Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta modificata di regolamento del Parlamento europeo e del Consiglio che istituisce l'´Eurodacª per il confronto delle impronte digitali per l'efficace applicazione del regolamento (CE) n. (ä/ä) (che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide)

Parere del Garanteeuropeo della protezione dei dati sulla proposta di regolamento del Parlamentoeuropeo e del Consiglio che stabilisce le regole finanziarie applicabili albilancio annuale dell'Unione

(Pubblicato sulla GUUE n. C215 del 21/7/2011)

IL GARANTE EUROPEO DELLAPROTEZIONE DEI DATI,

visto il trattato sulfunzionamento dell'Unione europea, in particolare l'articolo 16,

vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CEdel Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa allatutela delle persone fisiche con riguardo al trattamento dei dati personali,nonché alla libera circolazione di tali dati ⁽¹⁾,

vista la richiesta diparere a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001,concernente la tutela delle persone fisiche in relazione al trattamento deidati personali da parte delle istituzioni e degli organismi comunitari, nonchéla libera circolazione di tali dati ⁽²⁾, trasmessa dalla Commissione il 5gennaio 2011,

HA ADOTTATO IL SEGUENTEPARERE:

I. INTRODUZIONE

1. Il 22 dicembre 2010 laCommissione ha adottato la proposta di regolamento del Parlamento europeo e delConsiglio che stabilisce le regole finanziarie applicabili al bilancio annualedell'Unione (´la propostaª). Il documento riunisce e sostituisce due precedentiproposte della Commissione concernenti la revisione del regolamento finanziario[´il RFª, regolamento (CE, Euratom) n. 1605/2002 del Consiglio ⁽³⁾]. Le due proposteriguardavano, da un lato, la revisione triennale del RF e, dall'altro, larevisione del RF per allinearlo al trattato di Lisbona ⁽⁴⁾.

2. Conformemente all'articolo28, paragrafo 2, del regolamento (CE) n. 45/2001, il 5 gennaio 2011 la propostaè stata inviata al GEPD. Prima dell'adozione della proposta, il GEPD era statoconsultato in modo informale. Il Garante raccomanda al legislatore di includereun riferimento alla sua consultazione all'inizio del regolamento proposto.

3. La proposta comportaimplicazioni per la protezione dei dati, sia a livello di Unione europea sia alivello nazionale, che sono esaminate nel presente parere.

4. La proposta contieneriferimenti ai pertinenti strumenti per la protezione dei dati. Tuttavia, comespiegato nel presente parere, è necessario elaborare e chiarire ulteriormentealcuni aspetti al fine di garantire la piena osservanza del quadro giuridicosulla protezione dei dati.

II. ANALISI DELLA PROPOSTA

II.1. Riferimentigenerali alla normativa UE sulla protezione dei dati

5. Il regolamento proposto comprendediverse situazioni che comportano il trattamento di dati personali da partedelle istituzioni, delle agenzie e degli organismi dell'UE, nonché da parte dientità a livello di Stati membri. Tali attività di trattamento dei dati sono analizzatein modo più approfondito nel prosieguo. Quando trattano dati personali,le istituzioni, le agenzie e gli organismi dell'UE sono vincolati dalledisposizioni in materia di protezione dei dati di cui al regolamento (CE) n.45/2001. Le entità che agiscono a livello nazionale sono vincolate dalledisposizioni nazionali che recepiscono la direttiva 95/46/CE nel rispettivoStato membro.

6. Il GEPD constata consoddisfazione che la proposta di regolamento contiene riferimenti a uno diquesti due strumenti o a entrambi ⁽⁵⁾. Tuttavia i riferimenti non figuranoin modo sistematico e coerente nella proposta. Il GEPD invita pertanto illegislatore ad adottare un approccio più esauriente al riguardo nell'ambito delregolamento.

7. Il GEPD raccomanda allegislatore di inserire nel preambolo del regolamento il seguente riferimentoalla direttiva 95/46/CE e al regolamento (CE) n. 45/2001:

´Il presente regolamentolascia impregiudicati gli obblighi previsti dalla direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati e dal regolamento (CE) n. 45/2001 delParlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tuteladelle persone fisiche in relazione al trattamento dei dati personali da partedelle istituzioni e degli organismi comunitari, nonché la libera circolazionedi tali dati.ª.

