GARANTE EUROPEO
  DELLA PROTEZIONE DATI PERSONALI

Parere del Garante europeo della protezione dei dati sullaproposta di decisione del Consiglio relativa alla posizione dell'Unione in senoal comitato misto di cooperazione doganale UE/USA con riguardo al riconoscimentoreciproco del programma di operatore economico autorizzato dell'Unione europeae del programma di partenariato doganale-commerciale contro il terrorismo degliStati Uniti

(Pubblicato nella GUUE n. C 160 del 6.6.2012)

 

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI,

visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16, vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati (1),

visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati, in particolare l'articolo 41 (2),

HA ADOTTATO IL SEGUENTE PARERE:

 

I. INTRODUZIONE

I.1. Consultazione del GEPD eobiettivo del parere

1. Il 5 gennaio 2011 la Commissioneha adottato una proposta di decisione del Consiglio relativa alla posizionedell'Unione in seno al comitato misto di cooperazione doganale UE/USA conriguardo al riconoscimento reciproco del programma di operatore economicoautorizzato dell'Unione europea e del programma di partenariatodoganale-commerciale contro il terrorismo degli Stati Uniti (3) (di seguito: «la proposta»). La proposta è stata trasmessa alGEPD il giorno stesso.

2. In precedenza il GEPD era statoinformalmente consultato e aveva trasmesso una serie di osservazioni informalialla Commissione. Obiettivo del presente parere è integrare tali osservazionialla luce della proposta in esame e rendere accessibile al pubblico laposizione del GEPD.

3. Il GEPD riconosce che iltrattamento dei dati personali non costituisce l'oggetto principale dellaproposta. La maggior parte delle informazioni trattate non conterrà datipersonali quali definiti nella normativa in materia di protezione dei dati (4). Tuttavia, come sarà spiegato di seguito, le norme in materiadi protezione dei dati devono essere rispettate anche in questi casi.

I.2. Contesto della proposta

4. Obiettivo della proposta èistituire il reciproco riconoscimento dei programmi di partenariato commercialedell'UE e degli Stati Uniti — in particolare il programma di operatoreeconomico autorizzato (OEA) e il programma di partenariato doganale-commercialecontro il terrorismo («programma C-TPAT») degli Stati Uniti — al fine difacilitare gli scambi degli operatori che hanno effettuato investimenti nellasicurezza della catena di approvvigionamento e che aderiscono a uno di questiprogrammi.

5. Nel settore delle dogane, le relazioniUE-USA sono basate sull'accordo di cooperazione e di reciproca assistenza inmateria doganale («l'accordo CMAA») (5). Quest'accordo istituisce ilcomitato misto di cooperazione doganale (CMCD), che è composto darappresentanti delle autorità doganali dell'UE e degli USA. Il riconoscimentoreciproco deve essere stabilito con una decisione di tale comitato. La propostaè pertanto costituita da:

— una relazione,

— una proposta di decisione delConsiglio in cui si afferma che l'UE prenderà una posizione in seno al comitatomisto di cooperazione doganale come indicato nel progetto di decisione sulriconoscimento reciproco,

— il progetto di decisione delCMCD che istituisce il riconoscimento reciproco del programma OEA dell'Unioneeuropea e del programma C-TPAT degli Stati Uniti (di seguito: «il progetto didecisione») (6).

6. Il progetto di decisione deveessere attuato dalle autorità doganali, che hanno stabilito una procedura diconvalida comune (presentazione della domanda di adesione per gli operatori, valutazionedelle domande, concessione dell'adesione e monitoraggio della relativasituazione).

7. Il buon funzionamento delriconoscimento reciproco si basa pertanto sullo scambio d'informazioni tra leautorità doganali dell'UE e degli USA relative agli operatori commerciali cheaderiscono già a un programma di partenariato.

 

II. ANALISI DELPROGETTO DI DECISIONE

II.1. Trattamento dei dati relativialle persone fisiche

8. Benché il trattamento dei datipersonali non costituisca lo scopo del progetto di decisione, alcune delleinformazioni scambiate riguarderanno le persone fisiche, specialmente sel'operatore è una persona fisica (7), o se la ragione sociale dellapersona giuridica che agisce come operatore identifica una persona fisica (8).

