Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta di direttiva del Consiglio relativa alla cooperazione amministrativa nel settore fiscale

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta di direttiva del Consiglio relativa alla cooperazione amministrativa nel settore fiscale

(Pubblicato sulla GUUE n. C 101 del 20.4.2010)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,

vista la Carta dei diritti fondamentali dell’Unione europea, in particolare l’articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l’articolo 41 ⁽²⁾,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 2 febbraio 2009 la Commissione ha adottato una proposta di direttiva del Consiglio relativa alla cooperazione amministrativa nel settore fiscale ⁽³ ⁾. La proposta di direttiva del Consiglio è intesa a sostituire la direttiva 77/799/CEE del Consiglio relativa alla reciproca assistenza fra le autorità competenti degli Stati membri in materia di imposte dirette ⁽⁴ ⁾.

2. Dopo l’entrata in vigore del trattato di Lisbona, il 1 o dicembre 2009, le basi giuridiche della proposta sono gli articoli 113 e 115 del TFUE ⁽⁵ ⁾. Le decisioni su queste basi giuridiche vengono adottate secondo una procedura legislativa speciale che prevede la delibera all’unanimità del Consiglio su una proposta della Commissione, previa consultazione del Parlamento europeo e del Comitato economico e sociale europeo.

3. Diversamente da quanto prescritto dall’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, il GEPD non è stato consultato. Il presente parere si basa pertanto sull’articolo 41, paragrafo 2 del medesimo regolamento. Il GEPD raccomanda di includere nel preambolo della proposta un riferimento al presente parere.

4. Migliorare lo scambio di informazioni, che nella maggior parte dei casi comprendono (anche) dati relativi a persone fisiche, è uno dei principali obiettivi della proposta. Il GEPD è consapevole dell’importanza di rafforzare l’efficacia della cooperazione amministrativa tra gli Stati membri nel settore fiscale. Il GEPD comprende altresì i vantaggi e la necessità di condividere informazioni, ma desidera sottolineare che il trattamento di tali dati deve avvenire nel rispetto delle norme UE sulla protezione dei dati.

5. Le situazioni che prevedono lo scambio transfrontaliero di dati personali all’interno dell’UE meritano un’attenzione speciale poiché comportano un aumento della scala del trattamento dei dati da cui derivano necessariamente rischi maggiori per i diritti e gli interessi delle persone fisiche coinvolte in quanto, in ogni caso, gli stessi dati personali vengono elaborati in più paesi. Ne consegue la necessità di impegnarsi maggiormente per assicurare il rispetto dei requisiti derivanti dalla legislazione comunitaria in materia di protezione dei dati. Tale situazione è inoltre fonte di incertezza giuridica per gli interessati: possono essere coinvolti attori di tutti gli altri Stati membri e risultare applicabili le legislazioni nazionali di questi altri paesi, che potrebbero essere leggermente diverse dalle normative di cui sono a conoscenza le persone interessate oppure trovare applicazione all’interno di un sistema giuridico con cui queste ultime non hanno dimestichezza. In un contesto transfrontaliero è necessario affrontare chiaramente le responsabilità dei vari attori, agevolando altresì la vigilanza delle autorità competenti e il controllo giudiziario in vari ambiti.

6. Purtroppo il GEPD è venuto a conoscenza della proposta in esame solo di recente. Ciò può essere spiegato dal fatto che la sensibilizzazione ai requisiti in materia di protezione dei dati in ambito tributario si trova ancora nella fase iniziale. Il GEPD vede segnali di un aumento della sensibilizzazione in tal senso, ma rileva che al riguardo può e deve essere fatto molto di più.

7. La proposta in esame è un chiaro esempio di una scarsa sensibilizzazione in materia di protezione dei dati; nel documento, infatti, la questione è stata quasi completamente ignorata. Di conseguenza, la proposta contiene alcuni elementi che non ottemperano ai requisiti applicabili in materia di protezione dei dati.

8. Il GEDP è a conoscenza del fatto che, in seno al Parlamento europeo, la procedura è quasi giunta alla fase finale a livello di commissione. Tuttavia, in assenza di un trattamento adeguato dell’impatto della cooperazione proposta sulla protezione dei dati, il GEDP ritiene necessario formulare il proprio parere sulla questione. Il GEDP auspica che le osservazioni formulate nel presente parere siano prese in considerazione e promuovano uno sviluppo del sistema di cooperazione amministrativa rispettoso del diritto alla protezione dei dati dei cittadini europei ⁽⁶ ⁾.

