Parere del GEPD sull'iniziativa del Regno del Belgio, della Repubblica ceca, della Repubblica d'Austria, della Repubblica di Estonia, della Repubblica francese, della Repubblica italiana, del Granducato di Lussemburgo, del Regno dei Paesi Bassi, della Repubblica di Polonia, della Repubblica portoghese, della Repubblica slovacca, della Repubblica di Slovenia, del Regno di Spagna, e del Regno di Svezia, in vista dell'adozione di una decisione del Consiglio relativa al rafforzamento dell'Eurojust e che modifica la decisione 2002/187/GAI

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del garante europeo della protezione dei dati sull'iniziativa del Regno del Belgio, della Repubblica ceca, della Repubblica d'Austria, della Repubblica di Estonia, della Repubblica francese, della Repubblica italiana, del Granducato di Lussemburgo, del Regno dei Paesi Bassi, della Repubblica di Polonia, della Repubblica portoghese, della Repubblica slovacca, della Repubblica di Slovenia, del Regno di Spagna, e del Regno di Svezia, in vista dell'adozione di una decisione del Consiglio relativa al rafforzamento dell'Eurojust e che modifica la decisione 2002/187/GAI

(Pubblicato sulla GUUE n. C 310 del 5.12.2008)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41,

HA ADOTTATO IL SEGUENTE PARERE:

I. OSSERVAZIONI INTRODUTTIVE

1. Il 27 febbraio 2008 è stata pubblicata nella Gazzetta ufficiale l'iniziativa di 14 Stati membri in vista dell'adozione di una decisione del Consiglio relativa al rafforzamento dell'Eurojust e che modifica la decisione 2002/187/GAI ⁽¹⁾.

2. Su questa iniziativa non è stato chiesto il parere del GEPD. Pertanto egli formula il presente parere di propria iniziativa, come già fece in merito all'iniziativa riguardante una decisione del Consiglio sul rafforzamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo ed alla criminalità transfrontaliera («trattato di Prüm») e all'iniziativa riguardante una decisione del Consiglio relativa all'attuazione della precedente decisione del Consiglio ⁽²⁾. Secondo il GEPD, il presente parere dovrebbe essere citato nel preambolo della decisione del Consiglio, così come i suoi pareri sono citati in vari atti normativi adottati in base ad una proposta della Commissione.

3. Benché lo Stato membro o il gruppo di Stati membri che presentano un'iniziativa relativa ad una misura legislativa a norma del titolo VI del trattato UE non siano giuridicamente vincolati a chiedere il parere del GEPD, la procedura applicabile non preclude neppure questa possibilità. Il GEPD deplora che gli Stati membri non abbiano chiesto il suo parere nel presente caso poiché una parte significativa dell'iniziativa riguarda il trattamento di dati personali e le relative condizioni.

4. Del pari, deplora la mancanza di una valutazione d'impatto a corredo dell'iniziativa ⁽³⁾. Tale valutazione costituisce un elemento necessario per migliorare la trasparenza e più in generale la qualità del processo legislativo. Per i cittadini dell'Unione europea non è facile capire perché questo elemento faccia normalmente parte del processo legislativo allorché la Commissione presenta proposte ma non se gli Stati membri prendono l'iniziativa.

5. Nel presente caso i documenti di accompagnamento avrebbero potuto fornire la giustificazione dell'urgenza della modifica della decisione 2002/187/GAI. In tale contesto va sottolineato che l'iniziativa è stata presa al fine di adottare un atto normativo immediatamente prima dell'entrata in vigore del trattato di Lisbona. Tale trattato comporterà una modifica dello status di Eurojust, tra l'altro per il fatto che la struttura a pilastri del trattato UE sarà abolita.

6. Come osservazione introduttiva finale, il GEPD ricorda che i 14 Stati membri hanno presentato una seconda iniziativa, strettamente collegata, in vista dell'adozione di una decisione del Consiglio relativa alla rete giudiziaria europea ⁽⁴⁾. Il GEPD non formulerà un parere su quest'ultima iniziativa poiché essa ha minore importanza dal punto di vista della protezione dei dati personali. Le informazioni diffuse mediante la rete giudiziaria europea — come proposto all'articolo 8 di tale iniziativa — non riguardano di norma i dati personali.

