IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16, vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8, vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ( visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati(2 HA ADOTTATO IL SEGUENTE PARERE:
1. INTRODUZIONE 1.1. Contesto 1. L'8 aprile 2011 la Commissione haadottato il regolamento di esecuzione (UE) n. 404/2011 recante modalità diapplicazione del regolamento (CE) n. 1224/2009 del Consiglio che istituisce unregime di controllo comunitario per garantire il rispetto delle norme dellapolitica comune della pesca (il «regolamento di esecuzione») ( 2. Il GEPD non è stato consultato anorma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001,nonostante l'iniziativa legislativa fosse stata inserita nell'Inventario dellepriorità per la consultazione legislativa del GEPD (
1.2. Obiettivi del regolamento diesecuzione 3. L'obiettivo del regolamento (CE)n. 1224/2009 del Consiglio, del 20 novembre 2009, che istituisce un regime dicontrollo comunitario per garantire il rispetto delle norme della politicacomune della pesca (il «regolamento di controllo») ( 4. Ilregolamento di controllo obbligava la Commissione ad adottare modalità e misureidonee ad attuare alcune delle disposizioni da esso stabilite. Il regolamentodi esecuzione fissa tali modalità riguardo alle seguenti aree: condizionigenerali di accesso alle acque e alle risorse (Titolo II), controllo dellapesca (Titolo III), controllo della commercializzazione (Titolo IV),sorveglianza (Titolo V), ispezione (Titolo VI), applicazione delle norme(Titolo VII), misure volte a garantire il rispetto degli obiettivi da partedegli Stati membri (Titolo VIII), dati e informazioni (Titolo IX) e attuazione(Titolo X).
1.3. Obiettivo del presente parere 5. Nel marzo 2009 il GEPD avevaformulato un parere sul regolamento di controllo ( 6. Il GEPD aveva inoltre sottolineatoche vari articoli del regolamento proposto facevano riferimento a una proceduradi comitato per l'adozione di modalità di applicazione, alcune delle qualiriguardavano a loro volta aspetti legati alla protezione dei dati ( 7. Il GEPD si rammarica di non esserestato previamente consultato in merito al regolamento di esecuzione comeraccomandato nel parere del 2009. Desidera tuttavia richiamare l'attenzionedella Commissione su alcuni aspetti del regolamento di esecuzione chepotrebbero suscitare preoccupazioni dal punto di vista della protezione deidati. Per tale motivo, il GEPD ha deciso di formulare questo breve parere. Leosservazioni del GEPD si concentreranno essenzialmente sui seguenti aspetti:(1) controllo delle attività esercitate dai pescherecci e protezione dei dati,(2) sistemi di controllo a distanza dei pescherecci, (3) conservazione dei datipersonali da parte della Commissione e delle autorità competenti e (4)applicabilità del regolamento (CE) n. 45/2001.
2. ANALISI DELREGOLAMENTO DI ESECUZIONE 2.1. Controllo delle attivitàesercitate dai pescherecci e protezione dei dati 8. Il considerando 31 stabilisce cheil trattamento dei dati personali a norma del regolamento di esecuzione èdisciplinato dalla direttiva 95/46/CE e dal regolamento (CE) n. 45/2001, «inparticolare per quanto riguarda i requisiti di riservatezza e sicurezza deltrattamento, il trasferimento dei dati personali dai sistemi nazionali degliStati membri alla Commissione, la legittimità del trattamento dei dati e idiritti degli interessati in materia di informazione, accesso nonché rettificadegli stessi». Il GEPD accoglie con favore questo riferimento alla legislazioneapplicabile in materia di protezione dei dati. 9. Le attività dei pescherecci sonosoggette a controlli sistematici e dettagliati che vengono effettuati con imezzi tecnologici più avanzati, tra cui impianti di localizzazione viasatellite e banche dati informatizzate ( 10. Nella misura in cui questi datipossono essere collegati a persone identificate o identificabili (quali adesempio il comandante o il proprietario del peschereccio o i membridell'equipaggio), tale controllo comporta il trattamento di dati personali. Diconseguenza, è importante che il sistema di controllo sia equilibrato e chevengano adottate e applicate opportune salvaguardie onde evitare l'indebitalimitazione dei diritti delle persone coinvolte. Ne consegue pertanto lanecessità di delimitare chiaramente le finalità per cui i dati pertinenti possonoessere trattati, ridurre al minimo i dati (personali) oggetto di trattamento eistituire periodi massimi di conservazione degli stessi dati. Si tratta dimisure particolarmente importanti nel caso di specie, in cui i trattamentiriguardano potenzialmente dati relativi a infrazioni o a sospetti di infrazioniche con ogni probabilità sono collegati ai dati personali del proprietario e/odel comandante del peschereccio. 