GARANTE EUROPEO
  DELLA PROTEZIONE DATI PERSONALI

Parere del garante europeo della protezione dei dati sulla proposta di decisione del Consiglio che istituisce l'Ufficio europeo di polizia (Europol) — COM(2006) 817 final

(Pubblicato sulla G.U.U.E. n. C 255 del 27.10.2007)

 

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunit europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati (1),

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonch la libera circolazione di tali dati (2), ed in particolare l'articolo 41,

vista la richiesta di parere a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 inviata al GEPD il 20 dicembre 2006.

HA ADOTTATO IL SEGUENTE PARERE:

I. OSSERVAZIONI PRELIMINARI

Consultazione del GEPD

1. La proposta di decisione del Consiglio che istituisce l'Ufficio europeo di polizia (Europol) stata trasmessa dalla Commissione al GEPD per richiesta di parere a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001. Il GEPD ritiene che questo parere debba essere menzionato nel preambolo della decisione quadro (3).

Importanza della proposta

2. La proposta non si pone l'obiettivo di una modifica profonda del mandato o delle attivit di Europol, ma intende essenzialmente fornire a Europol una nuova e pi flessibile base giuridica. Europol stato creato nel 1995 sulla base di una convenzione fra Stati membri, a titolo dell'articolo K.6 del trattato UE (ora articolo 34) (4). L'inconveniente di queste convenzioni in termini di flessibilit ed efficacia la necessit di ratifica da parte di tutti gli Stati membri, il che, come dimostra la recente esperienza, pu richiedere diversi anni.

Come indica la relazione della proposta, i tre protocolli di modifica della convenzione Europol adottati nel 2000, 2002 e 2003 non erano ancora entrati in vigore alla fine del 2006 (5).

3. Tuttavia, la proposta contiene anche modifiche sostanziali intese a migliorare ulteriormente il funzionamento di Europol. Essa estende il mandato di Europol e contiene diverse nuove disposizioni miranti a facilitare ulteriormente il lavoro di Europol. In questa prospettiva, lo scambio di dati fra Europol e altri (come organi della Comunit europea/ Unione europea, autorit degli Stati membri e di paesi terzi) diventa una questione di maggiore rilevanza. La proposta stabilisce che Europol si adoperi per assicurare l'interoperabilit fra i suoi sistemi di trattamento dati e quelli degli Stati membri nonch degli organi della Comunit europea/Unione europea (articolo 10, paragrafo 5, della proposta). Prevede altres che le unit nazionali abbiano un accesso diretto al sistema Europol.

4. Inoltre, la posizione di Europol quale organo nell'ambito del titolo VI del trattato sull'Unione europea (terzo pilastro) ha delle conseguenze sulla legislazione applicabile in materia di protezione dei dati, in quanto il regolamento (CE) n. 45/2001 si applica unicamente al trattamento di dati effettuato nell'esercizio di attivit che rientrano nel campo di applicazione del diritto comunitario e quindi non si applica, in linea di principio, a operazioni di trattamento da parte di Europol. Il capo V della proposta contiene norme specifiche sulla protezione e sulla sicurezza dei dati, che possono essere considerate lex specialis in quanto prevedono norme supplementari che si aggiungono ad una lex generalis, quadro giuridico generale sulla protezione dei dati. Tuttavia, questo quadro giuridico generale per il terzo pilastro non ancora stato adottato (cfr. punti 37-40).

5. Bisogna infine menzionare il fatto che altre modifiche porteranno la posizione di Europol ad essere maggiormente in linea con quella di altri organi dell'Unione europea, istituiti nell'ambito del trattato della Comunit europea. Sebbene non modifichi sostanzialmente la posizione di Europol, ci pu essere visto come un primo incoraggiante sviluppo. Europol sar finanziato dal bilancio comunitario e il personale di Europol rientrer nel campo di applicazione dello statuto del personale della Comunit. Questo verr a rafforzare il controllo del Parlamento europeo (per la sua posizione nella procedura di bilancio) e della Corte di giustizia europea (in controversie in materia di bilancio e in questioni relative al personale). Il GEPD avr competenze per quanto riguarda il trattamento di dati personali relativi al personale comunitario (cfr. punto 47).

Obiettivo del presente parere

6. Il presente parere affronter, successivamente, le modifiche sostanziali (menzionate al punto III), la legislazione applicabile alla protezione dei dati (punto IV) e le crescenti somiglianze fra Europol e gli organismi comunitari (punto V).

7. Il parere riserver una particolare attenzione alla crescente importanza dello scambio di dati fra Europol e altri organi dell'Unione europea, che nella maggior parte dei casi rientra nell'ambito della supervisione del GEPD. In questo contesto, gli articoli 22, 25 e 48 della proposta possono essere specificamente menzionati. La complessit della questione suscita preoccupazioni per quanto riguarda sia il principio di limitazione delle finalit che la legislazione applicabile in materia di protezione e controllo dei dati nei casi in cui diverse autorit di controllo sono competenti per la supervisione dei diversi organi europei, a seconda del pilastro in cui essi si trovano. Un altra preoccupazione riguarda l'interoperabilit del sistema di informazione Europol con altri sistemi di informazione.

II. LA PROPOSTA NEL SUO CONTESTO

8. Il contesto legislativo della proposta sta mutando rapidamente.

9. In primo luogo, la presente proposta si inserisce in una serie di attivit legislative nel campo della polizia e della cooperazione giudiziaria, intese a facilitare le possibilit di conservazione e scambio di dati personali per scopi di applicazione della legge. Alcune di queste proposte sono state adottate dal Consiglio — come la decisione quadro del Consiglio, del 18 dicembre 2006, relativa allo scambio di informazioni e intelligence, ad esempio (6), mentre altre proposte sono ancora in corso.

10. Queste attivit legislative sono orientate dal nuovo e importante principio legislativo della disponibilit, introdotto nel programma dell'Aia nel novembre 2004, in base al quale le informazioni necessarie nella lotta contro la criminalit dovrebbero attraversare le frontiere interne dell'UE senza ostacoli.

11. Il principio di disponibilit non sufficiente in s. Sono necessarie misure legislative supplementari per consentire alle autorit giudiziarie e di polizia di scambiare efficacemente informazioni. In alcuni casi, lo strumento scelto per facilitare questo scambio comprende l'istituzione o il miglioramento di un sistema di informazione a livello europeo, come il sistema di informazione Europol. Il GEPD ha affrontato aspetti essenziali di detti sistemi in riferimento al sistema di informazione Europol ed esaminer alcuni di essi anche rispetto all'attuale proposta. Vi sono comprese le condizioni per la concessione dell'accesso al sistema, l'interconnessione e l'interoperabilit, nonch le norme applicabili in materia di protezione e controllo dei dati (7).