II. GENERALITÀ

L'iniziativa nel suo contesto

7. Secondo i considerando, l'iniziativa mira a rafforzare ulteriormente l'efficacia operativa di Eurojust. Tale obiettivo si colloca in un contesto in cui l'ulteriore sviluppo di Eurojust è considerato un logico passo in avanti per questa organizzazione. Nel programma dell'Aia del novembre 2004 ⁽⁵⁾ il Consiglio europeo ha già chiesto alla Commissione di esaminare l'ulteriore sviluppo di Eurojust. Nell'ottobre del 2007 la Commissione ha presentato una comunicazione al Consiglio e al Parlamento Europeo sul ruolo di Eurojust e della rete giudiziaria europea nell'ambito della lotta alla criminalità organizzata e al terrorismo all'interno dell'Unione europea ⁽⁶⁾. Tale comunicazione conclude che la modifica della decisione Eurojust è necessaria per permettere a Eurojust di mettere a frutto le sue capacità di cooperazione e di affermarsi ulteriormente come attore centrale nella lotta contro la criminalità organizzata e il terrorismo in Europa.

8. Il GEPD ricorda inoltre che l'articolo 85 del trattato sul funzionamento dell'Unione europea (trattato di Lisbona) estenderà la base giuridica di Eurojust rispetto alla base attuale dell'articolo 31, paragrafo 2, del trattato UE. L'articolo 85 del trattato sul funzionamento dell'Unione europea menziona tra l'altro l'avvio di indagini penali. L'articolo 86 del trattato sul funzionamento dell'Unione europea stabilisce che il Consiglio può istituire una Procura europea a partire da Eurojust.

9. Tuttavia rileva anche che tale sviluppo richiede che siano chiariti e potenziati i poteri dei membri nazionali di Eurojust e del collegio. La comunicazione conferma le carenze del quadro attuale, che non garantisce un'autorità sufficiente per i membri nazionali e il collegio.

10. Il GEPD comprende la necessità di migliorare il quadro giuridico di Eurojust per renderlo più efficace. È un'organizzazione in piena evoluzione, il suo ruolo nelle indagini ed azioni penali è in aumento e dovrebbe ancora aumentare affinché Eurojust si affermi come un importante attore in questo settore.

La situazione di Eurojust in materia di informazione

11. La comunicazione sottolinea che l'accesso all'informazione è capitale. In questa prospettiva è logico che gran parte delle modifiche proposte nell'iniziativa riguardino la situazione di Eurojust in materia di informazione ⁽⁷⁾. Il presente parere del GEPD si incentrerà in particolare su tale questione poiché essa implica la raccolta, la conservazione e lo scambio di dati personali. In tale contesto è inoltre importante che la seconda parte della comunicazione si incentri sulle relazioni tra Eurojust e gli altri attori della cooperazione giudiziaria penale. Il miglioramento di tali relazioni è altresì fondamentale nell'iniziativa e costituirà un importante elemento del presente parere.

12. Il GEPD rileva che l'iniziativa contiene disposizioni di particolare interesse in relazione alla raccolta, alla conservazione e allo scambio di dati personali:

— l'articolo 9, paragrafo 4, consente al membro nazionale di Eurojust di avere pieno accesso a vari registri,

— l'articolo 9 bis definisce i pieni poteri conferiti al membro nazionale, compresa la sua situazione in materia di informazione,

— secondo l'articolo 12, paragrafo 5, il sistema di coordinamento nazionale Eurojust è collegato al Case Management System (sistema automatico di gestione dei fascicoli) dell'Eurojust,

— il nuovo articolo 13 bis riguarda le informazioni trasmesse dall'Eurojust alle autorità nazionali,

— l'elenco tassativo relativo al trattamento dei dati figurante all'articolo 15 sarà sostituito da elenchi aperti.

All'articolo 15, paragrafo 1, lettera l), sono aggiunti nuovi tipi di informazione e viene aggiunto il concetto di sistema automatico di gestione dei fascicoli,

— secondo l'articolo 26, paragrafo 1 bis, il collegio dell'Eurojust può aprire un archivio di lavoro per fini di analisi dell'Europol e partecipare al suo funzionamento. L'articolo 26, paragrafo 2, facilita inoltre i rapporti con la rete giudiziaria europea, Frontex e altri attori,

— l'articolo 27 bis riguarda le richieste di cooperazione giudiziaria presentate da Stati terzi.

13. Queste disposizioni estendono le possibilità di raccolta, conservazione e scambio dei dati personali e pertanto comportano rischi supplementari per la protezione degli stessi. Naturalmente non è sempre possibile evitare i rischi poiché le norme applicabili devono consentire ad Eurojust di svolgere efficacemente le sue attività operative. Tuttavia, nello stabilire nuove disposizioni che estendono le possibilità di trattamento dei dati, il legislatore europeo dovrebbe assicurare il giusto equilibrio tra i diversi interessi pubblici in questione, tenendo conto del principio di proporzionalità.

14. In ogni caso è necessario che tali norme siano stabilite in base ad un'analisi delle carenze delle norme esistenti e della prevista efficacia delle nuove disposizioni. Anche per questo motivo è deprecabile che l'iniziativa non sia accompagnata da documenti che forniscano tale analisi, sebbene la comunicazione contenga molte informazioni utili. Ad esempio, non è fornita alcuna prova della necessità di sostituire gli elenchi tassativi di cui all'articolo 15 con elenchi aperti.

