Terzo parere del GEPD relativo alla proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Terzo parere del garante europeo della protezione dei dati relativo alla proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale

(Pubblicato sulla G.U.U.E. n. C 139 del 23.6.2007)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽²⁾, ed in particolare l'articolo 41,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 19 dicembre 2005 e il 29 novembre 2006, il GEPD ha espresso due pareri ⁽³⁾ sulla proposta, elaborata dalla Commissione, di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale. In detti pareri il GEPD ha sottolineato l'importanza della proposta in quanto efficace strumento per la protezione dei dati personali nel settore contemplato dal titolo VI del trattato UE. In particolare, nel secondo parere il GEPD ha espresso la preoccupazione che l'evoluzione dei negoziati comporti un livello di protezione dei dati personali non solo inferiore alle norme definite nella direttiva 95/46/CE, ma altresì incompatibile con quelle più generali formulate nella Convenzione n. 108 del Consiglio d'Europa ⁽⁴⁾.

2. Nel gennaio 2007, la presidenza tedesca ha presentato una serie di punti essenziali per una rielaborazione della proposta al fine di far sciogliere le riserve ancora esistenti e migliorare la protezione dei dati nel terzo pilastro ⁽⁵⁾. Il 13 aprile 2007, il progetto di proposta riveduto ⁽⁶⁾ è stato presentato al Parlamento europeo per una seconda consultazione.

3. Le modifiche sostanziali contenute nella proposta riveduta, nonché la sua importanza, richiedono un nuovo parere del GEPD. Tale parere verterà sulle principali preoccupazioni del GEPD e non ripeterà tutti i punti sollevati nei pareri precedenti, che rimangono validi per la proposta riveduta.

II. NUOVO SLANCIO IMPRESSO DALLA PRESIDENZA TEDESCA

4. Il GEPD si compiace dei considerevoli sforzi profusi dalla presidenza tedesca nei negoziati relativi alla decisione quadro del Consiglio. E' noto che i negoziati erano bloccati al Consiglio a causa delle fondamentali divergenze di opinioni esistenti tra gli Stati membri su questioni essenziali. La presidenza ha quindi preso una saggia decisione rilanciando i negoziati attraverso la presentazione di un testo nuovo.

5. Il fatto che la presidenza tedesca abbia impresso nuovo slancio ai negoziati è di per sé molto positivo.

Tuttavia, dopo aver attentamente esaminato l'ultima versione del testo, il GEPD è rimasto deluso dal contenuto. Il testo presentato dalla presidenza tedesca non è all'altezza delle aspettative, per i seguenti motivi:

— il testo indebolisce il livello di protezione dei cittadini, essendo state soppresse varie disposizioni

essenziali per tale protezione che erano contenute nella proposta della Commissione,

— per molti aspetti, il livello di protezione offerto dalla proposta riveduta è addirittura inferiore a quello della Convenzione 108, risultando pertanto non solo insoddisfacente, ma altresì incompatibile con gli obblighi internazionali spettanti agli Stati membri,

— il testo rende questo fascicolo ancora più complesso, in quanto copre dati trattati dall'Europol, dall'Eurojust e dal sistema d'informazione doganale del terzo pilastro, e apre il dibattito sul controlli di tali organi. Il presente parere esaminerà, in particolare, se una decisione quadro del Consiglio costituisca lo strumento giuridico appropriato per tali questioni,

— la qualità legislativa del testo non è soddisfacente. Oltre alla scelta dello strumento giuridico, varie disposizioni non soddisfano i requisiti degli orientamenti comuni relativi alla qualità redazionale della legislazione comunitaria ⁽⁷⁾. In particolare, il testo non è redatto in modo chiaro, semplice e preciso, impedendo al cittadino di identificare in maniera inequivocabile i suoi diritti e obblighi,

— il debole livello di protezione offerto dalla proposta non pare funzionale alla creazione di uno spazio di libertà, sicurezza e giustizia in cui le forze di polizia e le autorità giudiziarie possano scambiarsi informazioni in materia di applicazione della legge prescindendo dalle frontiere nazionali.

Infatti, in mancanza di un livello di protezione dei dati elevato e di applicazione generale, la proposta assoggetta tuttora gli scambi di informazioni alle diverse «norme di origine» e «doppi standard» nazionali, che incidono fortemente sull'efficacia della cooperazione in materia di applicazione della legge senza tuttavia migliorare la protezione dei dati personali ⁽⁸⁾.

6. Il GEPD è ben consapevole delle difficoltà per raggiungere l'unanimità al Consiglio. Tuttavia, la procedura decisionale non può giustificare un approccio di tipo minimo comun denominatore che leda i diritti fondamentali dei cittadini dell'UE e ostacoli l'efficacia dell'applicazione della legge. In questo contesto, sarebbe auspicabile tenere pienamente conto della expertise in materia di protezione dei dati e integrare debitamente le raccomandazioni fatte dal Parlamento europeo nelle sue risoluzioni ⁽⁹⁾.

III. QUADRO GIURIDICO ED ELEMENTO CENTRALE DEL PRESENTE PARERE

7. Una decisione quadro sulla protezione dei dati personali nell'ambito del terzo pilastro è un elemento essenziale dello sviluppo di uno spazio di libertà, sicurezza e giustizia. La crescente importanza della cooperazione giudiziaria e di polizia in materia penale, come pure le azioni scaturite dal programma dell'Aia (10), hanno evidenziato la necessità di norme comuni per la protezione dei dati personali nell'ambito del terzo pilastro.