8. Il GEPD raccomandaaltresì di inserire nell'articolo 57, paragrafo 2, lettera f), un riferimentoalla direttiva 95/46/CE e al regolamento (CE) n. 45/2001, analogo a quello chefigura all'articolo 31, paragrafo 3, della proposta.

II.2. Prevenzione,individuazione e rettifica delle frodi e irregolarità

9. L'articolo 28 dellaproposta riguarda il controllo interno dell'esecuzione del bilancio. Essoprevede, al paragrafo 2, lettera d), che ai fini dell'esecuzione del bilancio,il controllo interno è destinato a fornire ragionevoli garanzie quanto alconseguimento della prevenzione, dell'individuazione e della rettifica dellefrodi e irregolarità.

10. In caso di esecuzioneindiretta del bilancio da parte della Commissione, mediante gestioneconcorrente con gli Stati membri o con entità e persone diverse dagli Statimembri, l'articolo 56, paragrafo 2, e l'articolo 57, paragrafo 3,rispettivamente, stabiliscono che gli Stati membri e le entità e personeprevengono, individuano e rettificano le irregolarità e le frodi nell'ambitodell'espletamento delle funzioni connesse all'esecuzione del bilancio. Va da séche tali misure devono essere pienamente conformi alle disposizioni nazionaliche recepiscono la direttiva 95/46/CE.

11. A tal fine, l'articolo56, paragrafo 4, lettera f) (che dovrebbe essere il paragrafo 4, lettera e),secondo l'ordine logico dei commi), stabilisce che gli organismi accreditatidagli Stati membri, che assumono la responsabilità esclusiva della gestione edel controllo corretti dei fondi, ´garantiscono un grado di tutela dei datipersonali che soddisfa i principi stabiliti dalla direttiva 95/46/CEª. Il GEPDraccomanda di rafforzare tale riferimento, modificandolo in ´garantiscono laconformità di qualsiasi trattamento dei dati personali alle disposizioninazionali che recepiscono la direttiva 95/46/CEª.

12. Per quanto riguarda leentità e persone diverse dagli Stati membri, l'articolo 57, paragrafo 2,lettera f), indica che tali entità e persone ´garantiscono un ragionevole gradodi tutela dei dati personaliª. Il GEPD critica severamente questa formulazione,in quanto sembra lasciare margini per un'applicazione meno rigorosa delledisposizioni in materia di protezione dei dati. Il GEPD raccomanda quindi disostituire la frase, anche in questo caso, con ´garantiscono la conformità diqualsiasi trattamento dei dati personali alle disposizioni nazionali cherecepiscono la direttiva 95/46/CEª.

II.3. Informatori

13. L'articolo 63,paragrafo 8, della proposta riguarda le procedure per la denuncia delleirregolarità. Impone agli agenti l'obbligo di informare l'ordinatore (o l'istanzaspecializzata in irregolarità finanziarie creata ai sensi dell'articolo 70,paragrafo 6, della proposta), qualora ritengano irregolare o contraria aiprincipi di una sana gestione finanziaria o alle regole deontologiche cui sonovincolati una decisione la cui applicazione sia stata loro imposta da unsuperiore. In caso di attività illecite, di frode o di corruzione che possanoledere gli interessi dell'Unione, gli agenti informano le autorità e istanzedesignate dalla legislazione in vigore.

14. Il GEPD desiderarilevare che la posizione dei denuncianti è delicata. Le persone che ricevonole informazioni dovrebbero assicurare che l'identità del denunciante non siarivelata a terzi, in particolare al presunto autore dell'illecito denunciato ⁽⁶ ⁾.Garantire la riservatezza del denunciante non solo tutela la persona chefornisce le informazioni, ma assicura anche l'efficienza della procedura didenuncia stessa. Senza adeguate garanzie di riservatezza, gli agenti sarannomeno propensi a denunciare irregolarità o illeciti.