Il contesto del diritto penale nazionale

15. La necessità di prove è ancora più importante alla luce della complessa realtà in cui Eurojust deve operare. Nella fase attuale di integrazione europea le indagini ed azioni penali rientrano nell'ambito del diritto nazionale. Le legislazioni nazionali in questo settore sono basate su tradizioni giuridiche di lunga data e sono caratterizzate da una grande diversità. Il compito di Eurojust è agevolare il coordinamento ottimale delle attività di indagine e delle azioni penali degli Stati membri che coprono il territorio di molti di essi, nel pieno rispetto dei diritti e delle libertà fondamentali ⁽⁸⁾.

16. Inoltre, la decisione 2002/187/GAI lascia ampia discrezionalità ai governi nazionali nell'attuazione dei compiti relativi a Eurojust, ad esempio riguardo alla posizione data ai membri nazionali.

17. Le conseguenze di tale realtà sono diverse. Innanzitutto, sembrano esservi buoni motivi per limitare il potere discrezionale degli Stati membri al fine di assicurare che Eurojust possa funzionare efficacemente. L'articolo 2, paragrafo 2, proposto rafforza il livello minimo di risorse che gli Stati membri dovrebbero fornire ai membri nazionali. Anche il nuovo articolo 9 bis è inteso a rafforzare la posizione dei membri nazionali, ai quali gli Stati membri devono conferire alcuni poteri.

18. In secondo luogo, occorre tener conto del fatto che Eurojust scambia informazioni nell'ambito di ordinamenti giuridici molto diversi, con diversi requisiti giuridici (e costituzionali) in merito all'uso di tali informazioni e al relativo accesso. Tali requisiti non dovrebbero essere applicati per limitare i poteri di Eurojust di raccogliere, conservare e scambiare informazioni, né per mantenerli limitati, ma in un contesto così complesso occorrerebbe ben valutare tutte le conseguenze potenziali ed esaminarle preventivamente.

Il trattato di Lisbona e l'urgenza delle modifiche: sono necessarie modifiche adesso?

19. Il trattato di Lisbona ha tre importanti conseguenze in relazione alla presente iniziativa:

a) l'articolo 85 del trattato sul funzionamento dell'Unione europea estende le funzioni di Eurojust, mentre l'articolo 86 prevede perfino una modifica più fondamentale della sua funzione, ossia l'evoluzione in Procura europea (cfr. altresì il punto 8 del presente parere);

b) il quadro legislativo di Eurojust deve essere adottato dal Parlamento europeo e dal Consiglio nell'ambito della normale procedura legislativa con voto a maggioranza qualificata in sede di Consiglio. La procedura di infrazione di cui all'articolo 228 del trattato CE (a norma del trattato di Lisbona: articolo 260 del trattato sul funzionamento dell'Unione europea) si applicherà all'attuazione negli Stati membri;

c) in conseguenza dell'abolizione della struttura a pilastri Eurojust diventerà un organismo dell'Unione europea al quale si applicheranno tutte le disposizioni di portata generale del titolo II del trattato sul funzionamento dell'Unione europea, quali ad esempio le disposizioni in materia di trasparenza e protezione dei dati.

20. La questione che si pone è se non sia meglio attendere l'entrata in vigore del trattato di Lisbona prima di adottare la modifica del quadro legislativo di Eurojust presentata nell'iniziativa.

21. Secondo il GEPD vi sono alcuni argomenti convincenti a favore dell'ipotesi di attendere l'entrata in vigore del trattato di Lisbona. Tali argomenti sono i seguenti:

a) si consente la piena inclusione dei compiti indicati all'articolo 85 del trattato sul funzionamento dell'Unione europea ⁽⁹⁾;

b) si riconosce il ruolo del Parlamento europeo quale colegislatore e parte interessata alla valutazione delle attività di Eurojust ⁽¹⁰⁾;

c) si consente il controllo da parte della Commissione e della Corte di giustizia sull'attuazione negli Stati membri e si impedisce che le nuove disposizioni usufruiscano delle esenzioni di cui al titolo VII del protocollo n. 36 del trattato di Lisbona, che prevede che le attribuzioni limitate della Corte di giustizia restino invariate per quanto riguarda gli atti adottati prima dell'entrata in vigore del trattato di riforma di Lisbona fino alla modifica di tali atti o per un termine di cinque anni;

d) si consente di esaminare le conseguenze dell'abolizione della struttura a pilastri che, nel settore della protezione dei dati, potrebbe avere come effetto l'applicabilità a Eurojust del regolamento (CE) n. 45/2001 (11).