8. Purtroppo, come ripetutamente affermato dal GEPD e da altri soggetti competenti (11), gli strumenti esistenti a livello europeo non sono sufficienti. La convenzione 108 del Consiglio d'Europa, vincolante per gli Stati membri, stabilisce i principi fondamentali della protezione dei dati ma, sebbene debba essere interpretata alla luce della giurisprudenza della CEDU, non offre la necessaria precisione, come sottolineato più volte in precedenza dal GEPD (12). La direttiva 95/46, che ha integrato e precisato i principi della convenzione 108 per quanto riguarda il mercato interno, è stata adottata già nel 1995.

Tale direttiva non si applica alle attività che rientrano nel terzo pilastro. Per le attività nel campo della cooperazione giudiziaria e di polizia, tutti gli Stati membri hanno sottoscritto la raccomandazione n. R (87) 15 ⁽¹³⁾, che rende applicabile, in una certa misura, la convenzione 108 al settore della polizia, anche se non si tratta di uno strumento giuridico vincolante.

9. In questo contesto, l'articolo 30, paragrafo 1, lettera b) del trattato sull'Unione europea stipula che le azioni comuni nel settore della cooperazione di polizia che comportano il trattamento di informazioni da parte delle autorità incaricate dell'applicazione della legge devono essere disciplinate da «adeguate disposizioni sulla protezione dei dati personali». Tali adeguate disposizioni non esistono, mancando una decisione quadro del Consiglio con un contenuto soddisfacente.

10. Si può facilmente fare un parallelo con lo sviluppo del mercato interno, in cui un livello elevato di protezione dei dati personali in tutta la Comunità era considerato un elemento essenziale per eliminare gli ostacoli alla libera circolazione di merci, servizi, capitali e persone, sfociato poi nell'adozione della direttiva 95/46/CE. Per analogia, uno spazio di libertà, sicurezza e giustizia in cui le informazioni circolino liberamente tra autorità incaricate dell'applicazione della legge a livello nazionale e di UE richiede un livello elevato e uniforme di protezione dei dati personali in tutti gli Stati membri.

11. Queste considerazioni contrastano con la situazione attuale, in cui non esiste un siffatto quadro generale e in cui le disposizioni sulla protezione dei dati personali nell'ambito del terzo pilastro sono «specifiche ai settori» e disperse in vari strumenti giuridici ⁽¹⁴⁾. Alcune recenti proposte ⁽¹⁵⁾ confermano e rafforzano la già esistente frammentazione delle disposizioni sulla protezione dei dati in questo settore, mettendone a rischio la coerenza. Inoltre l'assenza di un quadro generale pregiudica la rapida adozione di molte proposte nel settore della cooperazione giudiziaria e di polizia.

12. Per questi motivi, il GEPD ha appoggiato fortemente la proposta della Commissione nei pareri precedenti e ha fatto adeguate raccomandazioni per migliorare la proposta, di cui si ravvisava la necessità per garantire un adeguato livello di protezione del cittadino. Il GEPD ha sempre sostenuto che un quadro generale per la protezione dei dati nell'ambito del terzo pilastro deve garantire uno standard elevato e coerente di protezione dei dati, sulla base dei principi stabiliti in questo campo dalla convenzione 108 e dalla direttiva 95/46, tenendo conto nel contempo, laddove necessario, delle specificità delle attività di applicazione della legge.

13. La coerenza di questo quadro generale con i principi di protezione dei dati del primo pilastro è particolarmente importante in un contesto in cui il crescente coinvolgimento del settore privato nell'applicazione della legge comporta un passaggio di dati personali dal primo al terzo pilastro (come nel caso del PNR) o dal terzo al primo pilastro. Si possono facilmente trovare degli esempi: l'uso di «elenchi di diniego di volo», che includono persone non autorizzate a salire a bordo di aerei e sono compilati ai fini dell'applicazione della legge da parte delle compagnie aeree per scopi che rientrano nel primo pilastro (scopi commerciali e sicurezza aerea), e la proposta di consentire alle autorità incaricate dell'applicazione della legge l'accesso alla base di dati VIS, creata come strumento di una politica comune in materia di visti ⁽¹⁶⁾. Pertanto, il GEPD sottolinea che i principi di protezione dei dati nell'ambito del primo pilastro devono applicarsi anche al terzo pilastro. Tuttavia, le specificità delle attività di applicazione della legge possono rendere necessarie disposizioni supplementari o eccezionali ⁽¹⁷⁾.

14. Garanzie appropriate, coerenti e di applicazione generale per la protezione dei dati nell'ambito del terzo pilastro sono essenziali non soltanto per garantire il diritto fondamentale alla protezione dei dati degli individui, ma anche per dare maggiore efficacia alla cooperazione per l'applicazione della legge nello spazio di libertà, sicurezza e giustizia.

15. Muovendo da queste premesse, il presente parere valuta fino a che punto l'attuale proposta riveduta stabilisca disposizioni adeguate per la protezione dei dati personali, a norma dell'articolo 30, paragrafo 1, lettera b) del trattato UE. In tale contesto il GEPD rimanderà ad alcune delle raccomandazioni fatte nei suoi pareri precedenti. Il presente parere intende valutare anche se la proposta riveduta rispetti gli obblighi internazionali degli Stati membri derivanti dalla convenzione 108 del Consiglio d'Europa e dalla giurisprudenza della CEDU, nonché i principi stabiliti dalla raccomandazione n. R (87) 15 sull'utilizzo dei dati personali nel settore della polizia. Inoltre, il GEPD esaminerà in che misura le disposizioni della proposta possano avere un impatto sull'efficacia della cooperazione giudiziaria e di polizia.

IV. PRINCIPALI PREOCCUPAZIONI

IV.1. Applicabilità al trattamento interno dei dati personali

16. La proposta include ora un considerando secondo cui gli Stati membri applicano le norme della decisione quadro al trattamento di dati a livello nazionale, allo scopo di creare già all'atto della raccolta dei dati i presupposti per la loro trasmissione (considerando 6bis). Tale considerando intende rispondere alle preoccupazioni espresse non solo dal GEPD nei precedenti pareri ma anche da molte altre parti interessate.