12. La proposta dovrebbe inoltre essere esaminata alla luce dei pi recenti sviluppi, come l'iniziativa presentata dalla presidenza tedesca dell'Unione europea e intesa a recepire il trattato di Prüm nel quadro giuridico dell'UE.

13. In secondo luogo, il quadro per la protezione dei dati nel terzo pilastro — condizione necessaria per lo scambio di dati personali — (come gi detto) non ancora stato adottato.

Al contrario, i negoziati in sede di Consiglio sulla proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale si sono rivelati piuttosto difficili. La presidenza tedesca del Consiglio ha annunciato che verr proposto un nuovo testo (8), con alcune differenze sostanziali rispetto all'approccio della proposta della Commissione.

14. In terzo luogo, la proposta direttamente correlata agli sviluppi relativi al trattato che istituisce una costituzione per l'Europa. L'articolo III-276 del trattato costituzionale considerato un importante passo in avanti in un processo in cui da un lato il ruolo e i compiti di Europol sono gradualmente estesi e dall'altro Europol gradualmente inserito nel quadro istituzionale europeo. Come affermato nella relazione della proposta, questo articolo incorpora la visione emersa per il futuro di Europol. La presente decisione fa propria una parte di questa visione, tenendo conto dell'incertezza su se e quando le disposizioni del trattato costituzionale entreranno in vigore.

III. MODIFICHE SOSTANZIALI

Competenza e compiti di Europol

15. Gli articoli 4 e 5 e l'allegato I della proposta determinano il mandato di Europol. Detto mandato ora esteso alla criminalit che non strettamente correlata alla criminalit organizzata e comprende lo stesso elenco di reati gravi incluso nella decisione quadro del Consiglio sul mandato d'arresto europeo (9). Una seconda estensione del ruolo di Europol che le sue basi di dati ora comprenderanno informazioni e intelligence trasmesse da organismi privati.

16. Questa prima estensione un logico passo in avanti nello sviluppo della cooperazione di polizia in materia penale. Il GEPD riconosce che ci porta ad una migliore armonizzazione degli strumenti giuridici intesi a facilitare la cooperazione di polizia. L'armonizzazione utile, non solo perch migliora le condizioni della cooperazione, ma anche perch rafforza la certezza giuridica per i cittadini e consente un controllo pi efficace della cooperazione di polizia, in quanto il campo di applicazione di tutti i diversi strumenti si estende alle stesse categorie di reati. Il GEPD d per scontato che questa estensione del mandato sia proposta tenendo conto del principio di proporzionalit.

17. Quanto alla seconda estensione, essa coincide con la recente tendenza nella cooperazione di polizia che vede l'utilizzo di dati raccolti da societ private ai fini dell'applicazione della legge acquisire sempre maggiore importanza. Il GEPD riconosce che vi pu essere la necessit di un siffatto utilizzo. In particolare nella lotta contro il terrorismo e altri reati gravi, pu essere necessario per chi impegnato nell'applicazione della legge avere accesso a tutte le informazioni pertinenti, comprese quelle in possesso di privati (10).

Tuttavia, la natura delle informazioni provenienti da privati esige salvaguardie supplementari, fra l'altro per assicurare l'accuratezza di queste informazioni, in quanto si tratta di dati personali che sono stati raccolti per scopi commerciali in un contesto commerciale. Si dovrebbe altres accertare che dette informazioni siano state raccolte e trattate in modo legittimo prima di essere trasmesse a Europol, ai sensi della legislazione nazionale che attua la direttiva 95/46/CE e che l'accesso da parte di Europol sia concesso soltanto in base a condizioni e limitazioni ben definite: l'accesso dovrebbe essere concesso soltanto caso per caso, per ragioni specifiche e sotto il controllo giudiziario degli Stati membri (11). Il GEPD suggerisce quindi di inserire queste condizioni e limitazioni nel testo della decisione.

Articolo 10: trattamento delle informazioni

18. L'articolo 6 della convenzione Europol adotta un approccio restrittivo sul trattamento delle informazioni raccolte da Europol. Esso limitato a tre componenti: il sistema di informazione Europol, gli archivi di lavoro per fini di analisi e un sistema di indici. L'articolo 10, paragrafo 1, della proposta sostituisce questa impostazione con una disposizione generale che permette a Europol di trattare le informazioni e l'intelligence nella misura in cui ci necessario per il raggiungimento dei suoi obiettivi. Tuttavia, l'articolo 10, paragrafo 3, della proposta stabilisce che il trattamento dei dati personali al di fuori del sistema di informazione Europol e degli archivi di lavoro per fini di analisi soggetto a condizioni stabilite da una decisione del Consiglio previa consultazione del Parlamento europeo. Secondo il GEPD, questa disposizione redatta in maniera abbastanza precisa per proteggere gli interessi legittimi delle persone interessate. Si dovrebbe aggiungere all'articolo 10, paragrafo 3, la consultazione delle autorit incaricate della protezione dei dati, prima dell'adozione di una siffatta decisione da parte del Consiglio, come proposto al punto 55.

19. All'articolo 10, paragrafo 2, la possibilit per Europol di trattare dati per stabilire se questi sono rilevanti per i suoi compiti sembra contrario al principio di proporzionalit.

Questa formulazione non molto precisa e ingloba in pratica il rischio di trattamento per ogni tipo di scopi indefiniti.

20. Il GEPD comprende la necessit di trattare i dati personali in una fase in cui la loro pertinenza per l'esecuzione di compiti di Europol non ancora stata stabilita. Si dovrebbe tuttavia garantire che il trattamento di dati personali la cui pertinenza non ancora stata valutata si limiti strettamente allo scopo della valutazione di detta pertinenza, che la valutazione venga effettuata entro un ragionevole lasso di tempo e che, fintantoch la pertinenza non verificata, i dati non siano trattati per fini di applicazione della legge.

Una soluzione diversa non solo lederebbe i diritti delle persone interessate, ma ostacolerebbe altres l'efficacia dell'applicazione della legge.