15. La tutela dellariservatezza del denunciante tuttavia non è assoluta. In seguito alla primaverifica interna, potrebbero essere avviati procedimenti amministrativi ogiudiziari che comportano la comunicazione dell'identità del denunciante, peresempio alle autorità giudiziarie. Al riguardo si devono osservare le normativenazionali che disciplinano i procedimenti giudiziari ⁽⁷⁾.

16. Possono ancheverificarsi situazioni in cui la persona accusata di un illecito ha il dirittodi conoscere il nome del denunciante. Per esempio, se viene accertato che quest'ultimoha dichiarato il falso in malafede, è possibile che il denunciato vogliaavviare un procedimento per diffamazione e che sia quindi necessario rivelarglil'identità del denunciante ⁽⁸⁾.

17. Il GEPD raccomanda dimodificare l'attuale proposta al fine di garantire la riservatezza dei datisull'identità del denunciante durante le attività di verifica, purché ciò nonsia in contrasto con le normative nazionali che disciplinano i procedimenti giudiziarie fatto salvo il diritto della persona accusata di un illecito di conoscere l'identitàdel denunciante per avviare un procedimento nei suoi confronti, qualora vengaaccertato che il denunciante ha dichiarato il falso in malafede.

II.4. Pubblicazione diinformazioni sui destinatari di fondi provenienti dal bilancio

18. Secondo l'articolo 31,paragrafo 2 (Pubblicazione dei destinatari di fondi dell'Unione e di altreinformazioni) la Commissione mette a disposizione, nella forma appropriata, leinformazioni sui destinatari dei fondi provenienti dal bilancio, di cui essadispone qualora l'esecuzione del bilancio sia espletata direttamente dai suoiservizi o dalle delegazioni.

19. All'articolo 31,paragrafo 3, si legge che tali informazioni ´sono messe a disposizione neldebito rispetto dei requisiti in materia di riservatezza, in particolare latutela dei dati personali ai sensi della direttiva 95/46/CE del Parlamentoeuropeo e del Consiglio e del regolamento (CE) n. 45/2001 del Parlamentoeuropeo e del Consiglio, nonché dei requisiti in materia di sicurezza, nelrispetto delle specificità di ciascuna delle modalità di gestione [ä] e se delcaso in conformità delle pertinenti normative settorialiª.

20. La pubblicazione dell'identitàdei destinatari di fondi dell'Unione è stata esaminata dalla Corte di giustiziadell'Unione europea (´la Corteª) nella sua sentenza del novembre 2010 nellacausa Schecke e Eifert ⁽⁹⁾. Senza entrare nel merito della fattispecie,va sottolineato che la Corte ha valutato attentamente se la legislazione dell'Unione,che prevedeva l'obbligo di rivelare le informazioni, fosse conforme agliarticoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea (´laCarta dell'UEª).

21. La Corte ha esaminatola finalità della pubblicazione delle informazioni e quindi la proporzionalitàdella misura. Ha osservato che le istituzioni, prima di divulgare informazioniriguardanti una persona fisica, devono soppesare l'interesse dell'Unione allatrasparenza e la lesione dei diritti riconosciuti dalla Carta dell'UE ⁽¹⁰⁾. La Corte ha sottolineato che lederoghe e le limitazioni alla protezione dei dati personali devono operare neilimiti dello stretto necessario ⁽¹¹⁾.

22. Secondo la Corte, leistituzioni dovrebbero esaminare diverse modalità di pubblicazione al fine diindividuarne una che sia conforme all'obiettivo della pubblicazione pur essendomeno lesiva del diritto dei beneficiari al rispetto della vita privata, ingenerale, e alla protezione dei dati personali, in particolare ⁽¹²⁾. Nella fattispecie, la Corte haindicato la limitazione della pubblicazione dei dati nominativi relativi aibeneficiari in base ai periodi durante i quali essi hanno percepito aiuti, allafrequenza, o al tipo e all'entità di tali aiuti ⁽¹³⁾.

