Parere del Garante europeo della protezione dei dati sulla proposta di regolamento del Consiglio recante modifica del regolamento (CE) n. 881/2002 che impone specifiche misure restrittive nei confronti di determinate persone ed entità associate a Osama bin Laden, alla rete Al-Qaeda e ai Talebani

(Pubblicato sulla GUUE n. C 276 del 17/11/2009)

 

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41,

vista la richiesta di parere a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 inviata al GEPD il 22 aprile 2009,

HA ADOTTATO IL SEGUENTE PARERE:

 

I. INTRODUZIONE

1. Il 22 aprile 2009 la Commissione ha adottato una proposta di regolamento del Consiglio recante modifica del regolamento (CE) n. 881/2002 che impone specifiche misure

estrittive nei confronti di determinate persone ed entità associate a Osama bin Laden, alla rete Al-Qaeda e ai Talebani (in appresso «la proposta»). Nello stesso giorno la Commissione ha inviato la proposta al GEPD per consultazione, ai sensi dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001. Il GEPD ricorda di avere formulato, il 9 marzo 2009, osservazioni informali sul progetto di proposta e rileva che tali osservazioni sono state prese in considerazione nella proposta.

2. Il GEPD si rallegra di essere stato consultato e del fatto che nel preambolo della proposta si faccia riferimento a tale consultazione, come già avvenuto in una serie di altri testi legislativi sui quali il GEPD è stato consultato, conformemente al regolamento (CE) n. 45/2001.

3. La proposta modifica il regolamento (CE) n. 881/2002, uno degli strumenti comunitari adottati per lottare contro il terrorismo mediante misure restrittive — segnatamente il congelamento dei beni — nei confronti di persone fisiche e giuridiche sospettate di associazione con organizzazioni terroristiche. In particolare la proposta mira a tener conto della recente evoluzione della giurisprudenza della Corte di giustizia, soprattutto della causa Kadi ^{( 1 )}, stabilendo «una procedura che rispetti i diritti fondamentali, da applicare alle persone e alle entità appena inserite nell'elenco delle Nazioni Unite» (punto 4 della relazione).

 

II. QUADRO GIURIDICO

4. Benché nelle sue sentenze la Corte sia stata invitata a esaminare specificamente il rispetto del diritto fondamentale di difesa e in particolare il diritto di audizione, la giurisprudenza in questo settore ha ripercussioni più ampie e potrebbe essere sintetizzata come segue: le norme dell'UE in materia di protezione dei diritti fondamentali dovrebbero essere rispettate indipendentemente dal fatto che le misure restrittive siano adottate a livello di UE o provengano da organizzazioni internazionali come le Nazioni Unite ^{( 2 )}.

5. I diritti fondamentali dell'UE includono anche il diritto alla protezione dei dati personali, che è stato riconosciuto dalla Corte di giustizia come uno dei principi derivanti dall'articolo 6, paragrafo 2 del TUE e successivamente con­ fermato dall'articolo 8 della Carta dei diritti fondamentali dell'UE.

6. In tale ottica il GEPD accoglie favorevolmente non solo la recente giurisprudenza della Corte di giustizia, ma anche l'intenzione della Commissione di darle seguito migliorando la procedura d'inserimento nell'elenco e tenendo espressamente conto del diritto alla protezione dei dati personali.

Infatti il GEPD, pur riconoscendo appieno l'obiettivo di lottare contro il terrorismo mediante il trattamento e lo scambio di dati personali, è fermamente convinto che la protezione di tali dati sia un fattore essenziale nel garantire la legittimità e l'efficacia delle misure restrittive adottate dalla Commissione. Tali misure si basano sul trattamento dei dati personali, che di per sé — indipendentemente dal congelamento dei beni — deve essere sottoposto alle norme e alle garanzie concernenti la protezione dei dati.

Pertanto è estremamente importante fornire chiarezza e certezza del diritto sulle norme applicabili al trattamento dei dati personali di coloro che sono inseriti nell'elenco, come menzionato al punto 8 della relazione.

