Parere del Garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 1073/1999 relativo alle indagini svolte dall’Ufficio per la lotta antifrode (OLAF) e che abroga il regolamento (Euratom) n. 1074/1999

(Pubblicato sulla GUUE n. C 279 del 23.9.2011)

 

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,

vista la Carta dei diritti fondamentali dell’Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ( 1 ),

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ( 2 ), in particolare l’articolo 28, paragrafo 2,

HA ADOTTATO IL SEGUENTE PARERE:

 

1. INTRODUZIONE

1. Il 17 marzo 2011 la Commissione ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 1073/1999 relativo alle indagini svolte dall’Ufficio per la lotta antifrode (OLAF) e che abroga il regolamento (Euratom) n. 1074/1999 (di seguito «la proposta»).

1.1. Consultazione con il GEPD

2. Il Consiglio ha trasmesso la proposta al GEPD l’8 aprile 2011. Per il GEPD questa comunicazione rappresenta una richiesta di consultazione da parte delle istituzioni e degli organismi comunitari, in conformità dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (di seguito «il regolamento (CE) n. 45/2001»). Il GEPD si compiace del riferimento esplicito a questa consultazione nel preambolo della proposta.

3. La proposta è volta a modificare gli articoli 1-14 e a sopprimere l’articolo 15 del regolamento (CE) n. 1073/1999. Il regolamento (Euratom) n. 1074/1999 del Consiglio, del 25 maggio 1999, relativo alle indagini svolte dall’Ufficio per la lotta antifrode (OLAF) sarà abrogato.

4. In precedenza ( 3 ), prima dell’adozione della proposta, la Commissione aveva dato al GEPD la possibilità di formulare osservazioni informali. Il GEPD accoglie con favore l’apertura del procedimento, che ha permesso di apportare miglioramenti al testo dal punto di vista della protezione dei dati già dalla fase iniziale. Di fatto, alcune di tali osservazioni sono state prese in considerazione nella proposta.

5. Questo nuovo testo è il risultato di un lungo processo di revisione. Nel 2006, la Commissione ha presentato una proposta di modifica del regolamento (CE) n. 1073/1999. Scopo della proposta legislativa era «migliorare l’efficienza operativa e la governance dell’Ufficio».

6. La proposta precedente è stata discussa in sede di Consiglio e al Parlamento europeo, nell’ambito della procedura di codecisione. Il GEPD ha espresso il proprio parere nell’aprile 2007, formulando altresì numerose osservazioni volte a rendere il testo della proposta più coerente con le norme in materia di protezione dei dati previste dal regolamento (CE) n. 45/2001 ( 4 ). Il 20 novembre 2008 ( 5 ) il Parlamento ha adottato una risoluzione in prima lettura contenente un centinaio di emendamenti alla proposta.

7. Su richiesta della presidenza ceca del Consiglio (gennaio- giugno 2009), nel luglio 2010 la Commissione ha presentato al Parlamento europeo e al Consiglio un documento di riflessione aggiornato sulla riforma dell’Ufficio. Nell’ottobre 2010 il Parlamento europeo ha accolto favorevolmente il documento di riflessione e ha invitato la Commissione a riprendere la procedura legislativa. Il 6 dicembre 2010 il Consiglio ha adottato le sue conclusioni sul documento di riflessione presentato dalla Commissione. Il comitato di

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) Nel gennaio 2011.

( 4 ) Parere del Garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 1073/1999 relativo alle indagini svolte dall’Ufficio per la lotta antifrode (OLAF), GU C 91 del 26.4.2007, pag. 1.

( 5 ) Risoluzione legislativa del Parlamento europeo del 20 novembre 2008 sulla proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 1073/1999 relativo alle indagini svolte dall’Ufficio per la lotta antifrode (OLAF), P6_TA- PROV(2008) 553.

vigilanza dell’OLAF ha contribuito al dibattito formulando pareri sul documento di riflessione e sul rispetto dei diritti fondamentali e delle garanzie procedurali nel corso delle indagini svolte dall’OLAF. In seguito la Commissione ha presentato la nuova proposta.

1.2. Importanza della proposta e parere del GEPD

8. La proposta contiene disposizioni che hanno un notevole impatto sui diritti delle persone. L’OLAF continuerà a raccogliere e successivamente trattare dati sensibili relativi a sospetti di reati, reati, condanne penali nonché informazioni volte ad escludere taluno dal beneficio di un diritto, di una prestazione o della conclusione di un contratto, nella misura in cui tali informazioni presentano un rischio specifico per i diritti e le libertà degli interessati. Il diritto fondamentale alla protezione dei dati personali è importante non solo di per sé, ma è anche strettamente connesso con altri diritti fondamentali, quali la non discriminazione e il giusto processo, compreso il diritto di difesa nelle indagini condotte dall’OLAF. Il rispetto del giusto processo incide sulla validità delle prove e l’OLAF deve ritenerlo prioritario al fine di rafforzare la propria responsabilità. È pertanto essenziale assicurare che nello svolgimento delle sue indagini siano garantiti adeguatamente i diritti fondamentali, compresi i diritti alla protezione dei dati e alla vita privata delle persone in esse coinvolte.

1.3. Principali elementi della proposta

9. L’obiettivo dichiarato della proposta è aumentare l’efficienza, l’efficacia e la responsabilità dell’OLAF, salvaguardandone al contempo l’indipendenza investigativa. Tale scopo verrà raggiunto principalmente (i) aumentando la cooperazione e lo scambio di informazioni con istituzioni, uffici, organi e agenzie dell’UE, nonché con gli Stati membri, (ii) migliorando l’impostazione de minimis ( 6 ) per quanto concerne le indagini, (iii) rafforzando le garanzie procedurali per le persone oggetto di indagine da parte dell’OLAF, (iv) prevedendo la possibilità per l’OLAF di concludere accordi amministrativi al fine di agevolare lo scambio di informazioni con Europol, Eurojust, con le autorità competenti di paesi terzi nonché con le organizzazioni internazionali e (v) chiarendo il ruolo di controllo del comitato di vigilanza.