III. DISPOSIZIONI RELATIVE AL TRATTAMENTO DEI DATI PERSONALI

Il quadro generale

22. L'articolo 14 della decisione 2002/187/GAI stabilisce che l'Eurojust può, nell'ambito delle sue competenze e al fine di svolgere le sue funzioni, trattare dati personali. Tale articolo contiene inoltre un riferimento alla convenzione n. 108 del Consiglio d'Europa ⁽¹²⁾, include alcuni principi generali relativi alla protezione dei dati e stabilisce che l'Eurojust istituisce un indice dei dati relativi alle indagini e può costituire archivi di lavoro temporanei contenenti anche dati personali.

23. L'iniziativa non propone di sostituire il riferimento alla convenzione n. 108 con un riferimento alla decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale ⁽¹³⁾, né fa altrimenti riferimento a tale decisione quadro ⁽¹⁴⁾. Per motivi di coerenza, il GEPD raccomanda di aggiungere un siffatto riferimento all'articolo 14 della decisione 2002/187/GAI. Tale riferimento è ancora più importante dal momento che Eurojust effettua scambi di dati personali con le autorità nazionali che saranno vincolate dalla decisione quadro del Consiglio sulla protezione dei dati personali dopo l'entrata in vigore di quest'ultima negli Stati membri.

Il sistema automatico di gestione dei fascicoli

24. L'iniziativa propone di sostituire il riferimento all'«indice dei dati» con un riferimento a un «sistema automatico di gestione dei fascicoli contenente dati». Il GEPD appoggia tale modifica poiché rispecchia meglio la prassi in vigore nell'ambito di Eurojust. Essa precisa che le disposizioni e le restrizioni relative al trattamento dei dati personali si applicano al «sistema automatico di gestione dei fascicoli» in quanto tale e non soltanto all'indice.

25. L'iniziativa propone di sostituire gli elenchi limitati di dati personali che possono essere trattati a norma dell'articolo 15, paragrafi 1 e 2, con elenchi analoghi ma di tipo aperto. Il termine «soltanto» è soppresso e all'articolo 15, paragrafo 1, è aggiunto il termine «quali». Oltre a rilevare una piccola incoerenza nell'iniziativa (perché aggiungere «quali» solo all'articolo 15, paragrafo 1?), il GEPD ritiene che tale modifica non debba essere adottata nel diritto dell'Unione. La modifica altera il carattere dell'elenco con un effetto negativo per la protezione dei dati e la certezza del diritto, senza un adeguato motivo che lo giustifichi ⁽¹⁵⁾.

26. Il GEPD non comprende la necessità di tale modifica, in particolare poiché gli elenchi di dati sono già alquanto ampi. Se manca una particolare categoria di dati, sarebbe preferibile includerla nella decisione stessa. La presente iniziativa offre una buona opportunità per farlo, come dimostra l'aggiunta proposta di una categoria l) all'articolo 15, paragrafo 1.

Aggiunta di una categoria di dati

27. Tale aggiunta riguarda numeri di telefono, dati relativi all'immatricolazione dei veicoli, indirizzi di posta elettronica, dati relativi al traffico telefonico e di posta elettronica, registri DNA e fotografie, riguardanti persone che sono oggetto di un'indagine o di un'azione penale per determinate forme di criminalità. Il GEPD comprende la necessità di trattare tali dati ma solleva alcuni punti specifici che devono essere chiariti:

a) il concetto di registri DNA non è chiaro. È indispensabile definire chiaramente tale concetto ed operare una distinzione fra profili del DNA e dati sul DNA che possono fornire informazioni sulle caratteristiche genetiche e/o sullo stato di salute di una persona. Secondo il GEPD il trattamento da parte di Eurojust potrebbe limitarsi ai profili del DNA ⁽¹⁶⁾;

b) per quanto riguarda i dati relativi al traffico telefonico e di posta elettronica, non è del tutto chiaro quali dati siano inclusi e quali no. In particolare riguardo alla posta elettronica, non è evidente la differenza tra dati relativi al traffico e dati relativi al contenuto. Questo problema è riconosciuto nel contesto della direttiva 2006/24/CE riguardante la conservazione di dati (17) e della discussione sulla sua attuazione. L'articolo 5, paragrafo 2, della direttiva recita: «A norma della presente direttiva, non può essere conservato alcun dato relativo al contenuto della comunicazione». Il GEPD raccomanda di aggiungere un'analoga precisazione all'articolo 15 della decisione del Consiglio;

c) le fotografie possono rivelare informazioni sensibili riguardanti non solo la persona sospettata ma anche altre persone quali testimoni o vittime di cui all'articolo 15, paragrafo 2. Secondo il GEPD si dovrebbe assicurare che al trattamento delle fotografie si applichino garanzie procedurali analoghe a quelle previste all'articolo 15, paragrafo 4. L'articolo 15 dovrebbe essere modificato in tal senso.

