Parere del Garante europeo della protezione dei dati sulla proposta di decisione del Consiglio che istituisce il sistema europeo di informazione sui casellari giudiziari (ECRIS) in applicazione dell'articolo 11 della decisione quadro 2008/.../GAI

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del Garante europeo della protezione deidati sulla proposta di decisione del Consiglio che istituisce il sistema europeo di informazione sui casellari giudiziari (ECRIS) in applicazione dell'articolo 11 della decisione quadro 2008/.../GAI

(Pubblicato sulla GUUE n. C 42 del 20.2.2009)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea,in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unioneeuropea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo edel Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisichecon riguardo al trattamento dei dati personali, nonché alla libera circolazionedi tali dati,

visto il regolamento (CE) n. 45/2001 del Parlamentoeuropeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle personefisiche in relazione al trattamento dei dati personali da parte delleistituzioni e degli organismi comunitari, nonché la libera circolazione di talidati, in particolare l'articolo 41,

vista la richiesta di parere a norma dell'articolo28, paragrafo 2, del regolamento (CE) n. 45/2001 trasmessa al GEPD il 27 maggio2008,

HA ADOTTATO IL SEGUENTE PARERE:

I. OSSERVAZIONI INTRODUTTIVE

1. Il 27 maggio 2008 la Commissione ha adottato laproposta di decisione del Consiglio che istituisce il sistema europeo diinformazione sui casellari giudiziari (ECRIS) in applicazione dell'articolo 11della decisione quadro 2008/…/GAI (di seguito: «la proposta») ⁽¹⁾che ha poi trasmesso al GEPD per consultazione conformemente all'articolo 28,paragrafo 2, del regolamento (CE) n. 45/2001.

2. Obiettivo della proposta è dare attuazioneall'articolo 11 della decisione quadro del Consiglio relativaall'organizzazione e al contenuto degli scambi fra Stati membri di informazioniestratte dal casellario giudiziario ⁽²⁾ (di seguito: «la decisionequadro del Consiglio») per costruire e sviluppare un sistema informatizzato discambio di informazioni tra gli Stati membri ⁽³⁾. Come indicatoall'articolo 1, essa istituisce il sistema europeo di informazione suicasellari giudiziari (ECRIS) e definisce anche gli elementi di un formato standardper lo scambio elettronico delle informazioni e altre modalità generali etecniche di attuazione per organizzare e agevolare gli scambi di informazioni.

3. Il GEPD si rallegra di essere stato consultato eraccomanda che il riferimento alla consultazione figuri nei considerando dellaproposta, come è avvenuto per una serie di altri testi legislativi sui quali ilGEPD è stato consultato, a norma del regolamento (CE) n. 45/2001.

II. ANTEFATTI E CONTESTO

4. Il GEPD ricorda di aver reso un parere sulladecisione quadro del Consiglio in data 29 maggio 2006. Fra gli elementi di taleparere vale la pena ricordarne alcuni:

— accento sull'importanza di un formatostandard come mezzo per evitare l'ambiguità circa il contenuto delle informazioniestratte dai casellari giudiziari,

— appoggio alle scelte operate nella decisionequadro del Consiglio di non prevedere una banca dati europea centralizzata e dinon consentire l'accesso diretto a banche dati che sarebbero difficili dacontrollare,

— applicazione della decisione quadro delConsiglio sulla protezione dei dati personali trattati nell'ambito della cooperazionegiudiziaria e di polizia in materia penale alle informazioni estratte daicasellari giudiziari, anche in relazione alle trasmissioni di dati personali apaesi terzi,

— efficacia dello scambio di informazioni in uncontesto notevolmente differenziato di normative nazionali in materia dicasellari giudiziari, e conseguente necessità di disposizioni supplementari peril suo funzionamento,

— suddivisione delle responsabilità tra gliStati membri e conseguenti difficoltà per un controllo adeguato; si consideravapositivamente la designazione di un'autorità centrale a livello nazionale,

— vasto campo di applicazione della decisionequadro del Consiglio, che si applica a tutte le condanne penali trasmesse alcasellario giudiziario.