10. Il GEPD appoggia gli obiettivi delle modifiche proposte e, a tale riguardo, accoglie con favore la proposta. Il GEPD apprezza in particolar modo l’introduzione del nuovo articolo 7 bis, che è dedicato alle garanzie procedurali offerte agli individui. Per quanto riguarda i diritti delle persone alla protezione dei dati personali e alla vita privata, il GEPD ritiene che, nel complesso, la proposta apporti miglioramenti rispetto alla situazione attuale. In particolare, il GEPD accoglie con favore l’espresso riconoscimento dell’importanza dei diritti degli interessati a norma degli articoli 11 e 12 del regolamento (CE) n. 45/2001 ( 7 ).

11. Tuttavia, nonostante l’impressione positiva generale, il GEPD ritiene che, dal punto di vista della protezione dei dati personali, la proposta possa essere ulteriormente migliorata, senza compromettere gli obiettivi che persegue. Il GEPD teme, in particolare, che a causa della mancanza di coerenza su determinati aspetti, la proposta possa essere interpretata come una lex specialis sul trattamento dei dati personali raccolti nell’ambito delle indagini dell’OLAF, che prevarrebbe sull’applicazione del quadro generale in materia di protezione dei dati contenuto nel regolamento (CE) n. 45/2001. Esiste pertanto il rischio che le norme sulla protezione dei dati previste dalla proposta possano essere interpretate al contrario in quanto meno rigorose rispetto a quelle contenute nel regolamento, e ciò senza motivazione apparente né nella proposta stessa né nella relazione.

12. Per evitare che ciò accada, le sezioni seguenti forniscono un’analisi della proposta, descrivendone, da un lato, le carenze e proponendo, dall’altro, modi specifici per migliorarle. Questa analisi si limita alle disposizioni che hanno un’incidenza diretta sulla protezione dei dati personali, in particolare l’articolo 1, paragrafi 8, 9, 10, 11 e 12 a norma dei quali gli articoli 7 bis, 7 ter, 8, 9, 10 e 10 bis sono inseriti o modificati.

 

2. ANALISI DELLA PROPOSTA

2.1. Contesto generale

13. L’OLAF è stato creato nel 1999 ( 8 ) per tutelare gli interessi finanziari dell’UE e il denaro dei contribuenti contro le frodi, la corruzione e qualsiasi altra attività illecita. L’Ufficio è collegato alla Commissione, da cui è tuttavia indipendente. L’OLAF svolge indagini, che possono essere esterne ( 9 ) (nella fattispecie, indagini che possono essere condotte negli Stati membri o nei paesi terzi) e interne ( 10 ) (indagini all’interno delle istituzioni, degli organi, degli uffici e delle agenzie dell’UE) al fine di combattere le frodi e le attività illecite lesive degli interessi finanziari dell’Unione europea.

14. L’OLAF, inoltre, può anche (i) trasmettere alle autorità nazionali competenti le informazioni ottenute nel corso delle

( 6 ) In altre parole, l’OLAF deve definire le proprie priorità investigative e concentrarsi su di esse al fine di utilizzare efficientemente le risorse a sua disposizione.

( 7 ) Cfr. la proposta, nuovi articoli 7 bis e 8, paragrafo 4.

( 8 ) Decisione 1999/352/CE della Commissione, del 28 aprile 1999, che istituisce l’Ufficio europeo per la lotta antifrode (OLAF), GU L 136 del 31.5.1999, pag. 20. Cfr. anche il regolamento (CE) n. 1073/1999 del Parlamento europeo e del Consiglio, del 25 maggio 1999, relativo alle indagini svolte dall’Ufficio per la lotta antifrode (OLAF), GU L 136 del 31.5.1999, pag. 1.

( 9 ) Cfr. l’articolo 3 del regolamento (CE) n. 1073/1999.

( 10 ) Cfr. gli articoli 1 e 4 del regolamento (CE) n. 1073/1999.

indagini esterne, (ii) trasmettere agli organi giudiziari nazionali le informazioni raccolte in occasione di indagini interne su fatti penalmente perseguibili e (iii) trasmettere all’istituzione, all’organo o all’organismo interessato le informazioni ottenute durante le indagini interne ( 11 ).

15. L’OLAF può inoltre cooperare strettamente con Eurojust ( 12 ) ed Europol ( 13 ) al fine di ottemperare al suo obbligo statutario di lottare contro le frodi, la corruzione e ogni altra attività lesiva degli interessi finanziari dell’Unione. In tale contesto, Europol ( 14 ) ed Eurojust ( 15 ) possono scambiare informazioni operative, strategiche o tecniche, inclusi dati personali, con l’OLAF.

16. Sulla base del regolamento (CE) n. 1073/1999, l’OLAF può effettuare indagini anche nei paesi terzi secondo i vari accordi di cooperazione vigenti tra l’Unione europea e tali paesi terzi. Possono essere svolte attività fraudolente lesive del bilancio dell’Unione anche al di fuori del territorio dell’Unione europea, ad esempio per quanto riguarda gli aiuti esteri erogati dall’Unione europea ai paesi in via di sviluppo, ai paesi candidati o ad altri paesi beneficiari, oppure riguardo a violazioni della legislazione doganale. Al fine di individuare e contrastare efficacemente tali infrazioni, pertanto, l’OLAF deve eseguire controlli e verifiche sul posto anche nei paesi terzi. A dimostrazione dell’importanza della cooperazione internazionale e, di conseguenza, anche dello scambio di dati, attualmente sono oltre 50 gli accordi di assistenza amministrativa reciproca in materia doganale sottoscritti dall’Unione europea, anche con importanti partner commerciali quali Cina, Stati Uniti d’America, Giappone, Turchia, Federazione russa e India.

17. L’applicazione del regolamento (CE) n. 45/2001 nelle attività dell’OLAF è stata oggetto di numerosi interventi da parte del GEDP negli ultimi anni. Quanto all’oggetto della proposta (le indagini condotte dall’OLAF), è opportuno ricordare il parere del 23 giugno 2006 su una notifica di controllo preventivo in merito alle indagini interne dell’OLAF ( 16 ), il parere del 4 ottobre 2007 su cinque notifiche di controllo preventivo in merito alle indagini esterne ( 17 ) e il parere del 19 luglio 2007 su una notifica di controllo preventivo in merito al controllo regolare delle funzioni d’indagine ( 18 ), relativo alle attività del comitato di vigilanza.

