Parere del GEPD sull'iniziativa della Repubblica federale di Germania in vista dell'adozione della decisione del Consiglio relativa all'attuazione della decisione 2007/…/GAI sul rafforzamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo ed alla criminalità transfrontaliera

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del garante europeo della protezione dei dati sull'iniziativa della Repubblica federale di Germania in vista dell'adozione della decisione del Consiglio relativa all'attuazione della decisione 2007/…/GAI sul rafforzamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo ed alla criminalità transfrontaliera

(Pubblicato sulla G.U.U.E. n. C 89 del 10.4.2008)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 9 novembre 2007 sulla Gazzetta Ufficiale è stata pubblicata l'iniziativa della Repubblica federale di Germania riguardante una decisione del Consiglio relativa all'attuazione della decisione 2007/…/GAI sul rafforzamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo ed alla criminalità transfrontaliera ⁽¹⁾ («l'iniziativa »). L'iniziativa è integrata da un allegato del 18 ottobre 2007 che contiene ulteriori precisazioni sull'attuazione della decisione 2007/…/GAI («l'allegato») ⁽²⁾.

2. Non è stato chiesto il parere del GEPD su questa iniziativa riguardante una decisione di attuazione, pertanto egli formula il presente parere di propria iniziativa, come già fece il 4 aprile 2007 in merito all'iniziativa relativa ad una decisione del Consiglio ⁽³⁾.

3. Benché lo Stato membro che presenta un'iniziativa relativa ad una misura legislativa a norma del titolo VI del trattato UE non sia giuridicamente vincolato a chiedere il parere del GEPD, la procedura non preclude neppure questa possibilità. Inoltre, nel suo parere del 4 aprile 2007, il GEPD ha raccomandato di aggiungere la seguente frase all'articolo 34 della decisione del Consiglio in questione: «Il Consiglio consulta il GEPD prima dell'adozione di una siffatta misura di attuazione». Purtroppo questa raccomandazione non ha avuto seguito, malgrado la logica che sottende: le misure di attuazione influiranno nella maggior parte dei casi sul trattamento dei dati personali. L'attuale iniziativa della Repubblica federale di Germania è un chiaro esempio di questa logica.

4. Il GEPD non trae alcuna conclusione sostanziale da questo risultato, che corrisponde all'approccio scelto dal Consiglio di modificare il minimo possibile l'iniziativa, per assicurarne la piena compatibilità con il testo del trattato di Prüm, precedentemente firmato da vari Stati membri. Il GEPD discuterà l'impatto democratico di questo approccio più oltre nel suo parere.

II. CONTESTO E QUADRO GIURIDICO

5. Il trattato di Prüm è stato firmato nel maggio 2005 da sette Stati membri, al di fuori del quadro del trattato UE. Successivamente, altri Stati membri hanno aderito a detto trattato.

6. Il trattato di Prüm è corredato di un accordo attuativo, basato sull'articolo 44 del trattato e concluso il 5 dicembre 2006, necessario al funzionamento del trattato stesso.

7. Gli elementi principali del trattato di Prüm saranno incorporati nel quadro giuridico dell'Unione europea, dopo l'adozione della decisione 2007/…/GAI del Consiglio sull'iniziativa di 15 Stati membri («l'iniziativa di Prüm» ), su cui è già stato raggiunto un accordo politico in sede di Consiglio.

Questa inclusione rientrava fin dall'inizio nelle intenzioni delle parti contraenti del trattato UE, come confermato dal preambolo del trattato di Prüm.

8. Durante la procedura legislativa che ha portato all'adozione della decisione del Consiglio non si intendeva discutere ulteriormente le questioni importanti, ma raggiungere un accordo sull'acquis del trattato di Prüm. Ciò era tanto più importante in quanto, durante lo svolgimento della procedura legislativa, il processo di ratifica del trattato è proseguito in vari Stati membri e il trattato stesso è entrato in vigore.

III. OGGETTO ED ELEMENTO CENTRALE DEL PRESENTE PARERE

9. Il presente parere si concentrerà sul progetto di decisione del Consiglio relativa alle norme di attuazione. Le argomentazioni esposte nel precedente parere del GEPD riguardante la decisione del Consiglio sull'iniziativa di Prüm sono tuttora valide e non verranno riproposte, a meno che ciò non sia necessario per evidenziare quei punti che il legislatore potrebbe ancora disciplinare mediante le norme di attuazione.

