Parere del Garante europeo della protezione dei dati (GEPD) su varie proposte legislative che impongono determinate misure restrittive specifiche nei confronti di Somalia, Zimbabwe, Repubblica democratica di Corea e Guinea

Parere del garante europeo della protezione dei dati su varie proposte legislative che impongono determinate misure restrittive specifiche nei confronti di Somalia, Zimbabwe, Repubblica democratica di Corea e Guinea

(Pubblicato sulla GUUE n. C 73 del 23/3/2010)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,

vista la carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹ ⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽² ⁾, in particolare l'articolo 41,

viste le richieste di parere a norma dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001 inviate al GEPD il 29 luglio, 18 settembre e 26 novembre 2009,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 27 luglio 2009, la Commissione ha adottato la proposta di regolamento del Consiglio che impone specifiche misure restrittive nei confronti di determinate persone fisiche e giuridiche, entità e organismi in considerazione della situazione in Somalia, nonché la proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 314/2004 del Consiglio relativo a talune misure restrittive nei con fronti dello Zimbabwe. Il 18 settembre, la Commissione ha altresì adottato la proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 329/2007 del Consiglio relativo a misure restrittive nei confronti della Repubblica democratica popolare di Corea. Inoltre, il 23 novembre la Commissione ha adottato la proposta di regolamento del Consiglio che istituisce determinate misure restrittive specifiche nei confronti della Guinea. Tutte queste proposte sono state trasmesse dalla Commissione al GEPD per consultazione, a norma dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001. Il GEPD ricorda di avere altresì formulato osservazioni informali sui progetti di queste proposte nonché su altri progetti di proposte volte a modificare analoghi regolamenti del Consiglio che impongono il congelamento di fondi e altre misure restrittive.

2. Il GEPD si rallegra di essere stato consultato e del fatto che nel preambolo delle proposte si faccia riferimento a tale consultazione, come già avvenuto in una serie di altri testi legislativi sui quali il GEPD è stato consultato, conformemente al regolamento (CE) n. 45/2001.

II. PROPOSTE ED ELEMENTO CENTRALE DEL PRESENTE PARERE DEL GEPD

3. Tutte queste proposte, modificando la legislazione attuale o proponendo nuovi strumenti giuridici, mirano a lottare contro il terrorismo o le violazioni dei diritti umani mediante l’imposizione di misure restrittive — segnatamente il congelamento dei beni e il divieto di viaggio — nei confronti di persone fisiche e giuridiche sospettate di associazione con organizzazioni terroristiche e/o con taluni governi. In tale ottica, la Commissione europea pubblica e pubblicizza«elenchi neri» delle persone fisiche o giuridiche oggetto di tali misure restrittive.

4. Il GEPD ha già formulato un parere, in data 28 luglio 2009, sulla proposta di regolamento del Consiglio recante modifica del regolamento (CE) n. 881/2002 che impone specifiche misure restrittive nei confronti di determinate persone ed entità associate a Osama bin Laden, alla rete Al-Qaeda e ai Talebani (in appresso «la proposta Al- Qaeda»). In tale parere, accogliendo con favore l’intenzione della Commissione di potenziare la tutela dei diritti fondamentali, inclusa la protezione dei dati personali, ha raccomandato di modificare e/o precisare taluni aspetti della proposta al fine di rispettare i principi essenziali dell’UE in materia di protezione dei dati. Il GEPD ha seguito attentamente l'evoluzione dei negoziati svoltisi in seno al Consiglio sulla proposta Al-Qaeda ⁽³⁾ e si rammarica della soppressione o sostanziale riduzione di molte disposizioni relative alla protezione dei dati personali.

5. Le argomentazioni già esposte in detto parere restano tuttora valide e la maggior parte di esse si applica in certa misura anche alle presenti proposte, che contengono molte disposizioni analoghe a quelle della proposta citata. Il presente parere, tenendo conto di tutte le proposte finora ricevute per consultazione dal GEPD e dell'evoluzione dei negoziati in seno al Consiglio, verterà sull’applicazione dei principi in materia di protezione dei dati nel settore delle misure restrittive e presenterà raccomandazioni di miglioramento. Le raccomandazioni terranno altresì conto dell’entrata in vigore del trattato di Lisbona e degli importanti orientamenti politici stabiliti dal programma di Stoccolma adottato di recente ⁽⁴ ⁾. Questo approccio permetterà al GEPD di formulare ulteriori pareri sulle proposte legislative nel settore in questione nella misura in cui tali nuove proposte divergono sostanzialmente dalle disposizioni delle proposte attuali.

6. Il presente parere verte sugli aspetti delle misure restrittive direttamente legati alla protezione dei dati personali e, in particolare, sugli aspetti che il GEPD raccomanda di chiarire nel settore in questione, al fine di garantire la certezza del diritto e l’efficacia delle misure. Il presente parere non affronta né incide su altre questioni sostanziali che pos sono essere connesse all’inclusione in un elenco in applicazione di altre norme.

III. QUADRO GIURIDICO

7. Le proposte della Commissione mirano a tenere conto della giurisprudenza della Corte di giustizia, la quale ha ribadito in svariate occasioni che le norme dell'UE in materia di tutela dei diritti fondamentali dovrebbero essere rispettate indipendentemente dal fatto che le misure restrittive siano adottate a livello di UE o provengano da organizzazioni internazionali come le Nazioni Unite ⁽⁵ ⁾.

