Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta di regolamento relativo all’immissione sul mercato e all’uso di precursori di esplosivi

Parere del Garante europeo della protezione dei dati sulla proposta di regolamento relativo all’immissione sul mercato e all’uso di precursori di esplosivi

(Pubblicato sulla GUUE n. C 101 del 1/4/2011)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

vista la richiesta di parere a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽² ⁾,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 20 settembre 2010, la Commissione ha adottato la proposta di un regolamento relativo all’immissione sul mercato e all’uso di precursori di esplosivi ⁽³⁾ («la proposta»). L’11 novembre 2010, conformemente all’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, la proposta adottata dalla Commissione è stata inviata al GEPD per consultazione. Il GEPD accoglie con favore il fatto che la Commissione lo abbia consultato e che il riferimento alla consultazione figuri nei considerando della proposta.

2. Lo scopo principale delle misure proposte è ridurre il rischio di attacchi da parte di terroristi o altri criminali usando ordigni artigianali. A tal fine, il regolamento limita l’accesso del pubblico a determinate sostanze chimiche, che possono essere utilizzate illecitamente come precursori di esplosivi artigianali. Inoltre, la proposta pone sotto più stretto controllo la vendita di tali sostanze chimiche tramite la segnalazione di transazioni sospette e furti.

3. Nel presente parere, il GEPD attira l’attenzione del legislatore su alcune importanti questioni relative alla protezione dei dati e formula raccomandazioni al fine di assicurare il diritto fondamentale alla tutela dei dati personali.

II. ANALISI DELLA PROPOSTA E IMPORTANTI QUESTIONI RELATIVE ALLA PROTEZIONE DEI DATI

1. Misure proposte dalla Commissione

4. La proposta affronta i problemi dell’uso illecito di certe sostanze chimiche, ampiamente disponibili al pubblico sul mercato, come precursori di ordigni artigianali. Gli articoli 4 e 5 della proposta riguardano il divieto di vendita al pubblico, in combinazione con un regime di licenze e una norma per registrare tutte le transazioni autorizzate. L’articolo 6 sancisce l’obbligo per gli operatori economici di segnalare le transazioni sospette e i furti. Infine, l’articolo 7 affronta l’esigenza della protezione dei dati.

Articoli 4 e 5: Divieto di vendita, licenza e registrazione delle transazioni

5. Saranno vietate le vendite al pubblico di certe sostanze chimiche al di sopra di determinate soglie di concentrazione. Vendite con livelli di concentrazione più elevati sarebbero consentite solo a chi possa comprovare la legittima necessità di utilizzare la sostanza chimica.

6. L’ambito di applicazione del divieto si limita a un breve elenco di sostanze chimiche e loro miscele (cfr. l’allegato I della proposta) e alla loro vendita al pubblico. Tali limitazioni non si applicano a utilizzatori professionali o nell’ambito di transazioni da impresa a impresa. Inoltre, la disponibilità al pubblico delle sostanze elencate è limitata solo se esse superano determinati livelli di concentrazione, e può essere comunque consentita dietro presentazione di una licenza ottenuta da una pubblica autorità (che ne attesti l’uso legittimo). Infine, beneficiano di un’eccezione gli agricoltori, ai quali è consentito l’acquisto senza licenza di nitrato di ammonio per uso come fertilizzante, indipendentemente dai livelli di concentrazione.

7. Le licenze saranno anche richieste allorché un individuo del pubblico intenda importare nell’Unione europea le sostanze elencate.

8. Un operatore economico che metta una sostanza o una miscela a disposizione di un individuo del pubblico titolare di licenza è tenuto a verificare la licenza presentata e mantenere traccia della transazione.

9. Ciascuno Stato membro è tenuto a stabilire le norme per il rilascio della licenza. Se ci sono ragionevoli motivi di dubitare della legittimità dell’uso previsto, l’autorità competente nello Stato membro é tenuta a rifiutare al richiedente la concessione della licenza. Le licenze concesse sono valide in tutti gli Stati membri. La Commissione può stabilire orientamenti sulle specifiche tecniche delle licenze per facilitarne il reciproco riconoscimento.