9. L'importanza della protezione deidati in tale contesto è stata sottolineata dalla Corte di giustizia dell'Unioneeuropea nella sentenza Schecke. La Corte ha stabilito che le persone giuridichepossono invocare la tutela dei diritti alla vita privata e alla protezione deidati, quali riconosciuti nella Carta dei diritti fondamentali dell'UE, qualorala ragione sociale della persona giuridica identifichi una o più personefisiche (9). Il presente parere analizzerà pertanto il modo in cui loscambio di dati personali riguardanti gli operatori viene disciplinato nelprogetto di decisione.

II.2. Applicabilità del quadrodell'UE sulla protezione dei dati

10. Il trattamento sarà effettuatodalle autorità doganali di cui all'articolo 1, lettera b), dell'accordo CMAA (10). Questa definizione siriferisce, nell'UE, ai «servizi competenti» della Commissione europea e alleautorità doganali degli Stati membri dell'UE. Ai sensi della legislazionedell'UE in materia di protezione dei dati, il trattamento da parte degli Statimembri dell'Unione europea è soggetto alle disposizioni della direttiva95/46/CE (di seguito: «la direttiva sulla protezione dei dati») e alle legginazionali sulla protezione dei dati che danno attuazione alla direttiva sullaprotezione dei dati, mentre il trattamento dei dati personali da parte delleistituzioni e degli organismi dell'UE è soggetto alle disposizioni delregolamento (CE) n. 45/2001 (di seguito: «il regolamento»). Di conseguenza, inquesto caso sono applicabili sia la direttiva sulla protezione dei dati che ilregolamento.

II.3. Livello di protezione

11. Gli scambi di informazioni devonoessere effettuati in formato elettronico e in conformità dell'accordo CMAA.L'articolo 17, paragrafo 2, dell'accordo CMAA dispone che i dati personalipossono essere trasferiti tra le parti dell'accordo solo se la partedestinataria garantisce un livello di protezione che è perlomeno equivalente aquello applicabile a quel caso specifico nel paese che fornisce i dati.

12. Il GEPD accoglie con favorequesta disposizione, che deve essere intesa come volta ad ottemperare allanormativa UE in materia di protezione dei dati. Ai sensi dell'articolo 25 delladirettiva sulla protezione dei dati e dell'articolo 9 del regolamento, di normai dati possono essere trasferiti dall'UE a paesi terzi solo se il paesedestinatario garantisce un livello di protezione «adeguato» (11). L'articolo 17, paragrafo 2,dell'accordo CMAA sembra dunque più rigoroso della direttiva sulla protezionedei dati.

13. Occorre pertanto analizzare,sulla base di tutte le circostanze pertinenti, se le autorità destinatarienegli Stati Uniti garantiscono di fatto un livello di protezione equivalente (operlomeno un livello «adeguato»). L'analisi dell'adeguatezza deve essere svoltacon riguardo a tutte le circostanze relative al trasferimento o all'insieme ditrasferimenti (12).

14. La Commissione europea hariscontrato che gli USA nel loro complesso non garantiscono un livello diprotezione adeguato. In assenza di una decisione generale sull'adeguatezza, iresponsabili del trattamento (13), sotto la supervisione delle autorità per la protezione deidati (14), possono decidere che la protezione fornita in quel casospecifico è adeguata. Gli Stati membri dell'UE (o il GEPD, qualora itrasferimenti vengano effettuati da istituzioni od organismi dell'UE) possonoanche autorizzare un trasferimento specifico o un insieme di trasferimenti didati personali verso un paese terzo qualora il responsabile del trattamentopresenti garanzie sufficienti (15).

15. Queste decisioni ad hocsull'adeguatezza potrebbero essere applicate nel caso di specie qualora leautorità doganali nazionali e i servizi della Commissione europea responsabilidi questioni doganali presentassero prove sufficienti a sostegno delleaffermazioni dell'adozione di salvaguardie adeguate da parte delle autoritàdoganali degli Stati Uniti riguardo ai trasferimenti previsti nel progetto didecisione (16).

16. Tuttavia, il GEPD non dispone diprove sufficienti ad attestare che le autorità doganali degli Stati Unitigarantiscono un livello di protezione dei dati che è «adeguato» o «perlomenoequivalente a quello applicabile a quel caso specifico nel paese che fornisce idati» come previsto dall'articolo 17, paragrafo 2, dell'accordo CMAA.

