Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce l'Agenzia dell'Unione europea per la cooperazione e la formazione delle autorità di contrasto (Europol) e abroga le decisioni 2009/371/GAI del Consiglio e 2005/681/GAI del Consiglio

Sintesidel parere del Garante europeo della protezione dei dati sulla proposta diregolamento del Parlamento europeo e del Consiglio che istituisce l'Agenziadell'Unione europea per la cooperazione e la formazione delle autorità dicontrasto (Europol) e abroga le decisioni 2009/371/GAI del Consiglio e2005/681/GAI del Consiglio

(Pubblicato sulla GUUE n. C 38 del 8/2/2014)

I. Introduzione

I.1. Contestodel parere

1. Il 27 marzo2013 la Commissione ha adottato la proposta di regolamento del Parlamentoeuropeo e del Consiglio che istituisce l'Agenzia dell'Unione europea per lacooperazione e la formazione delle autorità di contrasto (Europol) e abroga ledecisioni 2009/371/GAI del Consiglio e 2005/681/GAI del Consiglio (´la propostaª).La proposta è stata trasmessa dalla Commissione al GEPD per consultazione lostesso giorno ed è stata ricevuta il 4 aprile 2013.

2. Prima dell'adozionedella proposta, il GEPD ha avuto l'opportunità di formulare osservazioniinformali. Esso accoglie con favore il fatto che molte di tali osservazionisiano state prese in considerazione.

3. Il GEPD sicompiace di essere stato consultato dalla Commissione e apprezza il fatto chesia stato inserito un riferimento alla consultazione nel preambolo dellaproposta.

4. Il GEPD èstato altresì consultato sulla comunicazione della Commissione al Parlamentoeuropeo, al Consiglio, al Comitato economico e sociale europeo e al Comitatodelle regioni dal titolo ´Istituire un programma di formazione europea delleautorità di contrastoª, adottata parallelamente alla proposta ⁽¹⁾. Tuttavia, si asterrà dall'esprimere una posizione distinta sudetta comunicazione, dal momento che ha elaborato solo osservazioni moltolimitate, riprese nella parte IV del presente parere.

I.2. Obiettivodella proposta

5. La propostadi basa sull'articolo 88 e sull'articolo 87, paragrafo 2, lettera b), deltrattato sul funzionamento dell'Unione europea (TFUE) e persegue i seguentiobiettivi ⁽² ⁾:

—conformare Europol alle prescrizioni del trattato di Lisbona, adottando unquadro giuridico ai sensi della procedura legislativa ordinaria;

— tenerconto degli obiettivi del programma di Stoccolma, facendo di Europol il puntonodale dello scambio di informazioni tra le autorità di contrasto degli Statimembri e istituendo regimi di formazione europea e programmi di scambiodestinati a tutti i professionisti preposti all'azione di contrasto;

—attribuire a Europol nuove responsabilità, affidandogli i compiti di CEPOL efornendo una base giuridica per il Centro europeo per la lotta alla criminalitàinformatica;

—garantire un solido regime di protezione dei dati, in particolare rafforzandola struttura di vigilanza;

—migliorare la governance di Europol, cercando di aumentarne l'efficacia econformandola ai principi esposti nella dichiarazione congiunta sulle agenziedecentrate dell'UE.

Il GEPDsottolinea che la proposta è di grande importanza dal punto di vista deltrattamento dei dati personali. Il trattamento delle informazioni, compresi idati personali, rappresenta la motivazione principale dell'esistenza diEuropol. Nell'attuale fase di sviluppo dell'UE, il lavoro operativo di poliziaresta una competenza degli Stati membri. Nondimeno, tale compito assume unanatura sempre più transfrontaliera, e il livello UE offre un sostegno tramitela fornitura, lo scambio e l'esame di informazioni.

I.3. Obiettivodel parere

6. Il presenteparere si concentrerà sulle modifiche più significative del quadro giuridicoper Europol dal punto di vista della protezione dei dati. Esso analizzerà inprimo luogo il contesto giuridico, il suo sviluppo e le conseguenze perEuropol, soffermandosi poi sulle principali modifiche, costituite da:

— lanuova struttura informativa per Europol, che implica una fusione delle diversebanche dati, e le sue conseguenze per il principio di limitazione delle finalitàdel trattamento dei dati;

— ilrafforzamento della vigilanza della protezione dei dati;

— iltrasferimento e lo scambio di dati personali e di altre informazioni, ponendoin rilievo lo scambio di dati personali con paesi terzi.

7. Successivamente,il parere discuterà una serie di disposizioni specifiche della proposta, con un'enfasisul capo VII della stessa (articoli 34-48) sulle garanzie in materia diprotezione dei dati.

