Parere del Garante europeo della protezione dei dati (GEPD) sull’iniziativa del Regno del Belgio, della Repubblica di Bulgaria, della Repubblica di Estonia, del Regno di Spagna, della Repubblica francese, della Repubblica italiana, della Repubblica di Ungheria, della Repubblica di Polonia, della Repubblica portoghese, della Romania, della Repubblica di Finlandia e del Regno di Svezia per una direttiva del Parlamento europeo e del Consiglio sull’ordine di protezione europeo, e sull’iniziativa del Regno del Belgio, della Repubblica di Bulgaria, della Repubblica di Estonia, del Regno di Spagna, della Repubblica d’Austria, della Repubblica di Slovenia e del Regno di Svezia per una direttiva del Parlamento europeo e del Consiglio relativa all’ordine europeo di indagine penale

Parere del Garante europeo della protezione dei dati sull’iniziativa del Regno del Belgio, della Repubblica di Bulgaria, della Repubblica di Estonia, del Regno di Spagna, della Repubblica francese, della Repubblica italiana, della Repubblica di Ungheria, della Repubblica di Polonia, della Repubblica portoghese, della Romania, della Repubblica di Finlandia e del Regno di Svezia per una direttiva del Parlamento europeo e del Consiglio sull’ordine di protezione europeo, e sull’iniziativa del Regno del Belgio, della Repubblica di Bulgaria, della Repubblica di Estonia, del Regno di Spagna, della Repubblica d’Austria, della Repubblica di Slovenia e del Regno di Svezia per una direttiva del Parlamento europeo e del Consiglio relativa all’ordine europeo di indagine penale

(Pubblicato sulla GUUE n. C 355 del 29.12.2010)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,

vista la Carta dei diritti fondamentali dell’Unione europea, in particolare l’articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹ ⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l’articolo 41 ⁽²⁾,

vista la decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale ⁽³⁾,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Negli ultimi anni sono stati compiuti crescenti sforzi per migliorare la cooperazione giudiziaria in materia penale. Questo argomento, che ora occupa una posizione chiave nel programma di Stoccolma ⁽⁴ ⁾, è caratterizzato dalla particolare sensibilità dei dati personali pertinenti e dagli effetti che il trattamento di tali dati può avere sugli interessati.

2. Per queste ragioni, il Garante europeo della protezione dei dati (GEPD) ha dedicato un’attenzione particolare a questo argomento ⁽⁵⁾ e con il presente parere intende sottolineare ancora una volta come la necessità di tutelare i diritti fondamentali rappresenti una pietra angolare dello spazio di libertà, sicurezza e giustizia descritto nel programma di Stoccolma.

3. Il presente parere nasce in risposta a due iniziative per una direttiva promosse da una serie di Stati membri, come previsto dall’articolo 76 del TFUE, e precisamente:

a) l’iniziativa di 12 Stati membri per una direttiva del Parlamento europeo e del Consiglio sull’ordine di protezione europeo («iniziativa OPE»), presentata nel gennaio 2010 ⁽⁶ ⁾; e

b) l’iniziativa di sette Stati membri per una direttiva del Parlamento europeo e del Consiglio relativa all’ordine europeo di indagine penale («iniziativa OEI»), presentata nell’aprile 2010 ⁽⁷ ⁾.

4. Il potere di esprimere un parere su queste iniziative rientra nel mandato conferito al GEPD dall’articolo 41 del regolamento (CE) n. 45/2001 di consigliare le istituzioni e gli organismi dell’Unione europea (UE) su tutte le questioni relative al trattamento di dati personali. Il presente parere, quindi, commenta le iniziative nella misura in cui le stesse si riferiscono al trattamento di dati personali. Non avendo ricevuto nessuna richiesta in tal senso, il GEPD ha emesso il parere di propria iniziativa ⁽⁸ ⁾.

5. Il GEPD ricorda che ai sensi dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 la Commissione è tenuta a consultare il GEPD al momento dell’adozione di una proposta legislativa sulla tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali. Nel caso di un’iniziativa degli Stati membri, quest’obbligo non si applica strictu sensu. Tuttavia, dall’entrata in vigore del trattato di Lisbona, la procedura legislativa ordinaria si applica anche al settore della cooperazione giudiziaria e di polizia, con un’eccezione specifica prevista nell’articolo 76 del TFUE, ossia che un quarto degli Stati membri può prendere l’iniziativa per proporre misure UE. Ai sensi del trattato di Lisbona, queste iniziative sono allineate per quanto possibile con le proposte della Commissione e, ove possibile, si dovrebbero applicare garanzie procedurali. Per questo motivo le iniziative qui considerate sono accompagnate da una valutazione dell’impatto.

6. In questo contesto, il GEPD non solo si rammarica di non essere stato consultato al momento della presentazione delle iniziative, ma raccomanda anche al Consiglio di stabilire una procedura che preveda la consultazione del GEPD qualora un’iniziativa promossa da Stati membri si riferisca al trattamento di dati personali.

7. Benché perseguano obiettivi diversi — ossia il miglioramento della protezione delle vittime e la cooperazione transfrontaliera in materia penale mediante la raccolta di prove transfrontaliere —, le due iniziative presentano importanti somiglianze:

a) entrambe si basano sul principio del reciproco riconoscimento delle sentenze e decisioni giudiziarie ⁽⁹ ⁾;

b) entrambe sono radicate nel programma di Stoccolma ⁽¹⁰ ⁾; e

c) entrambe prevedono lo scambio di dati personali tra Stati membri (cfr. punti 10 e 13 e sezione II.4).

Per questi motivi, il GEPD ritiene opportuno esaminarle congiuntamente.

8. In quest’ambito, è opportuno ricordare che anche la Commissione europea recentemente ha trattato la questione dell’acquisizione di prove con l’intento di trasmetterle alle autorità competenti in altri Stati membri (l’oggetto specifico dell’iniziativa OEI). In effetti, alla fine del 2009 è stato pubblicato un Libro verde ⁽¹¹⁾ — la cui fase di consultazione si è ormai conclusa ⁽¹²⁾ — con l’obiettivo della Commissione [derivato dal «Piano d’azione per l’attuazione del programma di Stoccolma» ⁽¹³ ⁾] di presentare nel 2011 una proposta legislativa per ottenere un sistema generale di assunzione delle prove in materia penale basato sul principio del riconoscimento reciproco e riguardante tutti i tipi di prova ⁽¹⁴ ⁾.