10. In questo contesto, è importante sottolineare che tali norme rivestono un'importanza particolare perché, a parte alcune disposizioni amministrative e tecniche, definiscono aspetti e strumenti cruciali del sistema e del suo funzionamento. Per esempio, il capo 1 delle norme di attuazione definisce i termini utilizzati nella decisione del Consiglio relativa a Prüm. Inoltre, le norme di attuazione fissano disposizioni comuni per lo scambio di dati (capo 2) e definiscono inoltre le caratteristiche specifiche dello scambio di dati sul DNA (capo 3), di dati dattiloscopici (capo 4) e di dati di immatricolazione dei veicoli (capo 5). Le disposizioni finali del capo 6 contengono disposizioni importanti sull'adozione di ulteriori norme di attuazione sotto forma di manuali e sulla valutazione dell'applicazione della decisione.

11. Inoltre, sarà esaminato l'allegato nella misura in cui contribuisce, o dovrebbe contribuire, a definire le caratteristiche del sistema proposto e le garanzie per le persone interessate.

IV. GENERALITÀ

Margine di manovra limitato

12. Il GEPD rileva che anche in questo caso la preesistenza di norme di attuazione già in vigore per la convenzione di Prüm sembra ridurre fortemente il margine di manovra reale a disposizione del Consiglio. In effetti, il considerando 3 e l'articolo 18 dell'iniziativa affermano entrambi che sia la decisione di attuazione che i manuali si basano sull'accordo attuativo del 5 dicembre 2006 per quanto concerne l'attuazione amministrativa e tecnica del trattato di Prüm. Pertanto, secondo la presente iniziativa, i 27 Stati membri dovranno seguire la via già definita dai 7 Stati membri firmatari del trattato di Prüm.

13. Questo approccio ostacola lo sviluppo di un processo legislativo realmente trasparente e democratico, poiché riduce sensibilmente la possibilità di un ampio dibattito e di tener realmente conto del ruolo legislativo del Parlamento europeo nonché del ruolo consultivo di altri organismi, come il GEPD. Quest'ultimo raccomanda che l'iniziativa e il suo allegato siano oggetto di una discussione aperta, che tragga effettivo profitto dai contributi di tutti gli attori istituzionali, tenendo altresì conto del ruolo di colegislatore a pieno titolo di cui godrà il Parlamento europeo in questo settore appena entrerà in vigore il trattato di riforma, firmato a Lisbona il 13 dicembre.

Quadro giuridico della protezione dei dati e relazioni con il progetto di decisione quadro sulla protezione dei dati nell'ambito del terzo pilastro

14. Il quadro giuridico applicabile in materia di protezione dei dati è complesso e fluttuante. Il capo 6 dell'iniziativa di Prüm del Consiglio fissa effettivamente alcune garanzie e norme specifiche in materia di protezione dei dati, ma queste norme specifiche non sono autonome e devono basarsi, per funzionare efficacemente, su un quadro generale completo per la protezione dei dati personali trattati dalle autorità giudiziarie e di polizia. Attualmente, l'articolo 25 dell'iniziativa di Prüm del Consiglio fa riferimento alla convenzione 108 del Consiglio d'Europa. Il GEPD ha però sottolineato a più riprese la necessità di precisare maggiormente i principi contenuti in tale convenzione, garantendo così un livello di protezione dei dati elevato e armonizzato e quindi atto a garantire sia i diritti dei cittadini che un'efficace applicazione della legge in uno spazio di libertà, sicurezza e giustizia ⁽³⁾.

15. In questa prospettiva, la Commissione ha già proposto, nell'ottobre 2005, uno strumento generale, il progetto di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale («il progetto di decisione quadro per la protezione dei dati nel terzo pilastro»). Questa proposta non è ancora stata adottata dal Consiglio ed è pertanto tuttora soggetta a discussioni e possibili emendamenti, per non parlare di ulteriori rinvii nell'adozione e attuazione. È però ormai chiaro che questa decisione quadro, nella sua formulazione attuale, sarebbe applicabile soltanto ai dati scambiati con altri Stati membri e non al trattamento dei dati a livello nazionale ⁽⁴⁾.

16. Inoltre, il testo attuale del progetto di decisione quadro per la protezione dei dati nel terzo pilastro, malgrado l'obiettivo di garantire un livello elevato di protezione dei dati, prevede soltanto un'armonizzazione e garanzie minime. Ciò significa che alcuni strumenti, come l'attuale iniziativa, che avrebbero potuto trarre vantaggio da un quadro generale globale sulla protezione dei dati, sono ora confrontati alle lacune lasciate dal progetto di decisione quadro per la protezione dei dati nel terzo pilastro.

