Campo di applicazione del regolamento (CE) n. 45/2001

29. L'articolo 34 della proposta ha tenuto conto dell'adozione del regolamento (CE) n. 45/2001, che si applica al trattamento di dati personali da parte di istituzioni e organismi comunitari. Di conseguenza, esso prevede che la Commissione consideri che il regolamento (CE) n. 45/2001 si applica al SID. Il GEPD conferma che, tenendo conto del fatto che il SID contiene dati personali e che la Commissione ha accesso alla base di dati nei cui confronti svolge il ruolo di responsabile del trattamento, il regolamento (CE) n. 45/2001 è ad esso sicuramente applicabile. Di conseguenza, il GEPD saluta con favore questa modifica che rispecchia l'attuale quadro giuridico in materia di protezione dei dati.

30. Il GEPD ricorda che, a seguito dell'applicazione dell'articolo 27 del regolamento (CE) n. 45/2001 e tenendo conto del fatto che si potrebbe considerare che le finalità del SID presentino rischi specifici per i diritti e le libertà della persona interessata, il GEPD deve effettuare un controllo preventivo del sistema.

31. Oltre all'applicazione del regolamento (CE) n. 45/2001, l'articolo 34 della proposta mantiene l'applicazione simultanea delle disposizioni nazionali di attuazione della direttiva 95/46/CE. Il GEPD considera questa impostazione corretta, nella misura in cui le autorità degli Stati membri hanno accesso al SID nonché la competenza di inserire e ulteriormente trattare i dati contenuti nel SID. In sintesi, il GEPD ritiene che il controllo del SID sia condiviso fra la Commissione e gli Stati membri che agiscono quali corresponsabili del trattamento dei dati del SID.

II.3. Il GEPD quale supervisore del SID assieme alle autorità nazionali responsabili della protezione dei dati

32. Quale conseguenza dell'applicazione del regolamento (CE) n. 45/2001, il garante europeo della protezione dei dati è incaricato di garantirne l'applicazione in riferimento al SID. Mentre alcuni degli articoli della proposta rispecchiano le competenze del GEPD, altri non lo fanno. In particolare, il GEPD esprime rammarico per il fatto che alcune delle sezioni dell'articolo 37 relativo al controllo non siano state modificate di conseguenza e invita i legislatori a introdurre le modifiche descritte in appresso.

33. Il GEPD osserva che l'articolo 37, paragrafo 1 riconosce esplicitamente le competenze delle autorità degli Stati membri nel controllo del SID. Tuttavia, l'articolo 37, paragrafo 3 non menziona competenze analoghe del GEPD ai sensi del regolamento (CE) n. 45/2001. Questo problema è ulteriormente posto in evidenza dall'articolo 37, paragrafo 3, non modificato dalla proposta, che recita: «La Commissione adotta tutte le disposizioni necessarie all'interno dei propri servizi per garantire un controllo della protezione dei dati a carattere personale che offra garanzie di livello equivalente a quelli risultanti dal paragrafo 1...». In altre parole, l'articolo 37, paragrafo 1 affida il controllo della protezione dei dati alla«- Commissione». Evidentemente questo articolo avrebbe dovuto essere modificato per rispecchiare il nuovo ruolo di controllo del GEPD. Nella sua forma attuale, l'articolo 37, paragrafo 3 non ha alcun significato. Per risolvere questo problema, l'articolo 37, paragrafo 3 dovrebbe essere modificato e affermare che «il garante europeo della protezione dei dati controllerà la conformità del SID con il regolamento (CE) n. 45/2001».

34. Inoltre, poiché il SID è disciplinato non solo dal regolamento (CE) n. 45/2001 ma anche dalle disposizioni nazionali di attuazione della direttiva 95/46/CE, il controllo del SID ricade sia sul GEPD che sulle autorità nazionali responsabili della protezione dei dati. Infine, le attività di controllo delle autorità nazionali di controllo e quelle del GEPD dovrebbero essere in una certa misura coordinate, allo scopo di garantire un sufficiente livello di coerenza e di efficacia globale. Come affermato in precedenti pareri del GEPD in materia di basi di dati sotto il controllo di Stati membri dell'UE e del GEPD, «sussiste l'esigenza di un'attuazione armonizzata del regolamento e di cooperazione verso un approccio generale dei problemi comuni.» ⁽¹³⁾.