23. Il GEPD sottolineaancora una volta che il ruolo della protezione della vita privata e dei datipersonali non è impedire il pubblico accesso alle informazioni allorchériguardano dati personali, né limitare indebitamente la trasparenza dell'amministrazionedell'Unione. Il GEPD condivide il punto di vista secondo cui il principio ditrasparenza ´consente una migliore partecipazione dei cittadini al processodecisionale e garantisce una maggiore legittimità, efficienza e responsabilitàdell'amministrazione nei confronti dei cittadini in un sistema democraticoª; lapubblicazione tramite Internet dei dati nominativi relativi ai beneficiari deifondi, effettuata in modo adeguato, ´contribuisce all'impiego appropriato dellefinanze pubbliche da parte dell'amministrazioneª e ´rafforza il controllopubblico sull'utilizzazione delle somme in questioneª ⁽¹⁴⁾.

24. Su tali basi, il GEPDdesidera sottolineare che le considerazioni della Corte esposte ai paragrafiprecedenti sono direttamente pertinenti alla proposta in esame. Sebbenecontenga riferimenti alla direttiva 95/46/CE e al regolamento (CE) n. 45/2001, essanon assicura che la pubblicazione prevista soddisfi le condizioni stabilitedalla Corte nella causa Schecke. Al riguardo va rilevato che la Cortenon solo ha dichiarato invalido il regolamento della Commissione che stabiliscele modalità di pubblicazione di informazioni sui beneficiari dei fondi agricoli⁽¹⁵ ⁾,ma anche la disposizione del regolamento che costituisce la base giuridica didetto regolamento della Commissione contenente l'obbligo generale di pubblicarele informazioni ⁽¹⁶⁾, nella parte in cui riguardano lepersone fisiche beneficiarie di aiuti.

25. Il GEPD nutre seridubbi in merito al soddisfacimento, da parte dell'attuale proposta, dei criterienunciati dalla Corte nella causa Schecke. Né l'articolo 31, né glialtri articoli indicano una finalità chiara e ben definita per la quale èprevista la pubblicazione dei dati personali. Inoltre non è chiaro quando e inquale forma saranno divulgate tali informazioni. Non è quindi possibilevalutare se sia stato garantito un contemperamento equilibrato dei diversiinteressi in causa e verificare, come sottolineato espressamente dalla Cortenella causa Schecke, se la pubblicazione sarebbe proporzionata. » altresìpoco chiaro il modo in cui saranno tutelati i diritti degli interessati.

26. Anche se è prevista unalegislazione di attuazione — il che non è esplicitamente indicato —le precisazioni essenziali di cui sopra dovrebbero figurare nella basegiuridica che dovrebbe essere costituita dal RF per la pubblicazione di talidati.

27. Il GEPD raccomandapertanto al legislatore di chiarire la finalità e spiegare la necessità dellapubblicazione prevista, di indicare come e in quale misura saranno divulgatidati personali, di garantire che i dati siano pubblicati soltanto se ciò èproporzionato e di assicurare che gli interessati possano far valere i lorodiritti, sanciti dalla normativa UE sulla protezione dei dati.

II.5. Pubblicazione didecisioni o sintesi di decisioni sulle sanzioni amministrative e finanziarie

28. L'articolo 103 dellaproposta stabilisce che l'amministrazione aggiudicatrice può infliggeresanzioni amministrative o finanziarie: a) a contraenti, candidati o offerentiche si siano resi colpevoli di false dichiarazioni nel fornire le informazionirichieste dall'amministrazione aggiudicatrice ai fini della partecipazione allaprocedura di aggiudicazione dell'appalto o non abbiano fornito taliinformazioni [articolo 101, lettera b)]; b) a contraenti dei quali sia stataaccertata una grave inadempienza alle obbligazioni previste in contratti acarico del bilancio.

29. L'articolo 103,paragrafo 1, stabilisce che gli interessati devono avere la possibilità dipresentare osservazioni. Secondo l'articolo 103, paragrafo 2, le sanzionipossono consistere nell'esclusione dell'interessato dagli appalti e sovvenzionifinanziati dal bilancio per un periodo massimo di dieci anni, e/o in sanzionifinanziarie entro i limiti del valore dell'appalto in questione.

30. Rispetto allasituazione attuale, un nuovo elemento della proposta è che l'istituzione di cuiall'articolo 103, paragrafo 3, può pubblicare le decisioni o una sintesi delledecisioni in cui figurano il nominativo dell'operatore economico, una brevedescrizione dei fatti, la durata dell'esclusione o l'ammontare delle sanzionifinanziarie.