17. Il GEPD pertanto ribadisce che le decisioni del Consiglio relative a Prüm non dovrebbero entrare in vigore prima che gli Stati membri abbiano attuato una decisione quadro generale per la protezione dei dati nel terzo pilastro. Questo requisito dovrebbe figurare esplicitamente nell'iniziativa ed essere soggetto ad una verifica preliminare adeguata del corretto funzionamento delle garanzie di protezione dei dati all'interno del sistema di scambio dei dati. In questo contesto è altresì indispensabile assicurarsi che siano chiarite le relazioni tra strumenti giuridici affinché la decisione quadro per la protezione dei dati nel terzo pilastro funga da «lex generalis» pur lasciando la possibilità di applicare altre garanzie specifiche e norme mirate più rigorose previste nell'iniziativa di Prüm del Consiglio ⁽⁵⁾.

18. D'altro canto, il legislatore dovrebbe precisare che le norme specifiche sulla protezione dei dati riguardanti il DNA, le impronte digitali e l'immatricolazione dei veicoli, di cui al capo 6 dell'iniziativa di Prüm del Consiglio, si applicano non solo allo scambio di tali dati ma anche alla raccolta, alla conservazione e al trattamento a livello nazionale, nonché alla trasmissione di altri dati personali nell'ambito di applicazione della decisione del Consiglio. Questo chiarimento sarebbe conforme all'articolo 24, paragrafo 2, dell'iniziativa di Prüm del Consiglio e sarebbe una conseguenza logica dell'obbligo imposto agli Stati membri di raccogliere, conservare e condividere i suddetti tipi di dati.

19. Ciò è ancora più importante considerando che il campo di applicazione del progetto di decisione quadro per la protezione dei dati nel terzo pilastro non comprenderà probabilmente il trattamento dei dati personali a livello nazionale. Il Consiglio ha preso questa decisione, ma al tempo stesso ha precisato che ciò non limita la possibilità che la base giuridica includa questo tipo di operazioni di trattamento. A fronte di tali elementi, poiché l'attuale pacchetto di iniziative

— comprese l'iniziativa di Prüm del Consiglio e le norme di attuazione — impone l'obbligo di creare e mantenere talune basi di dati, come quella del DNA, esso dovrebbe anche prevedere garanzie per le operazioni di trattamento

— in particolare, per quanto riguarda la raccolta e la conservazione dei profili DNA — derivanti dalla raccolta e dalla conservazione di dette operazioni. Inversamente, qualora se ne limitasse l'applicazione ai dati scambiati, questi strumenti giuridici non conterrebbero le disposizioni appropriate sulla protezione dei dati personali a cui dovrebbe essere soggetta qualsiasi azione basata sull'articolo 30, paragrafo 1, lettera b), del trattato UE.

20. Conformemente al suddetto articolo, il GEPD chiede al legislatore di garantire che, prima dell'entrata in vigore della presente iniziativa, si adotti un quadro giuridico chiaro, efficace e globale in materia di protezione dei dati, che combini diversi strumenti giuridici con disposizioni generali e garanzie specifiche.

21. Nel presente parere, quindi, il GEPD farà riferimento, ove pertinente, a quei punti che non sono stati (esaurientemente) trattati nel progetto di decisione quadro per la protezione dei dati nel terzo pilastro e che dovrebbero pertanto essere presi in esame nell'attuazione del sistema stabilito dalla presente iniziativa.

Trasparenza del processo decisionale e delle norme di attuazione

22. Il GEPD sottolinea che la trasparenza è un elemento essenziale sia nel processo decisionale che nell'applicazione delle norme. La trasparenza dovrebbe pertanto consentire, da un lato, la partecipazione piena ed effettiva di tutti gli attori istituzionali coinvolti e, dall'altro, dovrebbe promuovere il dibattito pubblico e un'adeguata informazione dei cittadini.

23. Purtroppo, nella fattispecie, vari elementi nuocciono alla trasparenza: non vi è una relazione che spieghi i motivi all'origine delle misure proposte, la loro efficacia e gli eventuali approcci alternativi; il testo dell'allegato non è ancora completo — per esempio, non è ancora stato pubblicato nella Gazzetta ufficiale, non è tradotto in tutte le lingue ufficiali, i riferimenti agli articoli e la terminologia sono spesso imprecisi e le dichiarazioni degli Stati membri sul contenuto delle basi di dati del DNA non sono disponibili; l'iniziativa stessa non prevede obblighi o meccanismi per informare i cittadini in modo adeguato circa le misure adottate e i relativi emendamenti.

24. Pertanto, il GEPD raccomanda di migliorare la trasparenza delle misure, fornendo quanto prima il testo definitivo dell'allegato e prevedendo meccanismi di informazione dei cittadini sulle caratteristiche dei sistemi, i diritti dei cittadini stessi e le modalità per il loro esercizio. Tali campagne d'informazione dovrebbero essere esplicitamente previste nell'iniziativa

o nel suo allegato.