Articolo 6: Segnalazione di transazioni sospette e furti

10. La vendita di una più ampia gamma di sostanze chimiche a rischio (quelle elencate nell’allegato II, oltre a quelle riportate nell’allegato I, che sono già soggette alla norma della concessione della licenza) saranno soggette alla norma di segnalazione di transazioni sospette e furti.

11. La proposta impone che ciascuno Stato membro crei un punto di contatto nazionale, con un numero di telefono e un indirizzo e-mail chiaramente indicati, per la segnalazione delle transazioni sospette e furti. Gli operatori economici sono tenuti a segnalare immediatamente qualsiasi transazione sospetta e furto, indicando, ove possibile, l’identità del cliente.

12. La Commissione elabora e aggiorna orientamenti destinati ad assistere gli operatori economici nel riconoscimento e comunicazione delle transazioni sospette. Gli orientamenti includeranno anche periodici aggiornamenti di una lista di ulteriori sostanze non incluse negli allegati I e II, per le quali è incoraggiata la segnalazione volontaria di transazioni sospette e furti.

Articolo 7: Protezione dei dati

13. Il considerando 11 e l’articolo 7 richiedono che il trattamento di dati personali ai sensi del regolamento debba avvenire sempre conformemente alle norme UE di protezione dei dati, in particolare la direttiva 95/46/CE ⁽⁴⁾ e le leggi nazionali che la attuano. La proposta non contiene ulteriori disposizioni sulla protezione dei dati.

2. Sono necessarie disposizioni più specifiche per proteggere adeguatamente i dati personali

14. La segnalazione di transazioni sospette e furti nonché il regime di licenza e di registrazione previsto dal regolamento richiedono il trattamento di dati personali. Entrambi comportano, in ogni caso in qualche misura, un’interferenza con la vita privata e il diritto alla protezione dei dati personali, e pertanto richiedono misure di salvaguardia adeguate.

15. Il GEPD accoglie favorevolmente il fatto che la proposta contenga una disposizione separata (articolo 7) sulla protezione dei dati. Detto ciò, questa unica disposizione, formulata in termini molto generici, prevista nella proposta non è sufficiente per rispondere in modo adeguato alle preoccupazioni in materia di protezione dei dati sollevate dalle misure proposte. Inoltre, anche i pertinenti articoli della proposta (articoli 4, 5 e 6) non riescono a fornire una descrizione sufficientemente dettagliata delle specificità delle operazioni di trattamento dei dati previste.

16. A scopo illustrativo, per quanto riguarda la concessione delle licenze, il regolamento richiede che gli operatori economici registrino le transazioni autorizzate, senza, tuttavia, specificare quali dati personali dovrebbero esser contenuti nelle registrazioni, per quanto tempo dovrebbero essere conservati, a chi possono essere rivelati e sotto che condizioni. Non viene inoltre specificato quali dati saranno raccolti durante il trattamento delle domande di licenza.

17. Riguardo alla norma che impone la segnalazione di transazioni sospette e furti, la proposta sancisce l’obbligo di segnalazione, senza, tuttavia, specificare in che cosa consiste una transazione sospetta, quali dati personali dovrebbero essere registrati, per quanto tempo dovrebbero essere conservate le informazioni segnalate, a chi possono essere rivelati i dati e a che condizioni. La proposta non fornisce inoltre ulteriori dettagli relativi ai «punti di contatto nazionali» da designare, o alle eventuali banche dati che tali punti di contatto possano creare per i propri Stati membri o ad ogni eventuale banca dati che possa esser stabilita a livello di UE.

18. Dal punto di vista della protezione dei dati, la raccolta di dati riguardanti transazioni sospette è il tema più delicato contenuto nella proposta. Le pertinenti disposizioni dovrebbero essere chiarite in modo da assicurare che il trattamento dei dati rimanga proporzionato e che l'abuso sia evitato. Per ottenere ció, le condizioni per il trattamento dei dati dovrebbero essere chiaramente specificate e dovrebbero essere applicate adeguate misure di salvaguardia.