IV. RELAZIONI CON PARTNER ESTERNI

28. Secondo il settimo considerando dell'iniziativa è altresì necessario rafforzare la capacità dell'Eurojust di lavorare con partner esterni, quali Europol, OLAF e Frontex, nonché autorità dei paesi terzi.

29. Inoltre, l'articolo 26 contiene alcune nuove disposizioni sui rapporti e la stretta cooperazione con altri partner quali la rete giudiziaria europea, il Centro di situazione congiunto (SitCen), l'Interpol e l'Organizzazione mondiale delle dogane. Dal testo dell'iniziativa risulta che questa cooperazione può includere in tutti i casi lo scambio di dati personali.

Ne derivano le seguenti osservazioni:

a) per quanto riguarda la rete giudiziaria europea, la presente iniziativa nonché l'iniziativa riguardante una decisione del Consiglio relativa alla rete giudiziaria europea comprendono norme precise sulla cooperazione, il che è accolto molto favorevolmente;

b) il SitCen non è un'organizzazione indipendente bensì un'entità nell'ambito del Consiglio senza personalità giuridica. Si dovrebbe esaminare ulteriormente il modo di stabilire adeguate relazioni con il SitCen, comprese le necessarie salvaguardie per la protezione dei dati;

c) per quanto riguarda l'Interpol, il GEPD riconosce che lo scambio di informazioni sarà necessario in casi specifici.

Il testo dell'iniziativa può essere appoggiato ma sarebbe stato preferibile che un accordo tra i due organismi, nella misura in cui riguarda il trattamento di dati personali, fosse sottoposto all'approvazione dell'autorità di controllo comune;

d) infine, il GEPD è contrario allo scambio di dati personali tra Eurojust e l'Organizzazione mondiale delle dogane poiché non sembra esservi una chiara necessità di tale scambio. Suggerisce di sopprimere l'articolo 26, paragrafo 10, dall'iniziativa o almeno di assicurare nel testo che l'accordo non riguarderà lo scambio di dati personali.

Cooperazione con Europol

30. Per quanto riguarda la cooperazione con Europol, l'iniziativa contiene diversi nuovi elementi che si riferiscono principalmente alla posizione di Eurojust nei confronti degli archivi di lavoro per fini di analisi di Europol ⁽¹⁸⁾. L'articolo 9 bis, paragrafo 1, lettera c), quale proposto, conferisce ai membri nazionali di Eurojust i poteri di svolgere compiti con riguardo agli archivi di lavoro per fini di analisi di Europol. Il proposto articolo 26, paragrafo 1 bis, è particolarmente importante in quanto dispone che gli Stati membri provvedano affinché il collegio possa essere effettivamente in grado di aprire un archivio di lavoro per fini di analisi e possa partecipare al suo funzionamento. Tale proposta ha carattere fondamentalmente nuovo poiché pone fine ad una situazione in cui i quadri giuridici di Europol e Eurojust prevedono una completa separazione tra i due organi. Questi ultimi cooperano, ad esempio, sulla base di un accordo reciproco, ma non dispongono di un accesso diretto ai reciproci sistemi.

31. La proposta di decisione del Consiglio che istituisce l'Ufficio europeo di polizia (Europol) non contiene una disposizione simile a quella contemplata all'articolo 26, paragrafo 1 bis, che autorizza l'accesso e la partecipazione di Eurojust agli archivi di lavoro per fini di analisi di Europol ⁽¹⁹⁾. L'articolo 14 di detta proposta prevede, al contrario, limitazioni rigorose per quanto riguarda la partecipazione e l'analisi di tali archivi di lavoro. L'articolo 14, paragrafo 2, dispone che solo gli analisti sono autorizzati a introdurre dati nell'archivio interessato e a modificarli e che tutti i partecipanti al gruppo di analisi possono effettuare ricerche di dati nell'archivio.

32. Ne conseguono due obblighi giuridici contrastanti. Da un lato, Europol deve limitare la partecipazione e l'analisi di tali archivi di lavoro agli analisti/ai partecipanti ad un gruppo di analisi. Dall'atro, gli Stati membri sono tenuti, in virtù del diritto dell'Unione, ad autorizzare Eurojust ad aprire gli archivi e a parteciparvi. Non è evidente quale di questi due obblighi prevarrebbe. Per motivi di sicurezza giuridica è necessario che il Consiglio modifichi uno dei due strumenti giuridici prima dell'adozione definitiva. I due strumenti dovrebbero essere reciprocamente compatibili.