Dimensione del sistema

25. La presente iniziativa rispecchia da vicino le norme di attuazione stabilite nel trattato di Prüm. Tuttavia, come già rilevato nel parere sull'iniziativa di Prüm del Consiglio (punti 33-35), meccanismi che sono istituiti per lo scambio di informazioni tra alcuni Stati membri non sono necessariamente adeguati — e quindi possono richiedere un adattamento — quando devono applicarsi a un sistema su scala assai più vasta, come uno scambio di informazioni tra 27 Stati membri.

26. In effetti, una scala ridotta favorisce stretti contatti tra gli Stati membri interessati, per quanto riguarda sia l'applicazione della legge che la sorveglianza dei rischi per la protezione dei dati delle persone interessate. Diverso è il caso di un sistema più ampio, in cui vi sono grandi differenze per quanto riguarda le prassi nazionali e i sistemi giuridici in materia di raccolta, conservazione e trattamento dei dati, soprattutto per i profili DNA e le impronte digitali. Inoltre, l'uso di lingue diverse e di nozioni giuridiche diverse può influire sull'esattezza negli scambi di dati tra paesi con tradizioni giuridiche differenti. Pertanto, il GEPD invita il legislatore a tenere debitamente conto della dimensione del sistema quando verrà ulteriormente discussa la presente iniziativa, assicurandosi che l'aumento del numero degli Stati membri partecipanti non comporti una diminuzione dell'efficacia. In particolare, nelle norme di attuazione dovrebbero essere previsti formati specifici per la trasmissione dei dati, tenuto conto anche delle diversità linguistiche, e dovrebbe essere verificata costantemente l'accuratezza degli scambi dei dati.

Coinvolgimento delle autorità preposte alla protezione dei dati

27. L'iniziativa dovrebbe riconoscere il ruolo importante che devono svolgere le autorità di controllo indipendenti nell'ambito di scambi transfrontalieri di dati su vasta scala, e dovrebbe metterle in grado di svolgere efficacemente il loro compito.

28. Prima di tutto, il quadro giuridico attuale non prevede né la consultazione né il coinvolgimento delle competenti autorità di controllo in caso di modifica delle norme di attuazione e relativi allegati (articolo 18 dell'iniziativa), di attuazione delle norme di protezione dei dati da parte degli Stati membri (articolo 20) o di valutazione dello scambio di dati (articolo 21). È particolarmente deplorevole, per esempio, che il capo IV dell'allegato, che stabilisce dettagliatamente le modalità per valutare l'attuazione, non menzioni affatto le autorità competenti preposte alla protezione dei dati. Il GEPD raccomanda che nei suddetti articoli sia esplicitamente riconosciuto il ruolo consultivo essenziale svolto da queste autorità.

29. In secondo luogo, l'iniziativa dovrebbe garantire che gli Stati membri assegnino alle autorità preposte alla protezione dei dati le risorse (supplementari) necessarie per svolgere le mansioni di verifica che derivano dall'attuazione del sistema proposto.

30. Infine, l'iniziativa dovrebbe disporre che le autorità competenti preposte alla protezione dei dati si incontrino regolarmente a livello dell'UE per coordinare le loro attività e armonizzare l'applicazione di questi strumenti. Tale opportunità dovrebbe essere prevista esplicitamente nell'iniziativa, in quanto la decisione quadro sulla protezione dei dati nel terzo pilastro non istituisce un'istanza più generale per le autorità preposte alla protezione dei dati a livello dell'UE.

V. QUESTIONI SPECIFICHE

Definizioni

31. L'articolo 2 dell'iniziativa fissa una serie di definizioni, che rispecchiano in parte quelle contenute nella decisione del Consiglio. Anzitutto, si dovrebbe sottolineare che le definizioni di cui all'articolo 2 dell'iniziativa non corrispondono esattamente a quelle figuranti nella decisione del Consiglio, in particolare all'articolo 24. Il legislatore dovrebbe allineare le formulazioni dei due testi per evitare problemi di attuazione.

32. In secondo luogo, sempre nel suo parere sull'iniziativa di Prüm del Consiglio, il GEPD ha deplorato la mancanza di una definizione chiara di dati personali (punti 41-43).

Questa mancanza è tanto più incresciosa nelle norme di attuazione, che sono proposte quando è già chiaro che il progetto di decisione quadro per la protezione dei dati nel terzo pilastro non si applicherà alla raccolta e al trattamento a livello nazionale dei dati personali, in particolare dei profili DNA. Pertanto, il GEPD chiede nuovamente al legislatore di introdurre una definizione chiara ed esauriente di dati personali.