19. È importante che i dati non vengano utilizzati per scopi diversi dalla lotta contro il terrorismo (e per altri reati che implichino un uso illecito di sostanze chimiche per ordigni artigianali). Inoltre i dati non devono essere conservati per periodi di tempo prolungati, specialmente se il numero dei destinatari effettivi o potenziali è elevato e/o se i dati devono essere utilizzati per estrapolazioni di dati. Ciò è ancora più importante nei casi in cui può essere dimostrata l’infondatezza del sospetto iniziale. In tali casi occorre una giustificazione specifica per prolungare ulteriormente la conservazione dei dati. A scopo illustrativo, in questo contesto, il GEPD cita la pronuncia della Corte europea dei diritti umani riguardo alla causa di S. e Marper contro Regno Unito (2008) ⁽⁵ ⁾, secondo cui la conservazione a lungo termine del DNA di persone che non sono state condannate per un reato costituisce una violazione del loro diritto al rispetto della vita privata ai sensi dell’articolo 8 della Convenzione europea dei diritti dell’uomo.

20. Per tali motivi, il GEPD raccomanda che gli articoli 5, 6 e 7 della proposta contengano ulteriori disposizioni più specifiche per affrontare adeguatamente tali preoccupazioni. Alcune raccomandazioni specifiche verranno formulate di seguito.

21. Inoltre, occorrerebbe anche considerare se possano essere formulate disposizioni specifiche e più dettagliate nell’ambito dell’attuazione di una decisione della Commissione conformemente agli articoli 10, 11 e 12 della proposta per affrontare ulteriori questioni di protezione dei dati a livello pratico.

22. Infine, il GEPD raccomanda di includere negli orientamenti della Commissione sulle transazioni sospette e sui dettagli tecnici delle licenze ulteriori disposizioni specifiche sul trattamento e sulla protezione dei dati. Entrambi gli orientamenti, oltre a qualsiasi possibile decisione di attuazione nell’ambito della protezione dei dati, dovrebbero essere adottati previa consultazione del GEPD e, qualora sia in gioco l’attuazione a livello nazionale, previa consultazione del «Gruppo dell’articolo 29». Il regolamento stesso dovrebbe prevedere chiaramente questo punto ed elencare inoltre in modo specifico le questioni principali da trattare nell’ambito degli orientamenti e della decisione di attuazione.

3. Raccomandazioni riguardo alla concessione di licenze e alla registrazione delle transazioni

3.1. Raccomandazioni per l’articolo 5 della proposta

Periodo massimo di conservazione e categorie dei dati raccolti

23. Il GEPD raccomanda che l’articolo 5 del regolamento specifichi un periodo massimo di conservazione dei dati (prima facie, non superiore ai due anni) oltre alle categorie di dati personali da registrare (non più della registrazione del nome, del numero di licenza e degli articoli acquistati). Tali raccomandazioni derivano dal principio di necessità e proporzionalità: la raccolta e la conservazione dei dati personali dovrebbero essere limitate a quanto strettamente necessario per il conseguimento degli scopi perseguiti (cfr. l’articolo 6, lettere c) ed e) della direttiva 95/46/CE). Se la formulazione di tali specifiche viene lasciata alla normativa o alla prassi nazionale, probabilmente ciò condurrà, nella pratica, a inutili incertezze e a disparità di trattamento di situazioni analoghe.

Divieto di raccolta di «categorie particolari di dati»

24. Inoltre, l’articolo 5 del regolamento dovrebbe anche vietare espressamente, in relazione alla procedura di concessione della licenza, la raccolta e il trattamento di «categorie particolari di dati» (così come definiti nell’articolo 8 della direttiva 95/46/CE) quali, tra gli altri, i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche.