2.2. Vita privata e valutazione di impatto

18. Né la proposta né la relazione ad essa allegata fanno riferimento all’impatto della proposta sulle norme in materia di protezione dei dati, così come non fanno riferimento a una valutazione di impatto sulla tutela della vita privata e sulla protezione dei dati. Una spiegazione delle modalità con cui è stato gestito l’impatto sulla protezione dei dati accrescerebbe indubbiamente la trasparenza della valutazione globale della proposta. Il GEPD constata con stupore che la relazione è assolutamente priva di capitoli relativi ai «Risultati delle consultazioni con le parti interessate e valutazioni di impatto».

2.3. Applicazione del regolamento (CE) n. 45/2001

19. Come indicato nel precedente parere sulla proposta del 2006 ( 19 ), il GEPD accoglie con favore il fatto che nella proposta si riconosca che il regolamento (CE) n. 45/2001 si applica a tutte le attività di elaborazione dei dati svolte dall’OLAF. In particolare, la nuova formulazione

( 11 ) Cfr. l’articolo 10 del regolamento (CE) n. 1073/1999.

( 12 ) L’Eurojust è stato istituito dalla decisione 2002/187/GAI del Consiglio (successivamente modificata dalla decisione 2003/659/GAI del Consiglio e dalla decisione 2009/426/GAI del Consiglio, del 16 dicembre 2008, relativa al rafforzamento dell’Eurojust) quale organo dell’Unione europea, dotato di personalità giuridica, con l’obiettivo di stimolare e migliorare il coordinamento e la cooperazione tra le autorità giudiziarie competenti degli Stati membri. In particolare, l’articolo 26, paragrafo 4, di tale decisione ha stabilito che «l’OLAF può contribuire all’attività di coordinamento delle indagini e delle azioni penali concernenti la tutela degli interessi finanziari delle Comunità europee svolta dall’Eurojust, su iniziativa dell’Eurojust o su richiesta dell’OLAF, sempre che le autorità nazionali competenti in materia non vi si oppongano». Nel 2008 l’Eurojust e l’OLAF hanno concluso un accordo amministrativo (accordo pratico sulle modalità di cooperazione fra Eurojust e l’OLAF, del 24 settembre 2008) che è volto a rafforzare la cooperazione tra le due entità e contiene norme specifiche sul trasferimento di dati personali.

( 13 ) L’Europol è l’Ufficio europeo di polizia il cui obiettivo è migliorare l’efficacia e la cooperazione delle autorità competenti degli Stati membri nella prevenzione e nella lotta al terrorismo, al traffico illecito di stupefacenti e ad altre forme gravi di criminalità organizzata. L’articolo 22 della decisione 2009/371/GAI del Consiglio, del 6 aprile 2009, che istituisce l’Ufficio europeo di polizia (Europol) stabilisce che «se utile allo svolgimento dei suoi compiti, Europol può instaurare e mantenere relazioni di cooperazione con […] l’OLAF». Ai sensi di questo articolo, inoltre, Europol può, prima dell’entrata in vigore degli accordi o degli accordi di lavoro con le varie entità dell’UE con cui è chiamato a cooperare, «ricevere direttamente informazioni, inclusi dati personali, dalle entità […] e usarle, se ciò è necessario per il legittimo svolgimento dei suoi compiti, e può […] trasmettere direttamente informazioni, inclusi dati personali, a tali entità, se ciò è necessario per il legittimo svolgimento dei compiti del destinatario».

( 14 ) Cfr. l’articolo 22 della decisione 2009/371/GAI del Consiglio, del 6 aprile 2009, che istituisce l’Ufficio europeo di polizia (Europol), GU L 121 del 15.5.2009, pag. 37.

( 15 ) Cfr. l’articolo 26, paragrafo 1, della decisione 2009/426/GAI del Consiglio, del 16 dicembre 2008, relativa al rafforzamento dell’Eurojust e che modifica la decisione 2002/187/GAI.

( 16 ) Caso 2005-418, consultabile all’indirizzo http://www.edps. europa.eu

( 17 ) Casi 2007-47, 2007-48, 2007-49, 2007-50, 2007-72, consultabili all’indirizzo http://www.edps.europa.eu

( 18 ) Caso 2007-73, consultabile all’indirizzo http://www.edps.europa.eu

( 19 ) Parere del GEPD sulla proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 1073/1999 relativo alle indagini svolte dall’Ufficio per la lotta antifrode (OLAF), GU C 91 del 26.4.2007, pag. 1.

dell’articolo 8, paragrafo 4 ( 20 ), fa espressamente riferimento al ruolo del regolamento nel contesto delle varie attività dell’OLAF. Tale modifica costituisce un aggiornamento del testo del regolamento (CE) n. 1073/1999, che citava esclusivamente la direttiva 95/46/CE come riferimento per il rispetto degli obblighi di protezione dei dati.

20. L’ultima frase dell’articolo 8, paragrafo 4, introduce l’osservanza dell’obbligo di nominare un responsabile della protezione dei dati: «L’Ufficio nomina un responsabile della protezione dei dati conformemente all’articolo 24 del regolamento (CE) n. 45/2001.» Anche questa aggiunta, che formalizza la nomina effettiva del responsabile della protezione dei dati dell’OLAF, è accolta con favore dal GEPD.

21. Il GEPD teme tuttavia che l’applicazione delle norme in materia di protezione dei dati nel testo proposto non sia del tutto conforme ai requisiti del regolamento, circostanza che potrebbe dare luogo a preoccupazioni riguardo alla sua coerenza. Questo aspetto verrà analizzato dettagliatamente di seguito.