33. In tale prospettiva, le disposizioni di attuazione dovrebbero anche chiarire l'applicabilità delle norme di protezione dei dati a profili DNA non identificati, che non siano ancora stati attribuiti a persone identificate. In effetti, questi dati sono raccolti, scambiati e messi a confronto per attribuirli alle persone cui appartengono. Quindi, poiché l'obiettivo del sistema è di identificare queste persone e tali dati sono destinati a rimanere «non identificati», in linea di principio, solo temporaneamente, dovrebbero anch'essi essere coperti, se non da tutte, dalla maggior parte delle disposizioni e garanzie applicabili ai dati personali ⁽⁶⁾.

34. Anche per quanto riguarda la definizione di «parte non codificante del DNA» [articolo 2, lettera e)], il GEPD ricorda nuovamente ⁽⁷⁾ che la capacità di alcune regioni cromosomiche di fornire caratteristiche ereditarie sensibili di un organismo può migliorare con gli sviluppi della scienza. La definizione di «parte non codificante» dovrebbe perciò essere dinamica, e comprendere l'obbligo di non utilizzare più quei marcatori del DNA che, dati i progressi scientifici, potrebbero fornire informazioni su caratteristiche ereditarie specifiche ⁽⁸⁾.

Accuratezza nelle consultazioni e nei raffronti automatizzati

35. L'articolo 8 dell'iniziativa disciplina la consultazione e il raffronto automatizzati di profili DNA stabilendo che la notifica automatizzata di una concordanza «è fornita solo se la consultazione o il raffronto automatizzati abbiano evidenziato una concordanza di un numero minimo di loci». Questo «minimo» è fissato al capo I dell'allegato: ciascuno Stato membro garantisce che i profili DNA disponibili contengano almeno 6 dei 7 loci «standard» dell'UE (allegato, capo I, punto 1.1); il raffronto avverrà tra i valori dei loci contenuti normalmente nei profili DNA dello Stato membro richiedente e dello Stato membro richiesto (punto 1.2); ci sarà concordanza se tutti i valori dei loci confrontati sono identici (concordanza totale — «full match») o se un solo valore è discordante (concordanza parziale — «near match») (punto 1.2); verranno registrate sia le concordanze totali che quelle parziali (punto 1.3).

36. Per quanto riguarda questo meccanismo, il GEPD rileva che l'esattezza della concordanza è un requisito essenziale. Quanto più il numero di loci che corrispondono è elevato, tanto meno è probabile un errore nella corrispondenza tra profili DNA che sono stati confrontati. Nel contesto attuale dell'Unione europea, l'esistenza e la struttura delle basi di dati del DNA variano da un paese all'altro. I diversi paesi utilizzano numeri e serie di loci differenti. L'allegato fissa a 6 il numero minimo di loci che devono corrispondere, senza fornire informazioni circa il tasso di errore previsto per questo sistema. In proposito, il GEPD osserva che in molti paesi si utilizza un numero superiore di loci per una maggiore accuratezza delle corrispondenze e per ridurre le concordanze errate ⁽⁹⁾. Pertanto, al fine di valutare correttamente il grado di accuratezza del sistema previsto, sarebbe essenziale fornire informazioni sul tasso di errore previsto per ciascun numero di loci comparati.

37. Ciò significa altresì che il numero minimo di loci è un elemento essenziale e dovrebbe pertanto essere stabilito nel testo della presente iniziativa anziché nell'allegato (che, a norma dell'articolo 18 dell'iniziativa può essere modificato dal Consiglio, che delibera a maggioranza qualificata e senza consultare il Parlamento) per evitare che una diminuzione del numero di loci possa influire sull'esattezza. Si dovrebbe tenere debitamente conto della possibilità di errori e di concordanze errate, stabilendo che le concordanze parziali siano esplicitamente indicate come tali (e quindi le autorità che le ricevono siano consapevoli che tale concordanza non è così affidabile come una concordanza totale).

38. Inoltre, l'iniziativa stessa riconosce la possibilità che le consultazioni e i raffronti generino concordanze multiple, come stipulato esplicitamente all'articolo 8 dell'iniziativa rispetto ai profili DNA e al capo 3 (punto 1.2) dell'allegato per quanto riguarda gli autoveicoli. In tutti questi casi, si dovrebbe procedere ad ulteriori controlli e verifiche per determinare quali siano le ragioni di una concordanza multipla e quale delle concordanze sia esatta, prima di procedere ad un ulteriore scambio di dati personali sulla base di tale concordanza.