In effetti, il Parlamento europeo, la Conferenza delle autorità garanti della protezione dei dati e anche il Comitato consultivo T-PD del Consiglio d'Europa — composto da rappresentanti dei governi europei per la protezione dei dati — hanno tutti affermato in varie occasioni che l'applicabilità della decisione quadro al trattamento di dati personali a livello nazionale è una condizione essenziale non solo per assicurare una protezione sufficiente dei dati personali ma anche per consentire una cooperazione efficace tra le autorità incaricate dell'applicazione della legge ⁽¹⁸⁾.

17. Tuttavia il considerando in quanto tale non può imporre un obbligo non esplicitamente previsto nelle disposizioni. Purtroppo l'articolo 1 (Scopo e campo d'applicazione) limita esplicitamente l'applicabilità della proposta ai dati scambiati tra Stati membri o organi dell'UE, garantendo che «i diritti e le libertà fondamentali, in particolare la vita privata delle persone interessate,» sono «pienamente rispettati quando i dati personali sono trasmessi […]».

18. L'attuale progetto lascia pertanto totalmente alla discrezione degli Stati membri l'applicazione di principi uniformi in materia di protezione dei dati al trattamento interno dei dati personali e non vincola gli Stati membri ad attuare le stesse norme comuni per la protezione dei dati, e questo in uno spazio di cooperazione giudiziaria e di polizia in cui le frontiere interne devono essere eliminate. Alla luce di quanto precede, il GEPD sottolinea ancora una volta che la possibilità di avere livelli diversi di protezione dei dati in Stati membri diversi nell'ambito del terzo pilastro sarebbe:

— incoerente con la creazione di uno spazio di libertà, sicurezza e giustizia al cui interno i cittadini

circolino liberamente e con un reale ravvicinamento delle legislazioni ai sensi dell'articolo 34, paragrafo 2, lettera b) del trattato UE,

— inadeguata per la protezione dei dati personali, tenuto conto dell'articolo 30, paragrafo 1, lettera b) del trattato UE,

— inefficace e inattuabile per le autorità incaricate dell'applicazione della legge, che sarebbero indebitamente intralciate da distinzioni ingestibili tra dati interni e dati trasmessi o disponibili per la trasmissione, che nella maggior parte dei casi farebbero parte dello stesso fascicolo ⁽¹⁹⁾.

19. Il GEPD raccomanda vivamente al legislatore di estendere l'ambito di applicabilità obbligando — e non solo invitando — gli Stati membri ad applicare la decisione quadro al trattamento dei dati personali a livello nazionale. Non esiste inoltre un'argomentazione giuridica convincente a sostegno della tesi secondo cui l'applicazione ai dati interni non sarebbe consentita ai sensi dell'articolo 34 del trattato UE.

IV.2. Limitazione delle altre finalità per cui i dati personali possono essere trattati

20. Il principio della limitazione delle finalità è uno dei principi fondamentali della protezione dei dati. In particolare la convenzione 108 precisa che i dati personali sono «registrati per scopi determinati e legittimi ed impiegati in una maniera non incompatibile con detti fini» (articolo 5, lettera b)). Le deroghe a tale principio sono consentite solo se sono previste dalla legge e costituiscono una misura necessaria in una società democratica, tra l'altro, ai fini della «repressione dei reati» (articolo 9). La giurisprudenza della Corte europea dei diritti dell'uomo ha chiarito che tali deroghe devono essere proporzionate, precise e prevedibili, ai sensi dell'articolo 8, paragrafo 1 della Convenzione europea dei diritti dell'uomo ⁽²⁰⁾.

21. Nell'attuale proposta le disposizioni sulla limitazione delle finalità figurano sia all'articolo 3 che all'articolo 12. L'articolo 3 consente l'ulteriore trattamento per finalità compatibili con quella per la quale i dati sono stati rilevati ed è dunque, in questo senso, conforme ai principi fondamentali della protezione dei dati.

22. Tuttavia l'articolo 3 è eccessivamente ampio e non contempla una limitazione appropriata delle finalità per la registrazione, richieste anche dall'articolo 5, lettera b) della convenzione 108. Il riferimento generale alle finalità del titolo VI del trattato UE non può essere interpretato come «scopi determinati e legittimi ». La finalità della cooperazione giudiziaria e di polizia non è di per sé legittima ⁽²¹⁾ e certamente non è determinata.

23. L'articolo 3 non contiene deroghe che sarebbero possibili ai sensi dell'articolo 9 della convenzione 108.

Tuttavia l'articolo 12 della proposta stabilisce una serie molto ampia e non chiaramente definita di deroghe al principio di limitazione delle finalità in relazione ai dati personali trasmessi o resi disponibili da un altro Stato membro. In particolare questo articolo non prevede esplicitamente la condizione che le deroghe debbano essere necessarie. In secondo luogo non è chiaro quali siano le «altre procedure […] amministrative» per le quali l'articolo 12, paragrafo 1, lettera b) consente il trattamento dei dati raccolti e trasmessi per una finalità diversa. Inoltre l'articolo 12, paragrafo 1, lettera d) consente il trattamento per qualsiasi altra finalità alla sola condizione che l'autorità competente che ha trasmesso i dati personali lo autorizzi. In tale contesto va rilevato che l'autorizzazione dell'autorità che trasmette i dati non può essere considerata in nessun caso sostitutiva del consenso della persona interessata né fondamento giuridico di una deroga al principio della limitazione delle finalità. Il GEPD desidera pertanto sottolineare che tale deroga ampia e aperta non soddisfa i requisiti fondamentali di un'adeguata protezione dei dati e contraddice persino i principi fondamentali della convenzione 108. Il GEPD raccomanda quindi al legislatore di riformulare le pertinenti disposizioni.