 

3. OSSERVAZIONI SPECIFICHE

3.1. L’OLAF e il rispetto dei diritti fondamentali, compresi i principi di protezione dei dati

22. Le indagini condotte dall’OLAF possono avere un impatto considerevole sui diritti fondamentali delle persone. Come indicato dalla Corte di giustizia nella sentenza Kadi ( 21 ), tali diritti sono tutelati dall’ordinamento giuridico comunitario. Più precisamente, nella sentenza Schecke ( 22 ), la Corte, con riferimento alla Carta dei diritti fondamentali dell’Unione europea («Carta») ( 23 ), e in particolare agli articoli 8 e 52, evidenzia che possono essere apportate limitazioni all’esercizio del diritto alla protezione dei dati personali solo nel caso in cui tali limitazioni siano previste dalla legge, rispettino il contenuto essenziale di tale diritto e, nel rispetto del principio di proporzionalità, rispondano a finalità di interesse generale dell’Unione europea. Il GEPD attribuisce grande importanza al rispetto dei diritti fondamentali nel settore di attività dell’OLAF.

23. Il considerando 13 della proposta chiarisce che il rispetto dei diritti fondamentali delle persone interessate da indagini dovrebbe essere costantemente garantito, e in particolare quando siano comunicate informazioni sulle indagini in corso. Il considerando sottolinea quindi la necessità di rispettare la riservatezza delle indagini, i diritti legittimi delle persone interessate, le disposizioni nazionali applicabili ai procedimenti giudiziari e, infine, la normativa dell’Unione sulla protezione dei dati. Viene specificato che lo scambio di informazioni dovrebbe essere disciplinato dai principi della proporzionalità e della necessità di sapere.

24. Questo considerando sembra introdurre una limitazione all’applicabilità dei diritti fondamentali sia ratione personae (limitata alle persone interessate dall’indagine) che ratione materiae (limitata allo scambio di informazioni). Ciò potrebbe dare luogo a un’interpretazione errata del testo, in base alla quale i diritti fondamentali nel settore di attività dell’OLAF verrebbero applicati in maniera «restrittiva» ( 24 ).

25. Il GEPD suggerisce pertanto di modificare il testo del considerando al fine di evitare possibili interpretazioni erronee: il considerando afferma che il rispetto dei diritti fondamentali delle «persone interessate da indagini» dovrebbe essere costantemente garantito. Poiché l’OLAF si occupa non solo di persone interessate da indagini («sospetti»), ma anche di informatori (persone che forniscono informazioni sui fatti relativi a un caso possibile o effettivo), persone che denunciano un’irregolarità ( 25 ) (personale interno alle istituzioni dell’UE che riferisce all’OLAF in merito a fatti collegati a un caso possibile o effettivo) e testimoni, la disposizione dovrebbe definire in maniera più ampia le categorie di «persone» che godono dei diritti fondamentali.

26. Il considerando 13, inoltre, riguarda il rispetto dei diritti fondamentali in particolare nel contesto dello «scambio di informazioni». Oltre a indicare la necessità di garantire il rispetto dei diritti fondamentali e della riservatezza, il considerando precisa che «le informazioni fornite od ottenute nel corso delle indagini dovrebbero essere trattate in conformità della normativa dell’Unione sulla protezione dei dati». La collocazione di questa frase potrebbe dare adito a confusione; la frase in questione dovrebbe pertanto essere inserita in un considerando distinto per chiarire che il rispetto della normativa in materia di protezione dei dati è separato e a sé stante e non si riferisce esclusivamente allo scambio di informazioni.

( 20 ) «L’Ufficio tratta soltanto i dati personali necessari per svolgere i propri compiti a norma del presente regolamento. Tale trattamento dei dati personali avviene in conformità del regolamento (CE) n. 45/2001, compresa la comunicazione di informazioni pertinenti all’interessato prevista dagli articoli 11 e 12 di detto regolamento. Tali informazioni possono essere comunicate solo a coloro che, nelle istituzioni dell’Unione, ovvero negli Stati membri, sono tenuti a conoscerle in virtù delle loro funzioni, e non possono essere utilizzate per fini diversi dalla lotta contro le frodi, la corruzione e ogni altra attività illecita. (…)».

( 21 ) Sentenza della Corte del 3 settembre 2008 nelle cause riunite C-402/05 P e C-415/05 P, Kadi contro Consiglio dell’Unione europea e Commissione delle Comunità europee, punto 283: «[…] i diritti fondamentali fanno parte integrante dei principi generali del diritto di cui la Corte garantisce l’osservanza. A tal fine, la Corte si ispira alle tradizioni costituzionali comuni degli Stati membri e alle indicazioni fornite dai trattati internazionali relativi alla tutela dei diritti dell’uomo cui gli Stati membri hanno cooperato o aderito. La Convenzione europea dei diritti dell’uomo riveste, a questo proposito, un particolare significato.» Cfr. anche il punto 304.

( 22 ) Sentenza della Corte del 9 novembre 2010 nelle cause riunite C-92/09 e C-93/09, Volker und Markus Schecke, punto 44 e segg.

( 23 ) Dopo l’entrata in vigore del trattato di Lisbona, la Carta dei diritti fondamentali è applicabile a tutti i settori di attività dell’Unione europea.

( 24 ) Cfr. anche il paragrafo 36 di seguito.

( 25 ) Cfr. il parere del 23 giugno 2006 su una notifica di controllo preventivo, ricevuto dal responsabile della protezione dei dati dell’Ufficio per la lotta antifrode (OLAF) in merito alle indagini interne dell’OLAF, caso 2005-418, consultabile all’indirizzo http://www.edps.europa.eu

27. Il GEDP accoglie con favore il fatto che l’articolo 7 bis sia specificamente dedicato alle garanzie procedurali nel corso delle indagini. Questa nuova disposizione è in linea con l’obiettivo dichiarato della proposta di rafforzare la responsabilità dell’OLAF. L’articolo fa inoltre riferimento alla Carta, in cui sono contenute disposizioni che sono pertinenti per quanto riguarda le indagini dell’OLAF, ossia l’articolo 8 («Protezione dei dati di carattere personale») e l’intero titolo VI («Giustizia»).

28. L’articolo 7 bis, paragrafo 1, della proposta prevede che l’Ufficio raccolga elementi a carico e a favore dell’interessato e ricorda il dovere di svolgere le indagini in modo obiettivo e imparziale. Tali requisiti hanno un impatto positivo sul principio della «qualità dei dati» ( 26 ) sancito dall’articolo 4 del regolamento (CE) n. 45/2001, poiché in base a questo criterio i dati devono essere esatti, conformi alla realtà oggettiva nonché completi e aggiornati. Il GEPD accoglie pertanto con favore l’inserimento di questo paragrafo.