5. Questi elementi del parere del 2006 sono tuttoraesplicativi del contesto in cui verrà analizzata la proposta. In particolare, èdeterminante per il contesto la discordanza del diritto interno in materia dicasellari giudiziari, discordanza che sollecita l'adozione di misuresupplementari affinché il sistema di scambio funzioni. La proposta ECRIS, inquanto tale, costituisce una misura supplementare. Anche il contesto, però, sista sviluppando.

6. In primo luogo, la decisione quadro del Consiglioe la sua attuazione con la proposta ECRIS costituiscono un insieme nell'ambitodei vari nuovi strumenti giuridici intesi ad agevolare lo scambio diinformazioni tra gli Stati membri dell'Unione europea ai fini dell'applicazionedella legge.

Tutti i suddetti strumenti conferiscono sostanza alprincipio di disponibilità introdotto dal programma dell'Aia del 2004 ⁽⁴⁾.Mentre la maggior parte di essi è incentrata sulla cooperazione di polizia, lostrumento in questione costituisce un mezzo di cooperazione giudiziaria inmateria penale ai sensi dell'articolo 31 del trattato UE ⁽⁵⁾.L'obiettivo, però, è lo stesso: agevolare lo scambio di informazioni ai finidell'applicazione della legge. I suddetti strumenti spesso includono o sono supportatida sistemi TI e/o dalla standardizzazione delle prassi di scambio. Da questopunto di vista la proposta ECRIS non è isolata per valutarla, Il GEPD beneficiadelle precedenti esperienze fatte con strumenti analoghi.

7. In secondo luogo, il quadro giuridico UE per laprotezione dei dati si sta sviluppando. L'adozione della decisione quadro delConsiglio sulla protezione dei dati personali trattati nell'ambito dellacooperazione giudiziaria e di polizia in materia penale, menzionata nelconsiderando 14 come quadro generale applicabile nell'ambito dello scambioinformatizzato di informazioni estratte dai casellari giudiziari, è previstaper la fine del 2008. Detta decisione quadro prevederà garanzie minime per laprotezione dei dati qualora i dati personali siano o siano stati trasmessi oresi disponibili tra Stati membri ⁽⁶⁾. Ne conseguirà una maggioreconvergenza del diritto interno quanto alle condizioni di utilizzo dei datipersonali (ai sensi dell'articolo 9 della decisione quadro del Consiglio relativaagli scambi di informazioni estratte dal casellario giudiziario).

8. Occorre al riguardo porre l'accento sul fatto chea seguito dei negoziati per la decisione quadro sulla protezione dei datipersonali sono state introdotte modifiche, alcune delle quali condizionerannospecificamente il quadro giuridico in cui si effettua lo scambio diinformazioni sui casellari giudiziari:

— limitazione del campo di applicazione, cheora riguarda soltanto i dati personali scambiati con altri Stati membri e nonpiù i dati trattati unicamente all'interno di un solo Stato membro,

— mancanza di meccanismi di effettivocoordinamento tra le autorità di protezione dei dati.

9. Tenuto conto di quanto precede, l'articolo 9 delladecisione quadro relativa agli scambi di informazioni estratte dal casellariogiudiziario — che stabilisce alcune «condizioni di utilizzo dei datipersonali» — va vista come una lex specialis in materia di protezione dei dati, che prevedegaranzie supplementari rispetto a quelle stabilite dalla lex generalis, ovvero la decisione quadro sulla protezione deidati personali.

Il suddetto articolo, in particolare i paragrafi 2 e4, specifica il principio di limitazione delle finalità relativamente alloscambio di informazioni sui casellari giudiziari, per il quale ammette deroghesoltanto nelle circostanze esplicitamente menzionate dalle suddettedisposizioni.

