IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI, visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16, vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8, vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ( visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati (2 HA ADOTTATO IL SEGUENTE PARERE:
1. INTRODUZIONE 1.1. Consultazione del GEPD 1. Il 14 novembre 2011, laCommissione ha adottato una proposta di regolamento del Consiglio relativo allacooperazione amministrativa in materia di accise ( 2. Nella stessa data, la Commissioneha inviato la proposta al GEPD, che intende tale comunicazione come unarichiesta di consulenza alle istituzioni e agli organismi dell'Unione, comeprevisto nell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001. 3. Prima dell'adozione dellaproposta, la Commissione ha dato al GEPD l'opportunità di formulareosservazioni informali. Il GEPD è soddisfatto della procedura, che hacontribuito a migliorare il testo dal punto di vista della protezione dei datigià nella fase iniziale. Alcune di tali osservazioni sono state prese inconsiderazione nella proposta. Il GEPD apprezza il riferimento alla presenteconsultazione nel preambolo della proposta. 4. Il GEPD intende comunque metterein evidenza alcuni miglioramenti che si potrebbero ancora apportare al testodalla prospettiva della protezione dei dati. 1.2. Contesto generale 5. La proposta è intesa ad aggiornarele disposizioni del regolamento (CE) n. 2073/2004, che definisce un quadrogiuridico per la cooperazione amministrativa tra le autorità fiscali nazionaliin materia di accise (su alcol, tabacco e prodotti energetici) per combatterele frodi nel settore delle accise. Il regolamento stabilisce norme vincolantisulla cooperazione tra Stati membri, introduce gli scambi di informazioniautomatici e spontanei (in aggiunta allo scambio di informazioni su richiesta)e consente alle autorità competenti nazionali di scambiarsi reciprocamenteinformazioni, in particolare con mezzi elettronici. Il regolamento definiscealtresì le condizioni per la cooperazione con la Commissione. 6. Occorre riesaminare talidisposizioni per tener conto delle modifiche apportate al sistema diinformatizzazione dei movimenti e dei controlli dei prodotti soggetti ad accisa(Excise Movement and Control System, di seguito «EMCS»), miratoall'informatizzazione dei movimenti e dei controlli dei prodotti soggetti adaccisa. La proposta inoltre è intesa i) ad aggiornare il linguaggio utilizzatonel regolamento; ii) a sopprimere le disposizioni che non sono più pertinenti ea razionalizzare la struttura del testo e iii) a semplificare il quadronormativo, rendendolo più efficiente. 7. In tale contesto, il trattamentodei dati personali avviene in vari modi. Gli Stati membri scambianoinformazioni tra loro, con la Commissione e anche con paesi terzi ( 8. Il presente parere si concentrasugli aspetti della proposta che incidono sulla protezione dei dati.
2. ANALISI DELLAPROPOSTA 2.1. Riferimento alla direttiva95/46/CE 9. Il GEPD si compiace del fatto cheil considerando 18 della proposta affermi esplicitamente che il trattamento deidati personali da parte della Commissione è disciplinato dal regolamento (CE)n. 45/2001 e che il trattamento da parte delle autorità competenti degli Statimembri è disciplinato dalla direttiva 95/46/CE. 10. Il GEPD inoltre apprezza ilriferimento all'applicabilità delle leggi nazionali in materia di protezionedei dati nell'articolo 28, paragrafo 4, della proposta. Tuttavia, ladisposizione dovrebbe riferirsi con maggiore precisione al «trattamento deidati personali» invece che a «l'archiviazione o lo scambio di informazioni».Tale riferimento sarebbe preferibile, perché il termine «trattamento» siriferisce a qualsiasi operazione relativa alle informazioni e comprendepertanto tutte le fasi dell'utilizzo di informazioni, dalla raccolta aqualsiasi ulteriore utilizzo, ai sensi dei paragrafi 2 e 3. Questo è importanteperché l'uso di dati personali per scopi diversi da quelli per cui sono statioriginariamente raccolti è soggetto a condizioni rigorose ai sensi degliarticoli 6 e 7 della direttiva 95/46/CE. 2.2. Definizione delle categorie didati da scambiare 11. La proposta distingue tra duetipi di scambio di informazioni: «Cooperazione su richiesta» (Capo II) e«Scambio di informazioni senza previa richiesta» (Capo III). Tuttavia, il GEPDrileva che il resto del regolamento non specifica le categorie di dati oggettodello scambio. In entrambi i casi (su richiesta e senza previa richiesta) siafferma che il contenuto dei documenti di assistenza amministrativa reciproca èadottato dalla Commissione tramite atti di esecuzione (articolo 9, paragrafo 2,e articolo 16, paragrafo 3). 