7. Ciò è ancora più importante nella prospettiva dell'entrata in vigore del trattato di Lisbona, che non solo renderà vincolante la Carta dei diritti fondamentali dell'UE, ma stabilirà anche, all'articolo 16 del TFUE e all'articolo 39 del TUE, la necessità di norme e garanzie in materia di protezione dei

dati in tutti i settori di attività dell'Unione europea. Inoltre la Corte di giustizia sarà pienamente competente, anche nel settore della politica estera e di sicurezza comune, a valutare la legittimità — e in particolare il rispetto dei diritti fondamentali — delle decisioni che prevedono misure restrittive nei confronti di persone fisiche o giuridiche (articolo 275 del TFUE).

 

III. ANALISI DELLA PROPOSTA

III.1. Legislazione e principi applicabili alla protezione dei dati

8. Il GEPD si rallegra dei riferimenti, contenuti nel preambolo, alla necessità di applicare il regolamento conformemente al diritto fondamentale alla protezione dei dati personali (considerando 10) e di prevedere appropriate garanzie specifiche nei casi in cui la Commissione tratta dati relativi a reati commessi da persone fisiche incluse nell'elenco, e a condanne penali o misure di sicurezza riguardanti tali persone.

9. Il GEPD considera positivo anche il fatto che la proposta riconosca espressamente, nel considerando 12, l'applicabilità delle norme in materia di protezione dei dati, e in particolare del regolamento (CE) n. 45/2001, al trattamento dei dati personali in questo settore. Infatti l'articolo 3 del regolamento (CE) n. 45/2001 dispone che il regolamento si applica «al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organismi comunitari, nella misura in cui detto trattamento avviene nell'esercizio di attività che rientrano in tutto o in parte nel campo di applicazione del diritto comunitario». In tale ottica, anche se il regolamento (CE) n. 881/2002 è connesso alla posizione comune 2002/402/PESC e alle attività delle Nazioni Unite in questo settore, esso si basa sul trattato che istituisce la Comunità europea.

10. A titolo generale, il GEPD desidera sottolineare che il regolamento (CE) n. 45/2001 stabilisce una serie di obblighi per i responsabili del trattamento — tra l'altro, qualità dei dati,

liceità del trattamento, notificazione, sicurezza del trattamento — nonché diritti per gli interessati — tra l'altro, accesso, rettifica, blocco, cancellazione, notificazione a terzi, mezzi di ricorso — che si applicano tranne in caso di deroghe e limitazioni stabilite ai sensi dell'articolo 20. In ogni caso tali limitazioni al diritto fondamentale alla protezione dei dati dovrebbero soddisfare un criterio rigoroso di proporzionalità, ossia dovrebbero limitarsi — sia nel merito sia nell'applicazione temporale — a quanto necessario ai fini del pubblico interesse in questione, come con­ fermato dalla giurisprudenza della Corte di giustizia, anche nell'ambito delle misure restrittive. Ciò è tanto più importante in quanto tali diritti e obblighi, unitamente alla necessità di un controllo indipendente del trattamento di dati personali, costituiscono il nucleo del diritto fondamentale alla protezione dei dati, come espressamente confermato dall'articolo 8 della Carta dei diritti fondamentali dell'UE.

11. Inoltre, pur rallegrandosi del fatto che la proposta riguardi, implicitamente o esplicitamente, alcuni di questi obblighi e diritti, il GEPD desidera sottolineare che la proposta non può essere interpretata nel senso di escludere o limitare l'applicabilità degli obblighi e diritti degli interessati che non sono menzionati nella proposta stessa.

12. In questo contesto, nei punti successivi il GEPD analizzerà le disposizioni della proposta alla luce dei principi più rilevanti in materia di protezione dei dati, fornendo raccomandazioni per migliorarle nonché orientamenti su come affrontare alcuni altri problemi che attualmente non sono affrontati ma che potrebbero essere sollevati dall'applicazione dei principi in materia di protezione dei dati. In taluni casi potrebbe essere opportuno fornire ulteriori dettagli sull'applicazione degli obblighi e dei diritti relativi alla protezione dei dati nell'ambito delle misure restrittive.

13. Queste osservazioni non possono che riflettere l'importanza cruciale della protezione dei dati personali nel garantire la legittimità e l'efficacia delle misure restrittive adottate dalla Commissione, e non affrontano né incidono su altre questioni sostanziali che possono essere connesse all'inclusione in un elenco in applicazione di altre norme.