25. Ciò dovrebbe contribuire inoltre ad assicurare che coloro i quali presentano la domanda non siano trattati in maniera discriminatoria, ad esempio, in base alla loro razza, nazionalità, affiliazione politica o religiosa. In questo contesto, il GEPD sottolinea che assicurare un livello elevato di protezione dei dati significa contribuire alla lotta contro il razzismo, la xenofobia e la discriminazione, il che, a sua volta, può contribuire a evitare la radicalizzazione e il reclutamento a fini terroristici.

3.2. Raccomandazioni per gli orientamenti/la decisione di attuazione

Dati raccolti durante il processo di concessione della licenza

26. Il regolamento stabilisce che le domande per ottenere la concessione della licenza debbano essere respinte se vi sono ragionevoli motivi per dubitare della legittimità dell’uso previsto. A tale riguardo, sarebbe utile che gli orientamenti o la decisione di attuazione specificassero i dati che possono essere raccolti dalle autorità preposte al rilascio della licenza in relazione alla domanda di rilascio della licenza.

Limitazioni della finalità

27. Gli orientamenti o la decisione di attuazione dovrebbero disporre che i dati registrati possano essere rivelati solo alle competenti autorità incaricate dell’applicazione della legge che indagano su attività terroristiche o su altre attività criminali sospette in relazione all’abuso dei precursori di esplosivi. Le informazioni non dovrebbero essere usate per altri scopi (cfr. l’articolo 6, lettera b) della direttiva 95/46/CE).

Informazioni agli interessati sulla registrazione delle transazioni (e sulla segnalazione di transazioni sospette)

28. Il GEPD raccomanda inoltre che gli orientamenti o la decisione di attuazione specifichino che l’autorità preposta al rilascio della licenza, che si trova nella posizione migliore per informare direttamente gli interessati, comunichi ai titolari delle licenze che i loro acquisti saranno registrati e potrebbero venire segnalati qualora ritenuti «sospetti» (cfr. gli articoli 10 e 11 della direttiva 95/46/CE).

4. Raccomandazioni relative alla segnalazione di transazioni e furti sospetti

4.1. Raccomandazioni per l’articolo 6 della proposta

29. Il GEPD raccomanda che nella proposta vengano chiariti il ruolo e la natura dei punti di contatto nazionali. La valutazione d’impatto, al paragrafo 6.33, fa riferimento alla possibilità che questi punti di contatto possono essere non soltanto «autorità incaricate dell’applicazione della legge» ma anche «associazioni». I documenti legislativi non forniscono ulteriori informazioni al riguardo. Ciò dovrebbe essere chiarito, in particolare, nell’articolo 6.2 della proposta. In linea di principio, i dati dovrebbero essere detenuti dalle autorità incaricate dell’applicazione della legge; in caso contrario i motivi dovrebbero essere giustificati molto chiaramente.

30. Inoltre, l’articolo 6 del regolamento dovrebbe specificare i dati personali da registrare (non più del nome, del numero di licenza, degli articoli acquistati e dei motivi che hanno dato adito ai sospetti). Queste raccomandazioni derivano dal principio di necessità e proporzionalità: la raccolta dei dati personali dovrebbe essere limitata a ciò che è strettamente necessario per gli scopi perseguiti (cfr. l’articolo 6, lettera c) della direttiva n. 95/46/CE). In questo contesto, valgono considerazioni analoghe, come indicato al punto 23.

31. L’articolo 6 del regolamento dovrebbe inoltre vietare espressamente, in relazione alla procedura di segnalazione, la raccolta e il trattamento di «categorie particolari di dati» (definite nell’articolo 8 della direttiva 95/46/CE) quali, tra gli altri, dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche (cfr. anche i punti 24-25).