II. COOPERAZIONE GIUDIZIARIA IN MATERIA PENALE E TRATTAMENTO DI DATI PERSONALI NEL QUADRO DELLE INIZIATIVE OPE E OEI

II.1. Contesto delle iniziative

9. Le iniziative sopra citate rientrano nel filone delle azioni promosse dall’UE in relazione allo spazio di libertà, sicurezza e giustizia negli ultimi anni. Dal settembre 2001 si è registrata una crescita significativa dell’acquisizione e condivisione di informazioni nell’Unione europea (e con paesi terzi), anche grazie agli sviluppi nelle TCI e ad una serie di strumenti giuridici dell’UE. Anche le iniziative OPE e OEI mirano a migliorare lo scambio di informazioni relative alle persone fisiche nello spazio di libertà, sicurezza e giustizia.

II.2. Iniziativa OPE

10. L’iniziativa OPE — basata sull’articolo 82, paragrafo 1, lettera d) del TFUE — si incentra sulla protezione delle vittime di atti criminali, in particolare donne, e mira a garantire loro una tutela efficace all’interno dell’Unione europea. Per raggiungere questo obiettivo, l’iniziativa OPE consente che le misure di protezione elencate nell’articolo 2, paragrafo 2, e adottate ai sensi della legge di uno Stato membro («Stato di emissione») possano essere estese ad un altro Stato membro dove la persona protetta si trasferisce («Stato di esecuzione») senza che la vittima debba avviare un nuovo procedimento o fornire nuove prove nello Stato di esecuzione.

11. Le misure di protezione imposte (su richiesta della vittima) alla persona che determina il pericolo sono pertanto intese a proteggere la vita, l’integrità fisica e psicologica, la libertà o l’integrità sessuale della vittima nel territorio dell’UE a prescindere dai confini nazionali, e a cercare di impedire che vengano commessi nuovi reati contro la stessa vittima.

12. L’OPE dovrebbe essere emesso su richiesta della vittima nello «Stato (membro) di emissione» da un’autorità giudiziaria (o equivalente), secondo una procedura costituita dalle seguenti fasi:

a) lo «Stato di emissione» presenta una richiesta di emissione di un OPE;

b) al ricevimento dell’OPE, lo «Stato di esecuzione» adotta una decisione ai sensi della legge nazionale al fine di continuare a garantire la protezione della persona interessata.

13. Per realizzare tale obiettivo occorre adottare delle misure amministrative che in parte riguardano lo scambio di informazioni personali tra gli Stati membri «di emissione» e «di esecuzione» relativamente alla persona interessata (la «vittima») e alla persona che determina il pericolo. Lo scambio di dati personali è previsto nelle seguenti disposizioni:

a) l’articolo 6 prevede che lo stesso OPE contenga molte informazioni di carattere personale, come specificato ai punti a), e), f), g) e h) e all’allegato I;

b) gli obblighi dell’autorità competente dello Stato di esecuzione, di cui all’articolo 8, paragrafo 1, richiedono il trattamento di dati personali, in particolare l’obbligo di notificare eventuali violazioni della misura di protezione [articolo 8, paragrafo 1, lettera d) e allegato II];

c) gli obblighi a carico delle autorità competenti degli Stati membri di esecuzione e di emissione in caso di modifica, scadenza o revoca dell’ordine di protezione e/o delle misure di protezione (articolo 14).

14. Le informazioni citate nel precedente paragrafo rientrano chiaramente nell’ambito dei dati personali, definiti in generale nella legislazione sulla protezione dei dati come «qualsiasi informazione concernente una persona fisica identificata o identificabile» ⁽¹⁵⁾ e chiariti ulteriormente dal Gruppo di lavoro dell’articolo 29. L’iniziativa OPE riguarda informazioni concernenti una persona (la vittima o la persona che determina il pericolo) ovvero informazioni utilizzate o che potrebbero essere utilizzate al fine di valutare, trattare in un certo modo o influire sullo stato di una persona (in particolare, la persona che determina il pericolo) ⁽¹⁶ ⁾.

II.3. Iniziativa OEI (ordine europeo di indagine)

15. L’iniziativa OEI — basata sull’articolo 82, paragrafo 1, lettera a) del TFUE — richiede agli Stati membri di acquisire, conservare e trasmettere prove, anche se non ancora disponibili nella giurisdizione nazionale. L’iniziativa va pertanto al di là del principio di disponibilità, presentato nel programma dell’Aia del 2004 come un approccio innovativo allo scambio transfrontaliero di informazioni per le attività di contrasto ⁽¹⁷ ⁾. Inoltre, supera la decisione quadro 2008/978/GAI del Consiglio, del 18 dicembre 2008, relativa al mandato europeo di ricerca delle prove, che si applica esclusivamente a (date) prove già esistenti ⁽¹⁸ ⁾.

16. Un OEI viene emesso affinché nello Stato di esecuzione siano compiuti uno o più atti d’indagine specifici ai fini dell’acquisizione di prove (potenzialmente non esistenti all’atto dell’emissione dell’ordine) e del loro trasferimento (articolo 12). Si applica a quasi tutte le misure di indagine (cfr. i considerando 6 e 7 dell’iniziativa).

17. L’iniziativa OEI si prefigge l’obiettivo di creare un unico strumento efficiente e flessibile per l’acquisizione di prove situate in un altro Stato membro nell’ambito di un procedimento penale, in sostituzione dello strumento giuridico più complesso attualmente utilizzato dalle autorità giudiziarie (basato sull’assistenza giudiziaria reciproca, da un lato, e sul reciproco riconoscimento, dall’altro) ⁽¹⁹ ⁾.

18. Ovviamente, le prove acquisite in virtù di un OEI (cfr. anche l’allegato A all’iniziativa) possono contenere dati personali, come nel caso delle informazioni relative ai conti bancari (articolo 23), delle informazioni relative a operazioni bancarie (articolo 24) e del controllo sulle operazioni bancarie (articolo 25) o potrebbero riguardare la comunicazione di dati personali (come nel caso di videoconferenze o teleconferenze, di cui agli articoli 21 e 22).