Diritto di informazione, accesso e rettifica

29. I paragrafi successivi dell’articolo 7 bis riguardano le varie fasi delle indagini condotte dall’OLAF, le quali possono essere così riassunte: (i) colloqui con testimoni o persone interessate (articolo 7 bis, paragrafo 2), (ii) informazione della persona di cui è stato accertato l’interessamento dalle indagini (articolo 7 bis, paragrafo 3), (iii) conclusioni dell’indagine che facciano riferimento nominativamente a una persona (articolo 7 bis, paragrafo 4).

30. Il GEPD rileva che l’obbligo di fornire le informazioni ai sensi degli articoli 11 e 12 del regolamento (CE) n. 45/2001 viene indicato (esclusivamente) in merito alla summenzionata fase (iii). Il GEPD si compiace che la proposta abbia integrato le raccomandazioni da esso formulate nel parere legislativo del 2006 ( 27 ).

31. Tuttavia, tale indicazione selettiva dei diritti dell’interessato riguardo a una singola fase procedurale potrebbe essere interpretata nel senso che queste stesse informazioni non debbano essere fornite all’interessato (testimone o persona interessata) nel caso in cui quest’ultimo sia invitato a un colloquio o il membro del personale venga informato del fatto che potrebbe essere interessato dall’indagine. Per motivi di certezza del diritto, il GEPD suggerisce pertanto di inserire il riferimento agli articoli pertinenti riguardo a tutte e tre le situazioni indicate ai summenzionati punti (i), (ii) e (iii). Tuttavia, dopo che all’interessato saranno state fornite le informazioni di cui agli articoli 11 e 12 del regolamento (CE) n. 45/2001, non sarà necessario ripetere le medesime informazioni nelle fasi successive.

32. Il testo, inoltre, non apporta precisazioni in merito ai diritti di accesso e rettifica dei dati degli interessati ai sensi degli articoli 13 e 14 del regolamento (CE) n. 45/2001. Tali diritti sono tutelati dall’articolo 8, paragrafo 2, della Carta e pertanto rivestono una particolare importanza tra i diritti dell’interessato. Il GEPD aveva già chiesto ( 28 ) che venisse inserita una precisazione più chiara dei diritti di accesso e rettifica dell’interessato al fine di evitare il rischio che il testo venisse interpretato nel senso di introdurre uno speciale regime di protezione dei dati “meno rigoroso” per le persone interessate dalle indagini dell’OLAF. Il GEPD si rammarica che questi aspetti non siano stati presi in considerazione nella proposta.

33. Il GEPD desidera inoltre segnalare la possibilità di limitare i diritti di informazione, accesso e rettifica in casi specifici, conformemente a quanto stabilito dall’articolo 20 del regolamento (CE) n. 45/2001. Il rispetto delle norme in materia di protezione dei dati da parte dell’OLAF può pertanto coesistere con la necessità di garantire la riservatezza delle sue indagini. Questo aspetto verrà ulteriormente sviluppato nei paragrafi seguenti.

Riservatezza dell’indagine e diritti dell’interessato

34. A titolo generale, il GEPD riconosce che il ruolo investigativo dell’OLAF richiede la capacità di tutelare la riservatezza delle sue indagini al fine di combattere efficacemente le frodi e le attività illecite che l’Ufficio è tenuto a perseguire. Il GEPD sottolinea tuttavia che tale capacità lede determinati diritti degli interessati e che il regolamento (CE) n. 45/2001 stabilisce condizioni specifiche nelle quali detti diritti possono essere limitati in tale contesto (articolo 20).

35. Ai sensi dell’articolo 20 del regolamento (CE) n. 45/2001, i diritti di cui agli articoli 4 (qualità dei dati) e 11-17 (informazioni da fornire, diritto di accesso, rettifica, blocco, cancellazione, diritto di ottenere notifiche a terzi) possono essere limitati se e in quanto necessario per salvaguardare, inter alia, «(a) le attività volte a prevenire, indagare, accertare e perseguire reati» o «(b) interessi economici o finanziari di uno Stato membro o dell’Unione europea» e «(e) una funzione di controllo, d’ispezione […] connessa […] all’esercizio di pubblici poteri nei casi di cui alle summenzionate lettere a) e b)». Lo stesso articolo stabilisce che i motivi principali per cui viene imposta una limitazione siano comunicati all’interessato e che quest’ultimo sia informato della possibilità di adire il GEPD (articolo 20, paragrafo 3). L’articolo 20, paragrafo 5, inoltre, prevede che la comunicazione di tale informazione all’interessato possa essere rinviata fino a quando privi d’effetto la limitazione.

( 26 ) Cfr. nota 25.

( 27 ) Parere del Garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 1073/1999 relativo alle indagini svolte dall’Ufficio per la lotta antifrode (OLAF), GU C 91 del 26.4.2007, pag. 1, paragrafo 14 e segg.

( 28 ) Nel suo parere del 2006; cfr. la precedente nota a piè di pagina 19.

36. Essenzialmente il testo della proposta introduce deroghe ai diritti degli interessati per motivi di riservatezza delle indagini. L’articolo 7 bis, paragrafo 4, stabilisce che, «fatti salvi l’articolo 4, paragrafo 6, e l’articolo 6, paragrafo 5» ( 29 ), non possono essere tratte conclusioni che facciano riferimento nominativamente a una persona interessata «al termine di un’indagine se ad essa non è stata data la possibilità di presentare le proprie osservazioni, per iscritto o durante un colloquio […] e se non le sono state fornite le informazioni di cui agli articoli 11 e 12 del regolamento (CE) n. 45/2001». Il testo sembra pertanto suggerire che, nei casi di cui all’articolo 4, paragrafo 6, e all’articolo 6, paragrafo 5, il diritto di audizione e il diritto di informazione dell’interessato potrebbero essere limitati.