17. Il GEPD esorta pertanto agarantire che le prove attestanti che le autorità doganali degli Stati Unitiassicurano un livello di protezione dei dati che è «adeguato» o «perlomenoequivalente a quello applicabile a quel caso specifico nel paese che fornisce idati», come previsto dall'articolo 17, paragrafo 2, dell'accordo CMAA, siano adisposizione del GEPD e delle autorità nazionali di protezione dei dati. Questorequisito deve essere previsto da una disposizione nel progetto di decisione.

18. Infine, possono essere consentitianche trasferimenti di dati personali dall'UE verso paesi che non assicurano unlivello di protezione «adeguato» se si applica una delle deroghe di cuiall'articolo 26, paragrafo 1, della direttiva sulla protezione dei dati oall'articolo 9, paragrafo 6, del regolamento. In questo caso specifico sipotrebbe sostenere che il trasferimento è «necessario o prescritto dalla leggeper la salvaguardia di un interesse pubblico rilevante» (17). Queste deroghe devono tuttavia essere interpretate in modorestrittivo e non possono costituire la base per trasferimenti massicci osistematici di dati personali (18). A parere del GEPD, nel casodi specie tali deroghe sarebbero inutili.

II.4. Limitazione delle finalità

19. La sezione V, paragrafo 1, delprogetto di decisione dispone che i dati scambiati possono essere trattatidalle autorità doganali destinatarie solo ai fini dell'attuazione del progettodi decisione, conformemente all'articolo 17 dell'accordo CMAA.

20. Ciononostante, la sezione V,paragrafo 3, quarto trattino e l'articolo 17, paragrafo 3, dell'accordo CMAAammettono anche il trattamento per altri fini. Considerando che le finalità delprogetto di decisione vanno oltre la cooperazione doganale e comprendono lalotta contro il terrorismo, il GEPD raccomanda di specificare nel testo delladecisione tutti i possibili scopi dei trasferimenti di dati personali. Inoltre,tutti i dati trasferiti devono essere necessari e proporzionati alsoddisfacimento di tali finalità. Occorre altresì specificare che gli interessatidevono essere esaustivamente informati in merito a tutte le finalità e lecondizioni del trattamento dei loro dati personali.

II.5. Categorie di dati da scambiare

21. I dati riguardanti gli aderentiai programmi di partenariato commerciale che possono essere scambiati tra leautorità doganali sono i seguenti: nome, indirizzo, situazione dell'adesione,data di convalida o di autorizzazione, sospensioni e revoche, numero unico diautorizzazione o identificazione e «dettagli che possono essere stabiliti di comuneaccordo tra le autorità doganali e che sono oggetto, ove opportuno, di tutte lenecessarie garanzie» (19). Poiché questo campo è troppoampio, il GEPD raccomanda di specificare quali categorie di dati può includere.

22. Il GEPD osserva inoltre che idati scambiati possono comprendere dati relativi a infrazioni o a sospetti diinfrazioni, per esempio dati riguardanti la sospensione e la revocadell'adesione. Il GEPD sottolinea che la normativa UE in materia di protezionedei dati limita i trattamenti di dati personali relativi ad infrazioni,condanne penali o misure di sicurezza (20). I trattamenti di queste categorie di dati possono esseresoggetti a controllo preventivo da parte del GEPD e delle autorità nazionaliall'interno dell'Unione competenti in materia di protezione dei dati (21).

II.6. Trasferimenti successivi

23. La sezione V, paragrafo 3, terzotrattino ammette il trasferimento di dati verso paesi terzi od organismiinternazionali soltanto se l'autorità che trasmette i dati ha fornito il proprioconsenso e alle condizioni da questa indicate. Non devono essere ammessitrasferimenti successivi a meno che non venga fornita una giustificazione.

24. Sembra pertanto che la sezione V,paragrafo 3, debba contenere una disposizione analoga a quella di cuiall'articolo 17, paragrafo 2, dell'accordo CMAA, in cui si afferma che i datipersonali possono essere trasferiti verso un paese terzo solo se il paesedestinatario garantisce un livello di protezione che è perlomeno equivalente aquello richiesto nel progetto di decisione. In caso contrario, la protezioneaccordata ai dati personali ai sensi di questo progetto di decisione potrebbeessere elusa da trasferimenti successivi.