V. Conclusioni

Aspettigenerali

167. Il GEPDsottolinea che la proposta assume grande importanza dal punto di vista deltrattamento dei dati personali. Il trattamento delle informazioni, compresi idati personali, è la motivazione principale dell'esistenza di Europol, e laproposta contiene già una forte protezione dei dati. Il parere dettagliato èstato quindi adottato con l'obiettivo di rafforzare ulteriormente la proposta.

168. Il GEPDnota che l'attuale decisione Europol fornisce un solido regime di protezionedei dati e ritiene che tale livello non dovrebbe essere ridotto, a prescinderedalle discussioni sulla proposta di direttiva in materia di protezione deidati. Tale aspetto dovrebbe essere specificato nel considerando.

169. Il GEPDaccoglie con favore il fatto che la proposta conformi Europol ai requisiti dell'articolo88, paragrafo 2, del TFUE, i quali garantiranno che le attività di Europolbeneficino del pieno coinvolgimento di tutte le istituzioni UE in questione.

170. Il GEPD sicompiace dell'articolo 48 della proposta, il quale sancisce che il regolamento(CE) n. 45/2001, comprese le disposizioni sulla vigilanza, sia completamenteapplicabile ai dati del personale e ai dati amministrativi. Tuttavia, ilGarante deplora il fatto che la Commissione non abbia scelto di applicare ilregolamento(CE) n. 45/2001 alle attività principali di Europol e di limitare laproposta a norme e deroghe speciali aggiuntive che prendono in debitaconsiderazione le peculiarità del settore delle autorità di contrasto.Nondimeno, esso rileva che il considerando 32 della proposta menzionaesplicitamente che le norme di protezione dei dati applicabili a Europoldovrebbero essere rafforzate e rifarsi ai principi su cui si basa ilregolamento (CE) n. 45/2001. Anche detti principi costituiscono un importantepunto di riferimento per il presente parere.

171. Il GEPDraccomanda di specificare nei considerando della proposta il fatto che il nuovoquadro in materia di protezione dei dati delle istituzioni e degli organi dell'UEsarà applicabile a Europol non appena verrà adottato. Inoltre, l'applicazione aEuropol del regime di protezione dei dati per le istituzioni e gli organi dell'UEdovrebbe essere chiarita all'interno dello strumento in sostituzione delregolamento (CE) n. 45/2001, come inizialmente annunciato nel 2010, nelcontesto della revisione del pacchetto in materia di protezione dei dati. Al piùtardi a partire dall'adozione del nuovo quadro generale, anche i nuoviprincipali elementi della riforma della protezione dei dati [ossia il principiodi responsabilità, la valutazione d'impatto sulla protezione dei dati, la privacyby design (´tutela della vita privata fin dalla fase di progettazioneª) ela privacy by default (´tutela della vita privata per impostazionepredefinitaª), nonché la notifica della violazione di dati personali]dovrebbero essere applicati a Europol. Anche tale aspetto dovrebbe esseremenzionato nei considerando.

Nuova strutturainformativa per Europol

172. Il GEPDcomprende la necessità di flessibilità riferita al contesto mutevole, nonchéalla luce dell'ampliamento dei ruoli di Europol. L'architettura informativaesistente non rappresenta necessariamente il parametro di riferimento per ilfuturo. La determinazione della struttura informativa di Europol avviene adiscrezione del legislatore europeo. Nel suo ruolo di consulente per illegislatore europeo, il GEPD si concentra sulla questione relativa alla misurain cui la scelta dei legislatori è limitata dai principi della protezione deidati.

173. Per quantoconcerne l'articolo 24 della proposta, il GEPD:

—raccomanda di definire le nozioni di analisi strategiche, tematiche e operativenella proposta e di eliminare la possibilità di trattamento dei dati personaliper analisi strategiche o tematiche, a meno che non venga fornita unagiustificazione appropriata;

—relativamente all'articolo 24, paragrafo 1, lettera c), raccomanda di definirechiaramente una finalità specifica per ogni caso di analisi operativa e dirichiedere che solo i dati personali pertinenti vengano trattati secondo lafinalità specifica definita;

—raccomanda di inserire nella proposta i seguenti elementi: i) tutte leoperazioni di controllo delle corrispondenze incrociate effettuate da analistidi Europol saranno motivate nello specifico, ii) il recupero dei dati inseguito a una consultazione sarà limitato al minimo strettamente necessario esarà motivato nello specifico, iii) la tracciabilità di tutte le operazioni dicontrollo relative alle corrispondenze incrociate sarà garantita e iv) solo ilpersonale autorizzato responsabile della finalità per cui i dati sono statiinizialmente raccolti può modificare detti dati. Tali elementi sarebbero inlinea con la prassi attuale in seno a Europol.