10. In terzo luogo, la Commissione europea hapresentato in stretta connessione con la proposta considerata, unacomunicazione su una strategia europea in materia di «giustizia elettronica» ⁽⁷⁾,con la quale intende contribuire al rafforzamento e allo sviluppo di strumentidi giustizia elettronica a livello europeo. Vi figurano una serie di iniziativedi notevole impatto sulla protezione dei dati personali come, ad esempio, lacreazione di una rete di scambi protetti per la condivisione delle informazionitra autorità giudiziarie e la creazione di una banca dati europea di traduttorie interpreti giudiziari. Il GEPD intende reagire alla comunicazione in undocumento a parte.

III. SCAMBIO DI INFORMAZIONI PREVISTO NELLA

DECISIONE QUADRO DEL CONSIGLIO

11. L'articolo 11 della decisione quadro delConsiglio descrive quali informazioni devono o possono essere trasmesse (paragrafo1) e al paragrafo 3 prevede la base giuridica della presente proposta.L'allegato II della decisione quadro del Consiglio contiene il modulo dautilizzare per lo scambio. Vi figurano le informazioni che devono esserefornite dallo Stato membro richiedente e le informazioni da trasmettere inrisposta alla richiesta. Il modulo può essere modificato con una decisione delConsiglio, come attualmente proposto dalla Commissione.

12. L'articolo 11, paragrafo 1, opera una distinzionetra informazioni obbligatorie, informazioni facoltative, informazioni supplementarie altre eventuali informazioni. Il modulo dell'allegato II non rispecchia talidistinzioni. Ad esempio, le informazioni relative ai nomi dei genitori dellapersona oggetto di condanna nell'articolo 11 sono qualificate come informazionifacoltative che devono essere trasmesse solo se iscritte nel casellariogiudiziario. L'allegato II non rispecchia il carattere facoltativo dellatrasmissione.

13. Il GEPD suggerisce di sfruttare questa occasioneper rendere il modulo totalmente conforme all'articolo 11. Ciò consentirà dilimitare la trasmissione di dati personali al minimo effettivamente necessarioai fini dello scambio. Nell'esempio summenzionato non sembra esserci lanecessità di trasmettere automaticamente i nomi dei genitori delle persone oggettodi condanna: così facendo si potrebbe arrecare un danno inutile alle personecoinvolte, ossia i genitori.

IV. SISTEMA ECRIS

Considerazioni generali

14. L'articolo 3 è il punto focale della proposta.Prevede la creazione di ECRIS come un sistema basato su un'architettura informaticadecentrata e composto di tre elementi: una banca dati di casellari giudiziaridi ciascuno Stato membro, un'infrastruttura di comunicazione comune e unsoftware di interconnessione.

15. Il GEPD appoggia la presente proposta dicreazione dell'ECRIS, purché si tenga conto delle osservazioni formulate nelpresente parere.

16. In questo contesto sottolinea che, da un lato,non è creata alcuna banca dati centrale europea e non è previsto un accessodiretto ai casellari giudiziari di altri Stati membri, mentre, dall'altro, alivello nazionale le responsabilità sono centralizzate presso le autoritàcentrali degli Stati membri, designate ai sensi dell'articolo 3 della decisionequadro del Consiglio. Questo meccanismo limita la conservazione e lo scambio didati personali al minimo, mentre stabilisce anche chiaramente le responsabilitàche incombono alle autorità centrali. Nell'ambito del meccanismo gli Stati membrisono responsabili della gestione delle banche dati nazionali relative aicasellari giudiziari nonché del funzionamento efficace degli scambi. Essi sonoaltresì responsabili del software di interconnessione (articolo 3, paragrafo 2,della proposta).

17. Sarà creata un'infrastruttura comune che,inizialmente, sarà la rete S-TESTA ⁽⁸⁾, la quale potrà esseresostituita da un'altra rete sicura gestita dalla Commissione (articolo 3, paragrafo4, della proposta). Secondo l'interpretazione del GEPD, la Commissione saràresponsabile dell'infrastruttura comune, anche se ciò non risulta chiaramentedall'articolo 3.