37. La proposta stabilisce inoltre che, nei casi in cui occorra garantire la riservatezza dell’indagine e che comportino il ricorso a indagini che rientrano nelle competenze di un’autorità giudiziaria nazionale, il direttore generale dell’OLAF può decidere di differire la possibilità per la persona interessata di presentare le sue osservazioni. Il testo non precisa se, in tale contesto, debbano essere differite anche le informazioni di cui agli articoli 11 e 12 del regolamento (CE) n. 45/2001.

38. La formulazione del testo non è chiara. Innanzitutto, il collegamento tra le possibili limitazioni dei diritti della persona oggetto di indagine in relazione alle conclusioni connesse al suo nome e il tipo di informazioni che l’OLAF deve comunicare all’autorità UE competente nel corso dell’indagine effettiva sono tutt’altro che chiari. In secondo luogo, non è chiaro quali categorie dei diritti dell’interessato siano oggetto di una potenziale limitazione. In terzo luogo, l’articolo omette il necessario riferimento alla salvaguardia di cui all’articolo 20, paragrafo 3, del regolamento (CE) n. 45/2001.

39. In determinati casi, di conseguenza, le persone potrebbero trovarsi dinanzi a conclusioni sull’indagine senza essere state informate di essere oggetto dell’indagine e senza avere ricevuto alcuna comunicazione riguardo ai motivi per cui i loro diritti di audizione e informazione a norma degli articoli 11 e 12 del regolamento (CE) n. 45/2001 sono stati limitati.

40. Nel caso in cui l’articolo 20, paragrafi 3 e 5, del regolamento (CE) n. 45/2001 venga rispettato, una situazione simile non sarebbe di per sé in conflitto con il regolamento. Tuttavia, l’assenza nel testo di un chiaro riferimento agli articoli del regolamento non sembra essere coerente con l’obiettivo della proposta di rafforzare le garanzie procedurali a favore delle persone interessate dalle indagini dell’OLAF e di rafforzare la responsabilità dell’Ufficio.

41. Il GEPD suggerisce pertanto di inserire un esplicito riferimento a un’eventuale limitazione del diritto dell’interessato ai sensi dell’articolo 20 del regolamento (CE) n. 45/2001. Nel testo è inoltre necessario menzionare le garanzie procedurali di cui all’articolo 20, paragrafo 3, nonché l’eventuale deroga prevista dall’articolo 20, paragrafo 5. Una norma chiara in tal senso rafforzerebbe sia la certezza del diritto per l’interessato che la responsabilità dell’OLAF.

42. In conclusione, al fine di definire un insieme chiaro di diritti dell’interessato e di introdurre eventuali deroghe per motivi di riservatezza delle indagini ai sensi dell’articolo 20 del regolamento (CE) n. 45/2001, il GEPD suggerisce di indicare chiaramente nel testo:

— le informazioni che devono essere fornite all’interessato al fine di ottemperare alla normativa sulla protezione dei dati (articoli 11 e 12 del regolamento (CE) n. 45/2001) nell’ambito delle varie fasi delle indagini condotte dall’OLAF ( 30 ), (i) colloqui (articolo 7 bis, paragrafo 2), (ii) informazione della persona che può essere interessata dall’indagine (articolo 7 bis, paragrafo 3) e (iii) al termine di un’indagine (articolo 7 bis, paragrafo 4),

— il tipo di informazioni che possono essere differite dall’OLAF per motivi di riservatezza dell’indagine, definendo chiaramente le condizioni e le categorie di interessati oggetto del deferimento,

— le informazioni che devono essere fornite all’interessato per ottemperare alla normativa sulla protezione dei dati nel caso in cui la comunicazione ai sensi degli articoli 11 o 12 sia deferita o laddove i diritti di accesso e rettifica siano limitati (nella fattispecie, le informazioni ai sensi dell’articolo 20, paragrafo 3, del regolamento (CE) n. 45/2001), compresa la deroga collegata alla possibilità di differire ulteriormente le informazioni a norma dell’articolo 20, paragrafo 5, del regolamento (CE) n. 45/2001.

( 29 ) L’articolo 4, paragrafo 6 — «Indagini interne» — stabilisce quanto segue: «Qualora dalle indagini emerga la possibilità che un membro o un membro del personale sia interessato da un’indagine interna, l’istituzione, l’organo o l’organismo di appartenenza ne è informato. In casi eccezionali nei quali non sia possibile garantire la riservatezza dell’indagine, l’Ufficio ricorre ad adeguati canali alternativi d’informazione.» L’articolo 6, paragrafo 5 — «Esecuzione delle indagini» — stabilisce quanto segue: «Quando le indagini indichino che potrebbe essere opportuno adottare misure amministrative cautelari al fine di tutelare gli interessi finanziari dell’Unione, l’Ufficio informa senza indebito ritardo l’istituzione, l’organo o l’organismo interessati dell’indagine in corso. Le informazioni trasmesse contengono i seguenti dati: (a) l’identità del membro o del membro del personale interessato e una sintesi dei fatti in questione; (b) tutte le informazioni che possano essere di utilità per l’istituzione, l’organo o l’organismo al fine di decidere se sia opportuno adottare misure amministrative cautelari per tutelare gli interessi finanziari dell’Unione; (c) le eventuali misure particolari raccomandate per la tutela della riservatezza, soprattutto nei casi che comportano il ricorso a misure d’indagine di competenza di un’autorità giudiziaria nazionale oppure, nel caso di un’indagine esterna, di competenza di un’autorità nazionale, in conformità delle disposizioni nazionali applicabili alle indagini. […]», sottolineatura aggiunta.

( 30 ) Come precedentemente indicato, dopo che saranno state fornite le pertinenti informazioni all’interessato, non sarà necessario ripetere le medesime informazioni nelle fasi successive.

3.2. Politica di informazione

43. Il GEPD sottolinea che le informazioni sulle indagini che potrebbero essere rese pubbliche dall’OLAF possono riguardare dati personali sensibili e occorre valutare attentamente la necessità di tale pubblicazione. Il Tribunale di primo grado (ora il Tribunale), nella sua sentenza nella causa Nikolaou del 2007 ( 31 ), ha stabilito che l’OLAF aveva violato l’articolo 8, paragrafo 3, del regolamento (CE) n. 1073/1999 ( 32 ) e il regolamento (CE) n. 45/2001 per non aver adeguatamente rispettato l’obbligo di garantire la protezione dei dati personali nell’ambito di una «fuga di notizie» ( 33 ) e della pubblicazione di un comunicato stampa ( 34 ).