Rafforzamentodella vigilanza della protezione dei dati

174. L'articolo45 della proposta riconosce che la vigilanza dei trattamenti prevista nellaproposta è un compito che richiede anche l'attivo coinvolgimento delle autoritànazionali di protezione dei dati ( 3 ). La cooperazione tra il GEPD e le autorità di controllonazionali è fondamentale per una vigilanza efficace in questo settore.

175. Il GEPD sicompiace dell'articolo 45 della proposta. Detto articolo sancisce che iltrattamento dei dati da parte delle autorità nazionali è soggetto al controllonazionale e quindi riflette il ruolo chiave delle autorità di controllonazionali. Esso, inoltre, accoglie con favore il requisito secondo cui leautorità di controllo nazionali dovrebbero informare il GEPD delle azioni cheintraprendono in relazione a Europol.

176. Il GEPD sicompiace che:

— sianopreviste le disposizioni sul controllo che forniscono una solida architetturaper la vigilanza sul trattamento dei dati. Vengono prese in considerazione leresponsabilità a livello nazionale e a livello dell'UE e viene strutturato unsistema per il coordinamento di tutte le autorità coinvolte nella protezionedei dati;

— vengariconosciuto nella proposta il ruolo del GEPD quale autorità istituita al finedi vigilare su tutte le istituzioni e gli organismi dell'UE;

— siaprevisto l'articolo 47 sulla cooperazione e sul coordinamento con le autoritàdi controllo nazionali; tuttavia, il GEPD suggerisce di chiarire che lacooperazione prevista comprende sia la cooperazione bilaterale, sia quellacollettiva. Un considerando dovrebbe enfatizzare maggiormente l'importanzadella cooperazione tra le diverse autorità di controllo e fornire esempi dicome detta cooperazione potrebbe essere rafforzata.

T r a s f e r im e n t o

177. Il GEPDsuggerisce di inserire una frase all'articolo 26, paragrafo 1, della propostache affermi che le autorità competenti degli Stati membri accedono alleinformazioni e le ricercano sulla base delle esigenze conoscitive e nei limitinecessari per l'esecuzione legittima dei loro compiti. L'articolo 26, paragrafo2, dovrebbe essere modificato e conformato all'articolo 27, paragrafo 2.

178. Il GEPD sicompiace del fatto che, in linea di principio, il trasferimento a paesi terzi ealle organizzazioni internazionali possa aver luogo solo sulla base dell'adeguatezzao di un accordo vincolante che fornisca adeguate garanzie. Un accordovincolante garantirà la certezza giuridica, nonché la responsabilità di Europolper il trasferimento. Un accordo vincolante dovrebbe essere sempre necessarioper trasferimenti massicci, strutturali e ripetitivi. Ciononostante, il GEPDcomprende che esistono situazioni in cui un accordo vincolante non può essererichiesto. Tali situazioni dovrebbero essere eccezionali, dovrebbero esserebasate su una vera necessità e dovrebbero essere permesse solo in casilimitati; inoltre occorrono forti garanzie, sia a livello sostanziale, sia alivello procedurale.

179. Il GEPDraccomanda vivamente di eliminare la possibilità concessa a Europol dipresumere il consenso degli Stati membri. Esso inoltre consiglia di aggiungereche il consenso dovrebbe essere fornito ´prima del trasferimentoª nella secondafrase dell'articolo 29, paragrafo 4. Il Garante raccomanda altresì di inserireall'articolo 29 un paragrafo che affermi che Europol manterrà registridettagliati dei trasferimenti di dati personali.

180. Il GEPDraccomanda di inserire nella proposta una clausola transitoria che riguardi gliaccordi di cooperazione esistenti che regolano i trasferimenti di datipersonali effettuati da Europol. Tale clausola dovrebbe sancire la revisione didetti accordi entro una scadenza ragionevole al fine di conformarli ai requisitidella proposta. La suddetta clausola dovrebbe essere inserita nelledisposizioni sostanziali della proposta e dovrebbe contenere una scadenza nonsuperiore a due anni dopo l'entrata in vigore della proposta.

181. A fini ditrasparenza, il GEPD raccomanda altresì di aggiungere alla fine dell'articolo31, paragrafo 1, che Europol renderà accessibile al pubblico l'elenco degliaccordi internazionali e di cooperazione con paesi terzi e organizzazioniinternazionali, caricando l'elenco, regolarmente aggiornato, sul suo sitoInternet.

182. Il GEPDraccomanda di inserire espressamente all'articolo 31, paragrafo 2, che lederoghe non possono essere applicabili a trasferimenti frequenti, massicci ostrutturali, in altre parole per complessi di trasferimenti (e non solo pertrasferimenti occasionali).