Di conseguenza, per rispettare il principio di proporzionalit, il GEPD propone di aggiungere una disposizione all'articolo 10, paragrafo 2, che stabilisca l'obbligo di conservare i dati in basi di dati distinte fino a quando ne verr stabilit la pertinenza per un compito specifico di Europol. Inoltre, il periodo di tempo durante il quale detti dati possono essere trattati deve essere rigorosamente limitato e in ogni caso non superare i 6 mesi (12).

21. In base all'articolo 10, paragrafo 5, della proposta, sar compiuto ogni sforzo per garantire l'interoperabilit con i sistemi di protezione dei dati negli Stati membri e con i sistemi in uso presso gli organismi collegati alla Comunit e all'Unione. Questo approccio ribalta quello della convenzione Europol (articolo 6, paragrafo 2), che vieta il collegamento con altri sistemi di trattamento automatici.

22. Nelle sue osservazioni sulla comunicazione della Commissione sull'interoperabilit delle basi dati europee (13), il GEPD sosteneva che l'interoperabilit principalmente un concetto tecnico. Se le basi di dati diventano tecnicamente interoperabili — nel senso che l'accesso ai dati e lo scambio di dati possibile — vi saranno pressioni per utilizzare effettivamente questa possibilit. Ci comporta rischi specifici al principio della limitazione delle finalit, perch i dati possono facilmente essere utilizzati per scopi diversi da quello della raccolta. Il GEPD insiste sulla stretta applicazione delle condizioni e delle garanzie allorquando viene instaurata l'interconnessione con una base di dati.

23. Il GEPD raccomanda quindi di aggiungere una disposizione alla proposta in cui si richieda che l'interconnessione sia permessa soltanto dopo una decisione che ne stabilisca le condizioni e le garanzie, in particolare per quanto riguarda la necessit dell'interconnessione e gli scopi per i quali i dati personali saranno utilizzati. Questa decisione dovrebbe essere adottata dopo la consultazione del GEPD e dell' autorit di controllo comune. La disposizione potrebbe essere collegata all'articolo 22 della proposta riguardante le relazioni con altri organi e agenzie.

Articolo 11: sistema di informazione Europol

24. In riferimento all'articolo 11, paragrafo 1, il GEPD osserva che le attuali restrizioni di accesso da parte di un'unit nazionale a dati personali riguardanti eventuali criminali che non hanno (ancora) commesso un reato sono state soppresse. Queste restrizioni sono ora contenute nell'articolo 7, paragrafo 1, della Convenzione e limitano il diritto di accesso diretto ai dettagli sull'identit della persona in questione.

25. Secondo il GEPD, non vi giustificazione per questa sostanziale modifica. Al contrario, le specifiche salvaguardie per questa categoria di persone sono pienamente in linea con l'impostazione della proposta della Commissione per una decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale. Il GEPD raccomanda di fornire maggiori salvaguardie per l'accesso ai dati di queste persone che non hanno (ancora) commesso un reato e in ogni caso, di non indebolire la protezione fornita nel quadro della convenzione Europol.

Articolo 20: termini per la conservazione

26. Secondo il testo modificato dell'articolo 21, paragrafo 3, della convenzione Europol (14), la necessit di una conservazione continua di dati personali relativi a persone fisiche ai sensi dell'articolo 10, paragrafo 1, sottoposta a verifica ogni anno e la verifica documentata. Tuttavia, l'articolo 20, paragrafo 1, della proposta esige soltanto la verifica entro tre anni dall'introduzione dei dati. Il GEPD non convinto che questa ulteriore flessibilit sia necessaria, e raccomanda quindi di inserire nella proposta l'obbligo di una verifica annuale. Una modifica della proposta ancora pi importante, in quanto la proposta dovrebbe contenere un obbligo di verifica periodica della conservazione, non solo una volta dopo tre anni. Articolo 21: accesso a banche dati nazionali e internazionali

27. L'articolo 21 una disposizione generale che consente a Europol di ottenere l'accesso informatizzato ad altri sistemi di informazione nazionali e internazionali e recuperarvi dati. Questo accesso dovrebbe essere consentito solo caso per caso e a rigide condizioni. Tuttavia, l'articolo 21 permette un accesso troppo ampio, che non necessario per i compiti di Europol. In questo contesto, il GEPD rimanda al suo parere del 20 gennaio 2006 sull'accesso al VIS da parte di autorit responsabili della sicurezza interna (15). Il GEPD raccomanda di modificare di conseguenza il testo della proposta.

28. importante tenere presente che la disposizione, nella misura in cui riguarda l'accesso alle basi di dati, pi ampia della comunicazione di informazioni fra Europol e le unit nazionali che affrontata, inter alia, all'articolo 12, paragrafo 4, della proposta. Questo accesso non sar soltanto soggetto alle disposizioni dell'attuale decisione del Consiglio, ma anche disciplinato dalla legislazione nazionale sull'accesso e sull'utilizzo dei dati. Il GEPD saluta con favore il concetto inserito nell'articolo 21 secondo cui va applicata la norma pi rigida. Inoltre, l'importanza della comunicazione di dati personali fra Europol e le basi di dati nazionali, compreso l'accesso da parte di Europol a queste basi di dati nazionali, una ragione ulteriore per l'adozione di una decisione quadro del Consiglio sulla protezione dei dati personali trattati nel quadro della cooperazione giudiziaria e di polizia in materia penale che offra un adeguato livello di protezione.

Articolo 24: comunicazione di dati personali a organi terzi

29. L'articolo 24, paragrafo 1, stabilisce due condizioni per la comunicazione di dati a autorit pubbliche di paesi terzi e a organizzazioni internazionali: a) la comunicazione pu avvenire soltanto se necessaria in singoli casi per la lotta contro la criminalit e b) sulla scorta di un accordo internazionale che garantisca che un adeguato livello di protezione dei dati assicurato dall'organo terzo. L'articolo 24, paragrafo 2, permette deroghe in casi eccezionali, tenendo conto del livello di protezione dei dati dell'organo in questione. Il GEPD comprende la necessit di queste deroghe e sottolinea la necessit di una loro rigorosa applicazione, caso per caso, in situazioni assolutamente eccezionali.

Il testo dell'articolo 24, paragrafo 2, rispecchia queste condizioni in modo soddisfacente.

Articolo 29: diritti della persona cui si riferiscono i dati

30. L'articolo 29 riguarda il diritto di accesso a dati personali.

Si tratta di uno dei diritti basilari della persona interessata, sancito dall'articolo 8, paragrafo 2, della Carta dei diritti fondamentali dell'Unione Europea, garantito anche dalla convenzione 108 del Consiglio d'Europa del 18 gennaio 1981 e dalla raccomandazione R (87) 15 del Comitato dei Ministri del Consiglio d'Europa del 17 settembre 1987.