44. Il GEPD accoglie pertanto con favore l’introduzione dell’articolo 8, paragrafo 5, il quale prevede espressamente che il direttore generale assicuri che qualsiasi informazione al pubblico avvenga «in modo neutrale, imparziale» e nel rispetto dei principi di cui all’articolo 8 e all’articolo 7 bis. Alla luce delle osservazioni formulate precedentemente riguardo all’approccio restrittivo dell’articolo 7 bis alle norme del regolamento (CE) n. 45/2001, il GEPD accoglie con particolare favore il riferimento dell’articolo 8, paragrafo 5, alla disposizione più generale dell’articolo 8, il quale prevede che il trattamento dei dati personali nel contesto dell’informazione al pubblico avvenga in conformità di tutti i principi del regolamento (CE) n. 45/2001.

3.3. Riservatezza dell’identità di persone che denunciano un’irregolarità e degli informatori

45. Il GEPD desidera insistere, nell’ambito della revisione attuale, sulla necessità di introdurre una disposizione specifica volta a garantire la riservatezza dell’identità di persone che denunciano un’irregolarità e degli informatori. Il GEPD sottolinea la delicatezza della posizione in cui si trovano le persone che denunciano un’irregolarità. A coloro che forniscono tali informazioni devono essere fornite garanzie in merito alla riservatezza della loro identità, in particolare per quanto riguarda la persona su cui viene riferita una presunta irregolarità ( 35 ). Le garanzie attuali (comunicazione della Commissione SEC/2004/151/2) non sembrano sufficienti da un punto di vista giuridico. Il GEPD rileva che tale disposizione sarebbe in linea con il parere del gruppo di lavoro «articolo 29» per la protezione dei dati sulle procedure interne per la denuncia delle irregolarità ( 36 ).

46. Il GEPD raccomanda di modificare la proposta attuale e di garantire che l’identità di coloro che denunciano un’irregolarità e degli informatori venga mantenuta riservata nel corso delle indagini nella misura in cui ciò non contravvenga alle norme nazionali che disciplinano le procedure giudiziarie. In particolare, l’oggetto delle asserzioni può essere legittimato a conoscere l’identità della persona che ha denunciato l’irregolarità e/o dell’informatore onde avviare procedimenti giudiziari nei suoi confronti qualora sia stato stabilito che il soggetto in questione ha formulato intenzionalmente false dichiarazioni a suo carico ( 37 ).

3.4. Trasferimenti di dati personali dall’OLAF

Cooperazione con Eurojust ed Europol

47. Il GEPD accoglie con favore le precisazioni formulate al considerando 6 e all’articolo 10 bis, e in particolare l’introduzione del requisito di una chiara base giuridica volta a disciplinare la cooperazione con Eurojust ed Europol, principio che è pienamente in linea con il regolamento (CE) n. 45/2001. La proposta deve tuttavia essere più dettagliata per riflettere i differenti regimi di protezione dei dati vigenti per Eurojust ed Europol.

48. Ad oggi, l’OLAF ha sottoscritto un accordo pratico con Eurojust ( 38 ) che definisce le condizioni alle quali può avvenire il trasferimento di dati personali. La cooperazione fra l’OLAF ed Eurojust prevede in particolare lo scambio di sintesi di fascicoli, di informazioni strategiche e operative relative ai fascicoli, la partecipazione a riunioni e l’assistenza reciproca che potrebbe rivelarsi utile per l’efficiente ed effettivo assolvimento dei rispettivi compiti. L’accordo pratico ( 39 ) definisce principalmente il modus operandi che deve essere seguito per lo scambio di informazioni, inclusi dati personali, e in alcuni casi evidenzia o precisa anche determinati elementi del quadro giuridico esistente.

( 31 ) Causa T-259/03, Nikolaou contro Commissione del 12 luglio 2007, GU C 247 del 20.10.2007, pag. 23.

( 32 ) L’articolo fa espressamente riferimento alla normativa sulla protezione dei dati.

( 33 ) Nikolaou, punto 213.

( 34 ) Nikolaou, punto 232.

( 35 ) L’importanza di mantenere riservata l’identità delle persone che denunciano un’irregolarità è già stata sottolineata dal GEPD in una lettera al Mediatore europeo del 30 luglio 2010, nel fascicolo 2010-458, reperibile sul sito web del GEPD (http://www.edps. europa.eu). Cfr. anche i pareri di controllo preventivo del GEPD del 23 giugno 2006, in merito alle indagini interne dell’OLAF (fascicolo 2005-418), e del 4 ottobre 2007, in merito alle indagini esterne dell’OLAF (fascicoli 2007-47, 2007-48, 2007-49, 2007-50, 2007-72).

( 36 ) Cfr. il parere 1/2006 del gruppo di lavoro «articolo 29», del 1 o febbraio 2006, relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria, consultabile al seguente in- dirizzo: http://ec.europa.eu/justice/policies/privacy/workinggroup/ index_en.htm

( 37 ) Cfr. il parere del 15.4.2011 sulle regole finanziarie applicabili al bilancio annuale dell’Unione, consultabile all’indirizzo http://www. edps.europa.eu

( 38 ) Accordo pratico sulle modalità di cooperazione fra Eurojust e l’OLAF, del 24 settembre 2008: cfr. la precedente nota a piè di pagina12.

( 39 ) Accordo pratico fra Eurojust e l’OLAF, punto 4.1.