12. Il GEPD raccomanda di inseriregià nella proposta una descrizione generale delle categorie di dati che possonoscambiarsi le autorità competenti, poiché determina l'ambito di applicazionedegli elementi essenziali del regolamento. Questa materia non può esseretrattata in un atto di esecuzione. 13. Inoltre, si dovrebbe consultareil GEPD prima dell'adozione di misure di attuazione che potrebbero influiresulla protezione di dati personali. Tale obbligo dovrebbe essere specificatonel testo della proposta. 2.3. Trattamento di dati sensibili 14. Tenendo conto dell'obiettivodella proposta, è probabile che siano trattati dati relativi a sospetti casi difrode. Il GEPD rileva che il trattamento di dati relativi a sospetti reati puòessere effettuato solo sotto controllo dell'autorità pubblica ( 15. Inoltre, il GEPD desiderarichiamare l'attenzione sul fatto che il trattamento di questi dati sensibilipuò essere soggetto a controlli preventivi del GEPD e delle autorità nazionaliin materia di protezione dei dati. 2.4. Qualità dei dati e diritti degliinteressati 16. La proposta introduce l'obbligoper gli Stati membri di tenere in una banca dati elettronica un registro ditutti gli operatori economici che sono depositari autorizzati o destinatari ospeditori registrati. Le informazioni contenute nei registri sono scambiateautomaticamente tra gli Stati membri mediante il registro centrale gestitodalla Commissione (cfr. articolo 19, paragrafo 4). 17. L'articolo 19, paragrafo 3,prevede che l'ufficio centrale di collegamento per le accise, o un servizio dicollegamento di ogni Stato membro, provveda a garantire che le informazioni contenutenei registri nazionali siano complete, esatte e aggiornate. Il GEPD accogliecon favore questa disposizione, che è conforme al principio della qualità deidati contenuto nella direttiva 95/46/CE ( 18. L'articolo 20 della propostaconferisce agli operatori economici il diritto di controllare i datidisponibili al pubblico sulla banca dati centrale gestita dalla Commissione(SEED- su-Europa) relativi ai dettagli della loro autorizzazione, inserendo illoro numero di autorizzazione accisa. Inoltre, viene loro conferitoesplicitamente il diritto di chiedere allo Stato membro che rilascial'autorizzazione di rettificare eventuali errori nelle informazioni pubbliche.La Commissione si impegna a trasmettere le richieste di rettifica all'autoritàcompetente interessata. Per consultare e rettificare le informazioni nonpubbliche relative agli operatori economici, alle quali la Commissione non haaccesso, gli operatori economici devono continuare a rivolgersi all'autoritàcompetente interessata. Il GEPD si compiace del fatto che la propostaconferisca espressamente e disciplini i diritti degli interessati di accedereai dati personali che li riguardano e rettificarli. 19. Tuttavia, l'articolo 28,paragrafo 4, secondo comma, stabilisce che gli Stati membri limitano i dirittidi informazione e accesso e la pubblicazione delle operazioni di trattamento ( 2.5. Conservazione dei dati 20. L'articolo 21, paragrafo 1, dellaproposta introduce l'obbligo di conservare le informazioni riguardanti imovimenti intracomunitari per almeno tre anni, a seconda della politicadell'autorità competente in materia di conservazione, affinché taliinformazioni possano essere utilizzate per le procedure previste dalregolamento. 21. Il GEPD accoglie con favorel'obbligo di cancellare o rendere anonimi eventuali dati personali una voltascaduto tale periodo (cfr. articolo 21, paragrafo 2). Tuttavia, la proposta nondovrebbe limitarsi a specificare il periodo minimo di conservazione dei dati,ma indicare anche il periodo massimo. Inoltre, la necessità di conservare idati personali per tale periodo dovrebbe essere motivata e dimostrata, almeno neiconsiderando della proposta. 