II. COOPERAZIONE UE NEL SETTORE FISCALE

II.1. Contesto e campo di applicazione della proposta

9. Come affermato, la proposta in esame è intesa a sostituire la direttiva 77/799/CEE. Tale direttiva, adottata il 19 dicembre 1977, riguarda lo scambio di informazioni per l’accertamento delle imposte sul reddito e sul patrimonio.

10. Inizialmente la cooperazione amministrativa nel settore dell’IVA e delle accise rientrava nell’ambito di applicazione della direttiva 77/799/CEE. Tuttavia, dal 7 ottobre 2003 e dal 16 novembre 2004 rispettivamente, tali questioni sono oggetto di strumenti giuridici separati, ossia il regolamento (CE) n. 1798/2003 e il regolamento (CE) n. 2073/2004 ⁽⁷ ⁾. Una proposta di rifusione del regolamento (CE) n. 1798/2003 è stata pubblicata dalla Commissione il 18 agosto 2009 ⁽⁸ ⁾. IL GEPD ha presentato un parere su questa proposta il 30 ottobre 2009 ⁽⁹ ⁾.

11. La Commissione propone di ampliare l’ambito di applicazione della nuova direttiva estendendolo dalle imposte sul reddito e sul patrimonio a tutte le imposte indirette, escluse l’IVA e le accise. La proposta intende tuttavia allineare la cooperazione prevista dalla nuova direttiva alla cooperazione in questi due settori specifici. Alcune delle osservazioni formulate nella parte III del presente parere saranno pertanto simili a quelle espresse nel parere del 30 ottobre 2009.

II.2. Sostanza della proposta

12. Dopo un primo capo contenente alcune disposizioni generali, il capo II della proposta tratta lo scambio di informazioni tra Stati membri, che avviene attraverso gli uffici di collegamento delle autorità competenti designate da ciascuno Stato membro ai fini dell’applicazione della direttiva. Le informazioni possono essere scambiate o su richiesta o automaticamente oppure ancora spontaneamente.

13. Il capo III della proposta contiene disposizioni su altre forme di cooperazione amministrativa diverse dallo scambio di informazioni, quali controlli simultanei, notifica amministrativa e condivisione delle migliori pratiche e delle esperienze. Il capo IV, che illustra le condizioni che disciplinano la cooperazione amministrativa, contiene disposizioni riguardanti la comunicazione delle informazioni e dei documenti ad altre autorità, i requisiti per una buona cooperazione, i formulari e formati elettronici tipo e l’utilizzo della rete comune di comunicazione/interfaccia comune di sistema (rete CCN).

14. Il capo V contiene una disposizione sulla valutazione della cooperazione amministrativa, mentre il capo VI verte sullo scambio di informazioni con i paesi terzi. Il capo VII, l’ultimo, introduce una procedura di comitato per l’adozione di norme più dettagliate.

III. ANALISI DETTAGLIATA DELLA PROPOSTA

III.1. Norme vigenti in materia di protezione dei dati

15. Nella legislazione in materia di protezione dei dati, per «dati personali» s’intende, in generale, «qualsiasi informazione concernente una persona fisica identificata o identificabile» ⁽¹⁰ ⁾. È evidente che, ai sensi della proposta di direttiva, i dati personali saranno trattati e scambiati dalle autorità competenti dei vari Stati membri. In tal caso, saranno applicabili e dovranno essere rispettate le norme nazionali di attuazione della direttiva 95/46/CE. Benché ciò sia ovvio, a fini di chiarezza il GEDP esorta il legislatore a includere un riferimento alla direttiva 95/46/CE almeno nei considerando della proposta in esame e a inserirlo di preferenza anche in una norma sostanziale in cui si precisi che le disposizioni della direttiva non pregiudicano le norme nazionali di attuazione della direttiva 95/46/CE.