Il GEPD suggerisce di chiarire questa responsabilitànel testo stesso, a fini di certezza del diritto.

Primo elemento: banche dati di casellarigiudiziari di ciascuno Stato membro

18. Nel parere del 29 maggio 2006 il GEPD si eradichiarato favorevole a un'architettura decentrata. Tra l'altro, ciò evita direplicare ulteriormente i dati personali in una banca dati centrale. La sceltadi un'architettura decentrata comporta automaticamente che gli Stati membrisiano responsabili delle banche dati relative ai casellari giudiziari e altrattamento dei dati personali nell'ambito di tali banche. Più specificamente,sono le autorità centrali degli Stati membri ad essere responsabili deltrattamento per le banche dati in questione. In qualità di responsabili deltrattamento esse hanno competenza sul contenuto delle banche dati nonché sulcontenuto delle informazioni che vengono scambiate.

La decisione quadro del Consiglio stabilisce gliobblighi che incombono allo Stato membro di condanna e allo Stato membro dinazionalità della persona interessata.

19. In questo contesto ECRIS costituisce una rete dapari a pari per lo scambio di informazioni tra le banche dati nazionali.

Una rete da pari a pari, quale è il caso di ECRIS,presenta taluni rischi che occorre affrontare:

— nella pratica, la suddivisione delleresponsabilità tra le autorità centrali degli Stati membri non si produce da sola:risultano necessarie misure supplementari, ad esempio per garantirel'aggiornamento e l'uguaglianza delle informazioni detenute dallo Stato membroche trasmette e da quello che riceve (stato di condanna e stato di nazionalità),

— quest'architettura è fonte di grandi diversitànel modo in cui viene applicata dai vari Stati membri, diversità che risultanoancora più manifeste in un contesto di grandi differenze tra le legislazioninazionali (quale è il caso dei casellari giudiziari).

20. L'armonizzazione dell'uso della rete stessa, e delleprocedure che lo disciplinano, è pertanto fondamentale. Il GEPD rileva inparticolare l'importanza che tutti gli usi che si fanno della rete sianoarmonizzati, con standard elevati in materia di protezione dei dati. Le misuredi esecuzione che saranno adottate ai sensi dell'articolo 6 della proposta sonoquindi della massima importanza. Il GEPD raccomanda che l'articolo 6 facciariferimento ad un livello elevato di protezione dei dati quale condizione preliminareper tutte le misure di esecuzione da adottare.

21. A questo riguardo, le autorità nazionali diprotezione dei dati possono svolgere un ruolo, purché operino in maniera armonizzata.Il GEPD suggerisce di includere un considerando in cui si metta in rilievo ilruolo delle autorità di protezione dei dati, così come il considerando 11 el'articolo 3, paragrafo 5, rilevano che la Commissione assiste gli Statimembri. Il nuovo considerando dovrebbe anche incoraggiare le autorità diprotezione dei dati a cooperare.

22. Infine il GEPD nota con favore la disposizione dicui all'articolo 3, paragrafo 3, destinata a promuovere le migliori tecnichedisponibili per garantire la riservatezza e l'integrità dei dati dei casellarigiudiziari inviati ad altri Stati membri. Tuttavia, sarebbe auspicabile cheanche le competenti autorità di protezione dei dati fossero coinvolte insiemecon (le autorità centrali de) gli Stati membri e la Commissione nell'identificazionedi dette tecniche.