24. Un'ultima osservazione riguarda l'articolo 12, paragrafo 2 che prevede la possibilità che le decisioni del Consiglio rientranti nel terzo pilastro prevalgano sul paragrafo 1 qualora siano previste adeguate condizioni per il trattamento dei dati personali. Il GEPD rileva che la formulazione di tale paragrafo è molto generica e non rende giustizia alla natura della decisione quadro del Consiglio quale lex generalis per la cooperazione giudiziaria e di polizia. Detta lex generalis dovrebbe applicarsi a qualsiasi trattamento di dati personali in tale settore.

25. Secondo il GEPD le attuali disposizioni sull'ulteriore trattamento dei dati personali non rispettano il principio fondamentale della limitazione delle finalità e, addirittura, scendono al di sotto del livello di protezione esistente offerto dalla convenzione 108. Il GEPD raccomanda quindi al legislatore di riformulare le disposizioni in questione alla luce delle norme internazionali vigenti in materia di protezione dei dati e della pertinente giurisprudenza.

IV.3. Protezione adeguata nello scambio di dati personali con paesi terzi

26. La convenzione 108 riguarda anche i trasferimenti di dati a paesi terzi. Il protocollo addizionale concernente le autorità di controllo ed i flussi transfrontalieri di dati sancisce il principio generale — fatte salve talune deroghe — secondo cui il trasferimento di dati personali a una parte terza è consentito solo se tale parte «assicura un livello di protezione adeguato per il trasferimento di dati in questione». Il principio di «protezione adeguata» è stato attuato e specificato in vari strumenti giuridici dell'Unione europea, non solo in strumenti del primo pilastro sulla protezione dei dati, come la direttiva 95/46/CE ⁽²²⁾, ma anche in strumenti giuridici nell'ambito del terzo pilastro, quali quelli che istituiscono l'Europol e l'Eurojust.

27. Secondo il considerando 12 dell'attuale proposta in caso di trasferimento di dati personali a paesi terzi o organismi internazionali, tali dati dovrebbero, in linea di principio, «godere di un adeguato livello di protezione». Inoltre l'articolo 14 consente che i dati personali trasmessi da un altro Stato membro siano trasferiti a paesi terzi o organismi internazionali se l'autorità che li ha trasmessi ha dato il suo consenso al trasferimento conformemente al diritto nazionale. Le disposizioni della proposta non prevedono quindi la necessità di una protezione adeguata, né criteri o meccanismi comuni per valutare l'adeguatezza.

Ciò significa che ciascuno Stato membro valuterà a sua discrezione il livello di adeguatezza previsto dal paese terzo o organismo internazionale. Ne consegue che l'elenco dei paesi e organismi internazionali adeguati — verso i quali è consentito il trasferimento — varierà notevolmente da uno Stato membro all'altro.

28. Questo quadro giuridico ostacolerebbe inoltre la cooperazione giudiziaria e di polizia. In effetti, nel decidere su una richiesta relativa a un determinato fascicolo penale avanzata da un paese terzo, le autorità di uno Stato membro incaricate dell'applicazione della legge dovranno non solo valutare l'adeguatezza di tale paese, ma anche appurare se ciascuno degli altri Stati membri (fino a 26) che hanno contribuito al fascicolo abbia dato l'autorizzazione, secondo la propria valutazione di adeguatezza riguardo al paese terzo in questione.

29. In tale contesto l'articolo 27 della proposta, concernente la relazione con gli accordi conclusi con paesi terzi, accresce l'incertezza affermando che la decisione quadro non pregiudica gli obblighi e impegni incombenti agli Stati membri o all'UE in virtù di accordi bilaterali e/o multilaterali conclusi con paesi terzi. Secondo il GEPD questa disposizione dovrebbe essere limitata in modo chiaro agli accordi esistenti e dovrebbe prevedere che i futuri accordi siano conformi alle disposizioni della proposta.

30. Il GEPD considera le attuali disposizioni sui trasferimenti di dati personali a paesi terzi o ad organismi internazionali inappropriate per la protezione dei dati personali e inattuabili per le autorità incaricate dell'applicazione della legge. Pertanto il GEPD ribadisce ⁽²³⁾ la necessità di garantire un livello di protezione adeguato quando i dati personali sono trasferiti a paesi terzi o ad organismi internazionali e di istituire meccanismi che assicurino norme comuni e decisioni coordinate in materia di adeguatezza. La stessa opinione è stata espressa in precedenza dal Parlamento europeo e dal Comitato T-PD del Consiglio d'Europa.

IV. 4. Qualità dei dati

31. L'articolo 5 della convenzione 108 stabilisce i principi volti a garantire la qualità dei dati personali. Ulteriori precisazioni figurano in altri strumenti non vincolanti come la raccomandazione n. R (87) 15 e le relative tre valutazioni finora effettuate.

32. Confrontando l'attuale proposta con i suddetti strumenti giuridici risulta evidente che alcune importanti garanzie, in alcuni casi già previste dalla proposta della Commissione, mancano nella versione riveduta:

— L'articolo 3 della proposta non garantisce che i dati siano ottenuti e elaborati in modo lecito, come richiesto all'articolo 5 della convenzione 108.

— La proposta non contiene più disposizioni che prevedano — come richiesto dal principio 3.2 della raccomandazione n. R (87) 15 — che le diverse categorie di dati siano distinte sulla base del loro livello di esattezza ed affidabilità e che i dati basati sui fatti siano distinti dai dati basati su opinioni e considerazioni personali ⁽²⁴⁾. La mancanza di tale requisito comune potrebbe in effetti compromettere lo scambio di dati tra autorità di polizia in quanto queste ultime non saranno in grado di determinare se i dati possano essere considerati «prove», «fatti», «informazioni controllate» o «informazioni non controllate». Ciò potrebbe comportare non solo ostacoli per le operazioni di sicurezza e la raccolta di informazioni che dipendono da tali distinzioni ma anche difficoltà per i giudici ad emettere condanne.