19. Per questi motivi l’iniziativa OEI esercita un impatto significativo sul diritto alla protezione dei dati personali. Anche considerando che il termine per l’attuazione della decisione quadro 2008/978/GAI non è ancora scaduto (e pertanto è difficile valutare l’efficacia dello strumento e l’esigenza di ulteriori misure giuridiche) ⁽²⁰ ⁾, il GEPD rammenta la necessità di una verifica periodica, alla luce dei principi di protezione dei dati, nonché dell’efficacia e della proporzionalità delle misure giuridiche adottate nello spazio di libertà, sicurezza e giustizia ⁽²¹ ⁾. Il GEPD raccomanda pertanto di aggiungere una clausola di valutazione all’iniziativa OEI, che imponga agli Stati membri di riferire periodicamente in merito all’applicazione dello strumento e alla Commissione di preparare una sintesi di tali relazioni e, se del caso, emettere adeguate proposte di modifica.

II.4. Trattamento di dati personali previsto nelle iniziative OPE e OEI

20. Come già spiegato ai punti 13, 14 e 18, è evidente che ai sensi delle direttive proposte dati personali vengono trattati e scambiati dalle autorità competenti dei diversi Stati membri. In tali circostanze, l’interessato è tutelato dal diritto fondamentale alla protezione dei dati, riconosciuto nell’articolo 16 del TFUE e nell’articolo 8 della Carta dei diritti fondamentali dell’UE.

21. Ciononostante, nella «Scheda circostanziata» che accompagna l’iniziativa OPE il «rischio di ledere diritti fondamentali» è stimato come pari a «0» (zero) ⁽²² ⁾, e nell’analisi di impatto contenuta nella «Scheda circostanziata» che accompagna l’iniziativa OEI non vengono considerate le questioni relative alla protezione dei dati ⁽²³ ⁾.

22. Il GEPD si rammarica di queste conclusioni e sottolinea l’importanza della protezione dei dati nel particolare contesto in cui vengono trattati dati personali, segnatamente:

a) l’ampio settore della cooperazione giudiziaria in materia penale;

b) i dati sono molto spesso di natura sensibile e di solito acquisiti dalla polizia e dalle autorità giudiziarie a seguito di un’indagine;

c) il possibile contenuto dei dati, in particolare in relazione all’iniziativa OEI, che si estenderebbe a ogni genere di prova; e

d) la possibile comunicazione delle prove al di fuori dell’UE, conformemente all’articolo 13 della decisione quadro 2008/977/GAI sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale ⁽²⁴ ⁾.

23. In tale contesto, le operazioni di trattamento dei dati esercitano un impatto significativo e possono influire in misura considerevole sui diritti fondamentali dell’interessato, compreso il diritto alla protezione dei dati personali.

24. In considerazione di quanto precede, il GEPD si chiede per quale motivo le iniziative non affrontino la questione della protezione dei dati personali (a parte il riferimento ai doveri di riservatezza imposti ai soggetti coinvolti in un’indagine dall’articolo 18 dell’iniziativa OEI), né si riferiscano esplicitamente alla decisione quadro 2008/977/GAI che in realtà sarebbe applicabile alle operazioni di trattamento previste nelle due iniziative [cfr. articolo 1, paragrafo 2, lettera a)].

25. Per questo motivo, il GEPD apprezza che durante i lavori preparatori in Consiglio relativi all’iniziativa OPE sia stato inserito un riferimento alla decisione quadro 2008/977/GAI ⁽²⁵⁾ e confida che il Parlamento europeo confermi questa modifica rispetto alle iniziative originarie ⁽²⁶ ⁾.

26. Il GEPD si rammarica del fatto che un analogo considerando non sia stato ancora introdotto nell’iniziativa OEI, che comporta uno scambio di dati personali molto più intenso. A questo proposito, il GEPD apprezza che la Commissione europea, commentando l’iniziativa OEI, suggerisca di inserire un riferimento (nei considerando e nel corpo della proposta) all’applicabilità della decisione quadro 2008/977/GAI ⁽²⁷ ⁾.

27. Di conseguenza, e fatta salva la sezione III che segue, entrambe le iniziative dovrebbero contenere una disposizione specifica che chiarisca che la decisione quadro 2008/977/GAI si applica al trattamento dei dati previsto nelle iniziative.

III. NORME SPECIFICHE NECESSARIE IN AGGIUNTA AL QUADRO GIURIDICO VIGENTE SULLA PROTEZIONE DEI DATI PER LA COOPERAZIONE GIUDIZIARIA IN MATERIA PENALE

28. Entrambe le iniziative sollevano ancora una volta la questione fondamentale dell’applicazione incompleta e incoerente dei principi della protezione dei dati nel campo della cooperazione giudiziaria in materia penale ⁽²⁸ ⁾.

29. Il GEPD è consapevole dell’importanza di rafforzare l’efficacia della cooperazione giudiziaria tra Stati membri, anche nei settori coperti dalle iniziative OPE e OEI ⁽²⁹ ⁾. Inoltre, pur avendo ben presenti i vantaggi e l’esigenza di condividere le informazioni, il GEPD desidera sottolineare che il trattamento di tali dati deve avvenire nel rispetto — inter alia ⁽³⁰⁾ — della normativa UE sulla protezione dei dati. Questa necessità appare ancora più evidente alla luce del trattato di Lisbona, che introduce l’articolo 16 del TFUE e conferisce un valore vincolante all’articolo 8 della Carta dei diritti fondamentali dell’Unione europea.

30. Le situazioni che comportano lo scambio transfrontaliero di informazioni nell’UE meritano un’attenzione particolare, poiché il trattamento di dati personali in più di una giurisdizione aumenta i rischi per i diritti e gli interessi delle persone fisiche coinvolte. I dati personali saranno trattati in più giurisdizioni, dove i requisiti di legge e il contesto tecnico non sono necessariamente gli stessi.