16. Nonostante non sia direttamente coinvolta nello scambio di dati tra le autorità competenti, dalla proposta di direttiva si evince che in determinate circostanze la Commissione tratterà dati personali sulla base della direttiva. Ai sensi dell’articolo 20, paragrafo 2, della proposta, la Commissione è responsabile di «tutti gli sviluppi della rete CCN necessari per consentire lo scambio di dette informazioni fra Stati membri». Come evidenziato dall’articolo 20, paragrafo 3, tale responsabilità può, in talune circostanze, comportare l’accesso alle informazioni scambiate attraverso il sistema.

17. Non è escluso che anche altre disposizioni comportino il trattamento di dati personali da parte della Commissione. L’articolo 22, per esempio, stabilisce che la Commissione riceverà «tutte le informazioni pertinenti» necessarie per valutare l’efficacia della cooperazione amministrativa prevista dalla direttiva. La Commissione riceverà inoltre «dati statistici», di cui sarà adottato un elenco in seguito alla procedura di comitato prevista dall’articolo 24 della proposta.

18. Nel caso in cui tratti dati personali, la Commissione è tenuta a rispettare le norme sulla protezione dei dati applicabili alle istituzioni e agli organi dell’Unione europea definite nel regolamento (CE) n. 45/2001 e soggette alla supervisione del GEDP ⁽¹¹ ⁾. A fini di chiarezza e per evitare dubbi sull’applicabilità del regolamento (CE) n. 45/2001, il GEDP esorta il legislatore a includere un riferimento al regolamento almeno nei considerando della proposta di direttiva e a inserirlo di preferenza anche in una norma sostanziale in cui si precisi che, quando tratta dati personali sulla base della direttiva, la Commissione è tenuta a rispettare le disposizioni del regolamento (CE) n. 45/2001.

19. In caso di elaborazione dei dati personali, ai sensi degli articoli 16 e 17 della direttiva 95/46/CE e degli articoli 21 e 22 del regolamento (CE) n. 45/2001 occorre garantire la riservatezza e la sicurezza del trattamento dei dati. L’articolo 20 poc’anzi citato non enuncia esplicitamente se la Commissione sia responsabile della manutenzione e della sicurezza della rete CCN ⁽¹² ⁾. Per evitare dubbi su chi abbia la responsabilità di garantire la riservatezza e la sicurezza del trattamento dei dati, il GEDP esorta il legislatore a definire più chiaramente la responsabilità della Commissione in quest’ambito, a evidenziare gli obblighi degli Stati membri e a tenere conto delle suddette considerazioni alla luce dei requisiti derivanti dalla direttiva 95/46/CE e dal regolamento (CE) n. 45/2001.

III.2. Limitazione delle finalità, necessità e qualità dei dati

20. Un requisito fondamentale della normativa sulla protezione dei dati è che le informazioni vengano trattate per finalità determinate, esplicite e legittime e siano successivamente trattate in modo non incompatibile con tali finalità ⁽¹³ ⁾. I dati utilizzati per il raggiungimento delle finalità, inoltre, devono essere necessari nonché adeguati, pertinenti e non eccedenti rispetto alla finalità ⁽¹⁴ ⁾. Dopo aver analizzato la proposta di direttiva, il GEDP conclude che, nel complesso, il sistema di scambio di informazioni contemplato dalla direttiva non ottempera a tali requisiti.

21. Per quanto riguarda la limitazione delle finalità, l’articolo 5, paragrafo 1, della proposta, relativo allo scambio di informazioni su richiesta, si riferisce allo scambio di informazioni che possono essere utili per il «corretto accertamento delle imposte di cui all’articolo 2». L’articolo 2 definisce il campo di applicazione della direttiva indicando le imposte alle quali si applica la direttiva. Il GEDP ritiene che il corretto accertamento delle imposte indicate non sia sufficientemente preciso. Oltre a ciò, l’articolo non segnala l’esigenza di valutare la necessità dello scambio di informazioni.