— Non sono operate distinzioni tra le diverse categorie di persone interessate (criminali, indagati, vittime, testimoni, ecc.) né sono previste garanzie specifiche per i dati relativi a persone non indagate, in contrasto con il principio 2 della raccomandazione n. R (87) 15 e relative relazioni di valutazione ⁽²⁵⁾. Ancora una volta tali distinzioni sono necessarie non solo per proteggere i dati personali dei cittadini ma anche per mettere in grado i destinatari di utilizzare appieno i dati ricevuti.

Senza tali distinzioni i servizi di polizia riceventi non possono utilizzare immediatamente i dati ma devono prima stabilire come essi debbano essere qualificati e quindi utilizzati e scambiati per finalità diverse di applicazione della legge.

— L'esame periodico previsto all'articolo 6 non assicura la verifica periodica della qualità dei dati né l'eliminazione dagli archivi di polizia dei dati superflui o inesatti e l'aggiornamento di tali archivi, come previsto dalla raccomandazione n. R (87) 15 ⁽²⁶⁾. L'importanza di tale esame per la protezione dei dati è evidente, ma ancora una volta esso è fondamentale anche per l'efficace funzionamento dei servizi di polizia. Le informazioni datate o obsolete nel migliore dei casi sono inutili e nel peggiore dei casi possono distogliere risorse dalle priorità del momento per concentrarle su questioni che non sono, e non dovrebbero essere, al centro delle indagini.

— Qualora si constati che dei dati personali trasmessi da un altro Stato membro non sono esatti non

esistono obblighi o meccanismi in grado di garantirne la rettifica nello Stato membro di origine.

Ancora una volta la questione dell'esattezza è fondamentale ai fini di un funzionamento efficace dei lavori della polizia e della magistratura. Se la qualità dei dati non può essere garantita ciò si ripercuote negativamente sull'utilità del trasferimento di dati in quanto strumento transfrontaliero di lotta alla criminalità.

33. In tale contesto il GEPD ritiene che le disposizioni relative alla qualità dei dati contenute nell'attuale proposta non siano né appropriate né complete, in particolare tenuto conto della raccomandazione n. R (87) 15 che è stata sottoscritta da tutti gli Stati membri; tali disposizioni prevedono un livello di protezione addirittura inferiore a quello richiesto dalla convenzione 108. È inoltre utile rammentare ancora una volta che l'esattezza dei dati personali giova sia all'applicazione stessa della legge sia al singolo individuo ⁽²⁷⁾.

IV. 5. Scambi di dati personali con autorità non competenti e privati

34. Conformemente al principio 5 (Comunicazione dei dati) della raccomandazione n. R (87) 15, la comunicazione di dati personali da parte di autorità incaricate dell'applicazione della legge ad altri organismi pubblici o a privati dovrebbe essere ammessa soltanto a condizioni specifiche e rigorose. Tali disposizioni, contenute nella proposta iniziale della Commissione ed accolte con favore dal GEPD e dal Parlamento europeo, sono ora state soppresse nella versione riveduta. Il nuovo testo non prevede pertanto alcuna garanzia specifica per i trasferimenti di dati personali a privati o ad autorità diverse dalle autorità incaricate dell'applicazione della legge.

35. Inoltre, l'accesso e l'utilizzo ulteriore da parte delle autorità incaricate dell'applicazione della legge di dati personali controllati da privati dovrebbero essere permessi soltanto a condizioni e limitazioni ben definite. In particolare, come il GEPD ha già osservato nei precedenti pareri, l'accesso da parte delle autorità incaricate dell'applicazione della legge dovrebbe essere consentito soltanto caso per caso, in circostanze e per scopi specifici e sottoposto a controllo giudiziario negli Stati membri. Recenti sviluppi, quali la direttiva 2006/24/CE ⁽²⁸⁾ riguardante la conservazione di dati, l'accordo sul PNR con gli Stati Uniti ⁽²⁹⁾ e l'accesso delle autorità incaricate dell'applicazione della legge ai dati conservati da SWIFT ⁽³⁰⁾ confermano l'importanza fondamentale di tali garanzie. Purtroppo l'attuale proposta non prevede garanzie specifiche relative all'accesso ed all'utilizzo ulteriore di dati raccolti da privati da parte delle autorità incaricate dell'applicazione della legge.

36. In tale contesto il GEPD prende atto che, riguardo agli scambi di dati personali con privati ed autorità non competenti, l'attuale proposta non è conforme ai principi contenuti nella raccomandazione n. R (87) 15 e non affronta la questione fondamentale dell'accesso ed utilizzo ulteriore di dati personali controllati da privati da parte delle autorità incaricate dell'applicazione della legge.

IV.6. Altri punti sostanziali

37. Oltre alle principali preoccupazioni summenzionate, il GEPD desidera segnalare al legislatore i punti seguenti, che, nella maggior parte dei casi, sono stati già trattati più dettagliatamente nei pareri precedenti:

— Categorie particolari di dati L'articolo 7 della proposta riveduta è in contrasto con il divieto in linea di principio stabilito dall'articolo 6 della convenzione 108. Esso non menziona inoltre i dati personali relativi alle condanne penali, che certamente sono molto pertinenti nel contesto della cooperazione giudiziaria e di polizia, né prevede garanzie specifiche riguardo ai dati biometrici e ai profili del DNA.

— Decisioni individuali automatiche. Il GEPD si compiace del fatto che l'articolo 8 inglobi questa disposizione nella proposta riveduta.