Secondo elemento: infrastruttura di comunicazione comune

23. La responsabilità della Commissione perl'infrastruttura di comunicazione comune implica la qualifica di fatto come il fornitoredella rete. Ai fini della protezione dei dati la Commissione può essereconsiderata come il responsabile del trattamento ai sensi dell'articolo 2,lettera i), della decisione quadro del Consiglio sulla protezione dei datipersonali, anche se con compiti limitati: fornire la rete e garantirne lasicurezza. Qualora in relazione alla fornitura della rete siano trattati datipersonali oppure se emergono questioni di protezione dei dati relativamentealla sicurezza della rete, la Commissione svolgerà la funzione di responsabile deltrattamento. In questo caso il ruolo della Commissione è analogo a quello chesvolge nei sistemi SIS, VIS e Eurodac, vale a dire di responsabile per lagestione operativa (e non per il contenuto dei dati personali). Questo ruolo è statodefinito come responsabile del trattamento «sui generis» ⁽⁹⁾.

24. L'infrastruttura di comunicazione comune si baseràsu S-TESTA, almeno nel breve periodo. S-TESTA è volto a collegare tra loro gliorganismi dell'UE con le autorità nazionali, quali amministrazioni ed agenzieubicate in tutta Europa. Si tratta di una rete dedicata di telecomunicazioni. Ilcentro operativo dei servizi si trova a Bratislava. S-TESTA forma inoltre lastruttura portante di altri sistemi informativi operanti nel contesto dellospazio di libertà, sicurezza e giustizia, quale il sistema di informazioneSchengen. Il GEPD approva la scelta di S-TESTA che si è dimostrato un sistemaaffidabile per lo scambio.

25. Il ruolo della Commissione quale responsabile deltrattamento «sui generis» ha anche conseguenze sulla legge applicabile inmateria di protezione dei dati e sul controllo. L'articolo 3 del regolamento(CE) n. 45/2001 stipula che il regolamento «si applica al trattamento di datipersonali da parte di tutte le istituzioni e di tutti gli organismi comunitari,nella misura in cui detto trattamento avviene nell'esercizio di attività cherientrano in tutto o in parte nel campo di applicazione del diritto comunitario».

26. Se tutte le attività di trattamento dellaCommissione o parte di esse rientrassero nel campo d'applicazione del diritto comunitarionon vi sarebbero dubbi quanto all'applicabilità del regolamento (CE) n.45/2001. In particolare l'articolo 1 del regolamento citato prevede che le istituzionie gli organismi comunitari garantiscano la tutela dei diritti e delle libertàfondamentali delle persone fisiche, in particolare il diritto alla vita privataper quanto attiene al trattamento di dati personali. Ai sensi dell'articolo 22del medesimo regolamento, la Commissione «adotta opportune misure tecniche edorganizzative per garantire un livello di sicurezza appropriato, in relazioneai rischi che il trattamento comporta e alla natura dei dati personali daproteggere».

Tali attività si svolgono sotto il controllo delGEPD.

27. Tuttavia, per quanto riguarda il caso in esame econtrariamente al sistema d'informazione Schengen ⁽¹⁰⁾, va rilevato chela base giuridica per le attività di trattamento si ritrova nel titolo VI deltrattato UE (terzo pilastro). Ciò significa che il regolamento (CE) n. 45/2001non si applica automaticamente, né si applica alle attività di trattamentodella Commissione qualunque altro quadro giuridico sulla protezione dei dati esul controllo. Questo è un fatto poco felice per l'ovvia ragione di un'assenzadi protezione dell'interessato, in particolare dal momento che il trattamentodei dati personali relativi a condanne penali è di natura sensibile, comerisulta dall'articolo 10, paragrafo 5, del regolamento (CE) n. 45/2001 ai cuisensi il trattamento che riguarda condanne penali rientra tra le operazioni chepotrebbero presentare rischi specifici. La situazione è ancor più infelice dalmomento che il GEPD è, sulla base di altri strumenti giudici, coinvolto nelcontrollo di S-TESTA. Per questo motivo il GEPD propone di aggiungere alladecisione ⁽¹¹⁾ una disposizione in cui si dichiari che ilregolamento (CE) n. 45/2001 si applica al trattamento dei dati personali sotto responsabilitàdella Commissione.