32. Infine, l’articolo 6 dovrebbe stabilire un periodo massimo di conservazione, prendendo in considerazione gli scopi della conservazione dei dati. Il GEPD raccomanda che, a meno che una transazione sospetta o un furto abbiano portato a un’indagine specifica e che l’indagine sia ancora in corso, tutte le transazioni sospette segnalate e i furti dovrebbero essere eliminati dalla banca dati trascorso il termine di un periodo specificato (prima facie, al più tardi due anni dopo la data della segnalazione). Ciò dovrebbe contribuire a garantire che, in casi in cui il sospetto non sia stato confermato (o anche indagato ulteriormente), persone innocenti non vengano mantenute in una «lista nera» e considerate «sospette» per un indebito periodo di tempo prolungato (cfr. l’articolo 6, lettera e) della direttiva 95/46/CE). Divergenze di troppo ampio respiro a livello nazionale su questo punto dovrebbero, in ogni caso, esser evitate.

33. Tale limitazione è necessaria anche per garantire il principio della qualità dei dati (cfr. l’articolo 6, lettera d) della direttiva 95/46/CE) nonché altri importanti principi giuridici come la presunzione d’innocenza. Ciò potrebbe avere come conseguenza non soltanto un livello più adeguato di protezione per le singole persone, ma allo stesso tempo, dovrebbe consentire alle autorità incaricate dell’applicazione della legge di concentrarsi in maniera più efficace sui casi più gravi in cui è probabile che in ultima istanza il sospetto venga confermato.

4.2. Raccomandazioni per gli orientamenti/la decisione di attuazione

Criteri per le transazioni sospette dovrebbero essere definiti

34. La proposta non definisce quale transazione possa essere «sospetta». Tuttavia, l’articolo 6, paragrafo 6, lettera a) della proposta stabilisce che la Commissione «elabora e aggiorna orientamenti» e fornisce informazioni su «come riconoscere e comunicare le transazioni sospette».

35. Il GEPD accoglie con favore il fatto che la proposta richieda alla Commissione di elaborare degli orientamenti. Questi dovrebbero essere sufficientemente chiari e concreti ed evitare un’interpretazione troppo ampia, in modo da ridurre al minimo le trasmissioni di dati personali alle autorità incaricate dell’applicazione della legge e per evitare qualunque pratica arbitraria o discriminatoria, ad esempio in considerazione della razza, della nazionalità o del credo politico o religioso.

Limitazione delle finalità, riservatezza, sicurezza e accesso

36. Gli orientamenti/le norme di attuazione dovrebbero stabilire inoltre che le informazioni dovrebbero essere mantenute sicure e riservate e dovrebbero essere rivelate solo alle autorità competenti incaricate dell’applicazione della legge, che indagano sulle attività terroristiche o su altre attività criminali sospette in relazione all’abuso dei precursori di esplosivi. Le informazioni non dovrebbero essere utilizzate per ulteriori scopi, ad esempio per indagini su questioni non correlate condotte da parte delle autorità fiscali o delle autorità competenti in materia di immigrazione.

37. Gli orientamenti/la decisione di attuazione dovrebbero specificare inoltre chi dovrebbe avere accesso ai dati ricevuti (e conservati) dai punti di contatto nazionali. L’accesso e le rivelazioni dovrebbero essere rigorosamente limitati in base al mero principio della necessità di sapere. Dovrebbe essere considerata, inoltre, la pubblicazione di un elenco di possibili destinatari.

Diritti di accesso degli interessati

38. Gli orientamenti/la decisione di attuazione dovrebbero stabilire i diritti di accesso degli interessati, compresi, qualora opportuno, la rettifica o la cancellazione dei loro dati (cfr. gli articoli 12-14 della direttiva 95/46/CE). L’esistenza di questo diritto, o qualunque potenziale eccezione a norma dell’articolo 13, può avere implicazioni importanti. Ad esempio, ai sensi delle norme generali, l'interessato ha anche il diritto di sapere se la sua transazione è stata considerata sospetta. Tuttavia, l’uso (potenziale) di questo diritto potrebbe impedire al venditore di precursori degli esplosivi di comunicare transazioni sospette dell’acquirente. Pertanto, eventuali eccezioni dovrebbero essere chiaramente giustificate e stabilite appositamente, di preferenza nel regolamento, o in ogni caso, negli orientamenti/nella decisione di attuazione. Inoltre dovrebbe essere previsto un meccanismo di ricorso, con il coinvolgimento dei punti di contatto nazionali.