33. In tale prospettiva, occorre parimenti rispondere a un quesito fondamentale. È necessario che il collegio di Eurojust partecipi attivamente ai lavori di Europol oppure sarebbe sufficiente che Eurojust richiedesse a Europol di aprire un archivio di lavoro per fini di analisi e/o ottenesse informazioni da parte di Europol su richiesta, come avviene attualmente ai sensi dell'accordo tra i due organi?

34. A parere del GEPD, date le attuali circostanze e in mancanza di una motivazione chiara e pubblica, occorrerebbe esaminare se non sia sufficiente attenersi all'attuale sistema, purché:

a) ciò non pregiudichi la situazione dei membri nazionali di Eurojust e del collegio in materia di informazione;

b) i nessi strutturali tra i due organi siano sufficientemente solidi da assicurare la cooperazione ed evitare duplicazioni di sforzi ⁽²⁰⁾.

Tale soluzione favorirebbe parimenti la protezione dei dati.

Le responsabilità di Europol e di Eurojust in materia di trattamento dei dati personali (chi sarà l'incaricato del trattamento, e chi il responsabile del trattamento?) rimarranno chiaramente differenziate, il che è peraltro utile alla luce della diversità dei sistemi di controllo del trattamento dei dati, con autorità di controllo comuni differenti, essendo l'autorità di controllo comune di Eurojust composta di giudici ⁽²¹⁾.

Cooperazione con le autorità di paesi terzi

35. Ciò implica anche una cooperazione con le autorità di paesi terzi. I meccanismi già esistenti ai sensi dell'articolo 27 della decisione 2002/187/GAI del Consiglio saranno completati da un articolo sui magistrati di collegamento distaccati presso Stati terzi (articolo 26 bis) e da un articolo sulle richieste di cooperazione giudiziaria presentate da Stati terzi (articolo 27 bis).

36. Il GEPD approva queste nuove disposizioni ma chiede che sia riservata specifica attenzione al livello di protezione dei dati nei paesi terzi, che forma oggetto dell'articolo 27, paragrafo 4, della decisione 2002/187/GAI. Il GEPD raccomanda di avvalersi dell'attuale modifica della decisione del Consiglio, che estende ulteriormente la portata degli scambi con i paesi terzi, per prevedere nella decisione stessa una procedura di valutazione dell'adeguatezza. Tale valutazione dovrebbe essere effettuata dal collegio di Eurojust, con l'approvazione dell'autorità di controllo comune.

V. CONTROLLO

37. La decisione 2002/187/GAI comprende importanti disposizioni volte ad assicurare il rispetto delle prescrizioni applicabili ad Eurojust in materia di protezione dei dati. L'articolo 17 tratta del delegato alla protezione dei dati nell'ambito di Eurojust, mentre l'articolo 23 istituisce un'autorità di controllo comune che controlla in modo collegiale le attività di Eurojust.

38. L'iniziativa non propone modifiche fondamentali a dette disposizioni, che sembrano funzionare correttamente. È proposta solo una piccola aggiunta all'articolo 23, paragrafo 10, che precisa che il segretariato dell'autorità di controllo può avvalersi delle competenze del segretariato istituito dalla decisione 2000/641/GAI del Consiglio ⁽²²⁾.

39. Il GEPD accoglie con favore tale aggiunta, che potrebbe rafforzare la coerenza del controllo della protezione dei dati nel settore della cooperazione giudiziaria e di polizia in materia penale (attuale terzo pilastro). L'avvalersi dell'esperienza acquisita con altri organi dell'UE e con i sistemi di informazione su vasta scala non potrà che migliorare ulteriormente la qualità della protezione.

Dati relativi al personale

40. Sul piano della coerenza, un altro punto che merita attenzione è il seguente: l'articolo 38 della proposta di decisione del Consiglio che istituisce l'Ufficio europeo di polizia (Europol) ⁽²³⁾ tratta del personale Europol. A norma dell'articolo 38, paragrafo 1, il direttore, i vicedirettori e il personale Europol rientrano nel campo d'applicazione dello statuto dei funzionari delle Comunità europee (e disposizioni analoghe). Inoltre, secondo l'articolo 38, paragrafo 5 bis, Europol applica le disposizioni del regolamento (CE) n. 45/2001 al trattamento di dati personali relativi al personale Europol. Ciò comporta il controllo dell'applicazione di tale regolamento da parte del GEPD.

41. Il GEPD raccomanda che il Consiglio adotti lo stesso approccio in ordine a Eurojust e aggiunga una disposizione analoga sul trattamento dei dati personali del personale Eurojust. Un'ulteriore ragione per adottare questo approccio è che non è affatto chiaro se l'autorità di controllo comune abbia competenza per controllare il trattamento dei dati personali del personale Eurojust. In effetti, l'articolo 23, paragrafo 1, della decisione 2002/187/GAI si riferisce specificamente al controllo delle attività dell'Eurojust di cui agli articoli da 14 a 22 della decisione stessa, il che non comprende necessariamente i dati relativi all'amministrazione di Eurojust, quali quelli riguardanti il personale.