35. La proposta non prevede purtroppo una procedura di coordinamento per strutturare e intensificare la cooperazione fra il GEPD e le autorità nazionali responsabili della protezione dei dati. Per rimediare a questo problema, il GEPD menziona quale prima opzione nell'articolo 37, relativo al controllo della protezione dei dati l'inclusione di una nuova sezione, che reciti «Il GEPD convoca una riunione con tutte le autorità nazionali di controllo almeno una volta all'anno, per affrontare questioni di controllo riguardanti il SID. I membri delle autorità nazionali responsabili della protezione dei dati e il GEPD sono designati autorità di controllo».

36. Una migliore soluzione per rispecchiare l'impostazione a più livelli del controllo, come sopra indicato, sarebbe quella di suddividere le disposizioni in materia di controllo (articolo 37) in diverse disposizioni, ognuna riguardante un livello di controllo, come è stato opportunamente fatto negli strumenti giuridici recentemente adottati per l'istituzione del sistema di informazione Schengen (SIS II). In particolare, gli articoli da 44 a 46 del regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio del 20 dicembre 2006 sull'istituzione, l'esercizio e l'uso del Sistema di informazione Schengen di seconda generazione (SIS II) (14) prevedono un sistema ben equilibrato di controllo ripartito fra il livello nazionale e quello europeo, con coordinamento dei due. Il GEPD suggerisce fortemente di prevedere lo stesso sistema di controllo per il SID (con alcuni leggeri adattamenti). In effetti, il SID e il SIS II sono in ampia misura comparabili nella struttura del controllo.

37. L'articolo 43, paragrafo 5 prevede che una composizione ad hoc del comitato di cui all'articolo 43, paragrafo 1 (in appresso denominata «composizione ad hoc del comitato») si riunisca periodicamente per esaminare problemi di protezione dei dati relativi al SID. Il GEPD ritiene che tale composizione ad hoc del comitato non debba essere considerata l'organo appropriato per esercitare il controllo del SID, in quanto questa competenza spetta unicamente alle autorità nazionali degli Stati membri e al GEPD. La composizione ad hoc stabilita dall'articolo 43, paragrafo 5 è di fatto un comitato del tipo previsto dalla «comitatologia».

38. Il GEPD ritiene tuttavia che la composizione ad hoc del comitato siano un contesto appropriato per esaminare i problemi di protezione dei dati riguardanti il funzionamento del SID. A tal fine, il GEPD propone di riformulare l'articolo 43, paragrafo 5 per far sì che esso rispecchi i compiti e il ruolo della seduta ad hoc del comitato: «Il comitato, unitamente al gruppo di controllo di cui all'articolo … esamina tutti i problemi relativi al funzionamento del SID incontrati dalle autorità di controllo. Il Comitato si riunisce in seduta ad hoc almeno una volta all'anno.»

39. Il GEPD desidera altresì attirare l'attenzione del legislatore su un'altra caratteristica comune ai sistemi SID e SIS II: essi funzionano entrambi nell'ambito del primo e terzo pilastro e questo comporta l'esistenza di due distinte basi giuridiche per ogni sistema. Il SID terzo pilastro è disciplinato dalla convenzione citata al punto 3 del presente parere. Questo comporta una serie di conseguenze, fra le quali la struttura del controllo: la parte del SID nell'ambito del primo pilastro sarà controllata dal GEPD e dalle autorità nazionali responsabili della protezione dei dati, mentre la parte del terzo pilastro è controllata da un'autorità nazionale di controllo comune (composta da rappresentanti delle stesse autorità nazionali). Si tratta di un sistema di controllo piuttosto complicato, che potrebbe portare a incoerenze e non essere molto efficace. Questo illustra le difficoltà di un siffatto contesto giuridico complesso.

40. E' opportuno osservare che, nel quadro del SIS II, il legislatore europeo ha optato per una razionalizzazione del modello di controllo applicando lo stesso modello a vari livelli descritto sopra sia per il sistema nel contesto del primo pilastro che per quello del contesto del terzo pilastro.