39. Nella stessa ottica il GEPD raccomanda una maggiore sensibilizzazione, soprattutto tra gli agenti incaricati dell'applicazione della legge che si occupano dei raffronti e delle consultazioni relativi al DNA, circa il fatto che i profili DNA non sono identificativi unici: anche in caso di concordanze totali per un certo numero di loci non è esclusa la possibilità di concordanze errate, ossia che una persona sia erroneamente collegata a un certo profilo DNA. In effetti, i raffronti e le consultazioni di profili DNA sono soggetti a possibili errori in diverse fasi: la scarsa qualità dei campioni di DNA al momento della raccolta, eventuali errori tecnici nell'analisi del DNA, errori nell'inserimento dei dati, o semplicemente perché si verifica una concordanza casuale nei loci specifici utilizzati per il raffronto. Riguardo a quest'ultimo punto, è probabile che il tasso di errore sia più elevato nella misura in cui diminuisce il numero di loci e quando si amplia la base di dati.

40. Un'argomentazione analoga può essere addotta per quanto riguarda l'esattezza della concordanza delle impronte digitali.

L'articolo 12 dell'iniziativa stabilisce che la digitalizzazione e la trasmissione di dati dattiloscopici è effettuata secondo un formato dati uniforme di cui al capo 2 dell'allegato. Inoltre, gli Stati membri garantiscono che i dati dattiloscopici siano di qualità sufficiente per un raffronto tramite il sistema di identificazione automatizzato delle impronte digitali (AFIS). Il capo 2 dell'allegato stabilisce alcuni particolari del formato da utilizzare. A fronte di tali elementi, il GEPD osserva che, per garantire l'accuratezza nel processo di concordanza, l'iniziativa e il relativo allegato dovrebbero armonizzare per quanto possibile i diversi sistemi AFIS utilizzati negli Stati membri, nonché il modo di utilizzarli, soprattutto per quanto riguarda il tasso di falsi negativi. A parere del GEPD, questa informazione dovrebbe essere inclusa nel manuale elaborato conformemente all'articolo 18, paragrafo 2, dell'iniziativa.

41. Un altro elemento cruciale è il fatto che le basi di dati del DNA (e delle impronte digitali) dovrebbero essere delimitate con precisione, poiché possono contenere, a seconda degli Stati membri, profili DNA o impronte digitali di varie categorie di persone (criminali, sospetti, altre persone presenti sulla scena del crimine, ecc.). Malgrado queste differenze, l'attuale iniziativa non precisa quali tipi di basi di dati saranno usati da ciascuno Stato membro e l'allegato non contiene ancora dichiarazioni a tal fine. Pertanto, è possibile avere concordanze tra dati relativi al DNA e alle impronte digitali che riguardano categorie non omogenee, e spesso non pertinenti, di soggetti interessati.

42. Secondo il GEPD, l'iniziativa dovrebbe specificare quali categorie di persone saranno interessate dagli scambi di dati e in che modo si comunicherà agli altri Stati membri il loro diverso status nell'ambito di un raffronto o di una consultazione.

L'iniziativa potrebbe fissare, per esempio, l'obbligo di fornire informazioni, nella relazione sulla concordanza, circa il tipo di persona con cui si sono confrontati i dati del DNA o le impronte digitali, sempre che le autorità richieste dispongano di tali informazioni.

Valutazione dello scambio di dati

43. La valutazione dello scambio di dati, di cui all'articolo 21 dell'iniziativa e al capo 4 dell'allegato, è un dato positivo. Tuttavia, queste disposizioni sono incentrate esclusivamente sull'attuazione amministrativa, tecnica e finanziaria degli scambi automatizzati di dati, senza neanche citare la valutazione dell'attuazione delle norme sulla protezione dei dati.

44. Il GEPD propone pertanto di prestare particolare attenzione alla valutazione degli aspetti relativi alla protezione dei dati negli scambi di questi ultimi, soprattutto riguardo ai fini per cui i dati sono stati scambiati, ai metodi di informazione delle persone interessate, all'esattezza dei dati scambiati e alle concordanze errate, alle richieste di accesso ai dati di carattere personale, alla durata del periodo di conservazione e all'efficacia delle misure di sicurezza. Al riguardo, le autorità e gli esperti preposti alla protezione dei dati dovrebbero essere debitamente coinvolti, per esempio prevedendo che tali esperti partecipino alle visite di valutazione di cui al capo 4 dell'allegato, e che le autorità pertinenti ricevano la relazione di valutazione di cui all'articolo 20 dell'iniziativa e al capo 4 dell'allegato.