42. Tale approccio è tanto più utile in quanto l'entrata in vigore del trattato di Lisbona, comportando l'abolizione della struttura a pilastri, potrebbe eventualmente far rientrare Eurojust nel campo d'applicazione del regolamento (CE) n. 45/2001, e in ogni caso la farà rientrare nel campo d'applicazione dell'articolo 16, paragrafo 2, del trattato sul funzionamento dell'Unione europea, obbligando il legislatore dell'Unione a definire norme sul trattamento dei dati personali da parte di tutti gli organi dell'UE.

Consultazione dell'autorità di controllo comune

43. Infine, l'iniziativa riconosce il ruolo consultivo dell'autorità di controllo comune: varie decisioni si possono prendere solo previa consultazione di tale organo, un riconoscimento che va accolto con favore. In certi punti questo ruolo potrebbe perfino essere rafforzato, obbligando il collegio di Eurojust non solo a consultare l'autorità di controllo comune, ma anche a seguirne il parere (cfr. punti 29 e 36).

VI. CONCLUSIONI

Procedura

44. Il GEPD deplora che gli Stati membri non abbiano chiesto il suo parere, poiché una parte significativa dell'iniziativa riguarda il trattamento dei dati personali da parte di Eurojust e le relative condizioni.

Mancanza di una valutazione d'impatto

45. L'iniziativa avrebbe dovuto esser corredata non solo di una relazione esplicativa ma anche di una valutazione d'impatto, elementi entrambi necessari per migliorare la trasparenza e più in generale la qualità del processo legislativo. Tali documenti avrebbero potuto fornire la giustificazione dell'urgenza della modifica della decisione 2002/187/GAI.

Necessità di migliorare il quadro giuridico di Eurojust

46. Il GEPD comprende la necessità di migliorare il quadro giuridico di Eurojust per renderlo più efficace: è un'organizzazione in piena evoluzione. Egli rileva che:

a) le modifiche aumentano le possibilità di trattare i dati personali e comportano pertanto ulteriori rischi per la loro protezione;

b) Eurojust scambia informazioni nel quadro di ordinamenti giuridici molto diversi, con esigenze giuridiche (e costituzionali) diverse sull'accesso all'informazione e relativo uso.

Anche per questi motivi occorre stabilire nuove norme sulla base di un'analisi delle carenze delle norme vigenti e dell'efficacia prevista delle nuove disposizioni.

Trattato di Lisbona

47. Il parere indica quattro argomenti a favore dell'ipotesi di attendere l'entrata in vigore del trattato di Lisbona:

a) si consente la piena inclusione dei compiti indicati all'articolo 85 del trattato sul funzionamento dell'Unione europea;

b) si riconosce il ruolo del Parlamento europeo quale colegislatore e parte interessata alla valutazione delle attività di Eurojust;

d) si consente di esaminare le conseguenze dell'abolizione della struttura a pilastri, che potrebbe avere come effetto l'applicabilità a Eurojust del regolamento (CE) n. 45/2001.

Disposizioni relative al trattamento dei dati personali

48. Occorre un riferimento alla decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale. Gli elenchi di dati personali che possono essere trattati a norma dell'articolo 15, paragrafi 1 e 2, dovrebbero restare elenchi chiusi. Occorrono precisazioni in merito ai nuovi elementi d'informazione aggiunti all'articolo 15, paragrafo 1, lettera l).

Relazioni con partner esterni

49. Il GEPD è contrario allo scambio di dati personali tra Eurojust e l'Organizzazione mondiale delle dogane.

50. Per quanto riguarda la relazione con Europol, occorrerebbe esaminare l'opportunità di attenersi all'attuale sistema, purché:

a) ciò non pregiudichi la situazione dei membri nazionali di Eurojust e del collegio in materia di informazione;

b) i nessi strutturali tra i due organi siano sufficientemente solidi da assicurare la cooperazione ed evitare duplicazioni di sforzi.

51. Per quanto riguarda la cooperazione con le autorità dei paesi terzi, si raccomanda di avvalersi dell'attuale modifica della decisione del Consiglio, che estende ulteriormente la portata degli scambi con detti paesi, per prevedere nella decisione stessa una procedura di valutazione dell'adeguatezza.

Controllo

52. Il GEPD accoglie con favore la proposta di aggiunta all'articolo 23, paragrafo 10, che precisa che il segretariato dell'autorità di controllo può avvalersi delle competenze del segretariato istituito dalla decisione 2000/641/GAI.