8. I diritti fondamentali dell'UE includono anche il diritto alla protezione dei dati personali, riconosciuto dalla Corte di giustizia come uno dei principi derivanti dall'articolo 6, paragrafo 2 del trattato UE e ulteriormente confermato dall'articolo 8 della Carta dei diritti fondamentali del l'UE ⁽⁶⁾. Nel contesto delle misure restrittive, il diritto alla protezione dei dati personali svolge un ruolo determinante in quanto contribuisce anche all'effettivo rispetto di altri diritti fondamentali, quali il diritto alla difesa, il diritto all’audizione e il diritto ad una tutela giurisdizionale effettiva.

9. In tale ottica il GEPD, come già fatto nel parere del 28 luglio 2009 riguardo alle misure restrittive nei confronti di Al-Qaeda, accoglie favorevolmente l’intenzione della Commissione di migliorare l’attuale quadro giuridico rafforzando la procedura d’inserimento nell’elenco e tenendo espressamente conto del diritto alla protezione dei dati personali. Le misure restrittive si basano sul trattamento dei dati personali, che di per sé — indipendentemente dal congelamento dei beni — è sottoposto alle norme e alle garanzie concernenti la protezione dei dati.

Pertanto è estremamente importante fornire chiarezza e certezza del diritto sulle norme applicabili al trattamento dei dati personali di coloro che sono inseriti nell'elenco, anche per garantire la liceità e legittimità delle misure restrittive.

10. Il programma di Stoccolma chiarisce che «ove si tratti di valutare il rispetto della vita privata delle persone nello spazio di libertà, sicurezza e giustizia, il diritto alla libertà risulta preponderante» e che l’UE dovrebbe promuovere l’applicazione dei principi in materia di protezione dei dati all’interno dell'UE e nell’ambito delle relazioni con i paesi terzi.

11. L’entrata in vigore del trattato di Lisbona rafforza il quadro giuridico in questo settore. Da un lato, stabilisce due nuove basi giuridiche (gli articoli 75 e 215 del trattato FUE), consentendo all’UE di adottare misure restrittive nei confronti di persone fisiche o giuridiche e gruppi o entità non statali. Dall’altro, l’articolo 16 del trattato FUE e l’articolo 39 del trattato UE ribadiscono il diritto alla protezione dei dati e la necessità di norme e garanzie in materia di protezione dei dati in tutti i settori di competenza dell'Unione europea, e la Carta dei diritti fondamentali dell’UE acquista un valore vincolante che, come riconosce esplicitamente il programma di Stoccolma, «renderà più stringente per l'Unione, ed anche per le sue istituzioni, l'obbligo di garantire la promozione attiva dei diritti fondamentali in tutti i settori di sua competenza» ⁽⁷ ⁾.

12. In particolare, per quanto riguarda il trattamento dei dati personali effettuato dalle istituzioni dell’UE, l’articolo 16 del trattato FUE si applica a tutte le attività dell’UE, compresa la politica estera e di sicurezza comune, mentre l’articolo 39 del trattato UE prevede una procedura decisionale diversa per il trattamento dei dati personali effettuato dagli Stati membri nel campo della politica estera e di sicurezza comune. La Corte di giustizia diventa pienamente competente, anche nel settore della politica estera e di sicurezza comune, a valutare la legittimità — e in particolare il rispetto dei diritti fondamentali — delle decisioni che prevedono misure restrittive nei confronti di persone fisiche o giuridiche (articolo 275 del trattato FUE).

13. Inoltre, l’adesione dell’UE alla Convenzione europea dei diritti dell’uomo, prevista dal trattato di Lisbona, renderà le posizioni del Consiglio d’Europa riguardanti l'inserimento negli «elenchi neri» ⁽⁸⁾ e la giurisprudenza della Corte europea dei diritti dell’uomo ancora più pertinenti per il quadro giuridico dell’UE.

14. In tale contesto, l’articolo 8 della Carta dei diritti fondamentali riveste particolare importanza, soprattutto quando specifica che i dati personali sono trattati in base a un fondamento legittimo previsto dalla legge e che «ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano». Questi elementi essenziali della protezione dei dati devono essere rispettati da tutte le misure dell’UE e le persone fisiche possono persino esigere l’effetto diretto — indipendentemente da un esplicito riconoscimento nella legislazione derivata dell’UE — dei diritti conferiti da tale articolo.

15. Il nuovo quadro giuridico risultante dall’entrata in vigore del trattato di Lisbona comporta per il legislatore gli strumenti e l’obbligo di prevedere norme esaurienti e coerenti per la protezione dei dati personali, anche nel settore delle misure restrittive. L’importanza di tale obbligo è ancora maggiore se si tiene conto della proliferazione e della crescente durata di questo tipo di misure, che hanno conseguenze di ampia portata per le persone interessate.

16. In tale ottica, il GEPD raccomanda vivamente che la Commissione abbandoni l’attuale approccio frammentario — che comporta l’adozione, in materia di trattamento di dati personali, di norme specifiche e talvolta differenti per ciascun paese o organizzazione — e proponga, per tutte le sanzioni mirate applicate dall’UE nei confronti di persone fisiche o giuridiche, entità o organismi, un quadro generale e coerente che garantisca il rispetto dei diritti fondamentali delle persone interessate e, in particolare, il rispetto del diritto fondamentale alla protezione dei dati personali. Le necessarie limitazioni a tali diritti dovrebbero essere chiaramente previste dalla legge nonché proporzionate e rispettare, in ogni caso, la sostanza di tali diritti.

17. Secondo il GEPD, tale sforzo dovrebbe essere perseguito parallelamente all’obiettivo stabilito dal Consiglio europeo nel programma di Stoccolma di restare attivi «per migliorare la struttura, l'attuazione e l'efficacia delle sanzioni del Consiglio di sicurezza dell'ONU nell'intento di salvaguardare i diritti fondamentali e assicurare procedure eque e chiare» ⁽⁹ ⁾.