25. In ogni caso questa disposizionedeve precisare le finalità di tali trasferimenti e indicare le situazionispecifiche in cui sono ammessi. Deve inoltre affermare espressamente che lanecessità e la proporzionalità dei trasferimenti successivi internazionalidevono essere valutate caso per caso e che non sono consentiti trasferimentimassicci o sistematici. Nel testo deve altresì essere incluso l'obbligo diinformare gli interessati in merito alla possibilità di trasferimentisuccessivi internazionali.

II.7. Conservazione dei dati

26. Il GEPD accoglie con favore lasezione V, paragrafo 2, che vieta di trattare o detenere le informazioni più alungo di quanto necessario ai fini per cui sono state trasferite. Occorretuttavia stabilire anche un periodo massimo di conservazione.

II.8. Sicurezza e responsabilità

27. La sezione IV dispone che gliscambi di informazioni siano effettuati in formato elettronico. Il GEPD ritieneche in questa sezione debbano essere forniti maggiori dettagli sul sistema discambio delle informazioni che verrà istituito. In ogni caso, il sistemaprescelto dovrà integrare il concetto di «privacy by design» (tutela della vitaprivata e protezione dei dati fin dalla progettazione).

28. A tale proposito il GEPD accogliecon favore le garanzie di sicurezza previste nella sezione V, paragrafo 3,primo e secondo trattino, che comprendono il controllo degli accessi, laprotezione «contro l'accesso non autorizzato, la divulgazione, la modifica, lacancellazione o la distruzione delle informazioni» e che sono altresì volte acontrollare che i dati vengano utilizzati unicamente ai fini del progetto didecisione. Il GEPD accoglie inoltre con favore le registrazioni degli accessipreviste nella sezione V, paragrafo 3, quinto trattino.

29. Il GEPD raccomanda anche diincludere in queste disposizioni l'obbligo di effettuare una valutazione diimpatto sulla protezione dei dati (compresa una valutazione dei rischi) primadi avviare gli scambi di dati. La valutazione deve comprendere una valutazionedei rischi e le misure previste per affrontare i rischi (22). Il testo deve inoltre specificare che l'osservanza el'attuazione di queste misure devono essere periodicamente oggetto di attivitàdi controllo e rendicontazione. Si tratta di una precisazione ancor piùpertinente tenendo conto della possibilità che vengano trattati dati sensibili.

II.9. Qualità dei dati e dirittidegli interessati

30. Il GEPD accoglie con favorel'obbligo per le autorità doganali di garantire che le informazioni scambiatesiano esatte e regolarmente aggiornate (cfr. la sezione V, paragrafi 2 e 5).Accoglie altresì con favore la sezione V, paragrafo 4, che garantisce aglioperatori aderenti ai programmi di partenariato il diritto di accedere ai lorodati personali e di rettificarli.

31. Tuttavia, il GEPD rileva chel'esercizio di tali diritti è soggetto alla normativa nazionale dell'autoritàdoganale. Per quanto riguarda i dati forniti dalle autorità doganali dell'UE, eal fine di garantire un livello di protezione «adeguato» (cfr. la sezione II.3del presente parere), questi diritti devono essere limitati solo qualora talerestrizione sia necessaria a salvaguardare un rilevante interesse economico ofinanziario.

32. Il GEPD accoglie altresì confavore il fatto che le autorità doganali sono tenute a cancellare i datiricevuti se la loro raccolta o il loro ulteriore trattamento risultano incontrasto con il progetto di decisione o con l'accordo CMAA (23). Il GEPD desidera ricordare che, a norma dell'articolo 17,paragrafo 2, dell'accordo CMAA, questa disposizione si applicherà a tutti itrattamenti che sono contrari alla normativa dell'UE in materia di protezionedei dati.

33. Il GEPD accoglie con favorel'obbligo per le autorità doganali di informare gli aderenti al programma deidiversi mezzi di ricorso (24). È tuttavia necessariochiarire quali sono i mezzi di ricorso in caso di violazione delle salvaguardieper la protezione dei dati garantite dal progetto di decisione. Questadisposizione deve inoltre precisare l'obbligo di informare anche altriinteressati (ossia gli operatori che presentano domanda di adesione) deidiversi mezzi di ricorso.