31. Questo implica inoltre l’incertezza giuridica per le persone interessate: possono essere coinvolte parti di altri Stati membri ed è possibile che si applichino le leggi nazionali di vari Stati membri, che potrebbero differire dalle leggi alle quali sono abituate le persone interessate, ovvero applicarsi in un sistema giuridico poco familiare. Questa situazione richiede maggiori sforzi per garantire l’osservanza dei requisiti derivanti dalla legislazione dell’UE sulla protezione dei dati ⁽³¹ ⁾.

32. Secondo il parere del GEPD, il chiarimento circa l’applicabilità della decisione quadro 2008/977/GAI, come proposto al punto 27, è solo il primo passo.

33. Le sfide specifiche per una protezione efficace nel settore della cooperazione giudiziaria in materia penale, insieme a una decisione quadro 2008/977/GAI non completamente soddisfacente (cfr. punti 52-56), possono richiedere disposizioni specifiche sulla protezione dei dati, laddove strumenti giuridici specifici dell’UE prevedano lo scambio di dati personali.

IV. SFIDE PER UN’EFFICACE PROTEZIONE DEI DATI NELLA COOPERAZIONE IN MATERIA PENALE: RACCOMANDAZIONI SULLE INIZIATIVE OPE E OEI

IV.1. Considerazioni introduttive

34. La protezione efficace dei dati personali (come rilevato al punto 29) non è importante solo per gli interessati, ma contribuisce anche al successo della cooperazione giudiziaria. Di fatto, la volontà di scambiare questi dati con le autorità di altri Stati membri aumenterà se si è certi del livello di protezione, accuratezza e affidabilità dei dati personali in tali Stati membri ⁽³² ⁾. In breve, la definizione di uno standard comune (elevato) per la protezione dei dati in questo settore delicato contribuirà a promuovere la fiducia reciproca tra gli Stati membri e a rafforzare la cooperazione giudiziaria sulla base del riconoscimento reciproco, migliorando la qualità dei dati nello scambio di informazioni.

35. In questo particolare contesto, il GEPD raccomanda di inserire garanzie specifiche per la protezione dei dati nelle iniziative OPE e OEI, in aggiunta al riferimento generale alla decisione quadro 2008/977/GAI (come proposto al paragrafo 27).

36. Alcune di queste garanzie sono di carattere più generale e sono da inserire in entrambe le iniziative, in particolare le garanzie intese a migliorare l’accuratezza dei dati, così come la loro sicurezza e riservatezza. Altre garanzie si riferiscono a disposizioni specifiche dell’iniziativa OPE o OEI.

IV.2. Garanzie di carattere più generale

Accuratezza

37. Nelle situazioni previste dalle iniziative che comportano lo scambio di dati tra Stati membri si dovrebbe porre l’accento sul fatto di garantire l’accuratezza delle informazioni. A questo proposito, il GEPD apprezza che l’iniziativa OPE contenga nell’articolo 14 chiari obblighi a carico dell’autorità competente dello Stato di emissione di informare l’autorità competente dello Stato di esecuzione in merito a qualsivoglia modifica nonché alla scadenza o alla revoca dell’ordine di protezione.

38. Il GEPD rileva inoltre che la necessità della traduzione potrebbe influire sull’accuratezza dell’informazione, soprattutto considerando che le iniziative si riferiscono a strumenti giuridici specifici che possono avere un significato diverso nelle varie lingue e nei vari sistemi giuridici. A questo proposito, il GEPD apprezza il fatto che l’iniziativa OPE affronti la questione delle traduzioni (articolo 16) e suggerisce anche di inserire una disposizione analoga nell’iniziativa OEI.

Sicurezza, consapevolezza e responsabilità

39. L'incremento della cooperazione transfrontaliera che potrebbe derivare dall’adozione delle due iniziative richiede un’attenta analisi degli aspetti della sicurezza della trasmissione transfrontaliera di dati personali in relazione all’esecuzione dell’ordine di protezione europeo o dell’ordine europeo di indagine penale ⁽³³ ⁾. Ciò è necessario, non solo per rispettare le norme di sicurezza nel trattamento dei dati personali ai sensi dell’articolo 22 della decisione quadro 2008/977/GAI, ma anche per garantire la segretezza delle indagini e la riservatezza del procedimento penale interessato, ai sensi dell’articolo 18 dell’iniziativa OEI, e, in quanto norma generale per i dati personali derivanti dallo scambio transfrontaliero, ai sensi dell’articolo 21 della decisione quadro 2008/977/GAI.

40. Il GEPD sottolinea la necessità di sistemi di telecomunicazione sicuri per le procedure di trasmissione. Accoglie quindi con favore la disposizione sull’impiego della rete giudiziaria europea ⁽³⁴⁾ quale strumento per garantire che OPE e OEI siano correttamente indirizzati alle autorità nazionali competenti, onde escludere o ridurre al minimo il rischio che autorità non pertinenti siano coinvolte nello scambio di dati personali (cfr. l’articolo 7, paragrafi 2 e 3, dell’iniziativa OPE e l’articolo 6, paragrafi 3 e 4 dell’iniziativa OEI).

41. Di conseguenza, le iniziative dovrebbero comprendere disposizioni che richiedano agli Stati membri di garantire che:

a) le autorità competenti dispongano di risorse adeguate per l’applicazione delle direttive proposte;

b) i funzionari competenti osservino standard professionali e siano soggetti ad adeguate procedure interne che assicurino, in particolare, la protezione delle persone per quanto concerne il trattamento di dati personali, l’imparzialità procedurale e la corretta osservanza delle disposizioni in materia di riservatezza e segreto professionale (come disposto all’articolo 18 dell’iniziativa OEI).

42. Inoltre, il GEPD raccomanda l’introduzione di disposizioni che garantiscano l’osservanza dei principi sostanziali sulla protezione dei dati nel trattamento dei dati personali, nonché di porre in essere i meccanismi interni necessari per dimostrare la conformità ai terzi interessati. Tali disposizioni contribuirebbero all’assunzione di responsabilità da parte dei responsabili del trattamento [secondo il «principio di responsabilità» discusso nel contesto dell’attuale riesame del quadro giuridico per la protezione dei dati ⁽³⁵ ⁾] che sarebbero tenuti a mettere in atto le misure necessarie per garantire la conformità. Le disposizioni dovrebbero comprendere:

a) sistemi di autenticazione che consentano esclusivamente alle persone autorizzate di accedere alle banche dati contenenti dati personali e ai locali dove si trovano le prove;

b) controllo degli accessi ai dati personali e delle operazioni di trattamento degli stessi;

c) esecuzione di audit.