Si tratta di un'impostazione che certamente vale la pena di considerare e il GEPD raccomanda di esaminare ulteriormente le opportunità che essa presenterebbe nell'ottica di un controllo migliore e più coerente.

II.4. Diritti delle persone fisiche

41. I diritti delle persone fisiche in materia di protezione di dati, in particolare il diritto di accesso, sono contemplati negli articoli 36 e 37, che sono stati parzialmente modificati nell'ambito della proposta. Il GEPD vorrebbe affrontare le tre seguenti questioni riguardanti il diritto di accesso: (i) la legislazione applicabile (articolo 36, paragrafo 1); (ii) i limiti al diritto di accesso (articolo 36, paragrafo 2) e, (iii) la procedura che le persone fisiche debbono seguire per presentare richieste di accesso (articolo 37, paragrafo 2 della proposta).

42. Legislazione applicabile: l'articolo 36, paragrafo 1, lasciato intatto dalla proposta, riconosce incidentalmente l'applicazione dei diritti di protezione dei dati delle persone fisiche e prevede che il diritto di accesso sarà disciplinato dalle leggi degli Stati membri o dalle regole in materia di protezione dei dati applicabili alla Commissione a seconda che tali diritti siano stati invocati rispettivamente in Stati membri o nell'ambito delle istituzioni dell'UE. Questo criterio rispecchia quanto detto sopra in relazione all'articolo 34 della proposta, e cioè che sia la Commissione che gli Stati membri sono corresponsabili del trattamento dei dati del SID. Il GEPD approva questa impostazione ed è lieto che la proposta abbia mantenuto il testo dell'articolo 36, paragrafo 1. E' comunque chiaro che la disposizione si riferisce implicitamente alla pertinente legislazione nazionale di attuazione della direttiva 95/46/CE o al regolamento (CE) n. 5/ 2001. La legislazione applicabile in ciascun caso dipenderà da dove i diritti vengono esercitati.

43. Limiti del diritto di accesso: Il secondo comma dell'articolo 36, paragrafo 2 stabilisce che «l'accesso ai dati è rifiutato nei periodi durante i quali si stanno effettuando azioni ai fini di osservazione e rapporto o è in corso l'analisi operativa dei dati o l'indagine». Per le ragioni di cui sopra, il GEPD sarebbe favorevole a una modifica così formulata: «l'accesso ai dati potrebbe essere rifiutato» (anziché l'accesso ai dati è rifiutato).

44. Ai sensi del regolamento (CE) n. 45/2001, come principio generale, le persone fisiche sono autorizzate a esercitare il diritto di accesso ai loro dati personali. Tuttavia, l'articolo 20 del regolamento (CE) n. 45/2001 riconosce che tale diritto può essere limitato se è applicabile una delle condizioni specifiche che giustificano una limitazione. In altre parole, le persone fisiche hanno in linea di principio diritto all'accesso, ma questo può essere limitato. Al contrario, il testo dell'articolo 36, paragrafo 2, «l'accesso ai dati è rifiutato», non lascia spazio alla valutazione della possibilità o meno di concedere l'accesso. Esso significa essenzialmente che le persone fisiche non godono di questo diritto per un determinato periodo di tempo. Non vi è alcuna ragione per cui l'impostazione generale del regolamento (CE) n. 45/2001 non dovrebbe funzionare in questa situazione, in particolare se l'articolo 20 permettesse la limitazione dei diritti di accesso durante il periodo previsto dall'articolo 36, paragrafo 2. In effetti, se la Commissione intendesse negare l'accesso, essa potrebbe avvalersi dell'articolo 20, in base al quale l'accesso può essere negato per salvaguardare l'indagine.

45. Il GEPD ritiene che la proposta debba essere formulata secondo l'impostazione adottata nel regolamento (CE) n. 45/ 2001. In caso contrario, essa sarebbe in contraddizione con il quadro generale che prevede il diritto di accesso a titolo del regolamento (CE) n. 45/2001. Il problema potrebbe essere risolto sostituendo semplicemente «è» con «può essere».