Reti di comunicazione e aspetti tecnici del sistema

45. L'articolo 4 dell'iniziativa stabilisce che tutti gli scambi elettronici di dati si effettueranno mediante la rete di comunicazione «TESTA II». In proposito, l'allegato afferma, a pagina 76, punto 54, che «Il sistema soddisfa gli aspetti relativi alla protezione dei dati, secondo quanto stabilito nel regolamento (CE) n. 45/2001 (articoli 21, 22 e 23) e nella direttiva 95/46/CE». Il GEPD raccomanda di precisare questa informazione, anche per quanto riguarda il ruolo che le istituzioni comunitarie svolgeranno nel sistema. In proposito, si dovrebbe tenere pienamente conto delle funzioni sia consultiva che di supervisione del GEPD derivanti dal regolamento (CE) n. 45/2001.

46. Inoltre, dopo che l'allegato sarà stato messo a punto e conterrà tutti i particolari e le dichiarazioni che precisano le caratteristiche dei sistemi, il GEDP esaminerà l'eventualità di formulare un nuovo parere sugli aspetti più tecnici del sistema.

VI. CONCLUSIONI

— Il GEPD raccomanda che l'iniziativa e il suo allegato siano oggetto di una discussione aperta, che tragga effettivo profitto dai contributi di tutti gli attori istituzionali, tenendo altresì conto del ruolo di colegislatore a pieno titolo di cui godrà il Parlamento europeo in questo settore appena entrerà in vigore il trattato di riforma, firmato a Lisbona il 13 dicembre.

— Il GEPD chiede al legislatore di garantire, conformemente all'articolo 30, paragrafo 1, lettera b), del trattato UE, che, prima dell'entrata in vigore della presente iniziativa, si adotti un quadro giuridico chiaro, efficace e globale in materia di protezione dei dati.

— In tale prospettiva, il GEPD ribadisce, da un lato, che le decisioni del Consiglio relative a Prüm non dovrebbero entrare in vigore prima che gli Stati membri abbiano recepito una decisione quadro generale per la protezione dei dati nel terzo pilastro che fungerebbe da «lex generalis », oltre alla quale si applicherebbero le disposizioni dell'iniziativa di Prüm del Consiglio che fissano garanzie specifiche e norme mirate più rigorose.

— D'altro lato, il legislatore dovrebbe precisare che le norme specifiche sulla protezione dei dati riguardanti il DNA, le impronte digitali e l'immatricolazione dei veicoli, di cui al capo 6 dell'iniziativa di Prüm del Consiglio, si applicano non solo allo scambio di tali dati ma anche alla raccolta, alla conservazione e al trattamento a livello nazionale, nonché alla trasmissione di altri dati personali nell'ambito di applicazione della decisione del Consiglio.

— Il GEPD raccomanda di migliorare la trasparenza delle misure, fornendo quanto prima il testo definitivo dell'allegato e prevedendo i meccanismi di informazione dei cittadini sulle caratteristiche dei sistemi, i diritti dei cittadini stessi e le modalità per il loro esercizio.

— Il GEPD invita il legislatore a tenere debitamente conto della dimensione del sistema quando verrà ulteriormente discussa la presente iniziativa, assicurandosi che l'aumento del numero degli Stati membri partecipanti non comporti una diminuzione dell'efficacia. In particolare, nelle norme di attuazione dovrebbero essere previsti formati specifici per la trasmissione dei dati, tenuto conto anche delle diversità linguistiche, e dovrebbe essere verificata costantemente la accuratezza degli scambi dei dati.

— Il GEPD raccomanda che il ruolo consultivo essenziale svolto dalle pertinenti autorità preposte alla protezione dei dati sia esplicitamente riconosciuto negli articoli riguardanti le modifiche alle modalità di applicazione e relativi allegati (articolo 18), l'attuazione delle norme di protezione dei dati da parte degli Stati membri (articolo 20) e la valutazione dello scambio di dati (articolo 21). L'iniziativa dovrebbe inoltre garantire che gli Stati membri assegnino alle autorità preposte alla protezione dei dati le risorse (supplementari) necessarie per svolgere le mansioni di verifica che derivano dall'attuazione del sistema proposto e che tali autorità si incontrino regolarmente a livello dell'UE per coordinare le loro attività e armonizzare l'applicazione di questi strumenti.

— Pertanto, il GEPD chiede nuovamente al legislatore di introdurre una definizione chiara ed esauriente di dati personali.