22. L’articolo 5, paragrafo 1, inoltre, non specifica né limita la tipologia di dati che possono essere scambiati. Si riferisce, come indicato poc’anzi, a «informazioni che possono essere utili» per il corretto accertamento delle imposte indicate. Ai sensi dell’articolo 5, paragrafo 1, tali informazioni comprendono «le informazioni su uno o più casi specifici». L’articolo 17, paragrafo 1, della proposta precisa che tra queste figurano anche informazioni di cui lo Stato membro interpellato non necessita per i propri fini fiscali. L’articolo 5, paragrafo 2, inoltre, obbliga l’autorità interpellata a trasmettere all’autorità richiedente tutte le informazioni pertinenti di cui sia in possesso o che ottenga a seguito di un’indagine amministrativa. L’articolo 9 della proposta, riguardante lo scambio spontaneo di informazioni tratta a sua volta dello scambio di «informazioni» aggiungendo «di cui all’articolo 1». L’articolo 1, tuttavia, non fornisce chiarimenti pertinenti. L’utilizzo di nozioni estese negli articoli 5, 9 e 17 sembra incoraggiare uno scambio di dati che è eccedente rispetto alle finalità ed è pertanto in contrasto con il principio della qualità dei dati.

23. L’articolo 8 della proposta permette di ottemperare ai requisiti di cui al precedente punto 20, ma solo per quanto riguarda lo scambio automatico obbligatorio di informazioni senza preventiva richiesta. L’articolo stabilisce che il tipo di informazioni da scambiare sarà definito nell’ambito della procedura di comitato. In tal modo la Commissione potrà limitare e specificare i dati da scambiare, compito che di fatto dovrà essere realizzato in conformità dei requisiti in materia di protezione dei dati. L’articolo fa inoltre riferimento alla necessità di scambiare informazioni per il corretto accertamento delle imposte di cui all’articolo 2 ed elenca varie situazioni specifiche. Come affermato, tuttavia, l’articolo 8 riguarda solo lo scambio automatico obbligatorio di informazioni e non pone limiti allo scambio di informazioni su richiesta o spontaneo. La critica formulata in precedenza riguardo agli articoli 5, 9 e 17 della proposta resta pertanto valida.

24. Sulla base di quanto precede, il GEDP esorta il legislatore, in merito allo scambio di dati su richiesta o spontaneo tra autorità competenti, a specificare la tipologia di informazioni personali che possono essere scambiate, a meglio definire le finalità per cui i dati personali possono essere scambiati nonché a valutare la necessità del trasferimento, o almeno ad assicurare il rispetto del principio di necessità.

25. Il principio della limitazione delle finalità è messo ulteriormente sotto pressione nell’articolo 15, paragrafo 1, della proposta. Ai sensi di questo articolo, le informazioni e i documenti ottenuti da un’autorità competente a norma della direttiva possono essere comunicate ad altre autorità all’interno dello stesso Stato membro, purché ciò sia consentito dalla legislazione di tale Stato, «anche se tali informazioni potrebbero essere utilizzate per finalità diverse da quelle indicate all’articolo 2». Il GEDP desidera sottolineare che l’ultima parte di questa disposizione è totalmente in contrasto con il principio della limitazione delle finalità. Il trattamento di informazioni personali per finalità diverse da quella originaria è consentito unicamente nel rispetto di condizioni rigorose. Il principio della limitazione delle finalità può venire meno solo se previsto dalla legge e qualora ciò sia necessario per importanti motivi esaustivamente elencati nell’articolo 13 della direttiva 95/46/CE. Il riferimento alla legislazione dello Stato membro interessato di cui all’articolo 15, paragrafo 1, potrebbe implicare tale requisito, ma non è sufficientemente chiaro. Il GEDP esorta pertanto il legislatore ad aggiungere all’articolo 15, paragrafo 1, della proposta che il trattamento delle informazioni per finalità diverse da quelle di cui all’articolo 2 «è subordinato al rispetto delle condizioni previste dall’articolo 13 della direttiva 95/46/CE».

III.3. Trasparenza e diritti della persona interessata

26. Gli articoli 10 e 11 della direttiva 95/46/CE prevedono l’obbligo per la persona o l’ente responsabile del trattamento dei dati — il «responsabile del trattamento» nella terminologia della protezione dei dati ⁽¹⁵⁾ — di informare la persona interessata o prima della raccolta dei dati o, in caso di dati non raccolti presso la persona interessata, al momento della registrazione dei dati. La persona interessata deve ricevere informazioni riguardanti l’identità del responsabile del trattamento, le finalità del trattamento dei dati e ulteriori informazioni quali i destinatari dei dati e l’eventuale esistenza di diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano. Gli articoli 10 e 11 della direttiva 95/46/CE possono essere considerati elaborazioni del principio generale della trasparenza che rientra nell’ambito dell’equità di trattamento prevista dall’articolo 6, paragrafo 1, lettera a), della direttiva 95/46/CE.