46. Procedure di richiesta di accesso da parte di persone fisiche: La proposta ha modificato il vecchio articolo 37, paragrafo 2 del regolamento (CE) n. 515/97 relativo alla procedura per l'inoltro di richieste di accesso volte ad ottenere informazioni sull'esistenza nel SID di informazioni personali riguardanti una persona fisica. Il nuovo articolo 37, paragrafo 2 riconosce la possibilità per le persone fisiche di inoltrare richieste al garante europeo della protezione dei dati come alle autorità nazionali di controllo, a seconda che i dati siano stati immessi nel SID dalla Commissione o da uno Stato membro.

47. Il GEPD si compiace che questa modifica allinei maggiormente la procedura con l'attuale quadro giuridico sulla protezione dei dati. Tuttavia, per le ragioni seguenti, il GEPD ritiene che la competenza degli Stati membri o della Commissione non debba dipendere dall'ente che ha introdotto l'informazione nel SID. In primo luogo, il GEPD rileva che le persone fisiche molto probabilmente non saranno a conoscenza dell'ente che ha introdotto le informazioni nel SID, che si tratti della Commissione o di uno Stato membro. Di conseguenza, essi non sapranno quale ente sia competente per il trattamento della loro richiesta di accesso. La procedura di richiesta di accesso diverrà complicata se le persone fisiche sono obbligate dapprima ad accertare chi abbia introdotto i dati. In secondo luogo, il GEPD ritiene che questa disposizione contraddica il criterio adottato dall'articolo 36, paragrafo 1, in base al quale il diritto di accesso sarà disciplinato dalle leggi degli Stati membri o dalle regole in materia di protezione dei dati applicabili alla Commissione, a seconda del fatto che tali diritti siano stati invocati in Stati membri o nell'ambito delle istituzioni europee rispettivamente. Quindi, se non altro per ragioni di coerenza con l'articolo 36, la competenza per le richieste di accesso dovrebbe dipendere dal fatto che tale accesso sia stato invocato presso le autorità nazionali di controllo o presso il GEPD.

48. Per risolvere il problema, la frase «a seconda che i dati siano stati immessi nel SID da uno Stato membro o dalla Commissione » dovrebbe essere sostituita da «a seconda che i diritti siano stati invocati presso le autorità nazionali di controllo o presso il GEPD». Inoltre, seguendo questa impostazione, la successiva frase del paragrafo 2 dell'articolo 37 assume pieno significato: «Se i dati sono stati immessi da un altro Stato membro o dalla Commissione, la verifica viene effettuata in stretta collaborazione con l'autorità nazionale di controllo di tale Stato membro o con il garante europeo della protezione dei dati.»

II.5. Scambi di dati

49. La proposta non aggiunge nuovi elementi per quanto riguarda gli scambi di dati personali con le autorità di paesi terzi. La questione è affrontata all'articolo 30, paragrafo 4 della proposta. Il GEPD è dell'avviso che questo articolo avrebbe dovuto essere modificato per rispecchiare la necessità per la Commissione (e non solo per gli Stati membri) di adottare misure speciali per garantire la sicurezza dei dati quando sono trasmessi o forniti a servizi situati in paesi terzi. Inoltre, l'articolo 30, paragrafo 4 del regolamento dovrebbe essere modificato per assicurare la conformità con la legislazione applicabile al trasferimento di dati personali a paesi terzi.

III. Archivio europeo d'identificazione dei fascicoli a fini doganali (FIDE)

50. Gli articoli 41 bis, ter, quater e quinquies della proposta stabiliscono le regole di funzionamento dell'archivio europeo d'identificazione dei fascicoli a fini doganali. Il FIDE permette alle autorità competenti di controllare se una persona o un'impresa sono state soggette ad un'indagine penale in uno Stato membro.

51. Il FIDE esiste già come strumento utilizzato dagli Stati membri nell'ambito del terzo pilastro ⁽¹⁵⁾. L'articolo 41 ha quindi lo scopo di fornire una base giuridica al FIDE della Comunità che il GEPD saluta con favore.

52. Poiché tutte le disposizioni della proposta applicabili al SID sono anche applicabili al FIDE (articolo 41 bis), le osservazioni formulate nella sezione II si applicano mutatis mutandis al FIDE.