31. Nella misura in cui ciòcomporta la divulgazione di informazioni su persone fisiche, la disposizionesolleva alcuni dubbi dal punto di vista della protezione dei dati. In primoluogo, è chiaro dall'uso del termine ´puòª che la pubblicazione non è obbligatoria.Tuttavia ciò lascia irrisolte alcune questioni sulle quali il testo dellaproposta non garantisce chiarezza. Per esempio, qual è la finalità di talepubblicazione? Quali sono i criteri in base ai quali l'istituzione interessatadecide di pubblicare le informazioni? Per quanto tempo tali informazionisaranno disponibili al pubblico e tramite quali mezzi? Chi verificherà se leinformazioni sono ancora esatte e le terrà aggiornate? Chi informerà la personainteressata in merito alla pubblicazione? Sono tutte questioni che riguardanogli obblighi in materia di qualità dei dati di cui all'articolo 6 delladirettiva 95/46/CE e all'articolo 4 del regolamento (CE) n. 45/2001.

32. Va sottolineato che lapubblicazione di tali informazioni ha un ulteriore impatto negativo sull'interessato.La pubblicazione dovrebbe essere consentita soltanto se è strettamentenecessaria per la finalità prevista. Le osservazioni formulate nella parte II.4nel contesto della sentenza della Corte nella causa Schecke si applicanoanche in questo caso.

33. Nella sua formulazioneattuale, il testo proposto all'articolo 103, paragrafo 3, non rispettapienamente le condizioni stabilite dalla normativa sulla protezione dei dati.Il GEPD raccomanda pertanto al legislatore di chiarire la finalità e spiegarela necessità della pubblicazione prevista, di indicare come e in quale misurasaranno divulgati dati personali, di garantire che i dati siano divulgatisoltanto se ciò è proporzionato e di assicurare che gli interessati possano farvalere i loro diritti, sanciti dalla normativa UE sulla protezione dei dati.

II.6. La base centraledi dati sull'esclusione

34. La proposta prevedeanche la creazione di una base centrale di dati sull'esclusione (´la base daticentraleª), che conterrà informazioni sui candidati e gli offerenti esclusidalla partecipazione alle gare (cfr. articolo 102). Tale base di dati esiste giàin forza dell'attuale RF, e le sue modalità di funzionamento sono precisate nelregolamento (CE) n. 1302/2008 della Commissione. Le operazioni di trattamentodei dati personali svolte nell'ambito della base di dati centrale sono stateanalizzate dal GEPD in un parere sul controllo preventivo del 26 maggio 2010 ⁽¹⁷ ⁾.

35. I destinatari dei daticontenuti nella base dati centrale sono diversi. A seconda di chi ha accessoalla base dati, si applicano gli articoli 7, 8 o 9 del regolamento (CE) n.45/2001.

36. Nel suddetto parere sulcontrollo preventivo, il GEPD ha concluso che la prassi attuale per quantoriguarda l'applicazione dell'articolo 7 (consultazione della base dati da partedi altre istituzioni e agenzie dell'UE) e dell'articolo 8 (consultazione dellabase dati centrale da parte delle autorità e di taluni altri organismi degliStati membri) è conforme al regolamento (CE) n. 45/2001.

37. Non ha tuttavia potutotrarre la stessa conclusione per quanto riguarda il trasferimento di datipersonali alle autorità di paesi terzi, disciplinato dall'articolo 9 delregolamento (CE) n. 45/2001, che riguarda il trasferimento di dati alle autoritàdi paesi terzi e/o a organizzazioni internazionali. L'articolo 102, paragrafo2, prevede l'accesso alla base centrale di dati anche da parte dei paesi terzi.

38. L'articolo 9, paragrafo1, del regolamento (CE) n. 45/2001 recita: ´» consentito trasferire datipersonali a destinatari che non siano le istituzioni e gli organismi comunitariné siano soggetti alla normativa nazionale adottata in attuazione delladirettiva 95/46/CE se nel paese del destinatario o all'interno dell'organizzazioneinternazionale destinataria è assicurato un livello adeguato di protezione e seil trasferimento dei dati avviene strettamente nell'ambito dei compiti cherientrano nelle competenze del responsabile del trattamentoª. In deroga alparagrafo 1, l'articolo 9, paragrafo 6, consente il trasferimento di dati apaesi che non garantiscono una protezione adeguata qualora ´il trasferimentosia necessario o prescritto dalla legge per la salvaguardia di un interessepubblico rilevante [ä]ª.