Questo diritto fa parte del principio di legittimit e legalit del trattamento dei dati personali ed concepito per proteggere gli interessi essenziali della persona interessata.

Tuttavia, le condizioni stabilite dall'articolo 29 limitano questo diritto in modo inaccettabile alla luce di quanto sopra.

31. Innanzitutto, l'articolo 29, paragrafo 3, stabilisce che la richiesta di accesso — avanzata in uno Stato membro sulla base dell'articolo 29, paragrafo 2 — sar affrontata in conformit dell'articolo 29 e delle leggi e procedure dello Stato membro in cui una richiesta viene avanzata. Di conseguenza, la legislazione nazionale potrebbe limitare il campo di applicazione e la sostanza del diritto di accesso e imporre vincoli procedurali. Questo risultato potrebbe essere insoddisfacente.

Per esempio, richieste di accesso a dati personali possono anche essere inoltrate da persone i cui dati non sono trattati da Europol. essenziale che il diritto di accesso si estenda a queste richieste. Si deve quindi assicurare che la legislazione nazionale che comporta un diritto di accesso pi limitato non sia di applicazione.

32. Secondo il GEPD, il riferimento alla legislazione nazionale all'articolo 29, paragrafo 3, dovrebbe essere soppresso e sostituito da norme armonizzate sul campo di applicazione, la sostanza e la procedura, di preferenza nella decisione quadro del Consiglio sulla protezione dei dati personali o, laddove necessario, nella decisione del Consiglio.

33. Inoltre, l'articolo 29, paragrafo 4, elenca le motivazioni per il rifiuto dell'accesso a dati personali, qualora la persona interessata voglia esercitare il suo diritto di accesso ai dati personali che lo riguardano e che sono trattati da Europol.

Ai sensi dell'articolo 29, paragrafo 4, l'accesso viene negato quando rischia di compromettere determinati interessi specifici. Questa formulazione molto pi ampia rispetto all'articolo 19, paragrafo 3, della convenzione Europol che permette il rifiuto dell'accesso solo se ci necessario.

34. Il GEPD raccomanda di mantenere la pi rigorosa formulazione del testo della convenzione Europol. Si deve altres assicurare che il responsabile del trattamento sia obbligato ad indicare le ragioni del rifiuto, in modo che l'utilizzo della deroga possa essere effettivamente controllato. Questo principio esplicitamente espresso nella raccomandazione R (87) 15 del Comitato dei Ministri del Consiglio d'Europa.

La formulazione della proposta della Commissione non accettabile, in quanto non rende giustizia alla natura fondamentale del diritto di accesso. Deroghe a questo diritto possono essere accettate soltanto se ci necessario per proteggere un altro diritto fondamentale, in altre parole, qualora l'accesso comprometta questo altro interesse.

35. Ultimo ma non meno importante aspetto, il diritto di accesso fortemente limitato dal meccanismo di consultazione definito dall'articolo 29, paragrafo 5. Questo meccanismo subordina l'accesso alla consultazione di tutte le autorit competenti interessate e, in riferimento ad archivi per fini di analisi, anche al consenso di Europol e di tutti gli Stati membri che partecipano all'analisi o che sono direttamente interessati. Questo meccanismo, di fatto ribalta la natura fondamentale del diritto di accesso. L'accesso dovrebbe essere concesso quale principio generale e pu essere limitato solo in circostanze specifiche. Invece, secondo il testo della proposta, l'accesso verrebbe concesso solo dopo che una consultazione stata effettuata e un consenso raggiunto.

IV. APPLICABILIT DI UN QUADRO GENERALE SULLA PROTEZIONE DEI DATI

Aspetto generale

36. Europol sar un organo dell'Unione europea, ma non un'istituzione o organismo comunitario a titolo dell'articolo 3 del regolamento (CE) n. 45/2001. Per questa ragione il regolamento non si applica normalmente al trattamento di dati personali da parte di Europol, fatte salve situazioni specifiche. Il capo V della proposta introduce quindi un regime di protezione dei dati sui generis, che fa riferimento anche ad un applicabile quadro giuridico generale sulla protezione dei dati.

Un quadro giuridico generale sulla protezione dei dati nel terzo pilastro

37. La proposta riconosce la necessit di un quadro giuridico generale sulla protezione dei dati. Ai sensi dell'articolo 26 della proposta, come lex generalis Europol applicher i principi della decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale. Questo riferimento alla decisione quadro del Consiglio (proposta) sostituisce il riferimento di cui all'articolo 14, paragrafo 3, della convenzione Europol alla convenzione 108 del Consiglio d'Europa, del 28 gennaio 1981, e alla raccomandazione R (87) 15 del Comitato dei Ministri del Consiglio d'Europa del 17 settembre 1987.

38. Il GEPD esprime soddisfazione per l'articolo 26 della proposta. Si tratta di una disposizione di cruciale importanza per l'efficacia della protezione dei dati, nonch per ragioni di coerenza, in quanto facilita lo scambio di dati personali che vanno anche a beneficio dell'applicazione della legge. Tuttavia, la compatibilit fra i due strumenti dovrebbe essere garantita, e questa non immediata se si tiene conto del fatto che:

— il testo della decisione quadro del Consiglio stato discusso in sede di Consiglio ed stato fondamentalmente modificato durante i negoziati, che sono infine arrivati ad uno stallo alla fine del 2006,

— la presidenza tedesca ha annunciato la proposta di un nuovo testo che sar presentato nel marzo 2007 e conterr essenzialmente principi generali sulla protezione dei dati,

— l'applicabilit diretta della decisione quadro del Consiglio al trattamento da parte di Europol una questione importante nelle attuali discussioni.

A seconda dei risultati dei negoziati in sede di Consiglio su questa decisione quadro, probabilmente basata sulla proposta tedesca, potrebbero essere necessarie ulteriori salvaguardie nella presente proposta. Questo punto deve essere affrontato in una fase successiva, quando vi sar pi chiarezza circa i risultati dei negoziati sulla decisione quadro del Consiglio.

39. Il GEPD sottolinea che l'attuale decisione del Consiglio non dovrebbe essere adottata prima dell'adozione da parte del Consiglio di un quadro sulla protezione dei dati, che garantisca un adeguato livello di protezione dei dati in conformit delle conclusioni del GEPD nei suoi due pareri sulla proposta della Commissione per una decisione quadro del Consiglio (16).