III.1. Applicazione del regolamento (CE) n. 45/2001

53. Il GEPD osserva che tenendo conto del fatto che la Commissione è competente per il trattamento dei dati contenuti nel FIDE, dovrebbe essere chiaro che il regolamento (CE) n. 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati si applica al FIDE. Il GEPD ritiene appropriato che l'articolo 41 richiami l'applicazione del regolamento (CE) n. 45/2001 al FIDE e che rientrino nelle competenze del GEPD il controllo e la garanzia della conformità con le disposizioni del regolamento.

54. Il GEPD ricorda che, a seguito dell'applicazione dell'articolo 27 del regolamento (CE) n. 45/2001 e tenendo conto delle finalità del FIDE e della natura dei dati inseriti, si potrebbe ritenere che esso presenti rischi specifici per i diritti e le libertà della persona interessata e di conseguenza il GEPD deve effettuare un controllo preventivo del sistema.

III.2. Conservazione dei dati

55. L'articolo 41 quinquies stabilisce termini specifici per la conservazione dei dati. Il GEPD ritiene che i limiti previsti dall'articolo 41 quinquies siano ragionevoli.

56. Non è chiaro come questa disposizione si ricolleghi all'articolo 33 per quanto riguarda il SID. Probabilmente, l'articolo 41 quinquies ha preminenza rispetto alla disposizione analoga che riguarda il SID, ma la proposta non lo menziona esplicitamente. Una disposizione a chiarimento di questo punto sarebbe utile.

III.3. Aggiornamento delle informazioni registrate nel FIDE

57. Il principio della qualità dei dati (articolo 4 del regolamento (CE) n. 45/2001) prevede che i dati personali siano adeguati, pertinenti e non eccessivi in riferimento alle finalità per le quali sono raccolti. E' chiaro che la qualità dei dati personali può essere assicurata soltanto se la loro accuratezza viene periodicamente e opportunamente verificata.

Il GEPD si compiace altresì della disposizione dell'articolo 41 quinquies che prevede che i dati dei fascicoli vengano immediatamente soppressi non appena una persona viene scagionata ai sensi delle leggi, dei regolamenti e delle procedure dello Stato membro che ha fornito i dati.

58. D'altro canto, per assicurare che i dati non necessari non restino nel FIDE, il GEPD suggerisce di applicare al FIDE alcune delle regole sulla conservazione dei dati stabilite per il SID nell'ambito dell'articolo 33. In particolare, il GEPD suggerisce di applicare al FIDE le disposizioni dell'articolo 33, paragrafo 1, in base alle quali la necessità di conservazione dei dati dovrebbe essere riveduta ogni anno dal partner che li fornisce. A tal fine, il GEPD suggerisce di inserire dopo l'articolo 41 quinquies, paragrafo 2 il seguente testo: «La necessità della conservazione dei dati è riveduta almeno una volta all'anno dallo Stato membro che ha fornito i dati.».

CONCLUSIONI

59. Il GEPD esprime soddisfazione per essere stato consultato sulla proposta che prevede la creazione o l'aggiornamento di vari sistemi contenenti dati personali: il repertorio europeo di dati, il sistema d'informazione doganale (SID) e l'archivio europeo d'identificazione dei fascicoli a fini doganali (FIDE) al fine di rafforzare la cooperazione e lo scambio di informazioni sia fra gli Stati membri che fra essi e la Commissione.

60. Sulla sostanza, il GEPD conclude che:

— La proposta non fornisce argomentazioni sufficienti a sostegno della necessità di creare un repertorio europeo di dati. Il GEPD invita la Commissione a condurre un'adeguata valutazione della necessità della creazione del repertorio e a riferire in merito alle sue conclusioni.

— All'articolo 18 bis, paragrafo 1 si dovrebbe inserire un nuovo comma che rammenti l'applicazione del regolamento (CE) n. 45/2001 al repertorio europeo di dati, sulla falsariga del seguente testo: «La Commissione considera il repertorio europeo di dati un sistema di trattamento di dati personali soggetto al regolamento (CE) n. 45/2001».