18. I punti che seguono, in cui si analizzano le proposte attuali, non solo formuleranno raccomandazioni intese a migliorare le disposizioni di tali proposte, ma evidenzieranno anche gli aspetti della protezione dei dati che non sono attualmente contemplati e che il GEPD raccomanda di chiarire in questi strumenti giuridici oppure in un quadro più generale.

IV. ANALISI DELLE PRINCIPALI DISPOSIZIONI E PRINCIPI RELATIVI AL TRATTAMENTO DEI DATI PERSONALI NEL QUADRO DELLE MISURE RESTRITTIVE NEI CONFRONTI DI PERSONE FISICHE

IV.1. Legislazione applicabile in materia di protezione dei dati

19. Come già segnalato nel parere del GEPD del 28 luglio 2009, le norme in materia di protezione dei dati stabilite dal regolamento (CE) n. 45/2001 si applicano al trattamento dei dati personali effettuato dalle istituzioni dell’UE nel settore delle misure restrittive, anche quando tali misure provengono da organizzazioni internazionali o posizioni comuni adottate nel contesto della politica estera e di sicurezza comune.

20. In tale ottica, il GEPD accoglie favorevolmente i riferimenti contenuti nelle attuali proposte all’applicabilità del regolamento (CE) n. 45/2001, nonché ai diritti degli interessati derivanti dal medesimo. Tuttavia, il GEPD si rammarica che l’evoluzione dei negoziati relativi alle misure restrittive nei confronti di Al-Qaeda abbia dato luogo alla soppressione di alcuni di questi riferimenti.

21. In proposito, il GEPD desidera sottolineare che tali soppressioni non escludono né limitano l’applicabilità degli obblighi e diritti degli interessati che non sono più esplicitamente menzionati negli strumenti giuridici. Il GEPD è tuttavia del parere che l’esplicita menzione e trattazione degli aspetti relativi alla protezione dei dati negli strumenti giuridici concernenti misure restrittive non solo rafforza la tutela dei diritti fondamentali, ma evita anche che questioni delicate restino poco chiare e diano quindi luogo ad azioni dinanzi ai tribunali.

22. In un’ottica più generale, il GEPD rileva che, a norma dell’articolo 8 della Carta dei diritti fondamentali dell'UE, «ogni individuo ha diritto alla protezione dei dati di carattere personale». Questo diritto fondamentale dovrebbe quindi essere garantito nell’Unione europea, indipendentemente dalla nazionalità, dal luogo di residenza o dall’attività professionale delle persone interessate. Ciò significa che, se possono risultare necessarie limitazioni a tale diritto nel quadro delle misure restrittive, non si può applicare un’esclusione di principio o generale di tale diritto nei confronti di categorie di persone quali quelle aventi legami con il governo di un paese terzo.

IV.2. Qualità dei dati e limitazione delle finalità

23. Conformemente alle norme applicabili in materia di protezione dei dati [articolo 4 del regolamento (CE) n. 45/2001], i dati personali devono essere trattati in modo corretto e lecito, rilevati per finalità determinate, esplicite e legittime e successivamente trattati in modo non incompatibile con tali finalità, adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati. I dati personali devono essere esatti e aggiornati e devono essere adottate tutte le misure ragionevoli per garantire che i dati che sono inaccurati o incompleti siano cancellati o rettificati.

Inoltre, i dati personali devono essere conservati in modo da consentire l’identificazione dell’interessato per e non oltre il tempo necessario a conseguire le finalità per le quali sono rilevati o successivamente trattati.

24. Il GEPD constata con soddisfazione che le proposte della Commissione ⁽¹⁰⁾ definiscono chiaramente le categorie di dati personali che saranno trattati nel quadro delle misure restrittive e disciplinano esplicitamente il trattamento dei dati personali inerenti a reati, condanne penali e misure di sicurezza.

25. In tale contesto il GEPD esprime soddisfazione per il principio stabilito all’articolo 7 sexies, paragrafo 3 della proposta Al-Qaeda, secondo cui il cognome e i nomi dei genitori della persona fisica possono essere inclusi nell'allegato solo allorché sono necessari in un caso specifico al solo scopo di verificare l'identità della persona fisica interessata. Questa disposizione rispecchia bene inoltre il principio in materia di protezione dei dati concernente la limitazione delle finalità, il quale prevede che i dati personali siano raccolti per finalità determinate e siano trattati ulteriormente in modo non incompatibile con le suddette finalità.

26. Per garantire che tale principio sia specificato adeguatamente e applicato in relazione all'intero trattamento dei dati personali nel settore in questione, il GEPD raccomanda espressamente di applicare questo principio a tutte le categorie di dati, modificando gli articoli pertinenti in modo che l’allegato con l’elenco delle persone debba «contenere solo le informazioni necessarie al fine di verificare l'identità delle persone fisiche incluse nell'elenco e in ogni caso non andar oltre le seguenti informazioni». Questa modifica per metterebbe di evitare la raccolta e pubblicazione di informazioni non indispensabili sulle persone fisiche incluse nell’elenco e sulle loro famiglie.

27. Inoltre, il GEPD suggerisce che le proposte prevedano esplicitamente che i dati personali saranno soppressi o resi anonimi non appena risulterà che non sono più necessari, in ciascun caso, per l’attuazione delle misure restrittive o per un procedimento in corso dinanzi alla Corte di giustizia.