III.2. Articoli 7 bis e 7 quater: informazioni alle persone interessate e depennazione dall'elenco

14. L'articolo 7 bis tratta le procedure da seguire per inserire nell'elenco e depennare da esso persone fisiche o giuridiche, e l'articolo 7 quater prevede una procedura specifica che si applica a coloro che sono stati inclusi nell'elenco anteriormente al 3 settembre 2008.

15. Il GEPD si rallegra di queste disposizioni in quanto rafforzano il rispetto dei diritti fondamentali fornendo alle persone interessate la possibilità di essere informate sulle ragioni dell'inclusione negli elenchi nonché l'opportunità di esprimere le loro opinioni in materia. Inoltre il paragrafo 4 prevede che una depennazione dall'elenco al livello di ONU comporti automaticamente una depennazione a livello di UE, il che è conforme al principio in materia di protezione dei dati secondo cui i dati personali devono essere aggiornati, come previsto all'articolo 4, paragrafo 1, lettera d) del regolamento (CE) n. 45/2001.

16. Il GEPD sottolinea tuttavia che queste disposizioni non escludono obblighi analoghi derivanti dal regolamento (CE) n. 45/2001, come l'obbligo di fornire informazioni agli interessati a norma dell'articolo 11 e in particolare dell'articolo 12 — concernente le informazioni da fornire nel caso in cui i dati non siano stati raccolti presso l'interessato, — l'obbligo a norma dell'articolo 14 di rettificare senza indugio dati personali inesatti o incompleti e l'obbligo a norma dell'articolo 17 di notificare la rettifica o la cancellazione di dati — come nel caso della depennazione

— ai terzi ai quali sono stati comunicati, a meno che ciò non risulti impossibile o sproporzionatamente difficile.

17. Ovviamente, come già menzionato al punto 10, si possono applicare le necessarie deroghe e limitazioni a queste disposizioni, ai sensi dell'articolo 20 del regolamento (CE) n. 45/2001. Ad esempio occorrerà ritardare le informazioni agli interessati se necessario per mantenere l'«effetto sorpresa» della decisione di inserire l'interessato nell'elenco e di congelare i suoi beni. In tale ottica il GEPD raccomanda al legislatore di valutare l'opportunità di chiarire esplicitamente nella proposta le deroghe ai principi di protezione dei dati che possono rendersi necessarie, come ad esempio la necessità di rinviare l'avviso informativo ai sensi dell'articolo 12 fino al momento in cui venga adottata la decisione provvisoria.

III.3. Articolo 7 quinquies: diritto di accesso degli interessati, mansioni di controllo e ricorsi giurisdizionali

18. L'articolo 7 quinquies proposto dispone al paragrafo 1 che qualora le Nazioni Unite o uno Stato forniscano informazioni classificate, la Commissione tratta tali informazioni in conformità delle sue disposizioni interne sulla sicurezza [decisione 2001/844/CE, CECA, Euratom ^{( 3 )}] e, se del caso, dell'accordo sulla sicurezza delle informazioni classificate concluso tra l'Unione europea e lo Stato che ha fornito le informazioni. Nel paragrafo 2 è specificato che i documenti classificati a un livello corrispondente a «EU Top Secret», «EU Secret» o «EU Confidential» non vengono diffusi senza il consenso della fonte.

19. Questo articolo solleva due problemi, il primo dei quali attiene all'impatto della disposizione sul diritto di accesso dell'interessato ai suoi dati personali come stabilito all'articolo 13 del regolamento (CE) n. 45/2001 e il secondo alla possibilità di accesso del GEPD, nonché della Corte di giustizia, ai dati personali contenuti in informazioni classificate ai fini dell'efficace espletamento dei rispettivi compiti.

Diritto di accesso dell'interessato ai dati personali contenuti in documenti classificati

20. Le norme sulla sicurezza sopracitate e gli accordi tra l'UE e lo Stato che ha fornito le informazioni disciplinano l'accesso alle informazioni classificate. Solo le persone che hanno «necessità di sapere», cioè che necessitano dell'accesso per lo svolgimento delle loro funzioni o missioni, possono accedere a tali informazioni ^{( 4 )}. Per le informazioni con i livelli di classificazione menzionati all'articolo 7 quinquies, paragrafo 2 proposto, tali persone necessitano inoltre di un nulla osta di sicurezza.