39. Nel parere sul controllopreventivo di cui sopra, il GEPD ha sottolineato la necessità di ulteriorimisure atte a garantire che, in caso di trasferimento dei dati a un paese terzoo un'organizzazione, il destinatario assicuri un livello adeguato diprotezione. Il GEPD desidera sottolineare che tale adeguatezza deve essereaccertata sulla base di una valutazione caso per caso, comprendente un'analisiesauriente delle circostanze relative a un'operazione di trasferimento dei datio una serie di operazioni di trasferimento dei dati. Il RF non può esentare laCommissione da tale obbligo. Analogamente, anche un trasferimento di dati inforza di una delle deroghe di cui all'articolo 9 dovrà basarsi su unavalutazione caso per caso.

40. Al riguardo, il GEPDraccomanda al legislatore di aggiungere un nuovo paragrafo all'articolo 102,che riguardi specificamente la protezione dei dati personali. Il paragrafopotrebbe cominciare con la prima frase già contenuta nel primo paragrafo dell'articolo102, cioè ´la Commissione crea e gestisce una base dati centrale nel rispettodella normativa dell'Unione riguardante la protezione dei dati personaliª. Atale frase andrebbe aggiunto che l'accesso da parte delle autorità di paesiterzi è autorizzato soltanto se sono soddisfatte le condizioni di cui all'articolo9 del regolamento (CE) n. 45/2001.

III. CONCLUSIONE

41. La proposta in esamecomporta implicazioni per la protezione dei dati sia a livello di Unioneeuropea sia a livello nazionale, che sono esaminate nel presente parere. Essacontiene riferimenti ai pertinenti strumenti per la protezione dei dati.Tuttavia, come spiegato nel presente parere, è necessario elaborare e chiarirealcuni aspetti al fine di garantire la piena osservanza del quadro giuridicosulla protezione dei dati. Il GEPD raccomanda di:

— inserire nelpreambolo del regolamento un riferimento alla direttiva 95/46/CE e alregolamento (CE) n. 45/2001,

— inserire nell'articolo57, paragrafo 2, lettera f), un riferimento alla direttiva 95/46/CE e alregolamento (CE) n. 45/2001, analogo a quello che figura all'articolo 31,paragrafo 3, della proposta,

— rafforzare, all'articolo56, paragrafo 4, lettera f) (che dovrebbe essere il paragrafo 4, lettera e),secondo l'ordine logico dei commi), il riferimento alla direttiva 95/46/CE,modificandolo in ´garantiscono la conformità di qualsiasi trattamento dei datipersonali alle disposizioni nazionali che recepiscono la direttiva 95/46/CEª,

— sostituire,all'articolo 57, paragrafo 2, lettera f), la frase ´garantiscono un ragionevolegrado di tutela dei dati personaliª con la frase ´garantiscono la conformità diqualsiasi trattamento dei dati personali alle disposizioni nazionali cherecepiscono la direttiva 95/46/CEª,

— garantire, all'articolo63, paragrafo 8, la riservatezza dei dati sull'identità del denunciante durantele attività di verifica, purché ciò non sia in contrasto con le normativenazionali che disciplinano i procedimenti giudiziari e fatto salvo il dirittodella persona accusata di un illecito di conoscere l'identità del denuncianteper avviare un procedimento nei suoi confronti, qualora venga accertato che ildenunciante ha dichiarato il falso in malafede,

— all'articolo 31,chiarire la finalità e spiegare la necessità della prevista pubblicazione diinformazioni sui destinatari di fondi provenienti dal bilancio, indicare come ein quale misura saranno divulgati dati personali, garantire che i dati sianodivulgati soltanto se ciò è proporzionato e assicurare che gli interessatipossano far valere i loro diritti, sanciti dalla normativa UE sulla protezionedei dati,