28. Riguardo all’obbligo di conservare dati personali esatti e aggiornati, le proposte attuali adottano approcci diversi.

La proposta relativa alla Somalia, che rispecchia quella su Al-Qaeda, stabilisce che quando l’ONU decide di depennare una persona dall’elenco, la Commissione dovrebbe modificare l’elenco dell’UE di conseguenza (articolo 11, paragrafo 4). La proposta relativa alla Repubblica democratica popolare di Corea prevede invece l’obbligo di riesaminare l’elenco dell'UE a intervalli regolari e almeno ogni 12 mesi (articolo 6, paragrafo 2). Le altre proposte non fanno riferimento a nessuno di tali meccanismi.

29. Nondimeno, tutti gli elenchi dell’UE, indipendentemente dal paese bersaglio e dal fatto di essere adottati direttamente a livello di UE o di attuare decisioni dell’ONU, devono conformarsi al principio della qualità dei dati, che nel settore delle misure restrittive riveste un’importanza decisiva. Invero, come ha recentemente osservato il Tribunale ⁽¹¹ ⁾, quando le misure restrittive si basano su indagini di polizia e sicurezza, gli sviluppi di tali indagini — come la chiusura dell’indagine, l’abbandono dell’azione o l’assoluzione — dovrebbero essere presi in debita considrazione all’atto del riesame degli elenchi per evitare che i fondi di una persona siano congelati indefinitamente al di fuori di qualsiasi controllo giurisdizionale e a prescindere dall’esito dei procedimenti giudiziari eventualmente seguiti.

30. In tale contesto, il GEPD raccomanda che, per tutte le proposte attuali e future relative a tale settore, si instaurino meccanismi efficaci per depennare le persone fisiche e riesaminare gli elenchi dell’UE a intervalli regolari.

IV.3. Informazioni alle persone incluse negli elenchi

31. Nel parere del 28 luglio 2009, il GEPD ha accolto con favore l’intenzione della Commissione di rafforzare il rispetto dei diritti fondamentali fornendo alle persone interessate la possibilità di essere informate sulle ragioni dell'inclusione negli elenchi nonché l'opportunità di esprimere le loro opinioni in materia. Lo stesso tipo di disposizione è ora proposto per la Somalia ⁽¹²⁾ e la Guinea ⁽¹³⁾, mentre per lo Zimbabwe ⁽¹⁴⁾ il diritto ad essere informati sulle ragioni dell’inclusione e ad esprimere la propria opinione è limitato alle persone non aventi legami con il governo. La proposta relativa alla Repubblica democratica popolare di Corea non menziona neppure tale possibilità.

32. Il GEPD rammenta l’obbligo di fornire informazioni agli interessati a norma dell’articolo 11 e, in particolare, dell’articolo 12 del regolamento (CE) n. 45/2001, relativo alle informazioni da fornire nel caso in cui i dati non siano stati raccolti presso l'interessato. Queste disposizioni devono essere rispettate nei confronti di tutte le persone, indipendentemente dalla loro nazionalità o dai loro legami con il governo di un determinato paese. Ovviamente esistono diverse maniere di fornire le informazioni alle persone incluse negli elenchi, che possono essere adattate allo specifico contesto politico delle misure restrittive. Inoltre, se si possono stabilire limitazioni o deroghe a norma dell’articolo 20 del regolamento (CE) n. 45/2001 ⁽¹⁵⁾ nella misura in cui le stesse risultano necessarie nelle circostanze specifiche, non si può prevedere un’esclusione generale e illimitata dell’obbligo di fornire informazioni.

33. In tale contesto il GEPD raccomanda che, in tutte le pro poste attuali e future nel settore, si trattino in modo più esplicito il diritto di informazione delle persone incluse negli elenchi nonché le condizioni e modalità delle limitazioni che possono risultare necessarie.

IV.4. Diritti degli interessati, segnatamente il diritto di accedere ai dati personali che li riguardano

34. L’articolo 8, paragrafo 2 della Carta dei diritti fondamentali dell'UE dispone che «ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica», rendendo il diritto di accesso uno degli elementi centrali del diritto fondamentale alla protezione dei dati personali.

Sulla stessa linea, l'articolo 13 del regolamento (CE) n. 45/2001 accorda all'interessato il diritto, entro tre mesi dalla ricezione della richiesta d'informazioni, di ottenere liberamente, in qualunque momento e gratuitamente dal responsabile del trattamento, tra l'altro, la comunicazione in forma intelligibile dei dati oggetto del trattamento [ved. la lettera c)].

35. Nel settore delle misure restrittive, i dati personali relativi alle persone incluse negli elenchi e segnatamente i dati che giustificano tali inclusioni, sono spesso contenuti in docmenti classificati. Riguardo a tali documenti, tutte le proposte della Commissione prevedono le medesime disposizioni: innanzitutto, si dispone che qualora le Nazioni Unite o uno Stato forniscano informazioni classificate, la Com missione debba trattare tali informazioni in conformità alle sue disposizioni interne sulla sicurezza [decisione 2001/844/CE, CECA, Euratom ⁽¹⁶⁾] e, se del caso, all'accordo sulla sicurezza delle informazioni classificate concluso tra l'Unione europea e lo Stato che ha fornito le informazioni; in secondo luogo, si specifica che i documenti classificati a un livello corrispondente a «EU Top Secret», «EU Secret» o «EU Confidential» non vengano diffusi senza il consenso della fonte ⁽¹⁷ ⁾.