II.10. Verifica

34. Il GEPD accoglie con favore lasezione V, paragrafo 6, che sottopone l'intera sezione V «al riesame e allaverifica indipendente» del responsabile della protezione della vita privatadegli Stati Uniti (Chief Privacy Officer, Department of Homeland Security), delGEPD e delle autorità nazionali preposte alla protezione dei dati.

35. È inoltre opportuno specificareche il GEPD e le autorità nazionali preposte alla protezione dei dati devonocontrollare che il livello di protezione accordato ai dati personali da partedell'autorità doganale destinataria sia «adeguato» (cfr. la sezione III.1).Anche la sezione IV deve essere soggetta al riesame e alla verifica delleautorità competenti.

 

III. CONCLUSIONE

36. Il GEPD accoglie con favore lesalvaguardie previste nel progetto di decisione, specialmente per quantoriguarda la sicurezza dei dati. Tuttavia, le prove attestanti che le autoritàdoganali degli Stati Uniti assicurano un livello di protezione dei dati che è«adeguato» o «perlomeno equivalente a quello applicabile a quel caso specificonel paese che fornisce i dati», come previsto dall'articolo 17, paragrafo 2,dell'accordo CMAA, devono essere a disposizione del GEPD e delle autoritànazionali di protezione dei dati. Questo requisito deve essere previsto da unadisposizione nel progetto di decisione.

37. Inoltre, il GEPD raccomandaquanto segue:

— specificare lo/gli scopo/idegli scambi di dati previsti nel progetto di decisione, che devono esserenecessari e proporzionati,

— specificare le categorie didati incluse nella sezione IV, paragrafo 3, lettera g),

— specificare che, qualora lanecessità di trasferimenti successivi internazionali sia giustificata, questidevono essere ammessi solo caso per caso, per finalità compatibili e laddove ilpaese destinatario garantisca un livello di protezione che è perlomenoequivalente a quello accordato dal progetto di decisione,

— includere l'obbligo diinformare tutti gli interessati su quanto precedentemente indicato,

— integrare le disposizioni inmateria di sicurezza,

— specificare periodi massimidi conservazione dei dati,

— non limitare i diritti degliinteressati dell'UE a meno che tale restrizione sia necessaria a salvaguardareun rilevante interesse economico o finanziario,

— garantire il diritto alricorso,

— sottoporre la sezione IV alriesame e alla verifica delle autorità competenti,

— specificare che il GEPD, leautorità nazionali all'interno dell'Unione competenti in materia di protezionedei dati e il responsabile della protezione della vita privata degli StatiUniti (Chief Privacy Officer, Department of Homeland Security) devonocontrollare che le salvaguardie attuate dall'autorità doganale destinataria alfine di garantire un livello di protezione adeguato dei dati personali sianoeffettive e in linea con i requisiti dell'UE.

38. Il GEPD rileva inoltre che laproposta potrebbe comportare il trattamento di dati personali relativi ainfrazioni o a sospetti di infrazioni. Questi dati sono sottoposti a salvaguardiepiù rigorose ai sensi del diritto dell'UE e possono essere soggetti a controllopreventivo da parte del GEPD e delle autorità nazionali all'interno dell'Unionecompetenti in materia di protezione dei dati.

Fatto a Bruxelles, il 9 febbraio 2012

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

 

NOTE                                      

(1) GU L 281del 23.11.1995, pag. 31.

(2) GU L 8 del12.1.2001, pag. 1.

(3) COM(2011)937 definitivo.

(4) Comeindicato ai punti 8-9 del presente parere.

(5) Accordo dicooperazione e reciproca assistenza nel settore doganale tra la Comunitàeuropea e gli Stati Uniti d'America (GU L 222 del 12.8.1997, pag. 17),disponibile all'indirizzo http://ec.europa.eu/world/agreements/prepareCreateTreatiesWorkspace/treatiesGeneralData.do?step=0&redirect=true&treatyId=308(sintesi e testo integrale).