21. Le norme interne della Commissione sulla sicurezza devono essere lette in combinato disposto con il regolamento (CE) n. 1049/2001 relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione, che approfondisce il diritto di chiunque di avere accesso alle informazioni delle tre maggiori istituzioni dell'UE.

L'articolo 9 di detto regolamento riguarda il trattamento dei documenti sensibili e fa riferimento alle tre categorie di classificazione sopramenzionate. Al paragrafo 3 esso dispone che i documenti sensibili sono divulgati solo con il consenso dell'originatore, norma contenuta anche nel proposto articolo 7 quinquies, paragrafo 2.

22. Le norme interne della Commissione sulla sicurezza sono armonizzate con il diritto di accesso del pubblico ai documenti. Ciò non avviene, tuttavia, nel caso dei diritti specifici di accesso, come il diritto degli interessati di accedere ai propri dati personali ai sensi dell'articolo 13 del regolamento (CE) n. 45/2001. Le norme interne sulla sicurezza non fanno riferimento alle norme sulla protezione dei dati o ai diritti degli interessati in quanto tali. La situazione in cui l'interessato chiede l'accesso ai dati personali contenuti in un documento classificato non è affrontata nelle norme interne della Commissione sulla sicurezza. Ciò vale anche per gli accordi sulla sicurezza delle informazioni classificate conclusi con i singoli Stati.

23. L'articolo 13 del regolamento (CE) n. 45/2001 accorda all'interessato il diritto, entro tre mesi dalla ricezione della richiesta d'informazioni, di ottenere liberamente, in qualunque momento e gratuitamente dal responsabile del trattamento, tra l'altro, la comunicazione in forma intelligibile dei dati oggetto del trattamento [cfr. lettera c)].

24. Il GEPD comprende perfettamente che, nell'ambito delle misure restrittive nei confronti di determinate persone o entità volte a evitare atti terroristici, vi sono ragioni giustificate per non divulgare informazioni classificate (personali) all'interessato. Tale limitazione può basarsi sull'articolo 20 del regolamento (CE) n. 45/2001, come già menzionato al punto 10. Tuttavia il GEPD desidera richiamare l'attenzione sul requisito della necessità contenuto in questo articolo e sulla procedura prevista ai paragrafi 3 e 4 dell'articolo 20 del regolamento (CE) n. 45/2001.

25. L'articolo 20 esige che le limitazioni alle disposizioni menzionate costituiscano una misura necessaria per salvaguardare uno degli scopi citati. Poiché le norme interne della Commissione sulla sicurezza nonché gli accordi con i singoli Stati non affrontano la questione dell'accesso degli interessati e l'articolo 7 quinquies, paragrafo 2 proposto prevede l'obbligo incondizionato di ottenere il consenso della fonte prima di poter diffondere i documenti classificati, non è garantito che una limitazione al diritto di accesso sia stabilita solo in caso di necessità. La disposizione non fornisce alcun criterio sostanziale e lascia piena discrezionalità alla fonte delle informazioni, che può anche essere una parte non sottoposta alla legislazione e alle norme dell'UE in materia di protezione dei diritti fondamentali.

26. I paragrafi 3 e 4 dell'articolo 20 contengono norme relative all'applicazione di una limitazione. Conformemente al paragrafo 3, l'istituzione interessata deve informare l'interessato dei principali motivi della limitazione e del suo diritto di adire il GEPD. Il paragrafo 4 contiene un'ulteriore norma che fa specifico riferimento a una limitazione del diritto di accesso. In esso si afferma che il GEPD, nell'esaminare il reclamo, comunica all'interessato solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie ^{( 5 )}. L'attuale proposta di modificare il regolamento (CE) n. 881/2002 dovrebbe garantire il rispetto di tali norme. Questo punto è strettamente collegato alla seconda questione sollevata dall'articolo 7 quinquies proposto.

Accesso del GEPD alle informazioni classificate

27. La condizione stabilita all'articolo 7 quinquies, paragrafo 2, secondo cui le informazioni classificate sono diffuse solo con il consenso della fonte, potrebbe altresì incidere sul controllo indipendente del GEPD. L'applicabilità del regolamento (CE) n. 45/2001 comporta che il trattamento dei dati personali può essere oggetto dei mezzi di ricorso stabiliti all'articolo 32 del regolamento stesso nonché delle competenze d'esecuzione del GEPD definite all'articolo 47.