— Si dovrebbe chiarire che le disposizioni nazionali di attuazione della direttiva 95/46/CE si applicano agli utilizzi del repertorio europeo di dati da parte degli Stati membri. Il GEPD suggerisce la seguente modifica dell'articolo 18 bis, paragrafo 2, lettera c): «Nella gestione di tale repertorio, la Commissione è autorizzata: c) a mettere i dati di tale repertorio a disposizione delle autorità competenti di cui all'articolo 1, paragrafo 1, al solo scopo di conseguire gli obiettivi del presente regolamento. I successivi utilizzi dei dati personali da parte di dette autorità sono soggetti alle disposizioni nazionali di attuazione della direttiva 95/46/CE».

— La proposta non menziona misure di sicurezza per quanto riguarda il repertorio europeo di dati. Il GEPD ritiene che sarebbe appropriato aggiungere all'articolo 18 bis, paragrafo 2, un nuovo comma che preveda l'adozione di norme amministrative complementari in cui si stabiliscano misure specifiche volte a garantire la riservatezza delle informazioni. Al momento dell'adozione di dette norme il GEPD dovrebbe essere consultato.

— La proposta non riconosce completamente il ruolo di controllo del GEPD per quanto riguarda il sistema di informazione doganale (SID). Per risolvere questo problema, l'articolo 37, paragrafo 3 dovrebbe essere modificato e affermare che «Il garante europeo della protezione dei dati controllerà la conformità del SID con il regolamento (CE) n. 45/2001».

— Le attività di controllo delle autorità nazionali di controllo e del GEPD dovrebbero essere in una certa misura coordinate, così da garantire un livello sufficiente di coerenza e di efficacia globale nel controllo del SID.

A tal fine, il GEPD suggerisce quale prima opzione di inserire una nuova sezione all'articolo 37 che stabilisca che «Il GEPD convoca una riunione con tutte le autorità nazionali di controllo almeno una volta all'anno per affrontare questioni di controllo riguardanti il SID. I membri delle autorità nazionali responsabili della protezione dei dati e il GEPD sono designati autorità di controllo». Una migliore soluzione sarebbe tuttavia quella di seguire il modello più sviluppato recentemente adottato per il sistema di informazione Schengen di seconda generazione (SIS II).

In linea con questa impostazione in ogni singolo caso, anche l'articolo 43, paragrafo 5 dovrebbe essere così modificato: «Il Comitato, unitamente al gruppo di controllo di cui all'articolo …, esamina qualsiasi problema che il funzionamento del SID possa porre alle autorità di controllo di cui all'articolo 37. Il Comitato si riunisce nella composizione ad hoc almeno una volta all'anno».

— Ai sensi dell'articolo 36, paragrafo 2, secondo comma, sull'accesso ai dati personali conservati nel SID, «l'accesso è rifiutato» «nei periodi durante i quali si stanno effettuando azioni ai fini di osservazione e rapporto o è in corso l'analisi operativa dei dati o l'indagine». Per assicurare la coerenza con il regolamento (CE) n. 45/2001, il GEPD sarebbe favorevole a una modifica così formulata: «l'accesso può essere rifiutato».

— In relazione alla procedura di richiesta di accesso e alla questione se l'accesso debba essere richiesto al GEPD o alle autorità nazionali di controllo, il GEPD ritiene molto complicato il sistema proposto (articolo 37, paragrafo 2), in base al quale la designazione dell'autorità competente dipende dal fatto che i dati vengano inseriti nel SID da uno Stato membro o dalla Commissione.

Questo sistema sarebbe inoltre in contraddizione con altri articoli della proposta. Per risolvere il problema, la frase «a seconda che i dati siano stati immessi nel SID da uno Stato membro o dalla Commissione» all'articolo 37, paragrafo 2 dovrebbe essere sostituita da «a seconda che i diritti siano stati invocati presso le autorità nazionali di controllo o presso il GEPD».

— Il GEPD ritiene appropriato che l'articolo 41 bis richiami l'applicazione del regolamento (CE) n. 45/2001 all'archivio europeo d'identificazione dei fascicoli a fini doganali (FIDE) e che rientrino nelle competenze del GEPD il controllo e la garanzia della conformità con le disposizioni del regolamento.

61 Per garantire che i dati personali non necessari vengano soppressi dal FIDE, il GEPD suggerisce di inserire il testo seguente dopo l'articolo 41 quinquies, paragrafo 2: «La necessità della conservazione dei dati è riveduta almeno una volta all' anno dallo Stato membro che ha fornito i dati».