(6) Proposta didecisione del comitato misto di cooperazione doganale USA/UE concernente ilriconoscimento reciproco del programma di partenariato doganale-commercialecontro il terrorismo negli Stati Uniti e del programma di operatore economicoautorizzato dell'Unione europea.

(7) L'articolo2, lettera a), della direttiva 95/46/CE e l'articolo 2, lettera a), delregolamento (CE) n. 45/2001 definiscono i dati personali come «qualsiasiinformazione concernente una persona fisica identificata o identificabile».

(8) Cfr. ancheil parere del GEPD sulla proposta di decisione del Consiglio relativa allaposizione dell'Unione in seno al comitato misto di cooperazione doganaleUE-Giappone in materia di riconoscimento reciproco dei programmi di operatoreeconomico autorizzato nell'Unione europea ed in Giappone, disponibileall'indirizzo http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:190:0002:0006:IT:PDF

(9) Sentenzadella Corte di giustizia dell'Unione europea del 9 novembre 2010, Volker undMarkus Schecke, nei procedimenti riuniti C-92/09 e C-93/09, punto 53(disponibile all'indirizzo http://curia.europa.eu/jurisp/cgi-bin/gettext.pl?where=&lang=it&num=79898890C19090092&doc=T&ouvert=T&seance=ARRET).

(10) Cfr. lasezione I, paragrafo 2, del progetto di decisione.

(11) Ilregolamento aggiunge che questi trasferimenti possono essere effettuati solo seil trasferimento dei dati avviene

«strettamentenell'ambito dei compiti che rientrano nelle competenze del responsabile deltrattamento». (12) Cfr. l'articolo 9, paragrafi 1 e 2, del regolamento,l'articolo 25, paragrafi 1 e 2, della direttiva sulla protezione dei dati e leleggi nazionali sulla protezione dei dati che danno loro attuazione. Cfr. ancheil parere del GEPD sul comitato misto di cooperazione doganale UE-Giappone,citato in precedenza.

(13) In questocaso, le autorità doganali dell'UE e dei suoi Stati membri.

(14) In alcuniStati membri il trasferimento può essere autorizzato solo dalle autorità per laprotezione dei dati.

(15) Articolo26, paragrafo 2, della direttiva sulla protezione dei dati e articolo 9,paragrafo 7, del regolamento.

(16) Cfr. anchela lettera del GEPD sul «Trasferimento di dati personali verso paesi terzi:"l'adeguatezza" dei firmatari della Convenzione 108 del Consiglio di Europa(causa 2009-0333)», disponibile all'indirizzo http://www.edps.europa.eu/EDPSWEB/webdav/shared/Documents/Supervision/Adminmeasures/2009/09-07-02_OLAF_transfer_third_countries_EN.pdf

(17) Cfr.l'articolo 9, paragrafo 6, lettera d), del regolamento o l'articolo 26,paragrafo 1, lettera d), della direttiva sulla protezione dei dati, che, anorma del considerando 58 della direttiva sulla protezione dei dati, includegli scambi di dati tra le autorità fiscali o doganali.

(18) Cfr. ildocumento di lavoro del gruppo di lavoro «articolo 29» del 25 novembre 2005 suun'interpretazione comune dell'articolo 26, paragrafo 1, della direttiva95/46/CE del 24 ottobre 1995 (WP114), pagg. 7-9, disponibile all'indirizzohttp://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_it.pdf

(19) Cfr. lasezione IV, paragrafo 3, lettere da a) a g) del progetto di decisione.

(20) Cfr.l'articolo 8, paragrafo 5, della direttiva 95/46/CE e l'articolo 10, paragrafo5, del regolamento (CE) n. 45/2001.

(21) Cfr.l'articolo 27, paragrafo 2, lettera a) del regolamento (CE) n. 45/2001 e leleggi nazionali sulla protezione dei dati che danno attuazione all'articolo 20della direttiva 95/46/CE.

(22) Come giàprevisto dall'articolo 33 della nuova proposta di regolamento concernente latutela delle persone fisiche con riguardo al trattamento dei dati personali ela libera circolazione di tali dati (regolamento generale sulla protezione deidati) [COM(2012) 11/4 progetto].

(23) Cfr. lasezione V, paragrafo 5, del progetto di decisione.

(24) Cfr. lasezione V, paragrafo 4, ultima frase.