In tale prospettiva, le disposizioni di attuazione dovrebbero anche chiarire l'applicabilità delle norme di protezione dei dati a profili DNA non identificati, che non siano ancora stati attribuiti a persone identificate. Inoltre il GEPD ricorda ancora una volta che la definizione di «parte non codificante » dovrebbe essere dinamica, e comprendere l'obbligo di non utilizzare più quei marcatori del DNA che, dati i progressi scientifici, potrebbero fornire informazioni su caratteristiche ereditarie specifiche.

— Il GEPD raccomanda che, nell'ambito delle consultazioni e dei raffronti automatizzati, si tenga in debito conto l'esattezza del processo di concordanza.

— Ciò significa che, per quanto riguarda i raffronti e le consultazioni circa il DNA, dovrebbero essere fornite informazioni sul tasso di errore previsto per ciascun numero di loci comparati, le concordanze parziali dovrebbero essere segnalate esplicitamente in quanto tali, in caso di concordanze multiple si dovrebbe procedere ad ulteriori controlli, e dovrebbe esservi una maggiore sensibilizzazione circa il fatto che i profili DNA non sono identificativi unici. In materia di impronte digitali, l'iniziativa dovrebbe armonizzare quanto più possibile i diversi sistemi AFIS utilizzati negli Stati membri, nonché le modalità del loro utilizzo, soprattutto per quanto riguarda il tasso di falsi negativi.

— Inoltre, le basi di dati del DNA e delle impronte digitali dovrebbero essere delimitate con precisione, poiché possono contenere, a seconda degli Stati membri, profili DNA o impronte digitali di varie categorie di persone.

L'iniziativa dovrebbe specificare quali categorie di persone saranno interessate dagli scambi di dati e in che modo si comunicherà agli altri Stati membri il loro diverso status nell'ambito di un raffronto o di una consultazione.

— Il GEPD propone di prestare particolare attenzione alla valutazione degli aspetti relativi alla protezione dei dati negli scambi di questi ultimi, soprattutto riguardo ai fini per cui i dati sono stati scambiati, ai metodi di informazione delle persone interessate, all'esattezza dei dati scambiati e alle concordanze errate, alle richieste di accesso ai dati di carattere personale, alla durata del periodo di conservazione e all'efficacia delle misure di sicurezza. Al riguardo, le autorità e gli esperti preposti alla protezione dei dati dovrebbero essere debitamente coinvolti.

— Il GEPD raccomanda di precisare l'uso della rete di comunicazione «TESTA II» nonché la sua conformità al regolamento (CE) n. 45/2001, anche per quanto riguarda il ruolo che le istituzioni comunitarie svolgeranno nel sistema.

Fatto a Bruxelles il 19 dicembre 2007.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE
(1) GU C 267 del 9.11.2007, pag. 4.

(2) L'allegato non è ancora stato pubblicato nella Gazzetta ufficiale, ma è accessibile al pubblico nel registro del Consiglio, con il numero di documento 11045/1/07 REV 1 ADD 1. (3) GU C 169 del 21.7.2007, pag. 2.

(3) Si vedano, come esempi più recenti, il parere del GEPD sull'iniziativa di Prüm, punti 57-76 e il terzo parere del GEPD, del 27 aprile 2007, relativo alla proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale, punto 14 (GU C 139 del 23.6.2007, pag.1).

(4) L'ultimo testo della proposta è disponibile nel registro del Consiglio con il numero di documento 16397/07.

(5) In merito a questo punto, il testo dell'articolo 27ter dell'ultima versione del progetto di decisione quadro per la protezione dei dati nel terzo pilastro dovrebbe essere esaminato e discusso attentamente.

(6) Sull'applicabilità delle norme sulla protezione dei dati ai profili DNA, vedasi il parere n. 4/2007 del gruppo dell'articolo 29 sul concetto di dati personali, del 20 giugno 2007 (WP136, pagg. 8-9); nello stesso parere si forniscono precisazioni anche sul caso analogo di applicabilità delle norme sulla protezione dei dati agli indirizzi IP dinamici (pagg. 16-17).

(7) Vedasi anche il parere del GEPD, del 28 febbraio 2006, sulla proposta di decisione quadro del Consiglio sullo scambio di informazioni in virtù del principio di disponibilità [COM(2005) 490 defin.], punti 58-60 (GU C 116 del 17.5.2006).

(8) Analogamente, vedasi l'allegato I della risoluzione del Consiglio, del 25 giugno 2001, sullo scambio dei risultati delle analisi del DNA (GU C 187 del 3.7.2001, pag. 1).

(9) Per esempio, nel Regno Unito la base di dati nazionale del DNA («National DNA Database») ha aumentato da 6 a 10 il numero di loci utilizzati per i profili DNA, sempre al fine di una maggiore affidabilità del sistema.