11. Data la portata e l'entità delleattività di controllo, sembra che il regolamento di esecuzione non sia semprein grado di trovare il giusto equilibrio tra l'obiettivo di garantirel'osservanza delle norme e il rispetto della vita privata e la protezione deidati delle persone coinvolte. Poiché il regolamento di esecuzione è già statoadottato, il GEPD ritiene importante che la Commissione chiarisca ex post, ovepossibile, la portata e i limiti delle attività di trattamento dei dati efornisca, qualora necessario, garanzie specifiche. Ciò potrebbe avvenire adesempio mediante l'adozione di norme interne od orientamenti generali ospecifici volti a chiarire taluni aspetti delle attività di trattamentorelativi alla protezione dei dati personali oppure nel quadro di controllipreventivi da parte del GEPD a norma dell'articolo 27 del regolamento (CE) n.45/2001. 12. Di seguito vengono discussi gliaspetti principali che a parere del GEPD richiedono ulteriori precisazioni. 2.2. Utilizzo del sistema dicontrollo dei pescherecci (VMS), del sistema di identificazione automatica(AIS) e del sistema di rilevamento delle navi (VDS) e principio di limitazionedelle finalità 13. Uno dei principi essenziali deldiritto fondamentale alla protezione dei dati è che i dati personali devonoessere raccolti unicamente per finalità determinate, esplicite e legittime ( 14. Come precedentemente indicato, ilregolamento di controllo e il regolamento di esecuzione prevedono che venganoeffettuati controlli sistematici e dettagliati delle attività di pesca medianteil sistema di controllo dei pescherecci, il sistema di identificazioneautomatica e il sistema di rilevamento delle navi. A norma dell'articolo 12 delregolamento di controllo, i dati provenienti da tali sistemi possono esseretrasmessi alle agenzie dell'UE e alle autorità competenti degli Stati membriimpegnate in operazioni di sorveglianza ai fini della «sicurezza e dellaprotezione marittima, del controllo delle frontiere, della tutela dell'ambientemarino e dell'applicazione generale della legge». L'articolo 27 del regolamentodi esecuzione precisa ulteriormente che gli Stati membri utilizzano i dati delsistema di controllo dei pescherecci «ai fini del controllo efficace delleattività di pesca dei pescherecci» e che gli Stati membri «adottano tutte lemisure idonee a garantire l'utilizzo di tali dati esclusivamente per scopiufficiali». 15. In conformitàdel principio di limitazione delle finalità, il GEPD ritiene che laformulazione dell'articolo 12 del regolamento di controllo e dell'articolo 27del regolamento di esecuzione sia troppo ampia. Qualora non venganointerpretate in senso restrittivo, le espressioni «applicazione generale dellalegge», «controllo delle attività di pesca dei pescherecci» e «scopi ufficiali»rischiano di riguardare un insieme eccessivamente ampio di attività ditrattamento, neanche lontanamente connesso agli obiettivi del regolamento dicontrollo. Questo approccio aperto solleva preoccupazioni riguardo al principiodi limitazione delle finalità. 16. Alla luce delle precedenticonsiderazioni, il GEPD raccomanda alla Commissione di fornire orientamenticoncreti sull'interpretazione dell'articolo 27 del regolamento di esecuzione.La Commissione deve in particolare chiarire il significato, e limitare laportata, del trattamento dei dati del sistema di controllo dei pescherecci, delsistema di identificazione automatica e del sistema di rilevamento delle navi afini di "applicazione della legge" o per altre finalità estranee alla politicacomune della pesca. 