In particolare quest'ultimo articolo conferisce al GEPD la competenza di ottenere da un responsabile del trattamento o da un'istituzione o un organismo comunitario l'accesso a tutti i dati personali e a tutte le informazioni necessarie alle sue indagini [cfr. articolo 47, paragrafo 2, lettera b) del regolamento (CE) n. 45/2001]. E' possibile che nell'ambito dell'attuale proposta il GEPD ricorra a tale competenza per svolgere il suo compito ai sensi dell'articolo 20, paragrafo 4 del regolamento (CE) n. 45/2001. Tuttavia l'attuale formulazione dell'articolo 7 quinquies farebbe dipendere l'esercizio effettivo di tale competenza dalla piena discrezionalità della fonte dell'informazione.

28. Il testo dell'articolo 7 quinquies nella sua attuale stesura sarebbe perciò in contrasto con le norme contenute nel regolamento (CE) n. 45/2001. A tale riguardo il GEPD desidera sottolineare che l'articolo 20 del regolamento (CE) n. 45/2001 non prevede la limitazione dei compiti e delle competenze del GEPD di cui agli articoli 46 e 47.

29. Oltre ai mezzi di ricorso disponibili presso le autorità in­ dipendenti preposte alla protezione dei dati, la legislazione in materia stabilisce il diritto di proporre un ricorso dinanzi a un organo giurisdizionale [cfr. articolo 22 della direttiva 95/46/CE e articolo 32 del regolamento (CE) n. 45/2001].

In tale contesto, il GEPD sottolinea il fatto che il testo attuale dell'articolo 7 quinquies, paragrafo 2 potrebbe parimenti compromettere l'efficacia di questo controllo giurisdizionale, incidendo sulla capacità della CGCE di controllare se vi sia un giusto equilibrio tra la necessità di lottare contro il terrorismo internazionale e la protezione dei diritti fondamentali. Come affermato dal Tribunale di primo grado nella sua sentenza del 4 dicembre 2008, per consentire al Tribunale di controllare ciò può essere necessario l'accesso a informazioni classificate ^{( 6 )}.

Modifiche proposte

30. Alla luce di quanto precede, il GEPD esorta il legislatore a modificare l'articolo 7 quinquies in modo da garantire: 1) che il requisito della necessità stabilito all'articolo 20 del regolamento (CE) n. 45/2001 sia rispettato qualora la Commissione rifiuti all'interessato l'accesso alle informazioni personali che lo riguardano contenute nei documenti classificati; 2) che l'osservanza delle norme figuranti nell'articolo 20, paragrafi 3 e 4 sia assicurata; 3) che le competenze del GEPD enunciate all'articolo 47 siano pienamente rispettate.

31. A tal fine bisognerebbe innanzitutto limitare il campo d'applicazione dell'articolo 7 quinquies, paragrafo 2 sostituendo il termine «diffusi» con «resi pubblici». Tale modifica sarebbe anche coerente giuridicamente in quanto, come già spiegato, la disposizione è tratta dall'articolo 9, paragrafo 3 del regolamento (CE) n. 1049/2001 che tratta unicamente dell'accesso del pubblico ai documenti. La modifica proposta risolverebbe in larga misura i problemi sopra discussi: la restrizione del diritto di accesso per gli interessati non sarà più lasciata alla piena discrezionalità della parte richiedente e anche la possibilità del GEPD e della CGCE di accedere a tali informazioni per l'espletamento dei rispettivi compiti non sarebbe limitata.

32. Tuttavia, fintantoché le norme interne della Commissione e gli accordi sulla sicurezza delle informazioni non affrontano espressamente la questione dell'accesso degli interessati garantendo l'osservanza del requisito della necessità di cui all'articolo 20 del regolamento (CE) n. 45/2001, resta un problema. Mentre il GEPD (e la CGCE) possono avere accesso sulla base del principio della necessità di sapere e previo nulla osta di sicurezza dei funzionari che trattano effettivamente le informazioni, si dubita che ciò sia possibile anche per l'interessato. Il GEPD esorta pertanto la Commissione a garantire che il diritto di accesso alle informazioni personali nei documenti classificati sia limitato solo allorché necessario.