2.6. Trasferimenti internazionali 22. L'articolo 32, paragrafo 1, dellaproposta afferma che in caso di operazioni che sembrano contrarie allalegislazione sulle accise, le informazioni ottenute ai sensi della propostapossono essere comunicate a un paese terzo, ove si applichino tutte le seguenticondizioni: — il paese terzo ègiuridicamente impegnato a fornire l'assistenza necessaria per raccogliere glielementi comprovanti l'irregolarità dell'operazione, — le autorità competenti chehanno fornito le informazioni hanno espresso il loro consenso nel rispettodella legislazione nazionale, — il trasferimento è conformealla direttiva 95/46/CE e alle disposizioni nazionali di attuazione dellastessa, — i dati sono trasferiti pergli stessi scopi per i quali sono stati raccolti. 23. Il GEPD si compiace delriferimento all'applicabilità della legislazione sulla protezione dei dati ealla limitazione della portata dei trasferimenti ai dati su operazionispecifiche che sembrano contrarie alla legislazione sulle accise. Tuttavia,poiché implica il trattamento di dati sensibili, il trasferimento deve ancheessere conforme alla legislazione nazionale che attua l'articolo 8 delladirettiva 95/46/CE (cfr. paragrafo 2.3). 24. Il GEPD si compiace anche delfatto che i dati si possano trasferire solo per gli stessi scopi per i qualisono stati raccolti. Tuttavia, gli scopi specifici per i quali i dati possonoessere trasferiti a paesi terzi e le categorie di dati che si possonotrasferire dovrebbero essere indicati espressamente nella proposta e in lineadi principio limitarsi alla lotta alle violazioni della legislazione sulleaccise. Andrebbe altresì specificato che i trasferimenti di dati personali apaesi terzi possono essere effettuati esclusivamente dalle autorità fiscalinazionali. 25. Il GEPD ricorda inoltre che, aisensi della direttiva 95/46/CE, i trasferimenti a paesi terzi in linea diprincipio sono consentiti solo se nel paese ricevente è garantito un livello diprotezione adeguato. Il trasferimento verso paesi che non garantiscono unaprotezione adeguata può essere giustificato solo se si applicano le deroghe dicui all'articolo 26 della direttiva 95/46/CE, ad esempio se il trasferimento ènecessario o prescritto dalla legge per la salvaguardia di un interessepubblico rilevante (11 26. Inoltre, il relativo impegnogiuridico del paese terzo dovrebbe comprendere garanzie specifiche per latutela della vita privata e dei dati personali e per l'esercizio di talidiritti da parte dei soggetti interessati.
3. CONCLUSIONE 27. Il GEPD accoglie con favore ilriferimento specifico nella proposta all'applicabilità della direttiva 95/46/CEe del regolamento (CE) n. 45/2001 alle attività di trattamento dei datipersonali coperte dal regolamento, ma propone maggiore precisione nelriferimento. 28. Il GEPD raccomanda i punti cheseguono, nell'intento di migliorare il testo dal punto di vista dellaprotezione dei dati: — la proposta dovrebbe indicarele categorie di dati oggetto di scambio tra le autorità competenti, — il GEPD ritiene di doveressere consultato in merito a misure di attuazione relative alla protezione didati personali, — nel testo del regolamento sidovrebbero inserire garanzie sugli usi consentiti di informazioni relative asospetti casi di frode, — la necessità eproporzionalità delle limitazioni ai diritti di informazione e accesso devonoessere chiaramente dimostrate dal legislatore. Inoltre, situazioni specifichedove tali limitazioni siano necessarie devono essere specificate nel testodella proposta, o in un considerando, — il periodo massimo diconservazione di informazioni concernenti movimenti intracomunitari dovrebbeessere specificato nel regolamento, — il periodo di conservazionedovrebbe essere motivato nel preambolo, — i trasferimentiinternazionali di dati su operazioni sospette dovrebbero essere conformi agliarticoli 8 e 26 della direttiva 95/46/CE e la loro portata, l'identità delmittente o lo scopo andrebbero specificati. Fatto a Bruxelles, il 27 gennaio 2012 Giovanni BUTTARELLI Garante europeo aggiunto dellaprotezione dei dati
( ( ( ( ( ( paragrafo 5, delregolamento (CE) n. 45/2001. ( ( ( ( ( (
|