2.3. Periodi di conservazione 17. Un altro principio fondamentaledella legislazione in materia di protezione dei dati è che i dati personalidevono essere conservati in modo da consentire l'identificazione delle personeinteressate per un arco di tempo non superiore a quello necessario alconseguimento delle finalità per le quali sono rilevati ( 18. Il regolamento di esecuzionestabilisce un periodo di conservazione minimo di tre anni in relazione alnumero di dati. Per quanto riguarda i dati del sistema di controllo deipescherecci, ad esempio, l'articolo 27, paragrafo 2, lettera a) stabilisce chegli Stati membri garantiscono che i dati pertinenti siano registrati susupporto informatico e conservati in modo sicuro in banche dati informatizzate«per almeno tre anni». Analogamente, l'articolo 92, paragrafo 3, prevede che idati relativi ai rapporti di sorveglianza siano tenuti a disposizione nellabanca dati per «almeno tre anni». L'articolo 118, inoltre, stabilisce che idati ricavati dai rapporti di ispezione siano tenuti a disposizione nella bancadati «per almeno tre anni». 19. In generale, il GEPD ritiene cheil periodo di conservazione avrebbe dovuto essere definito in maniera piùprecisa istituendo un periodo massimo di conservazione (anziché solo un periodominimo di conservazione). In ogni caso, a parere del GEPD le suddettedisposizioni devono essere interpretate conformemente all'articolo 6, paragrafo1, lettera e) della direttiva 95/46/CE e all'articolo 4, paragrafo 1, letterae), del regolamento (CE) n. 45/2001. Ne consegue che il periodo diconservazione di tre anni deve essere interpretato in linea di principio comeun periodo massimo di conservazione, a meno che la necessità di conservare idati per un periodo più lungo possa essere opportunamente dimostrata sulla basedi prove convincenti. 2.4. Cooperazione amministrativa etrasferimenti di dati a paesi terzi 20. L'articolo 164 del regolamento diesecuzione disciplina gli scambi di informazioni con i paesi terzi. Inparticolare, l'articolo 164, paragrafo 2, riguarda gli scambi di informazionicomunicate da uno Stato membro a un paese terzo o a una organizzazioneregionale per la gestione della pesca ai sensi di un accordo bilaterale con talepaese o conformemente alle norme di tale organizzazione. L'articolo 164,paragrafo 3, riguarda gli scambi di informazioni in merito a inadempimentodelle norme della politica comune della pesca, comunicate dalla Commissione odall'organismo da essa designato nell'ambito degli accordi sulla pesca conclusitra l'Unione e i paesi terzi o nell'ambito di organizzazioni regionali per lagestione della pesca o analoghi accordi. 21. Mentre l'articolo 164, paragrafo2, precisa che lo scambio di informazioni da Stati membri a paesi terzi èeffettuato «in conformità della normativa dell'Unione e della normativanazionale concernente la tutela delle persone fisiche con riguardo altrattamento dei dati personali», il paragrafo 3 non contiene un riferimentoanalogo riguardo alle informazioni comunicate dalla Commissione. A norma delparagrafo 3, lo scambio di informazioni è soggetto solo al consenso dello Statomembro da cui provengono le informazioni. 22. A tale proposito il GEPDsottolinea che la comunicazione di dati personali a paesi terzi da parte dellaCommissione o di altre istituzioni od organismi europei ai sensi dell'articolo164 può avvenire solo nel rispetto dei requisiti del regolamento (CE) n.45/2001 e in particolare dell'articolo 9. 2.5. La Commissione deve valutare lanecessità di un controllo preventivo 23. Il regolamento di controllo e ilregolamento di esecuzione possono comportare il trattamento di dati personalida parte della Commissione o di altri organismi dell'UE, determinando in talmodo l'applicabilità in questi casi del regolamento (CE) n. 45/2001 a talitrattamenti. Nella misura in cui possono presentare rischi specifici per idiritti e le libertà degli interessati, questi trattamenti devono esseresoggetti a controllo preventivo da parte del GEPD a norma dell'articolo 27 delregolamento (CE) n. 45/2001. 24. In particolare, sembra che itrattamenti effettuati a norma del regolamento di controllo e del regolamentodi esecuzione possano comportare il trattamento di dati relativi a infrazioni oa sospetti di infrazioni commesse da un peschereccio. È probabile che questidati siano collegati ai dati personali del proprietario o del comandante delpeschereccio (o di un membro dell'equipaggio) relativi alle violazioni dellenorme applicabili. 25. Il GEPD invita pertanto laCommissione (e altri organi europei interessati) a valutare la necessità di uncontrollo preventivo dei trattamenti effettuati a norma del regolamento dicontrollo e del regolamento di esecuzione e a presentare le notifichenecessarie successivamente a tale valutazione (