III.4. Articolo 7 sexies: fondamenti giuridici per il trattamento dei dati, categorie di dati trattati, nomina del responsabile del trattamento

33. L'articolo 7 sexies definisce in modo dettagliato sia i compiti della Commissione nel trattamento dei dati personali (paragrafo 1), sia i dati personali che saranno trattati (paragrafi 2-4). Al paragrafo 5 un'unità della Commissione è designata come responsabile del trattamento ai sensi dell'articolo 2, lettera d) del regolamento (CE) n. 45/2001.

34. Il GEPD approva il paragrafo 1 dell'articolo 7 sexies in quanto esso si prefigge di fornire una base giuridica per il trattamento dei dati personali, a norma dell'articolo 5 del regolamento (CE) n. 45/2001. In effetti tutte le attività di trattamento dei dati personali dovrebbero basarsi su uno dei fondamenti giuridici elencati in questo articolo. In tale ottica il GEPD riconosce che le lettere a): «è necessario per l'esecuzione di una funzione di interesse pubblico (…)» e b) «è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento» possono essere particolarmente pertinenti nel contesto delle misure restrittive.

35. Il GEPD ricorda tuttavia che ai sensi dell'articolo 4 del regolamento (CE) n. 45/2001, i dati personali dovrebbero essere «adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono raccolti (…)», e che quindi la Commissione dovrebbe garantire che i dati personali raccolti siano necessari ai fini dell'imposizione delle misure restrittive previste dal progetto di regolamento.

36. In tale ottica il GEPD raccomanda di modificare l'articolo 7 sexies, paragrafo 1, come segue: «La Commissione tratta i dati personali necessari per svolgere i suoi compiti a norma del presente regolamento».

37. Inoltre occorrerebbe esaminare attentamente, sia in generale sia caso per caso, la pertinenza delle categorie di dati utilizzate nell'ambito delle misure restrittive — compresi elementi quali identificatori generali (cioè codice fiscale e numero di previdenza sociale) e «funzione o professione» — soprattutto poiché si tratta di elementi informativi che possono includere categorie particolari di dati e richiedere garanzie specifiche.

38. In tale contesto il GEPD accoglie favorevolmente il principio stabilito al paragrafo 3, secondo cui il cognome e i nomi dei genitori della persona fisica possono essere inclusi nell'allegato allorché sono necessari in un caso specifico al solo scopo di verificare l'identità della persona fisica interessata. Questa disposizione rispecchia bene il principio in materia di protezione dei dati concernente la limitazione delle finalità, che dovrebbe essere adeguatamente specificato e applicato in relazione all'intero articolo. Il GEPD raccomanda perciò di applicare espressamente questo principio a tutte le categorie di dati, modificando l'articolo 7 sexies, paragrafo 2, come segue: «L'allegato I deve contenere solo le informazioni necessarie al fine di verificare l'identità delle persone fisiche incluse nell'elenco e in ogni caso non andar oltre le seguenti informazioni».

39. Il GEPD approva anche il paragrafo 4, che stabilisce che determinate categorie di dati personali come i reati, le condanne penali e le misure di sicurezza possono essere trattate solo in casi specifici, fatte salve appropriate garanzie specifiche, e non devono essere rese pubbliche né scambiate.

40. Per quanto riguarda il paragrafo 5 il GEPD riconosce che la designazione di un responsabile del trattamento nell'allegato II del regolamento (CE) n. 881/2002 accrescerà la visibilità di tale responsabile e il suo ruolo di «punto di contatto», rendendo così più agevole per gli interessati l'esercizio dei loro diritti in base al regolamento (CE) n. 45/2001. Il GEPD ricorda tuttavia che occorre altresì garantire che il responsabile del trattamento sia in grado di assicurare effettivamente non solo l'esercizio dei diritti degli interessati, ma anche il rispetto di tutti gli altri obblighi derivanti dal regolamento (CE) n. 45/2001. In tale ottica la Commissione potrebbe esaminare l'opportunità di chiarire questo punto della proposta, aggiungendo ad esempio al paragrafo 5 un esplicito riferimento alla necessità che il responsabile del trattamento garantisca il rispetto degli obblighi derivanti dal regolamento (CE) n. 45/2001.