Terzo elemento: software di interconnessione

28. La proposta opera una distinzione tral'infrastruttura tecnica comune per la connessione delle banche dati e ilsoftware di interconnessione. Come già indicato, gli Stati membri sonoresponsabili del software di interconnessione. Conformemente al considerando11, la Commissione può fornire tale software, ma gli Stati membri sono liberidi utilizzarlo o meno al posto del loro software di interconnessione.

29. Si pone il problema del perché le responsabilitàdell'infrastruttura tecnica e della connessione del software debbano esseredistinte e non attribuite entrambe alla Commissione. Esse riguardano in effettila rete tra autorità centrali degli Stati membri (i punti d'accesso nazionalialla rete) e non lo scambio d'informazioni all'interno degli Stati membri.

30. Attribuire questa responsabilità supplementarealla Commissione non comprometterebbe il carattere decentrato dell'architetturainformatica, mentre d'altro canto l'efficacia dello scambio dovrebbe essereottimale. Migliorare l'efficacia è importante sotto il profilo della protezionedei dati per motivi connessi alla qualità dei dati: devono infatti essere scambiatisolo i dati essenziali, evitando che siano fornite informazioni supplementari acausa di imperfezioni del sistema. Inoltre, riunire le responsabilitàdell'infrastruttura di comunicazione comune a un unico livello consente una miglioresupervisione del sistema.

31. Ciò è tanto più importante alla luce dellafunzione del software di strumento per lo scambio. Caratteristiche importanti delsoftware di interconnessione consistono nel permettere di controllare l'identitàdel mittente nonché la compatibilità e integrità delle richieste, e, diconseguenza, consentire la convalida delle richieste. L'interoperabiltà del softwareutilizzato dagli Stati membri è pertanto essenziale.

Non tutti gli Stati membri devono necessariamenteutilizzare il medesimo software (anche se ciò sarebbe la soluzione piùpratica), ma i software utilizzati devono essere pienamente interoperabili.

32. La proposta riconosce la necessità di armonizzaregli aspetti connessi al software di interconnessione. Le misure di esecuzionedi cui all'articolo 6, da adottare mediante procedura di comitato, comprendono,ad esempio, «procedure di verifica della conformità delle applicazioniinformatiche alle specifiche tecniche». L'articolo 6 menziona inoltre un pacchettocomune di protocolli, che tuttavia non è prescritto per il software diinterconnessione. L'articolo 6 non prevede neanche l'individuazione di unsoftware.

33. Per i suddetti motivi, al fine di migliorarel'efficacia e la sicurezza degli scambi, il GEPD raccomanda quanto segue:

— come minimo, dovrebbero essere adottatemisure di esecuzione che assicurino l'interoperabilità del software,

— preferibilmente, il testo dovrebbe imporrealla Commissione e agli Stati membri, probabilmente mediante procedura dicomitato, di sviluppare o individuare un software che soddisfi tutte lecondizioni sopra elencate,

— il testo dovrebbe indicare che la Commissionesarà responsabile del software di interconnessione.

V. ALTRE QUESTIONI

Manuale

34. L'articolo 6, lettera b), prevede che un manualeda adottare secondo la procedura di comitato stabilisca le procedure di scambiodelle informazioni e «tratti in particolare delle modalità di identificazionedegli autori dei reati». Il GEPD si chiede cosa conterrà precisamente questomanuale e se sarà prevista, ad esempio, l'identificazione mediante il ricorso adati biometrici.

35. Il GEPD sottolinea che l'identificazione degliautori di reati non dovrebbe comportare lo scambio di dati personali non esplicitamentemenzionati nella decisione quadro. Inoltre, il manuale dovrebbe prevederegaranzie adeguate per il trattamento e la trasmissione di categorie speciali didati, quali i dati biometrici.