— Registrazione e documentazione. Ai fini dell'efficacia della verifica della liceità del trattamento dei dati, l'articolo 11 dovrebbe prevedere opportuni meccanismi per la registrazione o documentazione non solo di tutte le trasmissioni di dati, ma anche di tutti gli accessi ai dati stessi.

— Diritto all'informazione. L'articolo 16 è incompleto, in quanto non menziona le informazioni riguardo all'identità del responsabile del trattamento e dei destinatari. Inoltre, il considerando 13 («[…] potrebbe essere opportuno fornire alla persona interessata le informazioni […]») presenta l'informazione come una semplice possibilità anziché un obbligo fondamentale del responsabile del trattamento.

— Diritto di accesso. L'articolo 17 è incompleto perché l'accesso dovrebbe includere anche le finalità per le quali i dati sono trattati e la comunicazione in forma intelligibile. Inoltre, le eccezioni di cui al paragrafo 2 — ad esempio, il caso in cui l'accesso «sarebbe altrimenti pregiudizievole agli interessi nazionali» — sono troppo generiche e aleatorie. Manca infine un meccanismo atto a garantire che il ricorso presso l'autorità di controllo determini la concessione dell'accesso qualora questo sia stato rifiutato in maniera illecita.

V. NUOVE QUESTIONI SOLLEVATE DALLA PROPOSTA RIVEDUTA

38. La proposta riveduta contiene un elemento del tutto nuovo rispetto alla proposta della Commissione.

Essa copre infatti le attività delle istituzioni e degli organi europei nel terzo pilastro (articolo 1, paragrafo 2 della proposta). In base al considerando 20, sono inclusi i dati trattati dall'Europol, dall'Eurojust e dal sistema d'informazione doganale del terzo pilastro. Nell'articolo 1, paragrafo 2 sono menzionati non solo gli organi ma anche le istituzioni europee, per cui, ad esempio, il trattamento dei dati nell'ambito del Consiglio dovrebbe essere assoggettato alle disposizioni della decisione quadro del Consiglio.

Non è chiaro se gli estensori intendessero prevedere un campo d'applicazione così ampio o se invece volessero limitare l'applicazione ai tre organi citati nel considerando 20. Sarebbe comunque necessario precisare il testo onde evitare l'incertezza giuridica.

39. Ne consegue un'osservazione di carattere più generale: il GEPD ritiene della massima importanza che sia garantito un livello adeguato di protezione dei dati in tutto il terzo pilastro, poiché soltanto a tale condizione si agevolerebbe sufficientemente il libero scambio d'informazioni in uno spazio di libertà, sicurezza e giustizia senza frontiere interne. A tal fine occorrerebbe, tra l'altro, applicare il quadro generale sulla protezione dei dati agli organi europei del terzo pilastro. Il GEPD ha già rilevato quest'esigenza nella parte IV del parere sulla proposta di decisione del Consiglio relativa all'Europol.

40. Nell'ottica di un processo di legiferazione efficace, il GEPD nutre tuttavia seri dubbi sull'opportunità che l'attuale decisione quadro del Consiglio copra le attività degli organi europei attivi nel terzo pilastro. La prima obiezione a tale campo d'applicazione ampio attiene alla politica legislativa. Il GEPD teme che, includendo gli organi europei nel testo attuale, si corra il rischio che le discussioni nel Consiglio si concentrino su questo nuovo elemento anziché sulle disposizioni sostanziali in materia di protezione dei dati, con conseguente complicazione del processo legislativo. La seconda obiezione è di natura giuridica.

Come prima reazione, una decisione quadro del Consiglio — strumento paragonabile alla direttiva nell'ambito del trattato CE — non pare essere lo strumento giuridico adeguato per disciplinare i diritti e gli obblighi degli organi europei. L'articolo 34 del trattato UE introduce tale strumento per il ravvicinamento delle disposizioni legislative e regolamentari degli Stati membri. In ogni caso sussiste il grave rischio che la base giuridica sia contestata durante il processo legislativo, o successivamente.

41. Sempre riguardo allo strumento giuridico scelto, il GEPD ha una posizione analoga sull'articolo 26 del progetto, che prevede l'istituzione di una nuova autorità di controllo comune in sostituzione delle attuali autorità di controllo in materia di trattamento dei dati nell'ambito degli organi del terzo pilastro.

L'intenzione d'istituire tale autorità può apparire di per sé logica: potrebbe determinare un sistema di controllo ancor più efficace e assicurare una maggiore coerenza nel livello di protezione previsto per gli organi istituiti nell'ambito del terzo pilastro.

42. Al momento, siffatta nuova autorità di controllo non è tuttavia immediatamente necessaria. Il controllo stesso funziona in modo soddisfacente. Inoltre, il presidente dell'Eurojust ha sollevato obiezioni circa l'applicazione all'Eurojust di questo sistema di controllo. Senza entrare nel merito di tali obiezioni, è chiaro che, aggiungendo nella decisione quadro del Consiglio la materia del controllo sugli organi dell'UE, si complicherebbe ulteriormente il processo legislativo. In aggiunta, quest'approccio non sarebbe coerente con altre proposte nel settore considerato, attualmente in discussione ⁽³¹⁾ o di recente adozione ⁽³²⁾.

43. In sostanza il GEPD suggerisce di non inserire nel testo della decisione quadro del Consiglio disposizioni relative al trattamento dei dati da patte degli organi dell'UE, e questo per ragioni di efficacia nel processo di legiferazione. È importante che il Consiglio concentri tutti gli sforzi sulle disposizioni sostanziali in materia di protezione dei dati, affinché i cittadini godano della necessaria protezione.