III.5. Trasferimento di dati personali verso paesi terzi e organizzazioni internazionali

41. Un'importante questione che non è esplicitamente affrontata dalla proposta ma è implicita nella procedura d'inserimento nell'elenco è fino a che punto i dati personali trattati dalle istituzioni comunitarie possano essere condivisi con le Nazioni Unite e/o con paesi terzi e, in caso affermativo, a quali condizioni.

42. A tale riguardo il GEPD desidera richiamare l'attenzione sull'articolo 9 del regolamento (CE) n. 45/2001, che stabilisce le condizioni per il trasferimento di dati personali a destinatari diversi dagli organismi comunitari e non soggetti alla direttiva 95/46/CE. È disponibile un'ampia gamma di soluzioni, dal consenso dell'interessato [paragrafo 6, lettera a)] e l'esercizio di un diritto in via giudiziale [paragrafo 6, lettera d)] — che potrebbe essere utile qualora l'informazione sia stata fornita dalla persona inserita nell'elenco affinché tale inserimento sia riesaminato — all'esistenza nell'ambito dell'ONU di meccanismi per garantire un'adeguata protezione dei dati personali trasmessi dall'UE.

43. Il GEPD ricorda che le diverse attività di trattamento previste dovrebbero essere in linea con questo sistema al fine di garantire un'adeguata protezione dei dati personali scambiati con paesi terzi e organizzazioni internazionali, e che potrebbe essere necessario, di conseguenza, prevedere precisazioni nella proposta nonché accordi con l'ONU.

III.6. Altre questioni: responsabilità, controllo preventivo, consultazione del GEPD

44. L'articolo 6 della proposta esclude la responsabilità, tranne in caso di negligenza, delle persone fisiche e giuridiche che applicano misure restrittive. A tale riguardo il GEPD desidera chiarire che questo articolo non va inteso nel senso di escludere la responsabilità non contrattuale, a norma dell'articolo 32, paragrafo 4 del regolamento (CE) n. 45/2001 nonché dell'articolo 23 della direttiva 95/46/CE, per il trattamento di dati personali in violazione della legislazione applicabile in materia di protezione dei dati. In tale ottica le misure restrittive si basano sul trattamento e la pubblicazione dei dati personali, che in caso di illegalità possono di per sé — indipendentemente dalle misure restrittive adottate — causare danni morali, come già riconosciuto dalla Corte di giustizia ^{( 7 )}.

45. Va rilevato che potrebbe essere necessario un controllo preventivo da parte del GEPD ai sensi dell'articolo 27 del regolamento (CE) n. 45/2001, in quanto la proposta prevede operazioni di trattamento relative a categorie particolari di dati (sospetti di infrazioni, condanne penali o misure di sicurezza) e al fine di escludere singole persone dal pieno esercizio del diritto di proprietà.

46. Il GEPD, conformemente all'articolo 28 del regolamento (CE) n. 45/2001, si aspetta di essere consultato in merito alle proposte legislative e alle misure amministrative riguardanti il trattamento dei dati personali che possono essere trasmessi nell'ambito delle misure restrittive nei confronti di sospetti terroristi.

 

IV. CONCLUSIONI

47. Il GEPD si rallegra dell'intenzione della Commissione di dar seguito, nella sua proposta, alla recente giurisprudenza della Corte di giustizia migliorando la procedura di inserimento nell'elenco e tenendo espressamente conto del diritto alla protezione dei dati personali che rappresenta un fattore cruciale per garantire la legittimità e l'efficacia delle misure restrittive adottate dalla Commissione.

48. Il GEPD approva i riferimenti contenuti nel preambolo alla necessità di applicare il regolamento conformemente al diritto fondamentale alla protezione dei dati personali e il fatto che la proposta riconosca espressamente, nel considerando 12, l'applicabilità delle norme sulla protezione dei dati, e in particolare del regolamento (CE) n. 45/2001, al trattamento dei dati personali in questo settore.

49. A titolo generale, il GEPD desidera sottolineare che il regolamento (CE) n. 45/2001 stabilisce una serie di obblighi per i responsabili del trattamento nonché di diritti per gli interessati che si applicano anche quando non sono espressamente menzionati nella proposta. Tuttavia in alcuni casi

può essere opportuno fornire ulteriori dettagli sull'applicazione — e le eventuali deroghe e limitazioni — degli obblighi e dei diritti in materia di protezione dei dati nell'ambito delle misure restrittive.