IV.3. Garanzie nell’iniziativa OEI

43. In considerazione delle caratteristiche particolarmente invadenti di certe misure investigative, il GEPD invita a una riflessione approfondita sull’ammissibilità delle prove acquisite per scopi diversi da prevenzione, indagine, accertamento o perseguimento di reati ovvero dall’esecuzione di sanzioni penali, nonché dall’esercizio del diritto alla difesa. In particolare, andrebbe considerato con attenzione l’utilizzo di prove ottenute ai sensi dell’articolo 11, paragrafo 1, lettera d) della decisione quadro 2008/977/GAI ⁽³⁶ ⁾.

44. Nell’iniziativa OEI dovrebbe pertanto essere introdotta un’eccezione all’applicazione del disposto dell’articolo 11, paragrafo 1, lettera d), che stabilisca che le prove acquisite ai sensi dell’OEI non si possono utilizzare per scopi diversi da prevenzione, indagine, accertamento o perseguimento di reati ovvero l’esecuzione di sanzioni penali e l’esercizio del diritto alla difesa.

IV.4. Garanzie nell’iniziativa OPE

45. In relazione all’iniziativa OPE, il GEPD riconosce che i dati personali scambiati tra le autorità competenti ed elencati nell’allegato I dell’iniziativa (concernenti la vittima e la persona che determina il pericolo) sono adeguati, pertinenti e non eccessivi in relazione agli scopi per i quali vengono raccolti e sottoposti a ulteriore trattamento.

46. Tuttavia, l’iniziativa non chiarisce a sufficienza — soprattutto nell’articolo 8, paragrafo 1, lettera b) — quali dati personali relativi alla vittima saranno comunicati alla persona che determina il pericolo dall’autorità competente dello Stato di esecuzione.

47. Il GEPD ritiene opportuno considerare le circostanze e il contenuto delle misure di protezione emesse dall’autorità giudiziaria nello Stato membro di emissione prima di informare la persona che determina il pericolo, alla quale dovrebbero pertanto essere comunicati esclusivamente quei dati personali della vittima (che in alcuni casi possono comprendere i dati di contatto) che siano strettamente rilevanti per la piena esecuzione della misura di protezione.

48. Il GEPD è consapevole del fatto che la comunicazione di informazioni di contatto (quali numeri di telefono, indirizzo della vittima o di altri luoghi di abituale frequentazione, come il luogo di lavoro o la scuola dei figli) effettivamente possa minacciare il benessere fisico e psicologico della vittima, oltre a ledere il suo diritto alla privacy e alla protezione dei dati personali. D’altro canto, l’indicazione degli indirizzi pertinenti in alcuni casi può essere necessaria per avvertire la persona che determina il pericolo in merito ai luoghi dove le è fatto divieto di recarsi, al fine di consentire l’osservanza dell’ordine e impedire eventuali potenziali sanzioni a causa della sua violazione. Inoltre, a seconda delle circostanze, l’identificazione del luogo/dei luoghi vietati alla persona che determina il pericolo può essere necessaria per non limitarne inutilmente la libertà di movimento.

49. Alla luce di queste considerazioni, il GEPD evidenzia l’importanza dell’argomento e raccomanda che l’iniziativa OPE stabilisca chiaramente che, a seconda delle circostanze del caso, alla persona che determina il pericolo dovrebbero essere trasmessi esclusivamente i dati personali della vittima (che in alcuni casi possono comprendere i dati di contatto) che siano strettamente rilevanti per la piena esecuzione della misura di protezione ⁽³⁷⁾.

50. Infine, il GEPD chiede che venga chiarita l’espressione «strumenti elettronici» contenuta nel considerando 10 dell’iniziativa OPE. In particolare, occorre spiegare se il trattamento dei dati personali avviene utilizzando «strumenti elettronici» e in tal caso quali garanzie sono fornite.

V. NORME SULLA PROTEZIONE DEI DATI E COOPERAZIONE GIUDIZIARIA IN MATERIA PENALE: PREOCCUPAZIONI CONCERNENTI LE INIZIATIVE OPE E OEI

51. La decisione quadro 2008/977/GAI si applica a tutti gli scambi di dati personali ai sensi delle iniziative OPE e OEI.

52. Benché il GEPD abbia riconosciuto che la decisione quadro 2008/977/GAI — quando attuata dagli Stati membri — sia un importante passo avanti per la protezione dei dati nella cooperazione giudiziaria e di polizia ⁽³⁸ ⁾, la decisione quadro di per se stessa non è pienamente soddisfacente ⁽³⁹⁾. La principale preoccupazione irrisolta si riferisce al suo ambito ristretto. La decisione quadro è limitata allo scambio di dati personali in materia giudiziaria e di polizia tra autorità e sistemi d’informazione in diversi Stati membri e a livello dell’UE ⁽⁴⁰ ⁾.

53. Anche se questa perplessità non può trovare soluzione nel contesto delle iniziative OPE e OEI, il GEPD insiste nel sottolineare che la mancanza di uno standard comune (elevato) di protezione dei dati nella cooperazione giudiziaria potrebbe implicare che un’autorità giudiziaria a livello nazionale o dell’UE, nel trattare un fascicolo penale comprendente informazioni provenienti da altri Stati membri (ivi comprese, ad esempio, prove raccolte sulla base di un ordine europeo di indagine penale), si troverebbe ad applicare norme diverse sul trattamento dei dati: autonome norme nazionali (conformi alla Convenzione 108 del Consiglio d’Europa) per i dati provenienti dallo stesso Stato membro e norme di attuazione della decisione quadro 2008/977/GAI per i dati provenienti da altri Stati membri. I diversi «elementi di informazione» potrebbero quindi essere soggetti a diversi regimi giuridici.