— migliorare l'articolo103, paragrafo 3, relativo alla pubblicazione di decisioni o sintesi di decisionisulle sanzioni amministrative e finanziarie, chiarendo la finalità e spiegandola necessità della pubblicazione prevista, indicando come e in quale misurasaranno divulgati dati personali, garantendo che i dati siano divulgatisoltanto se ciò è proporzionato e assicurando che gli interessati possano farvalere i loro diritti, sanciti dalla normativa UE sulla protezione dei dati,

— aggiungere un nuovoparagrafo all'articolo 102, che riguardi la protezione dei dati personali,inteso a garantire che l'accesso da parte delle autorità di paesi terzi siaautorizzato soltanto se sono soddisfatte le condizioni di cui all'articolo 9del regolamento (CE) n. 45/2001, in seguito a una valutazione caso per caso.

Fatto a Bruxelles, il 15aprile 2011.

Giovanni BUTTARELLI

Garanteeuropeo aggiunto della protezione dei dati

NOTE

( 1 ) GU L 281 del 23.11.1995,pag. 31.

( 2 ) GU L 8 del 12.1.2001,pag. 1.

( 3 ) GU L 248 del 16.9.2002,pag. 1.

( 4 ) Cfr. rispettivamenteCOM(2010) 260 definitivo e COM(2010) 71 definitivo.

( 5 ) Cfr. articolo 31,paragrafo 3, e articolo 56, paragrafo 4, della proposta. Un riferimentogenerale figura inoltre al considerando 36: ´esigenze di protezione dei datipersonaliª, all'articolo 57, paragrafo 2, lettera f): ´tutela dei datipersonaliª, e all'articolo 102, paragrafo 1: ´normativa dell'Unione riguardantela protezione dei dati personaliª.

( 6 ) L'importanza di garantireche l'identità del denunciante resti segreta è già stata sottolineata dal GEPDin una lettera al Mediatore europeo del 30 luglio 2010, relativa al caso2010-0458, reperibile nel sito Internet del GEPD (http://www.edps.europa.eu).Anche il gruppo di lavoro ´articolo 29ª ha dato risalto a tale necessità nelparere 1/2006, del 1 o febbraio 2006, relativo all'applicazione della normativa UE sullaprotezione dei dati alle procedure interne per la denuncia delle irregolaritàriguardanti la tenuta della contabilità, i controlli contabili interni, larevisione contabile, la lotta contro la corruzione, la criminalità bancaria efinanziaria, reperibile nel sito Internet del gruppo di lavoro ´articolo 29ª:http://ec.europa.eu/justice/ policies/privacy/workinggroup/index_en.htm).

( 7 ) Cfr. anche pareri delGEPD sul controllo preventivo del 23 giugno 2006 (caso 2005-0418), concernentele indagini interne dell'OLAF, e del 4 ottobre 2007 (casi 2007-47, 2007-48,2007-49, 2007-50, 2007-72), concernente le indagini esterne dell'OLAF,reperibili nel sito Internet del GEPD (http://www.edps.europa.eu).

( 8 ) Al riguardo, cfr. ancheil citato parere 1/2006 del gruppo di lavoro ´articolo 29ª.

( 9 ) Sentenza della Corte del9 novembre 2010, Schecke e Eifert, cause riunite C-92/09 e C-93/09.

( 10 ) Sentenza della Corte, Schecke,punto 85.

( 11 ) Sentenza della Corte, Schecke,punto 86.

( 12 ) Sentenza della Corte, Schecke,punto 81.

( 13 ) Cfr. nota 12.

( 14 ) Sentenza della Corte, Schecke,punti 68, 69, 75 e 76.

( 15 ) Regolamento (CE) n.259/2008 della Commissione, GU L 76 del 19.3.2008, pag. 28.

( 16 ) Articolo 44 bis delregolamento (CE) n. 1290/2005, GU L 209 dell'11.8.2005, pag. 1, comemodificato.

( 17 ) Cfr. parere del GEPD sulcontrollo preventivo, del 26 maggio 2010, relativo alle operazioni ditrattamento dei dati personali riguardanti la ´Registrazione di un interessatonella base centrale di dati sull'esclusioneª (caso 2009-0681), reperibile nelsito Internet del GEPD (http://www.edps.europa.eu).