VI. CONCLUSIONI

44. Il GEPD si compiace del nuovo slancio impresso dalla presidenza tedesca. Come già rilevato a più riprese dal GEPD e da altri soggetti competenti, l'adozione di un quadro generale per la protezione dei dati nell'ambito del terzo pilastro è essenziale per sostenere lo sviluppo di uno spazio di libertà, sicurezza e giustizia, in cui il diritto dei cittadini alla protezione dei dati personali sia uniformemente garantito e la cooperazione tra le autorità incaricate dell'applicazione della legge possa aver luogo prescindendo dalle frontiere nazionali.

45. Tuttavia, la proposta riveduta non risponde a nessuno di questi obiettivi. In effetti, in mancanza di un livello di protezione dei dati elevato e di applicazione generale, la proposta assoggetta tuttora gli scambi di informazioni alle diverse «norme di origine» e «doppi standard» nazionali, che incidono fortemente sull'efficacia della cooperazione in materia di applicazione della legge senza tuttavia migliorare la protezione dei dati personali

46. Per fare un esempio concreto, ciò significherebbe che un organo incaricato dell'applicazione della legge, a livello nazionale o di UE, che si occupi di un fascicolo penale costituito da informazioni provenienti da autorità varie — nazionali, di altri Stati membri o dell'UE — dovrebbe applicare norme di trattamento diverse per informazioni diverse a seconda che: i dati personali siano stati rilevati a livello nazionale o meno; ciascuno degli organi che trasmettono i dati abbia dato la sua autorizzazione per la finalità prevista; la registrazione sia conforme ai limiti di tempo stabiliti dalla normativa applicabile di ciascuno degli organi che trasmettono i dati; le restrizioni al trattamento ulteriore chieste da ciascuno degli organi che trasmettono i dati non ostino al trattamento stesso; in caso di richiesta di un paese terzo, ciascun organo che trasmette i dati abbia dato l'autorizzazione in base alla propria valutazione dell'adeguatezza e/o agli impegni internazionali. Inoltre, la protezione e i diritti dei cittadini varieranno notevolmente e saranno oggetto di ampie deroghe diverse a seconda dello Stato membro in cui ha luogo il trattamento.

47. Il GEPD deplora altresì che la qualità legislativa del testo non sia soddisfacente e che la proposta renda questo fascicolo ancora più complesso, in quanto estende l'applicabilità della decisione quadro all'Europol, all'Eurojust e al sistema d'informazione doganale del terzo pilastro e propone la creazione di un'autorità di controllo comune sulla base di uno strumento giuridico inadeguato.

48. Il GEPD giudica preoccupante che l'attuale testo abbia soppresso disposizioni essenziali per la protezione dei dati personali che erano contenute nella proposta della Commissione. In tal modo, viene notevolmente indebolito il livello di protezione dei cittadini. In primo luogo, il testo non apporta alla convenzione 108 quel valore aggiunto che renderebbe le sue disposizioni adeguate sotto il profilo della protezione dei dati, come richiesto dall'articolo 30, paragrafo 1 del trattato UE. In secondo luogo, per molti aspetti non risponde al livello di protezione richiesto dalla convenzione 108. Pertanto, il GEPD è del parere che la proposta necessiti di sostanziali miglioramenti prima di poter servire da base di discussione per un adeguato quadro generale sulla protezione dei dati nell'ambito del terzo pilastro. I miglioramenti dovrebbero garantire che il quadro generale:

— apporti un valore aggiunto alla convenzione 108, stabilendo le adeguate disposizioni sulla protezione dei dati personali richieste dall'articolo 30, paragrafo 1 del trattato UE,

— sia applicabile al trattamento nazionale dei dati personali da parte delle autorità incaricate dell'applicazione della legge,

— sia coerente con i principi sulla protezione dei dati nel quadro del primo pilastro, tenendo conto nel contempo, laddove necessario, anche delle specificità delle attività di applicazione della legge,

— sia in linea con i principi sanciti dalla convenzione 108 e dalla raccomandazione n. R (87) 15, in particolare per quanto riguarda:

— la limitazione delle altre finalità per cui i dati personali possono essere trattati,

— la qualità dei dati, inclusa la distinzione tra le diverse categorie di persone interessate (criminali, indagati, vittime, testimoni, ecc.), la valutazione del diverso livello di accuratezza e attendibilità dei dati personali, i meccanismi intesi ad assicurare la verifica periodica e la rettifica,

— le condizioni per il trasferimento dei dati ad autorità non competenti e privati, nonché l'accesso ed utilizzo ulteriore di dati personali controllati da privati, da parte delle autorità incaricate dell'applicazione della legge,

— assicuri un'adeguata protezione in occasione dello scambio di dati personali con paesi terzi, anche per quanto riguarda gli accordi internazionali,

— tratti gli altri punti menzionati nel presente e nei precedenti pareri del GEPD.

49. Il GEPD è ben consapevole delle difficoltà per raggiungere l'unanimità al Consiglio. Tuttavia, la procedura decisionale non può giustificare un approccio di tipo minimo comun denominatore che leda i diritti fondamentali dei cittadini dell'UE e ostacoli l'efficacia dell'applicazione della legge.

Fatto a Bruxelles, addì 27 aprile 2007

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

(1) GU L 281 del 23.11.1995, pag. 31.

(2) GU L 8 del 12.1.2001, pag. 1.

(3) Il primo parere figura nella GU C 47 del 25.2.2006, pag. 27; il secondo parere è disponibile sul sito web del GEPD www. edps.europa.eu .

(4) Convenzione del Consiglio d'Europa, del 28 gennaio 1981, sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale.

(5) Documento del Consiglio n. 5435/07 del 18 gennaio 2007, disponibile al seguente indirizzo: register.consilium.europa.eu.

(6) Documento del Consiglio n. 7315/07 del 13 marzo 2007, disponibile al seguente indirizzo: register.consilium.europa.eu.