62 Sulla procedura, il GEPD:

— raccomanda che nel preambolo della proposta si faccia esplicito riferimento al presente parere, come segue:

«consultato il garante europeo della protezione dei dati».

— ricorda che, poiché le operazioni di trattamento del repertorio europeo di dati, del SID e di FIDE presentano rischi specifici per i diritti e le libertà della persona interessata, per le finalità della base di dati e per la natura dei dati, in conformità dell'articolo 27 del regolamento (CE) n. 45/2001, il GEPD deve effettuare un controllo preventivo dei tre sistemi.

Fatto a Bruxelles, addì 22 febbraio 2007

Peter HUSTINX

Garante europeo della protezione dei dati

(1) GU L 281 del 23.11.1995, pag. 31.

(2) GU L 8 del 12.1.2001, pag. 1.

(3) GU L 82 del 22.3.1997, pag. 1.

(4) Protocollo stabilito in conformità dell'articolo 34 del trattato sull'Unione europea che modifica, per quanto riguarda la creazione di un archivio d'identificazione dei fascicoli a fini doganali, la Convenzione sull'uso dell'informatica nel settore doganale (convenzione SID). Il protocollo è stato adottato con atto del Consiglio dell' 8 maggio 2003 (2003/C 139/01), C139/1, pubblicato il 13.6.2003.

(5) La base giuridica per la base di dati intergovernativa è la convenzione SID, elaborata sulla base dell'articolo K.3 del trattato sull'Unione europea sull'uso dell'informatica nel settore doganale, GU C 316 del 27.11.1995 pag. 34.

(6) Cfr. proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) del Consiglio n. 1073/1999 relativo alle indagini svolte dall'Ufficio per la lotta antifrode (OLAF) {SEC(2006) 638 } /* COM/2006/0244 defin.—COD 2006/0084.

(7) Parere del garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo alla reciproca assistenza amministrativa per la tutela degli interessi finanziari della Comunità contro la frode e ogni altra attività illecita (COM (2004) 509 defin. del 20 luglio 2004), C 301 del 7.12.2004, pag. 4.

(8) L'articolo 18, paragrafo 3, lettera c) limita i dati unicamente a cognome, cognome da nubile, nomi, pseudonimi o appellativi, data e luogo di nascita, cittadinanza, sesso e indirizzo dei proprietari, speditori, destinatari, addetti alle operazioni di transito, vettori e altri intermediari o persone che intervengono nella catena logistica internazionale o nel trasporto di merci.

(9) A meno che i prestatori di servizi che trasferiscono le informazioni alla Commissione non abbiano già informato le persone fisiche in questione, conformemente alle disposizioni nazionali di attuazione della direttiva 95/46/CE.

(10) Le operazioni di trattamento dati che sono soggette a controllo preventivo da parte del GEPD comprendono quelle elencate all'articolo 27 del regolamento n. 45/2001, a) ai trattamenti di dati relativi alla salute e quelli relativi a sospetti, infrazioni, condanne penali o misure di sicurezza; b) i trattamenti estinati a valutare aspetti della personalità degli interessati, inclusi aspetti quali capacità, efficienza e comportamento; c) i trattamenti che consentono delle interconnessioni tra i dati trattati per finalità diverse e non previste dalla normativa nazionale o comunitaria; d) i trattamenti volti ad escludere taluno dal beneficio di un dirittto, di una prestazione o della conclusione di un contratto.

(11) Direttiva 95/46/CE del 24 ottobre 1995 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, GU L 281 del 23.11.95, pag. 31

(12) Dati concernenti l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati riguardanti le condizioni di salute o la vita sessuale.

(13) Parere del 19 ottobre 2005 su tre proposte concernenti il sistema di informazione Schengen di seconda generazione (SIS II) (COM(2005) 230 defin., COM(2005)236 defin. e COM(2005)237 defin.), GU C 91 del 19.4.2006, pag. 38; parere del 23 marzo 2005 sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata, GU C 181 del 23.7.2005, pag. 13.

(14) GU L 381del 28.12.2006, pag. 4–23

(15) Creato dall'atto del Consiglio dell'8 maggio 2003 che stabilisce il protocollo recante modifica della convenzione sull'uso dell'informatica nel settore doganale.