183. Il GEPDraccomanda di prevedere un paragrafo specifico destinato ai trasferimenti con l'autorizzazionedel Garante. Tale paragrafo, che logicamente verrebbe prima di quello relativoalle deroghe, sancirebbe che il GEPD può autorizzare un trasferimento o uncomplesso di trasferimenti laddove Europol fornisca garanzie adeguate rispettoalla tutela della vita privata e dei diritti e delle libertà fondamentali dellepersone e per quanto concerne gli esercizi dei diritti corrispettivi. Inoltre,tale autorizzazione sarebbe concessa prima del trasferimento/del complesso ditrasferimenti, per un periodo non superiore a un anno e rinnovabile.

A l t r i a sp e t t i

184. Il parerecomprende un'ampia gamma di altre raccomandazioni volte a migliorareulteriormente la proposta. Di seguito sono elencate alcune delleraccomandazioni più significative.

a) L'eliminazionedella possibilità per Europol di avere accesso diretto alle banche datinazionali (articolo 23).

b) Laddove l'accessoriguardi i sistemi informativi dell'UE, la concessione dell'accesso dovrebbeaver luogo su un sistema ´hit/no hitª (riscontro/non riscontro, ossia unarisposta positiva o negativa). Qualsiasi informazione relativa al riscontro (hit)dovrebbe essere comunicata a Europol dopo l'esplicita approvazione eautorizzazione di trasferimento da parte dello Stato membro (se l'accessoriguarda dati forniti da parte di uno Stato membro), dell'organismo dell'UE odell'organizzazione internazionale e dovrebbe essere soggetta alla valutazionedi cui all'articolo 35 della proposta. Il GEPD raccomanda l'introduzione diqueste condizioni nell'articolo 23 della proposta.

c) Ilrafforzamento dell'articolo 35 della proposta rendendo obbligatoria lavalutazione da parte dello Stato membro che fornisce le informazioni. Il GEPDsuggerisce l'eliminazione all'articolo 35, paragrafi 1 e 2, della formulazione ´perquanto possibileª e suggerisce la corrispettiva modifica dell'articolo 36,paragrafo 4.

d) Lasostituzione della panoramica di tutti i dati personali di cui all'articolo 36,paragrafo 2, con statistiche su questi dati per ogni finalità. Poiché lecategorie specifiche di interessati di cui all'articolo 36, paragrafo 1, meritanoanch'esse un'attenzione particolare, il GEPD suggerisce di introdurrestatistiche su questi dati.

e) L'introduzionenella proposta di una disposizione secondo cui Europol deve avere una politicatrasparente e facilmente accessibile in materia di trattamento di datipersonali e per l'esercizio dei diritti degli interessati, in modointellegibile, con ricorso a un linguaggio chiaro e semplice. Tale disposizionedovrebbe inoltre affermare che detta politica dovrebbe essere di facilereperibilità sul sito Internet di Europol, nonché sui siti Internet delleautorità di controllo nazionali.

f) Poiché l'articolo41 non definisce chiaramente la responsabilità di tutte le parti coinvolte,bisognerebbe, in riferimento all'articolo 41, paragrafo 4, specificare che laresponsabilità per la conformità con tutti i principi applicabili in materia diprotezione dei dati (e non solo la ´liceità del trasferimentoª) incombe almittente dei dati. Il GEPD raccomanda di modificare conseguentemente l'articolo41.

g) L'introduzionein una o più disposizioni sostanziali della proposta secondo cui: i) unavalutazione d'impatto simile a quella descritta nella proposta di regolamentosulla protezione dei dati verrà eseguita per tutti i trattamenti sui datipersonali, ii) il principio di privacy by design e privacy by defaultsarà applicato per la creazione o per il miglioramento dei sistemi ditrattamento dei dati personali, iii) il controllore adotterà politiche e attueràmisure appropriate per garantire ed essere in grado di dimostrare la conformitàalle norme in materia di protezione dei dati e per garantire che l'efficacia didette misure è verificata, iv) il responsabile della protezione dei dati diEuropol e, se del caso, le autorità di controllo, saranno coinvolti nellediscussioni relative al trattamento di dati personali.

Il GEPD hainoltre presentato qualche suggerimento circa la comunicazione adottataparallelamente alla proposta.

Fatto aBruxelles, il 31 maggio 2013

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 )COM(2013) 172 definitivo.

( 2 )Relazione, parte 3.

( 3 ) V.anche la risoluzione 4 della conferenza di primavera delle autorità europee diprotezione dei dati (Lisbona, 16- 17 maggio 2013).