27. Il GEDP ha rilevato che la proposta non contiene disposizioni riguardanti il principio della trasparenza, ad esempio in merito alle modalità con cui lo scambio di informazioni viene reso noto al grande pubblico o secondo le quali le persone interessate saranno informate del trattamento dei dati. Il GEDP esorta pertanto il legislatore ad adottare una disposizione in cui si tenga conto della trasparenza dello scambio di informazioni.

III.4. Trasferimento di informazioni verso un paese terzo

28. L’articolo 23, che prevede la possibilità di uno scambio di informazioni con i paesi terzi, afferma che «le autorità competenti possono trasmettere a un paese terzo, in conformità alle disposizioni di diritto interno applicabili alla comunicazione di dati personali a paesi terzi, informazioni ottenute in virtù della presente direttiva». Il GEDP è lieto che la Commissione sia a conoscenza delle norme specifiche sulla protezione dei dati applicabili allo scambio di dati personali verso paesi esterni all’UE. Il GEDP desidera tuttavia sottolineare che, innanzitutto, lo scambio di tali informazioni tra gli Stati membri deve avvenire in conformità delle norme sulla protezione dei dati, prima che possa essere effettuata un’analisi della protezione dei dati riguardo alla possibilità di trasmettere tali informazioni a un paese terzo.

29. A fini di chiarezza, si potrebbe inserire nel testo un riferimento esplicito alla direttiva 95/46/CE in cui si precisi che tale trasferimento deve essere conforme alle norme nazionali di attuazione delle disposizioni del capo IV della direttiva 95/46/CE riguardante il trasferimento di dati personali verso paesi terzi.

III.5. Comitato

30. Vi sono alcune questioni con un’incidenza sulla protezione dei dati che verranno ulteriormente elaborate nelle norme adottate a seguito della procedura di comitato prevista dall’articolo 24 della proposta. Pur comprendendo l’esigenza pratica di utilizzare questa procedura, il GEDP desidera sottolineare la necessità di fissare le principali norme e garanzie sulla protezione dei dati nella normativa di base.

31. Il GEDP desidera sottolineare che, qualora vengano discusse nuove norme nell’ambito della procedura di comitato, occorrerà tenere conto dei requisiti in materia di protezione dei dati derivanti dalla direttiva 95/46/CE e dal regolamento (CE) n. 45/2001. Il GEDP esorta inoltre la Commissione a interpellarlo e consultarlo qualora vengano effettivamente discusse nuove norme con un’incidenza sulla protezione dei dati.

32. Al fine di assicurare il proprio coinvolgimento qualora nell’ambito della procedura di comitato siano adottate nuove norme con un’incidenza sulla protezione dei dati, il GEDP raccomanda al legislatore di includere nell’articolo 24 un quarto paragrafo in cui si precisi che «ove le misure di attuazione riguardino il trattamento di dati personali, viene consultato il Garante europeo della protezione dei dati».

IV. CONCLUSIONE E RACCOMANDAZIONI

33. Nel presente parere il GEDP raccomanda al legislatore:

— di includere un riferimento alla direttiva 95/46/CE almeno nei considerando della proposta di direttiva e di inserirlo di preferenza anche in una norma sostanziale in cui si precisi che le disposizioni della direttiva non pregiudicano le norme nazionali di attuazione della direttiva 95/46/CE,

— di includere un riferimento al regolamento (CE) n. 45/2001 almeno nei considerando della proposta di direttiva e di inserirlo di preferenza anche in una norma sostanziale in cui si precisi che, quando tratta dati personali sulla base della direttiva, la Commissione è tenuta a rispettare le disposizioni del regolamento (CE) n. 45/2001,

— di definire più chiaramente la responsabilità della Commissione per la manutenzione e la sicurezza della rete CCN e di evidenziare gli obblighi degli Stati membri in quest’ambito e di tenere conto delle suddette considerazioni alla luce dei requisiti derivanti dalla direttiva 95/46/CE e dal regolamento (CE) n. 45/2001,