54. Le conseguenze dell’applicazione di un «doppio» standard per la protezione di dati a ciascun fascicolo penale avente elementi transfrontalieri sono rilevanti nell’attività quotidiana (ad esempio la normativa sulla conservazione delle informazioni applicabile per ciascuno degli organi che trasmettono i dati; ulteriori restrizioni al trattamento richieste da ciascuno degli organi che trasmettono i dati; nel caso di una richiesta da un paese terzo, ciascun organo che trasmette i dati darebbe l’autorizzazione in base alla propria valutazione dell’adeguatezza e/o agli impegni internazionali; e differenze nella disciplina del diritto di accesso della persona interessata). Inoltre, la protezione e i diritti dei cittadini potrebbero variare ed essere oggetto di ampie deroghe diverse a seconda dello Stato membro in cui ha luogo il trattamento ⁽⁴¹ ⁾.

55. Quindi il GEPD coglie l’occasione per ribadire il contenuto dei pareri già espressi in merito alla necessità di un quadro giuridico generale sulla protezione dei dati che ricomprenda tutte le aree di competenza dell’UE, ivi comprese pubblica sicurezza e giustizia, e che si applichi ai dati personali trasmessi o resi disponibili dalle autorità competenti di altri Stati membri e al trattamento a livello nazionale nello spazio di libertà, sicurezza e giustizia ⁽⁴² ⁾.

56. Infine, il GEPD osserva che le norme sulla protezione dei dati dovrebbero applicarsi a tutti i settori e all’utilizzo dei dati per qualsivoglia scopo ⁽⁴³ ⁾. Naturalmente, dovrebbero essere possibili eccezioni debitamente motivate e formulate chiaramente, in particolare per quanto concerne il trattamento dei dati personali nelle attività di contrasto ⁽⁴⁴ ⁾. Le lacune nella protezione dei dati personali sono contrarie all’attuale quadro giuridico (rinnovato) dell’Unione europea. L’articolo 3, paragrafo 2, della direttiva 95/46/CE — che esclude dall’ambito di applicazione della direttiva il settore della polizia e della giustizia — non è conforme alla filosofia contenuta nell’articolo 16 del TFUE. Inoltre, queste lacune non sono coperte in misura sufficiente dalla convenzione n. 108 ( 45 ) del Consiglio d’Europa, vincolante per tutti gli Stati membri.

VI. CONCLUSIONI E RACCOMANDAZIONI

57. Con riferimento alle iniziative OPE e OEI, il GEPD raccomanda quanto segue:

— introdurre disposizioni specifiche che stabiliscano che gli strumenti si applicano lasciando impregiudicata la decisione quadro 2008/977/GAI del Consiglio del 27 novembre 2008 sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale,

— introdurre disposizioni che richiedano agli Stati membri di garantire che:

— le autorità competenti dispongano delle risorse necessarie per l’attuazione delle direttive proposte,

— i funzionari competenti osservino standard professionali e siano soggetti ad adeguate procedure interne che assicurino, in particolare, la protezione delle persone per quanto concerne il trattamento di dati personali, l’imparzialità procedurale e la corretta osservanza delle disposizioni in materia di riservatezza e segreto professionale,

— sistemi di autenticazione atti a consentire esclusivamente alle persone autorizzate di accedere alle banche dati contenenti dati personali ovvero ai locali dove si trovano le prove,

— vengano eseguiti controlli degli accessi e delle operazioni,

— vengano eseguiti audit.

58. Per quanto riguarda l’iniziativa OPE, il GEPD raccomanda:

— di stabilire chiaramente che, a seconda delle circostanze del caso, alla persona che determina il pericolo dovrebbero essere trasmessi esclusivamente i dati personali della vittima (che in alcuni casi possono comprendere i dati di contatto) che siano strettamente rilevanti per la piena esecuzione della misura di protezione,

— di chiarire l’espressione «strumenti elettronici» contenuta nel considerando 10 dell’iniziativa OPE.

59. Per quanto riguarda l’iniziativa OEI, il GEPD raccomanda:

— di introdurre una disposizione sulle traduzioni analoga all’articolo 16 dell’iniziativa OEI,

— di introdurre una disposizione che vieti l’utilizzo delle prove per scopi diversi da prevenzione, indagine, accertamento o perseguimento di reati, ovvero dall’esecuzione di sanzioni penali, nonché dall’esercizio del diritto alla difesa, quale eccezione all’articolo 11, paragrafo 1, lettera d) della decisione quadro 2008/977/GAI,

— di aggiungere una clausola di valutazione all’iniziativa OEI, che imponga agli Stati membri di riferire periodicamente in merito all’applicazione dello strumento e alla Commissione di preparare una sintesi di tali relazioni e, se del caso, emettere adeguate proposte di modifica.

60. Inoltre, e più in generale, il GEPD:

— raccomanda al Consiglio di stabilire una procedura che preveda la consultazione del GEPD qualora un’iniziativa promossa da Stati membri si riferisca al trattamento di dati personali;

— ribadisce la necessità di un quadro giuridico generale sulla protezione dei dati che ricomprenda tutte le aree di competenza dell’UE, ivi comprese polizia e giustizia, applicabile ai dati personali trasmessi o resi disponibili dalle autorità competenti di altri Stati membri e al trattamento a livello nazionale nello spazio di libertà, sicurezza e giustizia.

Fatto a Bruxelles, il 5 ottobre 2010.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE
( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) GU L 350 del 30.12.2008, pag. 60.

( 4 ) Consiglio europeo, Programma di Stoccolma — Un’Europa aperta e sicura al servizio e a tutela dei cittadini (2010/C 115/01), capitolo 3, «Facilitare la vita dei cittadini: un’Europa del diritto e della giustizia», GU C 115 del 4.5.2010, pag. 1; cfr. anche il parere del GEPD sulla comunicazione della Commissione al Parlamento europeo e al Consiglio dal titolo «Uno spazio di libertà, sicurezza e giustizia al servizio dei cittadini», GU C 276 del 17.11.2009, pag. 8.

( 5 ) Negli ultimi anni il GEPD ha adottato un gran numero di pareri e osservazioni su iniziative in materia di libertà, sicurezza e giustizia, tutti consultabili sul sito web del GEPD.