40. In questo contesto, il GEPD sottolinea due aspetti specifici della proposta della Commissione per una decisione quadro del Consiglio che sono particolarmente appropriati per rafforzare la protezione conferita alle persone interessate in caso di trattamento dei loro dati da parte di Europol. In primo luogo, la proposta apre possibilit di distinguere il trattamento dei dati in conformit con il loro grado di accuratezza e affidabilit. I dati basati su pareri sono distinti da quelli basati su fatti. Questa netta differenza fra dati non controllati e dati controllati un metodo importante per conformarsi al principio della qualit dei dati. In secondo luogo, la proposta prevede una distinzione fra i dati relativi a varie categorie di persone, secondo l'eventuale coinvolgimento in reati.

Regolamento (CE) n. 45/2001

41. Questo conduce all'applicabilit del regolamento (CE) n. 45/2001 alle attivit di Europol. Il regolamento (CE) n. 45/2001 si applica in primo luogo al personale di Europol di cui si tratter al punto 47. In secondo luogo, e questo l'argomento della parte IV di questo parere, il regolamento si applicher agli scambi di dati con organi comunitari, almeno nella misura in cui questi trasmetteranno dati a Europol. Importanti esempi di organi comunitari sono quelli menzionati all'articolo 22, paragrafo 1, della proposta.

42. Ci si pu aspettare che a questi organi venga richiesto di trasmettere dati personali a Europol abbastanza regolarmente.

Cos facendo, le istituzioni e gli organismi comunitari saranno soggetti a tutti gli obblighi stabiliti dal regolamento (CE) n. 45/2001, in particolare per quanto riguarda la liceit del trattamento (articolo 5 del regolamento), controllo preventivo (articolo 27) e consultazione del GEPD (articolo 28). Questo solleva domande quanto all'applicabilit degli articoli 7, 8 e 9 del regolamento (CE) n. 45/2001.

Poich Europol non un istituzione o un organismo comunitario e non soggetto alla direttiva 95/46/CE, potrebbe essere compreso nell'articolo 9. In tal caso, l'adeguatezza della protezione conferita da Europol dovrebbe essere valutata nell'ambito dell'articolo 9, paragrafo 2, del regolamento (CE) n. 45/2001, come avviene per altre organizzazioni internazionali o paesi terzi. Questa soluzione creerebbe incertezza e non sarebbe inoltre conforme all'idea di base della proposta di allineare maggiormente la posizione di Europol con quella delle istituzioni e degli organismi contemplati dal trattato CE. Una migliore soluzione sarebbe quella di trattare Europol come un organismo comunitario nella misura in cui esso elabora dati provenienti da organismi comunitari. Il GEPD propone di aggiungere un paragrafo all'articolo 22 cos formulato: Qualora dati personali siano trasferiti da istituzioni o organismi comunitari, Europol sar considerato un organismo comunitario a norma dell'articolo 7 del regolamento n. 45/2001.

Scambio di dati con Olaf

43. Una particolare attenzione merita lo scambio di dati personali con l'Ufficio europeo per la lotta antifrode (Olaf).

Attualmente, lo scambio di informazioni fra Europol e Olaf avviene sulla base di un accordo amministrativo fra i due organi. Questo accordo prevede lo scambio di informazioni tecniche e strategiche ma esclude lo scambio di dati personali.

44. La proposta di decisione del Consiglio di natura diversa. L'articolo 22, paragrafo 3, prevede lo scambio di informazioni, compresi i dati personali, nella stessa maniera in cui i dati vengono scambiati fra Olaf e le autorit degli Stati membri (17). Lo scopo di questo scambio limitato alla frode, alla corruzione attiva e passiva e al riciclaggio di denaro. Sia Olaf che Europol terranno conto, in ogni caso specifico, delle esigenze dettate dalla segretezza delle indagini e dalla protezione dei dati. Per Olaf questo significa assicurare in ogni evenienza il livello di protezione previsto dal regolamento (CE) n. 45/2001.

45. Inoltre, l'articolo 48 della proposta stabilisce che il regolamento (CE) n. 1073/1999 (18) si applica a Europol. Olaf avr il potere di condurre indagini amministrative all'interno di Europol e a tal fine avr il diritto di accesso immediato e senza preavviso a qualsiasi informazione in possesso di Europol (19). Secondo il GEPD, il campo di applicazione di questa disposizione non chiaro:

— Comprende in ogni evenienza indagini da parte di Olaf in materia di frode, corruzione, riciclaggio di denaro e altre irregolarit riguardanti gli interessi della Comunit europea, all'interno stesso di Europol.

— Implica altres che il regolamento (CE) n. 45/2001 si applichi a queste indagini, compreso il controllo del GEPD sul modo in cui Olaf esercita i propri poteri.

46. La disposizione tuttavia non contempla e non dovrebbe contemplare indagini su irregolarit al di fuori di Europol, su cui i dati trattati da Europol possano fare ulteriore chiarezza.

Le disposizioni per lo scambio di informazioni, compresi i dati personali, a titolo dell'articolo 22, paragrafo 3, sarebbero sufficienti per questi casi. Il GEPD raccomanda di chiarire in questo senso il campo di applicazione dell'articolo 48 della proposta.

V. ALLINEARE EUROPOL CON GLI ALTRI ORGANISMI DELL'UNIONE EUROPEA ISTITUITI NELL'AMBITO DEL TRATTATO CE

Il personale di Europol

47. Il personale di Europol rientra nel campo di applicazione dello statuto del personale. In caso di trattamento di dati relativi al personale di Europol, sono di applicazione sia le regole sostanziali che quelle di controllo del regolamento n. 45/2001, per motivi di coerenza e non discriminazione.

Il considerando (12) della proposta menziona l'applicabilit del regolamento sul trattamento dei dati personali, in particolare per quanto riguarda i dati personali relativi al personale di Europol. Secondo il GEPD, non basta chiarire il concetto nei considerando. I considerando di un atto comunitario sono di natura non vincolante e non contengono disposizioni normative (20). Per assicurare pienamente l'applicazione del regolamento (CE) n. 45/2001, si dovrebbe aggiungere un paragrafo al testo della decisione stessa — ad esempi all'articolo 38 — in cui si affermi che il regolamento n. 45/2001 si applica al trattamento di dati personali relativi al personale di Europol.