36. Il GEPD ha già analizzato in modo particolareggiato tali disposizioni nel parere del 28 luglio 2009 ⁽¹⁸⁾ e ha rilevato che né le norme interne della Commissione sulla sicurezza né l’accordo con i singoli Stati membri o l’ONU trattano la questione dell’accesso degli interessati ai dati personali che li riguardano. Inoltre, anche se si possono prevedere limitazioni al diritto di accesso nel settore delle misure restrittive, le disposizioni attuali non garantiscono che una limitazione al diritto di accesso venga stabilita solo nel caso in cui sia necessaria né forniscono criteri sostanziali per valutarne la necessità. Invero, conformemente alle proposte, il diritto di accesso sarebbe soggetto all'obbligo incondizionato di ottenere il consenso della fonte, il che lascerebbe piena discrezionalità alla fonte delle informazioni, che può anche essere una parte non sottoposta alla legislazione e alle norme dell'UE in materia di protezione dei diritti fondamentali.

37. I negoziati in seno al Consiglio hanno dato luogo alla soppressione di tale disposizione nella proposta relativa ad Al-Qaeda.

38. In tale contesto, il GEPD raccomanda vivamente al legislatore di trattare, in tutte le proposte attuali e future, la questione essenziale del diritto delle persone incluse negli elenchi ad accedere — direttamente o indirettamente tramite altre autorità ⁽¹⁹⁾ — ai dati personali che le riguardano contenuti nei documenti classificati, fatte salve le limitazioni proporzionate che possono essere necessarie in determinate circostanze.

39. Il GEPD desidera ricordare che il regolamento (CE) n. 45/2001 stabilisce altri diritti degli interessati che il legislatore può ritenere opportuno trattare nelle proposte presenti e future. In particolare, l’articolo 14 del regolamento (CE) n. 45/2001 prevede l’obbligo per il responsabile del trattamento di procedere alla pronta rettifica di dati personali inesatti o incompleti, mentre l’articolo 17 lo obbliga a notificare eventuali rettifiche o cancellazioni — come nel caso del depennamento dagli elenchi — ai terzi ai quali sono stati comunicati i dati, a meno che ciò non risulti impossibile o sproporzionatamente difficile.

40. Inoltre, il GEPD constata con soddisfazione che tutte le proposte prevedono espressamente la designazione di un’unità della Commissione europea come responsabile del trattamento, accrescendo in tal modo la visibilità di tale responsabile e agevolando l’esercizio dei diritti degli interessati nonché l'attribuzione delle responsabilità di cui al regolamento (CE) n. 45/2001.

IV.5. Salvaguardie applicate agli scambi di dati con i paesi terzi e le organizzazioni internazionali

41. Una questione importante, che per il momento non è esplicitamente affrontata nelle proposte ma è implicita nella procedura d’inserimento negli elenchi, è quella di garantire l’adeguata protezione dei dati personali quando l’UE li scambia con paesi terzi e organizzazioni internazionali quali le Nazioni Unite.

42. A tale riguardo il GEPD desidera richiamare l'attenzione sull'articolo 9 del regolamento (CE) n. 45/2001, che stabilisce le condizioni per il trasferimento di dati personali a destinatari diversi dagli organismi comunitari e non soggetti alla direttiva 95/46/CE. È disponibile un'ampia gamma di soluzioni, dal consenso dell'interessato [paragrafo 6, lettera a)] e l'esercizio di un diritto in via giudiziale [paragrafo 6, lettera d)] — che potrebbe essere utile qualora l'informazione sia stata fornita dalla persona inserita nell'elenco affinché tale inserimento sia riesaminato — all'esistenza nell'ambito dell'ONU o del pertinente paese terzo di meccanismi per garantire un'adeguata protezione dei dati personali trasmessi dall'UE.

43. Il GEPD, nel ricordare che le diverse attività di trattamento previste dovrebbero essere in linea con questo sistema, raccomanda al legislatore di garantire che siano instaurati adeguati meccanismi e salvaguardie — quali precisazioni nelle proposte nonché accordi con l’ONU o altri paesi terzi pertinenti — al fine di garantire un'adeguata protezione dei dati personali scambiati con paesi terzi e organizzazioni internazionali.

IV.6. Limitazioni e restrizioni necessarie ai diritti in materia di protezione dei dati

44. Il GEPD è del parere che la questione delle limitazioni e restrizioni a taluni diritti fondamentali, quali la protezione dei dati personali, svolga un ruolo decisivo nel settore delle misure restrittive, in quanto le limitazioni e restrizioni possono risultare necessarie per garantire l’efficace e corretta applicazione delle misure restrittive stesse.

45. La Convenzione europea dei diritti dell’uomo, la Carta dei diritti fondamentali dell’UE e gli strumenti specifici sulla protezione dei dati, incluso l’articolo 20 del regolamento (CE) n. 45/2001, prevedono questa possibilità, fatte salve talune condizioni che sono state ribadite e chiarite dalla Corte europea dei diritti dell’uomo e dalla Corte di giustizia europea ⁽²⁰⁾. In poche parole, tali limitazioni al diritto fondamentale alla protezione dei dati dovrebbero basarsi su misure legislative e soddisfare un criterio rigoroso di proporzionalità, ossia dovrebbero limitarsi — sia nel merito sia nell'applicazione temporale — a quanto necessario ai fini del pubblico interesse in questione, come confermato dall’ampia giurisprudenza della Corte di giustizia, anche nell'ambito delle misure restrittive. Limitazioni generali, sproporzionate o imprevedibili non soddisferebbero tale criterio.