5. Ulteriori osservazioni

Riesame periodico dell’efficacia

39. Il GEPD accoglie con favore il fatto che l’articolo 16 della proposta stabilisca un riesame del regolamento [cinque anni dopo l’adozione]. In effetti, il GEPD è del parere che tutti i nuovi strumenti dovrebbero provare, nel corso di riesami periodici, di continuare a rappresentare mezzi efficaci di lotta al terrorismo (e altra attività criminale). Il GEPD raccomanda che il regolamento stabilisca specificatamente che durante tale riesame vengano considerati anche l’efficacia del regolamento e i suoi effetti sui diritti fondamentali, compresa la protezione dei dati.

III. CONCLUSIONI

40. Il GEPD raccomanda di aggiungere alla proposta ulteriori disposizioni più specifiche per affrontare in maniera adeguata le preoccupazioni relative alla protezione dei dati. Inoltre, gli orientamenti della Commissione sulle transazioni sospette e sui dettagli tecnici delle licenze (e un’eventuale decisione di attuazione sulla protezione dei dati) dovrebbero includere anche ulteriori disposizioni specifiche sul trattamento dei dati e sulla protezione dei dati. Gli orientamenti (e l’eventuale decisione di attuazione) devono essere adottati dopo aver consultato il GEPD e, qualora opportuno, il «Gruppo dell’articolo 29» con i rappresentanti delle autorità preposte alla protezione dei dati negli Stati membri.

41. L’articolo 5 del regolamento dovrebbe specificare un periodo massimo di conservazione (prima facie, non superiore a due anni) per le transazioni registrate e le categorie di dati personali da registrare (non più del nome, del numero di licenza e degli articoli acquistati). Il trattamento di categorie particolari di dati dovrebbe essere espressamente vietato.

42. Il ruolo e la natura dei punti di contatto dovrebbero essere chiariti nell’articolo 6 della proposta. Questa disposizione dovrebbe anche specificare un periodo massimo di conservazione dei dati segnalati sulle transazioni sospette (prima facie, non superiore ai due anni) oltre ai dati personali da registrare (che non superino la registrazione del nome, del numero di licenza, degli articoli acquistati e delle ragioni che suscitano il sospetto). Il trattamento di categorie particolari di dati dovrebbe essere espressamente vietato.

43. Inoltre, gli orientamenti/la decisione di attuazione dovrebbero specificare i dati che possono essere raccolti dalle autorità preposte al rilascio della licenza in relazione alla domanda di rilascio della licenza. Dovrebbero anche limitare chiaramente le finalità di utilizzo dei dati. Disposizioni analoghe si dovrebbero applicare inoltre alle registrazioni delle transazioni sospette. Gli orientamenti/la decisione di attuazione dovrebbero specificare che l’autorità preposta al rilascio della licenza dovrebbe informare i titolari di licenza che i loro acquisti saranno registrati e che potrebbero venire segnalati qualora ritenuti «sospetti». Gli orientamenti/la decisione di attuazione dovrebbero specificare ulteriormente a chi è consentito l’accesso ai dati ricevuti (e conservati) da parte dei punti di contatto nazionali. L’accesso ai dati e la loro rivelazione dovrebbero essere limitati in base al mero principio della necessità di sapere. Dovrebbero inoltre fornire diritti di accesso adeguati agli interessati e specificare chiaramente e giustificare qualsiasi eccezione.

44. L’efficacia delle misure previste dovrebbe essere riesaminata periodicamente considerando al contempo l’eventuale impatto sulla vita privata.

Fatto a Bruxelles, il 15 dicembre 2010.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) COM(2010) 473.

( 4 ) Citata nella nota a piè di pagina 1.

( 5 ) S. e Marper contro il Regno Unito (4 dicembre 2008) (Domande n. 30562/04 e n. 30566/04).