(7) Accordo interistituzionale del 22 dicembre 1998 sugli orientamenti comuni relativi alla qualità redazionale della legislazione comunitaria, GU C 73 del 17.3.1999, pag. 1. Esempi figurano nel capitolo V del presente parere.

(8) Si vedano, ad esempio, l'articolo 14 sui trasferimenti a paesi terzi e organismi internazionali, l'articolo 12, paragrafo 1, lettera d) sull'ulteriore trattamento dei dati personali, l'articolo 10 sul rispetto dei limiti di tempo per la cancellazione e l'esame, l'articolo 13 sul rispetto delle restrizioni nazionali al trattamento.

(9) Il Parlamento europeo ha adottato la sua prima risoluzione sulla proposta iniziale della Commissione il 27 settembre 2006. Si attende per giugno una seconda risoluzione, sulla proposta riveduta.

(10) V. anche il piano d'azione del Consiglio e della Commissione per l'attuazione del programma dell'Aia sul rafforzamento della libertà, della sicurezza e della giustizia nell'Unione europea, GU C 198 del 12.8.2005, pag. 1.

(11) Il 24 gennaio 2006, la conferenza delle autorità europee per la protezione dei dati ha espresso un parere, disponibile come documento 6329/06 sul sito register.consilium.europa.eu. Il 20 marzo 2007 il Comitato consultivo del Consiglio d'Europa per la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (T-PD) ha adottato un documento che schematizza le sue osservazioni iniziali, disponibile sul sito www.coe.int/dataprotection/.

(12) V. più recentemente il parere del GEPD del 4 aprile 2007 sull'iniziativa di 15 Stati membri per l'adozione di una decisione del Consiglio sul rafforzamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo ed alla criminalità transfrontaliera, punto 60.

(13) Raccomandazione n. R(87)15 del Comitato dei Ministri del Consiglio d'Europa agli Stati membri tesa a regolamentare l'utilizzo dei dati a carattere personale nel settore della polizia, adottata il 17 settembre 1987 e disponibile sul sito www. coe.int/dataprotection/.

(14) P. es quelli riguardanti l'Europol, l'Eurojust e il sistema d'informazione doganale del terzo pilastro.

(15) P. es. le recenti iniziative riguardanti l'Europol, il trattato di Prüm e l'accesso delle autorità incaricate dell'applicazione della legge alla base dei dati VIS.

(16) Proposta di decisione del Consiglio relativa all'accesso per consultazione al sistema d'informazione visti (VIS) da parte delle autorità degli Stati membri competenti per la sicurezza interna e dell'Europol ai fini della prevenzione, individuazione e investigazione di reati terroristici e di altri reati gravi (COM(2005) 600 defin.).

(17) Sulla stessa linea, v. anche il memorandum esplicativo della raccomandazione n. R (87) 15 , punto 37.

(18) Cfr. documenti citati nella nota in calce 9.

(19) Per argomentazioni più dettagliate cfr. punti 11-13 del secondo parere del GEPD.

(20) Nella giurisprudenza consolidata in questo settore, il caso Rotaru c/ Romania è quello più esplicito.

(21) Non basta partire dal presupposto che, in tutte le circostanze e in tutti i casi, la polizia operi nei limiti dei suoi obblighi di legge.

(22) In relazione a questo punto va rilevato che la Commissione ha recentemente dichiarato, nella comunicazione del 7 marzo 2007 sul seguito dato al programma di lavoro per una migliore applicazione della direttiva sulla protezione dei dati, che le norme previste nella direttiva 95/46/CE per quanto riguarda i trasferimenti di dati personali a paesi terzi sono sostanzialmente adeguate e non richiedono modifiche.

(23) Cfr. le preoccupazioni già espresse nel primo parere, punto IV.8 e nel secondo parere, punti 22 e 23.

(24) Secondo il punto 52 del memorandum esplicativo della raccomandazione, dovrebbe essere possibile distinguere i dati avvalorati da quelli non avvalorati, inclusa la valutazione del comportamento umano, i fatti dalle opinioni, le informazioni attendibili (e i vari gradi di attendibilità) dalle supposizioni, i motivi ragionevoli di ritenere le informazioni esatte dalla convinzione infondata della loro accuratezza. Cfr. anche la seconda valutazione della pertinenza della raccomandazione R (87)15 tesa a regolamentare l'utilizzo dei dati a carattere personale nel settore della polizia (1998), punto 5.1.

(25) Cfr. in particolare il punto 5.2 della seconda valutazione, di cui sopra, e i punti 24-27 della terza valutazione della raccomandazione R(87)15 tesa a regolamentare l'utilizzo dei dati a carattere personale nel settore della polizia (2002).

(26) Cfr. il principio 7 (Durata della conservazione e aggiornamento dei dati) e il memorandum esplicativo, punti 96-98.

(27) Memorandum esplicativo della raccomandazione R (87)15, punto 74.

(28) Direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, (GU L 105, pag. 54).

(29) Accordo tra l'Unione europea e gli Stati Uniti d'America sul trattamento e trasferimento dei dati del codice di prenotazione (PNR) da parte di vettori aerei al dipartimento per la sicurezza interna degli Stati Uniti, GU L 298 del 27.10.2006, pag. 29.

(30) V. parere 10/2006 del gruppo dell'articolo 29 sul trattamento dei dati personali da parte della Società per le telecomunicazioni finanziarie interbancarie mondiali (SWIFT), disponibile su http://ec.europa.eu/justice_home/fsj/privacy/docs/ wpdocs/2006/wp128_en.pdf, e parere del GEPD sul ruolo della Banca centrale europea nella questione SWIFT, disponibile sul sito del GEPD.

(31) Ad esempio, la recente proposta della Commissione che istituisce l'Ufficio europeo di polizia (COM(2006)817 definitivo).

(32) Regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II), GU L 381 del 28.12.2006, pag. 4.