Raccolta di dati statistici

36. L'articolo 6, lettera c), e l'articolo 8 fannoriferimento alla raccolta di dati statistici, che rappresenta un elemento chiavenon solo per valutare l'efficacia del sistema di scambio di dati, ma anche percontrollare il rispetto delle garanzie in materia di protezione dei dati.Tenuto conto di quanto precede, il GEPD raccomanda che, in linea con gli altristrumenti giuridici relativi allo scambio di dati personali ⁽¹²⁾,siano definiti più dettagliatamente i dati statistici da raccogliere, tenendoin debito conto la necessità di assicurare il controllo della protezione deidati. Ad esempio, i dati statistici potrebbero includere esplicitamenteelementi come il numero di richieste di accesso o di rettifica dei datipersonali, la durata e la completezza del processo di aggiornamento, laqualifica delle persone che possono accedere ai dati e i casi di violazionedella sicurezza. Inoltre, i dati statistici e le relazioni basate su di essidovrebbero essere messi integralmente a disposizione delle autorità competentiper la protezione dei dati.

Coordinamento del controllo del trattamento deidati

37. Il GEPD ha già sottolineato, nel suo parere del29 maggio 2006 sulla decisione quadro relativa agli scambi di informazioni estrattedal casellario giudiziario, che la proposta non dovrebbe riguardare soltanto lacooperazione tra le autorità centrali, ma anche la cooperazione tra le varieautorità competenti per la protezione dei dati. Ciò è diventato ancor piùnecessario in quanto i negoziati sulla decisione quadro relativa allaprotezione dei dati hanno portato alla soppressione della disposizione cheistituiva un gruppo che riunisce le autorità dell'UE per la protezione dei datie ne coordina le attività con riguardo al trattamento dei dati nel quadro dellacooperazione di polizia e giudiziaria in materia penale.

38. Pertanto, onde garantire l'efficace controllo ela buona qualità della circolazione transfrontaliera dei dati estratti dal casellariogiudiziario, sarebbe necessario predisporre opportuni meccanismi dicoordinamento tra le autorità preposte alla protezione dei dati. Questimeccanismi dovrebbero tener conto anche della competenza in materia dicontrollo del GEPD per quanto riguarda l'infrastruttura S-TESTA e potrebberoformare oggetto di una disposizione specifica o essere aggiunti alla misure diesecuzione da adottare ai sensi dell'articolo 6 della proposta.

Traduzioni

39. I considerando 6 e 8 e la relazione dellaCommissione fanno riferimento a un ampio ricorso alla traduzione automatica. Purrallegrandosi di qualsiasi misura intesa a migliorare la reciproca comprensionedelle informazioni trasmesse, il GEPD sottolinea l'importanza di definire e circoscrivereprecisamente l'uso della traduzione automatica. In effetti, una volta che sarannostate effettuate accurate pretraduzioni delle categorie di reati elencatinell'allegato della decisione, l'uso di codici comuni consentirà alle autorità nazionalidi leggere la traduzione automatica di tali categorie nella rispettiva linguanazionale. Questo uso della traduzione automatica è uno strumento utile epotrebbe favorire la reciproca comprensione dei vari reati penali.

40. Tuttavia, l'uso della traduzione automatica perla trasmissione di informazioni che non sono state accuratamente pretradotte,come osservazioni o precisazioni supplementari aggiunte in casi specifici,rischia di compromettere la qualità delle informazioni trasmesse — epertanto delle decisioni prese basandosi su tali informazioni — edovrebbe quindi essere esclusa in linea di principio. Il GEPD raccomanda di precisarequesto aspetto nei considerando della decisione del Consiglio.

VI. CONCLUSIONI

41. Il GEPD raccomanda che nei considerando dellaproposta sia introdotto un riferimento alla presente consultazione.

42. Si suggerisce di sfruttare questa occasione peradeguare totalmente il modulo conformemente all'articolo 11 della decisionequadro del Consiglio sulle informazioni estratte dal casellario giudiziario,che distingue tra informazioni obbligatorie, informazioni facoltative,informazioni supplementari ed altre eventuali informazioni.