Controllo del trattamento dati da parte di Europol

48. La proposta non mira ad una modifica sostanziale del sistema di supervisione di Europol in cui il ruolo centrale svolto dall'autorit di controllo comune. Ai sensi del quadro giuridico proposto, l'autorit di controllo istituita in conformit dell'articolo 33 della proposta. Tuttavia, alcune modifiche dello statuto e delle attivit di Europol porteranno a un coinvolgimento limitato del GEPD, fatti salvi i suoi compiti per quanto riguarda il personale di Europol. Per questa ragione, l'articolo 33, paragrafo 6, della proposta stabilisce che l'autorit di controllo comune deve cooperare con il GEPD e con altre autorit di controllo. Questa disposizione rispecchia l'obbligo del GEPD di cooperare con l'autorit di controllo comune ai sensi dell'articolo 46, lettera f), punto ii), del regolamento (CE) n. 45/2001. Il GEPD saluta con favore questa disposizione quale utile strumento per promuovere un'impostazione coerente in materia di dati e di supervisione in tutta l'UE, a prescindere dal pilastro.

49. Come gi detto, la presente proposta non prevede modifiche sostanziali del sistema di controllo. Tuttavia, il pi ampio contesto della proposta potrebbe richiedere una riflessione pi profonda sul futuro sistema di controllo di Europol. Si possono menzionare due sviluppi specifici. In primo luogo, gli articoli 44-47 del regolamento (CE) n. 1987/2006 (21) forniscono una nuova struttura per il controllo di SIS II. In secondo luogo, nel contesto della decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale, la presidenza tedesca ha annunciato che sta considerando una nuova struttura per il controllo dei sistemi di informazione europei nell'ambito del terzo pilastro, compreso Europol.

50. Secondo il GEPD, questo parere non costituisce l'occasione opportuna per discutere modifiche sostanziali del sistema di controllo. Il sistema di controllo di SIS II quale sistema di rete inserito all'interno del primo pilastro e non sarebbe appropriato per Europol, quale organo all'interno del terzo pilastro, fatto che comporta competenze limitate di istituzioni comunitarie, in particolare la Commissione e la Corte di giustizia. In mancanza di salvaguardie nell'ambito del terzo pilastro, sar ancora necessario uno specifico sistema di controllo. Ad esempio, l'articolo 31 riguarda i ricorsi di persone fisiche. Inoltre, le idee relative ad una nuova struttura per il controllo dei sistemi di informazione europei annunciata dalla presidenza tedesca sono ancora in una fase iniziale. Infine, l'attuale sistema funziona bene.

51. Il GEPD concentrer quindi le sue osservazioni sul suo ruolo per quanto riguarda lo scambio di dati personali fra Europol e altri organi a livello di Unione europea. Le disposizioni relative a questo scambio sono un nuovo ed importante elemento della proposta. L'articolo 22, paragrafo 1, cita Frontex, la Banca centrale europea, l'OEDT (22) e Olaf. Tutti questi organi rientrano nell'ambito del controllo da parte del GEPD. L'articolo 22, paragrafo 2, stabilisce che Europol pu stipulare accordi di lavoro con questi organi che possono includere lo scambio di dati personali. Per quanto riguarda Olaf, lo scambio pu anche avvenire senza accordi di lavoro (articolo 22, paragrafo 3). Anche l'articolo 48 della proposta — discusso ai punti 45 e 46 — pertinente a questo riguardo.

52. Si dovrebbe garantire che il GEPD possa esercitare i poteri ad esso conferiti a titolo del regolamento (CE) n. 45/2001, in riferimento ai dati comunicati da organismi comunitari.

Questo ancor pi importante in casi di trasferimento di dati personali in cui Europol sar considerato un organismo comunitario ai sensi dell'articolo 7 del regolamento (CE) n. 45/2001, come proposto in precedenza. Ci rende ancor pi importante la stretta cooperazione con l'autorit di controllo comune nell'ambito dell'articolo 33.

53. Il GEPD intende fare due ulteriori raccomandazioni per quanto riguarda i diritti della persona interessata relativi ai suddetti dati:

— l'articolo 30 della proposta prevede il diritto della persona interessata di rettificare o cancellare dati errati che la riguardano. L'articolo 30, paragrafo 2, obbliga gli Stati membri a rettificare o cancellare questi dati se sono stati da essi direttamente trasmessi a Europol. Una disposizione analoga necessaria per i dati comunicati da un organismo comunitario controllato dal GEPD, per assicurare che Europol e detto organismo comunitario reagiscano in modo simile,

— l'articolo 32, paragrafo 2, riguarda il diritto di un individuo di verificare la legittimit del trattamento nei casi in cui dati personali sono stati comunicati a uno Stato membro o sono da questo consultati. Una disposizione analoga necessaria per i dati comunicati da un organismo comunitario controllato dal GEPD.

54. In virt delle succitate considerazioni, il GEPD dovrebbe cooperare strettamente con l'autorit di controllo comune, almeno una volta stabiliti gli accordi per lo scambio di dati con organismi comunitari. Questo uno dei principali settori in cui i reciproci obblighi di cooperazione diverranno effettivi.

Consultazione delle autorit responsabili della protezione dei dati

55. L'articolo 10, paragrafo 3, prevede una decisione del Consiglio che definisca le condizioni per l'istituzione di determinati sistemi di trattamento di dati personali da parte di Europol. Il GEPD raccomanda di aggiungere l'obbligo di consultare il GEPD e l'autorit di controllo comune prima di adottare una siffatta decisione.

56. L'articolo 22 riguarda le relazioni di Europol con altri organismi e agenzie della Comunit o dell'Unione. Le relazioni di cooperazione menzionate in questo articolo possono essere attuate attraverso accordi di lavoro e possono riguardare lo scambio di dati personali. Per questa ragione il GEPD e l'autorit di controllo comune dovrebbero essere consultati sull'adozione degli accordi a titolo dell'articolo 22, nella misura in cui detti accordi sono pertinenti per quanto riguarda protezione di dati personali trattati da istituzioni e organismi comunitari. Il GEPD raccomanda di modificare di conseguenza il testo della proposta.

57. L'articolo 25, paragrafo 2, prevede che siano stabilite le norme di attuazione per gli scambi con altri organi e agenzie della Comunit o dell'Unione. Il GEPD raccomanda che non solo l'autorit di controllo comune ma anche il GEPD venga consultato prima dell'adozione di queste norme, in linea con la prassi della legislazione comunitaria secondo cui gli organi comunitari consultano il GEPD a titolo dell'articolo 28, paragrafo 1, del regolamento (CE) n. 45/2001.