53. Il GEPD raccomanda di inserire una disposizione analoga a quella dell'articolo 38, paragrafo 5 bis, della proposta di decisione del Consiglio che istituisce l'Ufficio europeo di polizia (Europol) in modo da stabilire che le disposizioni del regolamento (CE) n. 45/2001 si applicano al trattamento dei dati personali relativi al personale Eurojust.

54. Le disposizioni sul ruolo consultivo dell'autorità di controllo comune sono accolte con favore e potrebbero in alcuni punti essere perfino rafforzate.

Bruxelles, 25 aprile 2008.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

(1) GU C 54 del 27.2.2008, pag. 4.

(2) Parere del 4 aprile 2007 sull'iniziativa di 15 Stati membri in vista dell'adozione di una decisione del Consiglio sul rafforzamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo ed alla criminalità transfrontaliera (GU C 169 del 21.7.2007, pag. 2) e parere del 19 dicembre 2007 sull'iniziativa della Repubblica federale di Germania in vista dell'adozione di una decisione del Consiglio relativa all'attuazione della decisione 2007/…/GAI sul rafforzamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo ed alla criminalità transfrontaliera (GU C 89 del 10.4.2008, pag. 1).

(3) Una relazione (non pubblicata nella Gazzetta ufficiale, ma disponibile nel registro pubblico del Consiglio) illustra l'iniziativa ma non risolve i problemi di mancanza di trasparenza (ecc.) sollevati nel presente parere.

(4) GU C 54 del 27.2.2008, pag. 14.

(5) GU C 53 del 3.3.2005, pag. 1.

(6) Comunicazione del 23 ottobre 2007, doc. COM(2007) 644 definitivo, in appresso «la comunicazione».

(7) L'espressione «situazione in materia di informazione» fa riferimento alle possibilità di Eurojust e dei suoi membri di raccogliere informazioni.

(8) Cfr. il secondo considerando della decisione 2002/187/GAI del Consiglio, del 28 febbraio 2002, che istituisce l'Eurojust per rafforzare la lotta contro le forme gravi di criminalità.

(9) L'articolo 86 del trattato sul funzionamento dell'Unione europea è meno rilevante in questo contesto poiché non sarà necessariamente operativo immediatamente dopo l'entrata in vigore del trattato di Lisbona.

(10) Cfr. ultima frase dell'articolo 85, paragrafo 1, del trattato sul funzionamento dell'Unione europea.

(11) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(12) Convenzione del Consiglio d'Europa, del 28 gennaio 1981, sulla protezione delle persone con riferimento al trattamento automatizzato dei dati di carattere personale.

(13) L'ultima versione pubblica della proposta di decisione quadro del Consiglio è in data 11 dicembre 2007 ed è disponibile nel registro pubblico del Consiglio.

(14) Purtroppo neppure la proposta di decisione del Consiglio che istituisce l'Ufficio europeo di polizia (Europol) (cfr. punto 31 del presente parere) contiene un siffatto riferimento.

(15) Il GEPD sa che tale questione è oggetto di discussione anche in sede di gruppo del Consiglio e che potrebbe essere mantenuto un elenco di tipo chiuso. Questo risultato sarebbe naturalmente accolto con favore.

(16) Cfr. nello stesso senso precedenti pareri del GEPD, quale il parere sull'iniziativa di 15 Stati membri per l'adozione di una decisione del Consiglio sul rafforzamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo ed alla criminalità transfrontaliera (Prüm), punti 47-48.

(17) Direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU L 105 del 13.4.2006, pag. 54).

(18) Gli archivi di lavoro per fini di analisi sono descritti agli articoli 14 e 16 della proposta menzionata al punto 31 del presente parere. All'articolo 26 dell'iniziativa è utilizzata l'espressione «archivi di lavoro per fini di analisi».

(19) Il GEPD ha formulato un parere sulla proposta in data 16 febbraio 2007 (GU C 255 del 27.10.2007, pag. 13). L'ultima versione della proposta, datata 10 aprile 2008, è disponibile sul registro pubblico del Consiglio.

(20) Si veda altresì al riguardo il documento di riflessione presentato dal coordinatore antiterrorismo nel novembre 2007 (doc. 15448/07 del Consiglio).

(21) Articolo 23 della decisione 2002/187/GAI del Consiglio.

(22) Decisione del Consiglio, del 17 ottobre 2000, che istituisce un segretariato delle autorità di controllo comuni preposte alla protezione dei dati istituite dalla convenzione che istituisce un ufficio europeo di polizia (convenzione Europol), dalla convenzione sull'uso dell'informatica nel settore doganale e dalla convenzione di applicazione dell'accordo di Schengen relativo all'eliminazione graduale dei controlli alle frontiere comuni (convenzione di Schengen) (GU L 271 del 24.10.2000, pag. 1).

(23) Ultima versione, cfr. nota 19.