46. Ad esempio occorrerà ritardare le informazioni agli interessati se necessario per mantenere l'«effetto sorpresa» della decisione di inserire l'interessato nell'elenco e di congelare i suoi beni. Tuttavia, come ha osservato il Tribunale nella sua giurisprudenza ⁽²¹⁾, continuare a rifiutare o ritardare tali informazioni, anche dopo il congelamento, sarebbe superfluo e quindi sproporzionato. Se è possibile prevedere li mitazioni proporzionate e temporanee al diritto degli interessati di accedere ai dati personali che li riguardano — incluse le informazioni relative alle decisioni sui cui si basa

l’inserimento negli elenchi — un’esclusione generale e permanente di tale diritto non rispetterebbe la sostanza del diritto fondamentale alla protezione dei dati personali.

47. Il regolamento (CE) n. 45/2001 già offre un quadro giuridico che contempla sia limitazioni che salvaguardie. I paragrafi 3 e 4 dell'articolo 20 contengono norme relative all'applicazione di una limitazione. Conformemente al paragrafo 3, l'istituzione interessata dovrebbe informare l'interessato dei principali motivi della limitazione e del suo diritto di adire il GEPD. Il paragrafo 4 contiene un'ulteriore norma che fa specifico riferimento a una limitazione del diritto di accesso. In esso si afferma che il GEPD, nell'esaminare un reclamo basato sul paragrafo precedente, comunica all'interessato solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie ⁽²² ⁾.

48. Tutte le proposte attuali affrontano la questione delle limitazioni ai diritti di protezione dei dati solo parzialmente o implicitamente, lasciando spazio a conflitti di norme e diverse interpretazioni possibili che possono essere contestate dinanzi ai tribunali. I negoziati relativi alla proposta Al-Qaeda sembrano andare in direzione di una riduzione dei riferimenti ai diritti in materia di protezione dei dati e alla necessità di limitazioni.

49. In tale contesto, il GEPD raccomanda che il legislatore affronti questa delicata questione precisando nelle proposte attuali o in un altro strumento giuridico le limitazioni ai principi relativi alla protezione dei dati nonché le salva guardie che possono risultare necessarie nel settore delle misure restrittive. Ciò renderebbe prevedibili e proporzionate le limitazioni, garantendo così al tempo stesso l’efficacia delle misure restrittive, il rispetto dei diritti fondamentali e la riduzione del contenzioso dinanzi ai tribunali.

Inoltre, ciò è conforme al programma di Stoccolma, il quale indica chiaramente che l’UE prevede e regola le circostanze in cui è giustificato l'intervento dei pubblici poteri nell'esercizio dei diritti in materia di protezione dei dati ⁽²³ ⁾.

IV.7. Responsabilità in caso di trattamento illecito di dati personali

50. Ai sensi dell'articolo 32, paragrafo 4 del regolamento (CE) n. 45/2001 nonché dell'articolo 23 della direttiva 95/46/CE, chiunque abbia subito un danno cagionato da un trattamento illecito dei dati ha il diritto di ottenere dal responsabile del trattamento il risarcimento del danno subito, a meno che questi non provi che l'evento dannoso non gli è imputabile. Si tratta di una specificazione del

concetto giuridico generale di responsabilità, mediante inversione dell'onere della prova.

51. In tale ottica le misure restrittive si basano sul trattamento e la pubblicazione dei dati personali, che in caso di illegalità possono di per sé — indipendentemente dalle misure restrittive adottate — causare danni morali, come già riconosciuto dal Tribunale ⁽²⁴ ⁾.

52. Il GEPD sottolinea che tale responsabilità extracontrattuale per il trattamento dei dati personali in violazione della legislazione applicabile in materia di protezione dei dati resta valida e non può essere svuotata del suo contenuto essenziale, anche se alcune delle attuali proposte ⁽²⁵⁾ escludono la responsabilità, tranne in caso di negligenza, delle persone fisiche e giuridiche che applicano misure restrittive.

IV.8. Effettivi ricorsi giurisdizionali e controllo indipendente

53. Coloro che sono inseriti nell'elenco hanno il diritto a un ricorso giurisdizionale nonché a ricorsi amministrativi dinanzi alle competenti autorità di controllo della protezione dei dati. Questi ultimi ricorsi includono il trattamento di reclami presentati dagli interessati ai sensi dell'articolo 32 del regolamento (CE) n. 45/2001 e si fondano sulla competenza conferita al GEPD di ottenere da un responsabile del trattamento o da un'istituzione o un organismo comunitario l'accesso a tutti i dati personali e a tutte le informazioni necessarie alle sue indagini [cfr. articolo 47, paragrafo 2, lettera b) del regolamento (CE) n. 45/2001].

54. Il controllo indipendente del rispetto delle norme sulla protezione dei dati è un principio fondamentale della protezione dei dati, ora riaffermato espressamente, per quanto riguarda il trattamento dei dati personali effettuato in tutte le attività dell’UE, non solo dall'articolo 8 della Carta dei diritti fondamentali dell’Unione europea ma anche dall'articolo 16 del trattato FUE e dall'articolo 39 del trattato UE.

55. Come ha già menzionato nel suo parere del 28 luglio 2009 ⁽²⁶ ⁾, il GEPD teme che la condizione prevista dalle attuali proposte secondo cui le informazioni classificate possono essere diffuse solo con il consenso della fonte possa non solo incidere sui poteri di controllo del GEPD in questo campo, ma anche compromettere l'efficacia del controllo giurisdizionale, incidendo sulla capacità della CGUE di controllare se vi sia un giusto equilibrio tra la necessità di lottare contro il terrorismo internazionale e la protezione dei diritti fondamentali. Come affermato dal Tribunale di primo grado nella sua sentenza del 4 dicembre 2008, per consentire al Tribunale di controllare ciò può essere necessario l'accesso a informazioni classificate ⁽²⁷ ⁾.