Responsabile della protezione dei dati

58. Il GEPD esprime soddisfazione per l'articolo 27 contenente una disposizione relativa ad un responsabile della protezione dei dati (RPD) che ha fra l'altro il compito di assicurare, in modo indipendente, la legalit e la conformit con le disposizioni sul trattamento dei dati personali. Questa funzione stata introdotta con successo a livello comunitario dal regolamento (CE) n. 45/2001, all'interno delle istituzioni e degli organismi comunitari. Anche all'interno di Europol viene esercitata la funzione di RPD, senza tuttavia un'adeguata base giuridica a tutt'oggi.

59. Perch l'RPD riesca nelle sue funzioni essenziale che la sua indipendenza sia effettivamente garantita dalla legge. Per questa ragione, l'articolo 24 del regolamento (CE) n. 45/2001 contiene varie disposizioni che assicurano questo obiettivo. L'RPD nominato per un periodo determinato e pu essere licenziato soltanto in circostanze assolutamente eccezionali. Sar dotato del personale e delle risorse necessari. Non pu ricevere istruzioni nell'esercizio delle sue funzioni.

60. Sfortunatamente, queste disposizioni non sono comprese nella presente proposta, ad eccezione della disposizione sulle istruzioni. Il GEPD raccomanda quindi fortemente di includere le garanzie concernenti l'indipendenza dell'RPD, come le salvaguardie speciali per la nomina e il licenziamento dell'RPD e la sua indipendenza rispetto al consiglio di amministrazione. Queste disposizioni, oltre ad essere necessarie per assicurare l'indipendenza dell'RPD, allineerebbero maggiormente la posizione dell'RPD di Europol con quella del responsabile della protezione dei dati nelle istituzioni comunitarie. Infine, il GEPD sottolinea che l'articolo 27, paragrafo 5, della proposta, in cui si sollecita il consiglio di amministrazione ad adottare norme di attuazione su taluni aspetti del funzionamento dell'RPD per sua stessa natura inappropriato quale garanzia per l'indipendenza dell'RPD. Si deve tenere presente che l'indipendenza necessaria soprattutto nei confronti dell'amministrazione di Europol.

61. Vi una ragione di pi per armonizzare la disposizione relativa all'RPD nella decisione del Consiglio con l'articolo 24 del regolamento (CE) n. 45/2001. In riferimento ai dati personali del personale di Europol (cfr. punto 47), questo regolamento di applicazione, il che significa che per le suddette questioni l'RPD di Europol rientra nel regolamento.

In ogni caso, l'RPD deve essere nominato in conformit dei requisiti fissati nel regolamento.

62. Inoltre, il GEPD raccomanda di applicare il sistema di controllo preventivo previsto all'articolo 27 del regolamento (CE) n. 45/2001 per gli organismi comunitari nei confronti di Europol. Il sistema di controllo preventivo si rivelato uno strumento efficace e svolge un ruolo essenziale nella protezione dei dati all'interno delle istituzioni e degli organismi comunitari.

63. Infine, sarebbe utile che l'RPD partecipasse all'esistente rete degli RPD nel primo pilastro, anche a prescindere dalle attivit dell'RPD in riferimento al personale di Europol. Questo garantirebbe ulteriormente un'impostazione sulle questioni relative alla protezione dei dati comune a quella adottata dagli organismi comunitari e sarebbe perfettamente conforme all'obiettivo formulato nel considerando (16) della proposta, segnatamente la cooperazione con organi ed agenzie europee che garantiscono un adeguato livello di protezione dei dati in conformit del regolamento (CE) n. 45/2001. Il GEPD raccomanda di aggiungere una frase ai considerando della proposta in cui si definisca l'obiettivo di questa impostazione comune. La frase in questione potrebbe essere cos formulata. Nell'esercizio delle sue mansioni, il responsabile della protezione dei dati coopera con i responsabili della protezione dei dati nominati conformemente al diritto comunitario.

VI. CONCLUSIONI

64. Il GEPD comprende la necessit di una nuova e pi flessibile base per Europol, ma riserva una specifica attenzione ai cambiamenti sostanziali, alle leggi applicabili sulla protezione dei dati e alle crescenti somiglianze fra Europol e organismi comunitari.

65. Quanto alle modifiche sostanziali, il GEPD raccomanda quanto segue.

— Includere condizioni e limitazioni specifiche nel testo in riferimento a informazioni e intelligence provenienti da privati, inter alia allo scopo di garantire l'accuratezza di queste informazioni in quanto si tratta di dati personali raccolti per scopi commerciali in un contesto commerciale.

— Assicurare che il trattamento dei dati personali la cui pertinenza non ancora stata valutata sia strettamente limitato a questo scopo. Questi dati dovrebbero essere conservati in basi di dati distinte finch non ne verr stabilit la pertinenza per un compito specifico di Europol e per non pi di sei mesi.

— Per l'interoperabilit con altri sistemi di trattamento al di fuori di Europol, applicare condizioni e garanzie rigorose allorquando viene effettivamente instaurata un'interconnessione con un'altra base di dati.

— Includere salvaguardie per l'accesso ai dati da parte di persone che non hanno (ancora) commesso reati. Le salvaguardie fornite nell'ambito della convenzione Europol non dovrebbero essere indebolite.

— Assicurare che la necessit di una conservazione continua di dati personali relativi a persone fisiche venga riveduta ogni anno e la revisione documentata.

— L'accesso informatizzato e il richiamo di dati da altri sistemi di informazione nazionali e internazionali venga concesso solo caso per caso, a strette condizioni.

— Per il diritto di accesso: il riferimento alla legislazione nazionale all'articolo 29, paragrafo 3, andrebbe soppresso e sostituito da norme armonizzate su finalit, sostanza e procedura, preferibilmente nella decisione quadro del Consiglio sulla protezione dei dati personali o, laddove necessario, nella decisione del Consiglio. L'articolo 29, paragrafo 4, dovrebbe essere riformulato e consentire il rifiuto di accesso soltanto qualora ci si riveli necessario. Il meccanismo di consultazione di cui all'articolo 29, paragrafo 5, dovrebbe essere soppresso.