( 6 ) GU C 69 del 18.3.2010, pag. 5.

( 7 ) GU C 165 del 24.6.2010, pag. 22.

( 8 ) Anche in passato il GEPD ha adottato pareri su iniziative di Stati membri: cfr. ad esempio il parere del GEPD del 4 aprile 2007 sull’iniziativa di 15 Stati membri in vista dell’adozione dei una decisione del Consiglio sul rafforzamento della cooperazione transfrontaliera soprattutto nella lotta al terrorismo ed alla criminalità transfrontaliera (GU C 169 del 21.7.2007, pag. 2) e il parere del GEPD del 25 aprile 2008 sull’iniziativa di 14 Stati membri in vista dell’adozione di una decisione del Consiglio relativa al rafforzamento dell’Eurojust e che modifica la decisione 2002/187/GAI (GU C 310 del 5.12.2008, pag. 1).

( 9 ) Questo principio, introdotto nel piano d’azione di Vienna [Piano d’azione del Consiglio e della Commissione sul modo migliore per attuare le disposizioni del trattato di Amsterdam concernenti uno spazio di libertà, sicurezza e giustizia. Testo adottato dal Consiglio Giustizia e Affari interni del 3 dicembre 1998, GU C 19 del 23.1.1999, pag. 1, punto 45, lettera f)], è stato chiaramente formulato nelle conclusioni del Consiglio europeo di Tampere del 15 e 16 ottobre 1999, ai punti 33, 35-37.

( 10 ) Una terza iniziativa (per una direttiva del Parlamento europeo e del Consiglio sul diritto all’interpretazione e alla traduzione nei procedimenti penali, 22 gennaio 2010, 2010/0801) ha origini analoghe, ma non viene considerata in questo parere poiché non riguarda questioni relative alla protezione di dati personali. Sullo stesso argomento si veda anche la proposta di direttiva del Parlamento europeo e del Consiglio sul diritto all’interpretazione e alla traduzione nei procedimenti penali, 9.3.2010, COM(2010) 82 definitivo.

( 11 ) Libro verde sulla ricerca delle prove in materia penale tra Stati membri e sulla garanzia della loro ammissibilità, COM(2009) 624 definitivo, dell’11.11.2009.

( 12 ) Le risposte, varie e talvolta contrastanti, sono all’esame della Commissione europea e si possono leggere all’indirizzo: http://ec.europa. eu/justice_home/news/consulting_public/news_consulting_0004_en. htm

( 13 ) Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni, Creare uno spazio di libertà, sicurezza e giustizia per i cittadini europei. Piano d’azione per l’attuazione del programma di Stoccolma, Bruxelles, 20.4.2010, COM(2010) 171 definitivo, pag. 18.

( 14 ) Al momento non è chiaro in che modo un possibile strumento futuro si collegherà con l’iniziativa OEI.

( 15 ) Cfr. l’articolo 2, lettera a) della decisione quadro 2008/977/GAI del Consiglio sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale, nonché l’articolo 2, lettera a), della direttiva 95/46/CE e l’articolo 2, lettera a) del regolamento (CE) n. 45/2001.

( 16 ) Cfr. Gruppo di lavoro dell’articolo 29 per la protezione dei dati, parere 4/2007 sul concetto di dati personali, WP 136, adottato il 20 giugno 2007, pag. 10.

( 17 ) Il principio contenuto nel Programma dell’Aia: rafforzamento della libertà, della sicurezza e della giustizia nell’Unione europea, punto 2.1, stabilisce che «in tutta l’Unione, un ufficiale di un servizio di contrasto di uno Stato membro che ha bisogno di informazioni nell’esercizio delle sue funzioni può ottenere tali informazioni da un altro Stato membro, e che il servizio di contrasto nell’altro Stato membro che dispone di tali informazioni è tenuto a trasmettergliele per i fini dichiarati, tenendo conto dei requisiti relativi alle indagini in corso nel suddetto Stato». Su questo argomento si veda il parere GEPD sulla proposta di una decisione quadro del Consiglio sullo scambio di informazioni in virtù del principio di disponibilità [COM(2005) 490 definitivo], GU C 116 del 17.5.2006, pag. 8.

( 18 ) Decisione quadro 2008/978/GAI del Consiglio, del 18 dicembre 2008, relativa al mandato europeo di ricerca delle prove diretto all’acquisizione di oggetti, documenti e dati da utilizzare nei procedimenti penali, GU L 350 del 30.12.2008, pag. 72.

( 19 ) Attualmente esistono due strumenti di reciproco riconoscimento applicabili all’acquisizione di prove: la decisione quadro 2003/577/GAI del Consiglio, del 22 luglio 2003, relativa all’esecuzione nell’Unione europea dei provvedimenti di blocco dei beni o di sequestro probatorio (GU L 196 del 2.8.2003, pag. 45) e la decisione quadro 2008/978/GAI, citata nella nota 18.

( 20 ) L’articolo 23, paragrafo 1, della decisione quadro 2008/978/GAI prevede che «Gli Stati membri adottano le misure necessarie per conformarsi alle disposizioni della presente decisione quadro entro il 19 gennaio 2011».

( 21 ) Anche secondo il paragrafo 1.2.3 del programma di Stoccolma le nuove iniziative legislative dovrebbero essere presentate previa verifica del principio di proporzionalità.

( 22 ) Scheda contenente elementi circostanziati che consentano di valutare il rispetto dei principi di sussidiarietà e di proporzionalità conformemente all’articolo 5 del protocollo (n. 2) al trattato di Lisbona del 6 gennaio 2010.

( 23 ) La scheda circostanziata del 23 giugno 2010, fascicolo interistituzionale 2010/0817 (COD), si riferisce esplicitamente solo al diritto alla sicurezza e alla libertà e al diritto ad una buona amministrazione (cfr. pag. 25 e pag. 41).

( 24 ) Di seguito: decisione quadro 2008/977/GAI.