56. In questo contesto, il GEPD raccomanda che le attuali proposte garantiscano la piena applicabilità dei ricorsi giurisdizionali esistenti e del controllo indipendente delle autorità di controllo della protezione dei dati e che le condizioni imposte all'accesso ai documenti classificati non ne pregiudichino l'efficacia. Al riguardo un primo passo sarebbe la sostituzione nei pertinenti articoli delle attuali proposte ⁽²⁸⁾ del termine «diffusi» con «resi pubblici».

V. CONCLUSIONI

57. Il GEPD crede fermamente che la lotta contro chiunque mini il rispetto dei diritti fondamentali passi attraverso il rispetto di tali diritti.

58. In tale ottica il GEPD, come già fatto nel parere del 28 luglio 2009 riguardo alle misure restrittive nei confronti di Al-Qaeda, accoglie favorevolmente l’intenzione della Commissione di migliorare l’attuale quadro giuridico rafforzando la procedura d’inserimento nell’elenco e tenendo espressamente conto del diritto alla protezione dei dati personali.

59. Alla luce degli strumenti offerti dal trattato di Lisbona e della visione a lungo termine indicata nel programma di Stoccolma, il GEPD raccomanda vivamente alla Commissione di abbandonare l’attuale approccio frammentario — che comporta l’adozione, in materia di trattamento di dati personali, di norme specifiche e talvolta differenti per ciascun paese o organizzazione — e di proporre, per tutte le sanzioni mirate applicate dall’UE nei confronti di persone fisiche o giuridiche, entità o organismi, un quadro generale e coerente che garantisca il rispetto dei diritti fondamentali delle persone interessate e, in particolare, il rispetto del diritto fondamentale alla protezione dei dati personali. Le necessarie limitazioni a tali diritti dovrebbero essere chiaramente previste dalla legge nonché proporzionate e rispettare, in ogni caso, la sostanza di tali diritti.

60. Il GEPD accoglie favorevolmente i riferimenti contenuti nelle attuali proposte all’applicabilità del regolamento (CE) n. 45/2001, nonché ai diritti degli interessati derivanti dal medesimo.

61. Per quanto riguarda la qualità dei dati e la limitazione delle finalità, il GEPD raccomanda alcune modifiche al fine di garantire che siano trattati solo i dati necessari, che tali dati siano regolarmente aggiornati e conservati solo per il tempo necessario. In particolare, il GEPD raccomanda che, per tutte le proposte attuali e future relative a tale settore, si instaurino meccanismi efficaci per depennare le persone fisiche e riesaminare gli elenchi dell’UE a intervalli regolari.

62. Il GEPD raccomanda che, in tutte le proposte attuali e future nel settore, si trattino in modo più esplicito il diritto di informazione delle persone in elenco nonché le condizioni e modalità delle limitazioni che possono risultare necessarie.

63. Il GEPD raccomanda vivamente al legislatore di trattare, in tutte le proposte attuali e future, la questione essenziale del diritto delle persone incluse negli elenchi ad accedere ai dati personali che lе riguardano contenuti nei documenti classificati, fatte salve le limitazioni proporzionate che pos sono essere necessarie in determinate circostanze.

64. Il GEPD raccomanda al legislatore di fare in modo che siano instaurati adeguati meccanismi e salvaguardie — quali precisazioni nelle proposte nonché accordi con l’ONU o altri paesi terzi pertinenti — al fine di garantire un'adeguata protezione dei dati personali scambiati con paesi terzi e organizzazioni internazionali.

65. Il GEPD raccomanda al legislatore di precisare nelle attuali proposte o in un altro strumento giuridico le limitazioni dei principi relativi alla protezione dei dati nonché le salvaguardie che possono risultare necessarie nel settore delle misure restrittive, al fine di rendere le limitazioni prevedibili e proporzionate.

66. Il GEPD prende atto che il principio della responsabilità in caso di trattamento illecito di dati personali resta valido e non può essere svuotato del suo contenuto essenziale.

67. Il GEPD raccomanda di garantire che i ricorsi giurisdizionali esistenti e il controllo indipendente delle autorità di controllo della protezione dei dati siano pienamente applicabili e che le condizioni imposte all'accesso ai documenti classificati non ne pregiudichino l'efficacia.

Fatto a Bruxelles, il 16 dicembre 2009.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) Ved. il documento del Consiglio 12883/09.

( 4 ) Il «Programma di Stoccolma — Un'Europa aperta e sicura al servizio e a tutela dei cittadini», adottato dal Consiglio europeo del 10 e 11 dicembre 2009.

( 5 ) CGUE 3 settembre 2008, Kadi e Al Barakaat International Foundation contro Consiglio, C-402/05 P e C-415/05 P, non ancora pubblicate, ved. in particolare il punto 285.

( 6 ) CGUE 29 gennaio 2008, Promusicae contro Telefonica, C-275/06, ved. in particolare i punti 61-70.

( 7 ) Punto 2.1.

( 8 ) Risoluzione 1597 dell’Assemblea Parlamentare del Consiglio d'Europa sugli elenchi neri del Consiglio di sicurezza delle Nazioni Unite e dell’Unione europea, del 23 gennaio 2008, basata sulla relazione preparata da Dick Marty (doc. 11454).

( 9 ) Punto 4.5.