66. La presente decisione del Consiglio non dovrebbe essere adottata prima dell'adozione da parte del Consiglio di un quadro sulla protezione dei dati, che garantisca un adeguato livello di protezione dei dati in conformit delle conclusioni del GEPD nei suoi due pareri sulla proposta della Commissione per una decisione quadro del Consiglio. I dati basati su pareri dovrebbero essere distinti dai dati basati su fatti. Si dovrebbe fare una distinzione fra i dati relativi a varie categorie di persone secondo l'eventuale coinvolgimento in reati.

67. Il GEPD suggerisce di aggiungere un paragrafo all'articolo 22, cos formulato: Qualora dati personali siano trasferiti da istituzioni o organismi comunitari, Europol sar considerato un organismo comunitario a norma dell'articolo 7 del regolamento (CE) n. 45/2001.

68. L'articolo 48 della proposta sulle indagini da parte di Olaf non dovrebbe comprendere indagini su irregolarit al di fuori di Europol, su cui i dati trattati da Europol possano fare ulteriore chiarezza. Il GEPD raccomanda di chiarire il campo di applicazione dell'articolo 48 della proposta.

69. Per assicurare appieno l'applicazione del regolamento (CE) n. 45/2001, si dovrebbe aggiungere al testo della decisione un paragrafo in cui si affermi che il regolamento (CE) n. 45/2001 si applica al trattamento di dati personali relativi al personale di Europol.

70. Il campo di applicazione delle due disposizioni sui diritti delle persone interessate (articolo 30, paragrafo 2, e articolo 32, paragrafo 2, dovrebbe essere esteso ai dati comunicati da un organismo comunitario controllato dal GEPD per assicurare che Europol e questo organismo comunitario reagiscano in modo analogo.

71. L'articolo 10, paragrafo 3, l'articolo 22 e l'articolo 25, paragrafo 2, dovrebbero contenere disposizioni (pi precise) sulla consultazione delle autorit incaricate della protezione dei dati.

72. Il GEPD raccomanda fortemente di inserire garanzie per quanto riguarda l'indipendenza dell'RPD, come le salvaguardie speciali per la sua nomina e licenziamento, nonch per la sua indipendenza nei confronti del consiglio di amministrazione, in conformit del regolamento (CE) n. 45/2001.

Fatto a Bruxelles, il 16 febbraio 2007.

Peter HUSTINX

Garante europeo della protezione dei dati

 

 

NOTE                                     
(1) GU L 281 del 23.11.1995, pag. 31.

(2) GU L 8 del 12.1.2001, pag. 1.

(3) In conformit delle prassi della Commissione in altri casi (recenti). Si veda il pi recente parere del GEPD del 12 dicembre 2006 sulle proposte di modifica del regolamento finanziario applicabile al bilancio generale delle Comunit europee e delle relative modalit di applicazione [COM(2006) 213 defin. e SEC(2006) 866 defin.], pubblicato su www.edps.europa.eu

(4) GU C 316 del 27.7.1995, pag. 1.

(5) L'entrata in vigore prevista per marzo/aprile 2007.

(6) Decisione quadro del Consiglio 2006/960/GAI, del 18 dicembre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorit degli Stati membri dell'Unione europea incaricate dell'applicazione della legge (GU L 386 del 29.12.2006, pag. 89).

(7) Questa una selezione delle principali questioni menzionate nel parere del GEPD sul SIS II, sulla base della loro pertinenza con l'attuale proposta. Cfr.: Parere del 19 ottobre 2005 su tre proposte concernenti il sistema di informazione Schengen di seconda generazione (SIS II) [COM(2005) 230 defin., COM(2005) 236 defin. e COM(2005)237 defin.] (GU C 91 del 19.4.2006, pag. 38).

(8) Si prevede questo nuovo testo entro marzo 2007.

(9) Decisione quadro del Consiglio, del 13 giugno 2002, relativa al mandato d'arresto europeo e alle procedure di consegna tra Stati membri (GU L 190 del 18.7.2002, pag. 1).

(10) Si veda al riguardo il parere del 26 settembre 2005 sulla proposta di direttiva del Parlamento europeo e del Consiglio relativa alla conservazione dei dati trattati in relazione alla fornitura di servizi di comunicazione elettronica pubblici e recante modifica della direttiva 2002/58/CE [COM(2005) 438 defin.] (GU C 298 del 29.11.2005, pag. 1).

(11) Si vedano anche analoghe raccomandazioni nel parere del 19 dicembre 2005 sulla proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale [COM(2005) 475 defin.] (GU C 47 del 25.2.2006, pag. 27).

(12) Questo il periodo massimo di conservazione stabilito dall'articolo 6 bis della convenzione Europol dopo l'inserimento degli emendamenti attraverso i tre protocolli menzionati al punto 2.

(13) Osservazioni del 10 marzo 2006, pubblicate sul sito web del GEPD.

(14) Come stabilito dalla convenzione Europol dopo l'inserimento degli emendamenti attraverso i tre protocolli menzionati al punto 2.

(15) Parere del 20 gennaio 2006 sulla proposta di decisione del Consiglio relativa all'accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorit degli Stati membri competenti in materia di sicurezza interna e di Europol ai fini della prevenzione, dell'individuazione e dell'investigazione di atti terroristici e di altre gravi forme di criminalit [COM (2005)600 defin.] (GU C 97 del 25.4.2006, pag. 6).

(16) Parere del 19 dicembre 2005 (GU C 47 del 25.2.2006, pag. 27), e secondo parere del 29 novembre 2006, non ancora pubblicato nella GU (disponibile su www.edps.europa.eu).

(17) Basato sull'articolo 7 del secondo protocollo della convenzione relativa alla tutela degli interessi finanziari delle Comunit europee (GU C 221 del 19.7.1997, pag. 12).

(18) Regolamento (CE) n. 1073/1999 del Parlamento europeo e del Consiglio, del 25 maggio 1999, relativo alle indagini svolte dall'Ufficio per la lotta antifrode (OLAF), (GU L 136, 31.5.1999, pag. 1).

(19) Cfr. articolo 1, paragrafo 3, e articolo 4, paragrafo 2, del regolamento.

(20) Cfr. ad esempio l'accordo interistituzionale del 22 dicembre 1998 sugli orientamenti comuni relativi alla qualit redazionale della legislazione comunitaria (GU C 73 del 17.3.1999 pag. 1), orientamento 10.

(21) Regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema di informazione Schengen di seconda generazione (SIS II) (GU L 381 del 28.12.2006, pag. 4).

(22) Osservatorio europeo delle droghe e delle tossicodipendenze.