( 25 ) Cfr. il considerando 27 dell’ultima versione dell’iniziativa OPE (28 maggio 2010, doc. del Consiglio n. 10384/2010): «I dati personali trattati nel contesto dell’attuazione della presente direttiva dovrebbero essere protetti in conformità alla decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale e in conformità ai principi sanciti dalla convenzione del Consiglio d’Europa, del 28 gennaio 1981, sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, che tutti gli Stati membri hanno ratificato».

( 26 ) In questo senso, si veda l’emendamento 21 compreso nel progetto di relazione sull’iniziativa per una direttiva del Parlamento europeo e del Consiglio sull’ordine di protezione europeo [00002/2010 — C7-0006/2010 — 2010/0802 (COD)], del 20.5.2010, Commissione per le libertà civili, la giustizia e gli affari interni — Commissione per i diritti della donna e l’uguaglianza di genere, relatori: Teresa Jiménez-Becerril Barrio, Carmen Romero López, all’indirizzo http://www.europarl.europa.eu/meetdocs/2009_2014/documents/ femm/pr/817/817530/817530en.pdf

( 27 ) Cfr. i commenti della Commissione alla proposta di un ordine europeo di indagine penale, 24.8.2010, JUST/B/1/AA-et D(2010) 6815, pagg. 9 e 38, all’indirizzo http://ec.europa.eu/justice/news/ intro/doc/comment_2010_08_24_en.pdf

( 28 ) Cfr. anche la sezione V del parere.

( 29 ) Cfr., inter alia, il sostegno alla necessità di migliorare l’accesso alla giustizia, la cooperazione tra le autorità giudiziarie europee e l’efficacia dello stesso sistema giudiziario nel parere del GEPD sulla strategia europea in materia di giustizia elettronica, GU C 128 del 6.6.2009, pag. 13, punti 9 e 21.

( 30 ) In relazione all’aspetto connesso al rispetto delle norme procedurali penali negli Stati membri, in particolare nell’area della proposta OEI, si può fare riferimento alle considerazioni e alle preoccupazioni contenute nelle risposte inviate alla Commissione europea durante la consultazione pubblica sul Libro verde (cfr. note 11 e 12).

( 31 ) Cfr. anche il documento del Consiglio Programma dell’Aia: rafforzamento della libertà, della sicurezza e della giustizia nell’Unione europea (2005/C 53/01), GU C 53 del 3.3.2005, pagg. 1, 7 e ss.

( 32 ) Cfr. il parere del GEPD sulla proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale [COM(2005) 475 definitivo], GU C 47 del 25.2.2006, pag. 27, punti 5-7.

( 33 ) Più in generale, cfr. la comunicazione della Commissione al Consiglio, al Parlamento europeo e al Comitato economico e sociale europeo «Verso una strategia europea in materia di giustizia elettronica», Bruxelles, 30.5.2008, COM(2008) 329 definitivo, pag. 8: «Le autorità giudiziarie devono essere in grado di scambiarsi informazioni confidenziali senza alcun timore».

( 34 ) Decisione 2008/976/GAI del Consiglio del 16 dicembre 2008 relativa alla Rete giudiziaria europea (GU L 348 del 24.12.2008, pag. 130).

( 35 ) Cfr. Gruppo di lavoro dell’articolo 29 per la protezione dei dati e Gruppo di lavoro «polizia e giustizia», Il futuro della privacy, pagg. 20 e ss.

( 36 ) Questa disposizione ammette l’utilizzo di prove per «qualsiasi altra finalità, soltanto previa autorizzazione dello Stato membro che trasmette i dati o con il consenso della persona interessata, espresso conformemente alla legislazione nazionale».

( 37 ) Questo sembra essere il senso degli emendamenti 13 e 55 del progetto di relazione sull’iniziativa per una direttiva del Parlamento europeo e del Consiglio sull’ordine di protezione europeo [00002/2010 — C7-0006/2010 — 2010/0802 (COD)], 20.5.2010, Commissione per le libertà civili, la giustizia e gli affari interni — Commissione per i diritti della donna e l’uguaglianza di genere.

( 38 ) Cfr. il parere del GEPD sulla comunicazione della Commissione al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo «Verso una strategia europea in materia di giustizia elettronica» (2009/C 128/02), GU C 128 del 6.6.2009, pag. 13, punto 17.

( 39 ) Cfr. i tre pareri del GEPD sulla proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale [COM(2005) 475 definitivo], GU C 47 del 25.2.2006, pag. 27, GU C 91 del 26.4.2007, pag. 9, GU C 139 del 23.6.2007, pag. 1. Cfr. anche il parere del GEPD sulla comunicazione della Commissione al Parlamento europeo e al Consiglio dal titolo «Uno spazio di libertà, sicurezza e giustizia al servizio del cittadini», GU C 276 del 17.11.2009, pag. 8, punti 19, 29 e 30.

( 40 ) Cfr. l’articolo 2 della decisione quadro 2008/977/GAI.

( 41 ) Cfr. il terzo parere del GEPD sulla proposta di una decisione quadro del Consiglio sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale (GU C 139 del 23.6.2007, pag. 41), citati nella nota 39, punto 46.

( 42 ) Questa posizione del GEPD è chiaramente sostenuta dal Gruppo di lavoro dell’articolo 29 per la protezione dei dati e dal Gruppo di lavoro «polizia e giustizia», Il futuro della privacy. Contributo congiunto alla consultazione della Commissione europea sul quadro giuridico relativo al diritto fondamentale alla protezione dei dati personali, WP 168, adottato il 1 o dicembre 2009, pagg. 4, 7 e ss. e 24 e ss.

( 43 ) Cfr. la comunicazione della Commissione al Parlamento europeo e al Consiglio, Uno spazio di libertà, sicurezza e giustizia al servizio dei cittadini, Bruxelles, 10.6.2009, COM(2009) 262 definitivo, pag. 30: l’Unione deve «introdurre un regime completo in materia di protezione dei dati personali che ricomprenda tutte le competenze dell’Unione».

( 44 ) Un simile approccio sarebbe anche conforme all’obiettivo della dichiarazione 21 allegata al trattato di Lisbona sulla protezione dei dati personali nel campo della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

( 45 ) Convenzione del Consiglio d’Europa sulla tutela delle persone con riguardo al trattamento automatico dei dati personali, 28 gennaio 1981, n. 108.