( 10 ) Ved. la proposta di regolamento del Consiglio recante modifica del regolamento (CE) n. 881/2002 che impone specifiche misure restrittive nei confronti di determinate persone ed entità associate a Osama bin Laden, alla rete Al-Qaeda e ai Talebani, articolo 7 quinquies, paragrafo 2 e articolo 7 sexies; la proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 314/2004 relativo a talune misure restrittive nei confronti dello Zimbabwe, articolo 11 quater, paragrafi 2 e 3; la proposta di regolamento del Consiglio che impone specifiche misure restrittive nei confronti di determinate persone fisiche e giuridiche, entità e organismi in considerazione della situazione in Somalia, articolo 14, paragrafi 2 e 3; la proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 329/2007 relativo a talune misure restrittive nei confronti della Repubblica democratica popolare di Corea, articolo 6, paragrafo 3; la proposta di regolamento del Consiglio che istituisce determinate misure restrittive specifiche nei confronti della Guinea, articolo 11, paragrafi 1 e 2.

( 11 ) Tribunale 30 settembre 2009, Sison contro Consiglio, T-341/07, non ancora pubblicata, punto 116.

( 12 ) Proposta di regolamento del Consiglio che impone specifiche misure restrittive nei confronti di determinate persone fisiche e giuridiche, entità e organismi in considerazione della situazione in Somalia, articolo 11, paragrafo 2.

( 13 ) Proposta di regolamento del Consiglio che istituisce determinate misure restrittive specifiche nei confronti della Guinea, articolo 12, paragrafo 2.

( 14 ) Proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 314/2004 relativo a talune misure restrittive nei confronti dello Zimbabwe, articolo 11 bis, paragrafo 2.

( 15 ) Ved. sotto, punto III.6.

( 16 ) Decisione 2001/844/CE, CECA, Euratom, della Commissione, del 29 novembre 2001, che modifica il regolamento interno della Commissione (GU L 317 del 3.12.2001, pag. 1).

( 17 ) Ved. la proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 314/2004 relativo a talune misure restrittive nei confronti dello Zimbabwe, articolo 11 ter; la proposta di regolamento del Consiglio che impone specifiche misure restrittive nei confronti di determinate persone fisiche e giuridiche, entità e organismi in considerazione della situazione in Somalia, articolo 13; la proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 329/2007 relativo a talune misure restrittive nei confronti della Repubblica democratica popolare di Corea, articolo 13, paragrafi 5 e 6; la proposta di regolamento del Consiglio che istituisce determinate misure restrittive specifiche nei confronti della Guinea, articolo 12, paragrafi 6 e 7. La precedente proposta di regolamento del Consiglio recante modifica del regolamento (CE) n. 881/2002 che impone specifiche misure restrittive nei confronti di determinate persone ed entità associate a Osama bin Laden, alla rete Al-Qaeda e ai Talebani, contiene una disposizione di questo tipo nell’articolo 7 quinquies, soppressa nella versione attuale.

( 18 ) Punti 18-32.

( 19 ) Ved. sotto, punto III.6.

( 20 ) Corte europea dei diritti dell’uomo, S. e Marper contro Regno Unito, sentenza del 4 dicembre 2008; CGUE 20 maggio 2003, Rechnungshof, C-465/00, punti 76-90.

( 21 ) Tribunale 12 dicembre 2006, Organisation des Modjahedines du peuple d’Iran contro Consiglio, T-228/02 punti 128-137.

( 22 ) L'informazione di cui ai paragrafi 3 e 4 dell'articolo 20 può essere rinviata fino a quando privi d'effetto la limitazione (ved. articolo 20, paragrafo 5).

( 23 ) Punto 2.5.

( 24 ) Tribunale 12 settembre 2007, Kalliopi Nikolau c/Commissione, T-259/03, Racc. II-99 [2007]; Tribunale 8 luglio 2008, Franchet and Byk c/Commissione, T-48/05, non ancora pubblicata.

( 25 ) Ved. la proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 881/2002 del Consiglio che impone specifiche misure restrittive nei confronti della rete Al-Qaeda e dei Talebani, articolo 6; la proposta di regolamento del Consiglio che impone specifiche misure restrittive nei confronti di determinate persone fisiche e giuridiche, entità e organismi in considerazione della situazione in Somalia, articolo 6; la proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 329/2007 relativo a talune misure restrittive nei confronti della Repubblica democratica popolare di Corea, articolo 11, paragrafo 1; la proposta di regolamento del Consiglio che istituisce determinate misure restrittive specifiche nei confronti della Guinea, articolo 8. Invece la proposta di regola mento del Consiglio che modifica il regolamento (CE) n. 314/2004 relativo a talune misure restrittive nei confronti dello Zimbabwe non contiene una siffatta disposizione.

( 26 ) Punti 27-32.

( 27 ) Tribunale 4 dicembre 2008, PMOI c/Consiglio, T-284/08, non ancora pubblicata, cfr. in particolare punti 74-76.

( 28 ) Ved. la proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 314/2004 relativo a talune misure restrittive nei confronti dello Zimbabwe, articolo 11 ter, paragrafo 2; la proposta di regolamento del Consiglio che impone specifiche misure restrittive nei confronti di determinate persone fisiche e giuridiche, entità e organismi in considerazione della situazione in Somalia, articolo 13, paragrafo 2; la proposta di regolamento del Consiglio che modifica il regolamento (CE) n. 329/2007 relativo a talune misure restrittive nei confronti della Repubblica democratica popolare di Corea, articolo 13, paragrafo 6; la proposta di regolamento del Consiglio che istituisce determinate misure restrittive specifiche nei confronti della Guinea, articolo 12, paragrafo 7.