CONCLUSIONI 26. Il GEPD si rammarica che non glisia stato notificato il testo del regolamento di esecuzione ai fini dellaconsultazione legislativa prevista dall'articolo 28, paragrafo 2, delregolamento (CE) n. 45/2001, conformemente a quanto raccomandato nel parere del2009. Pur accogliendo con favore il riferimento alla legislazione applicabilein materia di protezione dei dati di cui al considerando 31del regolamento diesecuzione, il GEPD ritiene che talune disposizioni di tale regolamentopotrebbero suscitare preoccupazioni dal punto di vista della protezione deidati. 27. Poiché il regolamento diesecuzione è già stato adottato, il GEPD raccomanda alla Commissione dichiarire ex post, ove possibile, la portata e i limiti delle attività ditrattamento dei dati e di fornire, qualora necessario, garanzie specifiche. Ciòpotrebbe avvenire mediante l'adozione di norme interne od orientamenti generalio specifici oppure nel quadro di controlli preventivi da parte del GEPD a normadell'articolo 27 del regolamento (CE) n. 45/2001. 28. In particolare, il GEPDraccomanda alla Commissione e agli altri organismi dell'UE interessati di: — fornire orientamenti concretisull'interpretazione dell'articolo 27 del regolamento di esecuzione. LaCommissione deve in particolare chiarire il significato, e limitare la portata,del trattamento dei dati del sistema di controllo dei pescherecci, del sistemadi identificazione automatica e del sistema di rilevamento delle navi a fini di«applicazione della legge» o per altre finalità estranee alla politica comunedella pesca, — nei casi in cui ilregolamento di esecuzione stabilisce un periodo minimo di conservazione percategorie specifiche di dati (cfr. gli esempi di cui al punto 19), conservare idati personali per periodi più lunghi solo qualora la necessità di agire in talsenso possa essere opportunamente dimostrata, — garantire che iltrasferimento di dati personali a paesi terzi da parte della Commissione o dialtre istituzioni od organismi europei ai sensi dell'articolo 164 delregolamento di esecuzione sia effettuato nel rispetto dei requisiti delregolamento (CE) n. 45/2001 e in particolare dell'articolo 9, — valutare la necessità di uncontrollo preventivo da parte del GEPD dei trattamenti effettuati a norma delregolamento di controllo e del regolamento di esecuzione e presentare lenotifiche necessarie successivamente a tale valutazione. Fatto a Bruxelles, il 28 ottobre 2011 Giovanni BUTTARELLI Garante europeo aggiunto dellaprotezione dei dati
NOTE ( ( ( ( Priorità). ( (6) Parere delGarante europeo della protezione dei dati relativo alla proposta di regolamentodel Consiglio recante istituzione di un regime di controllo comunitario pergarantire il rispetto delle norme della politica comune della pesca, (GU C 151del 3.7.2009, pag. 11). (7) Cfr. il pareredel GEPD relativo alla proposta di regolamento del Consiglio recanteistituzione di un regime di controllo comunitario per garantire il rispettodelle norme della politica comune della pesca, menzionato in precedenza, punti29-30. (8) Cfr., a taleproposito, il memorandum della Commissione del 12.4.2011, MEMO/11/234. (9) Il sistema dicontrollo dei pescherecci (VMS) è costituito da un impianto di localizzazionevia satellite installato a bordo dei pescherecci che raccoglie dati relativiall'identificazione del peschereccio, alla posizione geografica, alla data,all'ora, alla rotta e alla velocità e trasmette questi dati al centro dicontrollo della pesca dello Stato membro di bandiera (cfr. l'articolo 4, punto12, del regolamento di controllo). (10) Il sistema diidentificazione automatica (AIS) è un sistema di identificazione e di controlloautonomo e continuo delle navi che consente a queste ultime lo scambioelettronico, con altre navi che si trovano in prossimità e con le autorità aterra, dei dati relativi alle navi stesse, incluse l'identificazione, laposizione, la rotta e la velocità (cfr. l'articolo 4, punto 11, del regolamentodi controllo). (11) Il sistema dirilevamento delle navi è una tecnologia VDS via satellite in grado diidentificare le navi e di localizzarle in mare (cfr. l'articolo 4, punto 13,del regolamento di controllo). ( ( ( (
|