— in merito allo scambio di dati su richiesta o spontaneo tra autorità competenti, di specificare la tipologia di informazioni personali che possono essere scambiate, di meglio definire le finalità per cui i dati personali possono essere scambiati nonché di valutare la necessità del trasferimento, o almeno di assicurare il rispetto del principio di necessità,

— di aggiungere all’articolo 15, paragrafo 1, della proposta che il trattamento delle informazioni per finalità diverse da quelle di cui all’articolo 2 «è subordinato al rispetto delle condizioni previste dall’articolo 13 della direttiva 95/46/CE»,

— di adottare una disposizione in cui si tenga conto della trasparenza dello scambio di informazioni,

— di indicare espressamente nell’articolo 23, paragrafo 2, che un trasferimento di dati personali verso un paese terzo deve essere conforme alle norme nazionali di attuazione delle disposizioni del capo IV della direttiva 95/46/CE,

— di includere nell’articolo 24 un quarto paragrafo in cui si precisi che «ove le misure di attuazione riguardino il trattamento di dati personali, viene consultato il Garante europeo della protezione dei dati».

Fatto a Bruxelles, il 6 gennaio 2010.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) COM(2009) 29 definitivo, del 2 febbraio 2009.

( 4 ) Direttiva 77/799/CEE del Consiglio, del 19 dicembre 1977 (GU L 336 del 27.12.1977, pag. 15).

( 5 ) Cfr. COM(2009) 665 definitivo, dell’11 dicembre 2009, allegato IV, pag. 45.

( 6 ) Cfr. anche l’articolo 8 della Carta dei diritti fondamentali dell’Unione europea e l’articolo 16, paragrafo 1, TFUE, entrambi vincolanti per le istituzioni comunitarie e gli Stati membri nell’attuazione del diritto dell’UE.

( 7 ) Cfr. il regolamento (CE) n. 1798/2003 del Consiglio, del 7 ottobre 2003 (GU L 264 del 15.10.2003, pag. 1), e il regolamento (CE) n. 2073/2004 del Consiglio, del 16 novembre 2004 (GU L 359 del 4.12.2004, pag. 1).

( 8 ) COM(2009) 427 definitivo, del 18 agosto 2009.

( 9 ) Cfr. il parere del GEDP, del 30 ottobre 2009, reperibile all’indirizzo:

http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/ Documents/Consultation/Opinions/2009/09-10-30_tax_fraud_EN. pdf

( 10 ) Cfr. l’articolo 2, lettera a), della direttiva 95/46/CE e l’articolo 2, lettera a), del regolamento (CE) n. 45/2001. Per una spiegazione del concetto di «dati personali», cfr. il parere 4/2007, del 20 giugno 2007, del gruppo di lavoro «articolo 29» (reperibile all’indirizzo: http://ec.europa.eu/justice_home/fsj/privacy/ docs/wpdocs/2007/wp136_it.pdf).

( 11 ) Per quanto riguarda il trattamento dei dati statistici, cfr. il parere del GEDP del 20 maggio 2008 (GU C 308 del 3.12.2008, pag. 1).

( 12 ) Per le relative osservazioni, cfr. anche il parere del GEDP del 16 settembre 2008 sulla proposta di decisione del Consiglio che istituisce il sistema europeo di informazione sui casellari giudiziari (ECRIS) (GU C 42 del 20.2.2009, pag. 1), punti 23 e segg.

( 13 ) Cfr. l’articolo 6, lettera b), della direttiva 95/46/CE e l’articolo 4, paragrafo 1, lettera b), del regolamento (CE) n. 45/2001.

( 14 ) La nozione di «necessità» ricorre costantemente sia nella direttiva 95/46/CE che nel regolamento (CE) n. 45/2001. Cfr. segnatamente l’articolo 7 della direttiva 95/46/CE e l’articolo 5 del regolamento (CE) n. 45/2001. I requisiti di qualità dei dati sono fissati nell’articolo 6, lettera d), della direttiva 95/46/CE e nell’articolo 4, lettera c), del regolamento (CE) n. 45/2001.

( 15 ) Cfr. l’articolo 2, lettera d), della direttiva 95/46/CE e l’articolo 2, lettera d), del regolamento (CE) n. 45/2001. Entrambe le disposizioni prevedono la possibilità di un controllo individuale o congiunto («… da solo o insieme ad altri …»).