43. Il GEPD appoggia la proposta di creazionedell'ECRIS, purché si tenga conto delle osservazioni formulate nel presenteparere, ossia:

— chiarire nel testo la responsabilità dellaCommissione in relazione all'infrastruttura di comunicazione comune pergarantire la certezza del diritto,

— aggiungere nella decisione una disposizioneal fine di precisare che il regolamento (CE) n. 45/2001 si applica altrattamento dei dati personali sotto responsabilità della Commissione,

— l'articolo 6 deve fare riferimento ad unlivello elevato di protezione dei dati quale condizione preliminare per tuttele misure di esecuzione da adottare,

— un considerando dovrebbe sottolineare ilruolo delle autorità per la protezione dei dati in relazione alle misure diesecuzione e incoraggiare la cooperazione tra tali autorità,

— occorre adottare misure di esecuzione chegarantiscano l'interoperabilità del software,

— la Commissione e gli Stati membri dovrebberoessere tenuti — probabilmente mediante la procedura di comitato

— a sviluppare o individuare un software che rispondaa tutti i necessari requisiti,

— il testo dovrebbe indicare che la Commissionesarà responsabile del software di interconnessione.

44. I dati statistici da raccogliere dovrebberoessere definiti più in dettaglio e tener debitamente conto della necessità di garantireil controllo della protezione dei dati.

45. Dovrebbero essere elaborati opportuni meccanismidi coordinamento tra autorità competenti per la protezione dei dati, tenendoconto della competenza del GEPD in materia di controllo per quanto riguardal'infrastruttura S-TESTA.

46. Nei considerando della decisione del Consigliooccorre specificare che l'uso della traduzione automatica non dovrebbe essereesteso alla trasmissione di informazioni che non siano state accuratamentepretradotte.

Fatto a Bruxelles, il 16 settembre 2008.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE
(1) COM(2008) 332 definitivo.

(2) Non ancora adottata; la versionepiù recente della proposta, riformulata dal Consiglio, è disponibile nelregistro pubblico del Consiglio (doc. 5968/08).

(3) Considerando 6 della proposta.

(4) GU C 53 del 3.3.2005, pag. 1.

(5) Un altro esempio è lo scambio diinformazioni tramite Eurojust. Il quadro giuridico per tale scambio saràmodificato a seguito dell'adozione di una decisione del Consiglio relativa alrafforzamento dell'Eurojust e che modifica la decisione 2002/187/GAI (cfr.iniziativa pubblicata nella GU C 54 del 27.2.2008, pag. 4).

(6) Cfr. articolo 1 della propostadi decisione quadro del Consiglio (versione più recente disponibile nelregistro del Consiglio, 24 giugno 2008, doc. 9260/08).

(7) Comunicazione della Commissioneal Consiglio, al Parlamento europeo e al Comitato economico e sociale europeo— Verso una strategia europea in materia di «giustizia elettronica»,COM(2008) 329 defin.

(8) Servizi transeuropei sicuri perla comunicazione telematica tra amministrazioni.

(9) Si veda il parere del 19 ottobre2005 su tre proposte riguardanti il sistema di informazione Schengen di secondagenerazione (SIS II) (GU C 91 del 19.4.2006, pag. 38, punto 5.1).

(10) E i sistemi VIS e Eurodac chesono sistemi rientranti pienamente nel campo di applicazione del dirittocomunitario.

(11) Si veda nello stesso ordine diproblemi del terzo pilastro l'articolo 39, paragrafo 6, della decisione delConsiglio che istituisce l'Ufficio europeo di polizia (Europol) che garantiscel'applicazione del regolamento (CE) n. 45/2001 al trattamento di dati personalirelativi al personale Europol (testo del 24 giugno 2008, doc. 8706/08 delConsiglio).

(12) Cfr., ad esempio, l'articolo 3,paragrafo 3, e l'articolo 3, paragrafo 4, del regolamento (CE) n. 2725/2000 delConsiglio, dell'11 dicembre 2000, che istituisce l'«Eurodac» per il confrontodelle impronte digitali per l'efficace applicazione della convenzione diDublino.