50. Il GEPD accoglie con favore gli articoli 7 bis e 7 quater in quanto essi rafforzano il rispetto dei diritti fondamentali fornendo agli interessati la possibilità di essere informati sulle ragioni dell'inclusione nell'elenco. Tuttavia il GEPD sottolinea che tali disposizioni non escludono obblighi analoghi derivanti dal regolamento (CE) n. 45/2001. In tale ottica il GEPD raccomanda al legislatore di valutare l'opportunità di chiarire esplicitamente nella proposta le deroghe ai principi della protezione dei dati che possono rivelarsi necessarie, come ad esempio la necessità di rinviare l'avviso informativo ai sensi dell'articolo 12 finché non è stata adottata la decisione provvisoria.

51. Il GEPD ritiene che l'articolo 7 quinquies, subordinando la divulgazione di documenti riservati al consenso della fonte, possa incidere sul diritto di accesso dell'interessato ai suoi dati personali, quale previsto all'articolo 13 del regolamento (CE) n. 45/2001, e sulla possibilità del GEPD, come pure della Corte di giustizia, di accedere ai dati personali contenuti nelle informazioni classificate ai fini del corretto svolgimento dei rispettivi compiti. In tale ottica il GEPD esorta il legislatore a modificare questa disposizione, sostituendo in particolare il termine «diffusi» con «resi pubblici».

52. Il GEPD accoglie con favore il testo dell'articolo 7 sexies poiché è volto a fornire una base giuridica al trattamento dei dati personali, ai sensi dell'articolo 5 del regolamento (CE) n. 45/2001. Raccomanda tuttavia alcuni emendamenti per garantire che i dati trattati siano utilizzati per fini specifici e siano pertinenti, e che il ruolo del responsabile del trattamento sia in linea con il regolamento (CE) n. 45/2001.

53. Il GEPD ricorda che eventuali trasferimenti di dati verso paesi terzi e organizzazioni internazionali dovrebbero essere in linea con l'articolo 9 del regolamento (CE) n. 45/2001 al fine di assicurare un'adeguata protezioni di tali dati. A questo riguardo potrebbe essere necessario prevedere precisazioni nella proposta nonché accordi con l'ONU.

54. Il GEPD rileva inoltre che la proposta lascia impregiudicata la responsabilità che può sorgere in caso di trattamento e pubblicazione illegali dei dati personali, che può essere necessario un controllo preventivo ai sensi dell'articolo 27 del regolamento (CE) n. 45/2001, e che si attende di essere consultato in merito alle ulteriori proposte legislative e misure amministrative in questo settore.

Fatto a Bruxelles, addí 28 luglio 2009.

Peter HUSTINX

Garante europeo della protezione dei dati

 

Note                                        

( 1 ) Sentenza della CGCE del 3 settembre 2008, Kadi e Al Barakaat International Foundation c/ Consiglio, C-402/05 P e C-415/05 P, non ancora pubblicata.

( 2 ) Causa Kadi già citata nella nota 1, cfr. segnatamente il punto 285.

( 3 ) Decisione 2001/844/CE, CECA, Euratom, della Commissione, del 29 novembre 2001, che modifica il regolamento interno della Commissione (GU L 317 del 3.12.2001, pag. 1).

( 4 ) Cfr. punto 19 della decisione 2001/844/CE, CECA, Euratom e, ad esempio, l'articolo 4, paragrafo 7 dell'accordo tra l'Unione europea e il governo degli Stati Uniti d'America sulla sicurezza delle informazioni classificate (GU L 115 del 3.5.2007, pag. 30).

( 5 ) L'informazione di cui ai paragrafi 3 e 4 dell'articolo 20 può essere rinviata fino a quando privi d'effetto la limitazione (cfr. articolo 20, paragrafo 5).

( 6 ) Sentenza del Tribunale di primo grado del 4 dicembre 2008, PMOI c/ Consiglio, T-284/08, non ancora pubblicata, cfr. in particolare punti 74-76.

( 7 ) Sentenza del Tribunale di primo grado del 12 settembre 2007, Kalliopi Nikolau c/ Commissione, T-259/03, Racc. II-99 [2007]; sentenza del Tribunale di primo grado dell'8 luglio 2008, Franchet and Byk c/ Commissione, T-48/05, non ancora pubblicata.