49. Europol, dal canto suo, non ha sottoscritto un accordo analogo con l’OLAF ( 40 ), ma la decisione Europol permette a Europol di ricevere direttamente, usare e trasmettere informazioni, inclusi dati personali, inter alia dall’OLAF, anche prima della conclusione di un accordo formale sullo scambio di informazioni se ciò è necessario per il legittimo svolgimento dei compiti di Europol e dell’OLAF ( 41 ). Lo scambio è inoltre subordinato all’esistenza di un accordo di riservatezza tra le due entità. L’articolo 24 della decisione Europol precisa alcune misure di salvaguardia che Europol è tenuto a osservare riguardo ai trasferimenti di dati che devono essere effettuati prima della conclusione di un accordo formale sullo scambio di informazioni: «Europol è responsabile della legittimità della trasmissione dei dati. Mantiene una traccia di tutte le trasmissioni di dati ai sensi del presente articolo, e dei relativi motivi. I dati sono trasmessi solo se il destinatario si impegna a usarli unicamente per lo scopo per il quale sono stati trasmessi.» L’articolo 29 della stessa decisione specifica inoltre i casi in cui la responsabilità dei dati trasmessi da terzi incombe a Europol.

50. Il GEPD sostiene fermamente la conclusione di un accordo specifico con Europol sui trasferimenti di dati e il fatto che finora non sia stato sottoscritto rafforza la necessità di inserire garanzie ad hoc nel testo della proposta. Alla luce dei differenti regimi di protezione dei dati vigenti in relazione al trasferimento di dati personali dall’OLAF a Eurojust ed Europol e viceversa, il GEPD ritiene che la proposta debba affrontare più chiaramente le garanzie e le norme necessarie che dovrebbero disciplinare la cooperazione tra l’OLAF e questi organi e che dovrebbero essere prese in considerazione negli accordi di lavoro attuali e futuri tra tali entità.

51. Per rafforzare la necessità di concludere un accordo amministrativo, è opportuno modificare il testo della disposizione dell’articolo 10 bis, paragrafo 2, come segue: «L’Ufficio conviene […] accordi amministrativi […].» In questo modo rispecchierà l’analoga disposizione della decisione Europol ( 42 ), la quale stabilisce che Europol stipula accordi o accordi di lavoro con istituzioni, organi e agenzie dell’Unione. All’articolo 10 bis, inoltre, la proposta potrebbe chiarire che, quale principio generale, lo scambio di dati personali con Eurojust ed Europol deve essere circoscritto e non andare oltre a quanto necessario per il legittimo svolgimento dei compiti affidati all’OLAF, a Europol e ad Eurojust. La proposta dovrebbe inoltre introdurre l’obbligo per l’OLAF di mantenere una traccia di tutte le trasmissioni di dati e dei relativi motivi, al fine di rafforzare la responsabilità dell’OLAF in merito all’attuazione degli obblighi imposti dal regolamento (CE) n. 45/2001 sui trasferimenti di dati personali.

Cooperazione con i paesi terzi e le organizzazioni internazionali

52. L’articolo 10 bis, paragrafo 3, indica che «l’Ufficio può [inoltre] convenire, all’occorrenza, accordi amministrativi con servizi competenti di paesi terzi e organizzazioni internazionali. L’Ufficio procede al coordinamento con i servizi interessati della Commissione e con il servizio europeo per l’azione esterna».

53. Il GEPD accoglie con favore il fatto che la cooperazione dell’OLAF con i paesi terzi e le organizzazioni internazionali sia collegata alla conclusione di accordi amministrativi. Tuttavia, le implicazioni per la protezione dei dati derivanti dall’eventuale scambio di dati con i paesi terzi e le organizzazioni internazionali devono essere affrontate specificamente nella proposta.

54. La proposta deve essere più precisa in merito alle condizioni e ai requisiti specifici cui è necessario ottemperare per gli eventuali trasferimenti di dati da e verso i paesi terzi e le organizzazioni internazionali. Il GEPD raccomanda di inserire nel testo dell’articolo 10 bis, paragrafo 3, anche la seguente formulazione: «Nella misura in cui la cooperazione con le organizzazioni internazionali e i paesi terzi comporti il trasferimento di dati personali dall’OLAF ad altre entità, tale trasferimento è effettuato secondo i criteri stabiliti dall’articolo 9 del regolamento (CE) n. 45/2001.»

Accesso del comitato di vigilanza ai dati personali

55. Il GEPD accoglie con favore la formulazione dell’articolo 11 della proposta, secondo cui «il comitato di vigilanza può chiedere all’Ufficio informazioni supplementari sulle indagini in situazioni debitamente motivate, senza tuttavia interferire nello svolgimento delle indagini»; tale formulazione, infatti, esprime il principio di necessità in relazione all’eventuale trasferimento di dati personali dall’OLAF al comitato di vigilanza.

56. La questione dell’accesso del comitato di vigilanza ai dati personali dei soggetti coinvolti o eventualmente coinvolti nelle indagini deve a sua volta essere chiarita nel contesto del regolamento interno che il comitato deve adottare sulla base del nuovo articolo 11, paragrafo 6. Il GEPD auspica di essere coinvolto nel processo che porterà all’adozione del regolamento interno del comitato di vigilanza. La consultazione del GEPD potrebbe inoltre essere inserita nel testo della proposta quale requisito per l’adozione del regolamento interno.

( 40 ) L’accordo amministrativo dell’8 aprile 2004 è limitato allo scambio di informazioni strategiche ed esclude espressamente lo scambio di dati personali, lasciando che la questione sia disciplinata da un ulteriore accordo tra Europol e l’OLAF.

( 41 ) Decisione Europol, articolo 22, paragrafo 3; cfr. la precedente nota a piè di pagina 14.

( 42 ) Decisione Europol, articolo 22, paragrafo 2; cfr. la precedente nota a piè di pagina 14: «Europol stipula accordi o accordi di lavoro con le entità di cui al paragrafo 1» (ossia Eurojust, OLAF, Frontex, CEPOL, BCE e OEDT).

 

4. PIANIFICAZIONE STRATEGICA

57. Oltre a tutti i punti specifici summenzionati, il GEPD desidera incoraggiare la Commissione a proporre un approccio più aperto al regime di protezione dei dati dell’UE da parte dell’OLAF. È opportuno che l’OLAF sviluppi una pianificazione strategica della sua osservanza delle norme in materia di protezione dei dati chiarendo volontariamente l’approccio pratico al trattamento dei suoi numerosi fascicoli contenenti dati personali. L’OLAF potrebbe spiegare proattivamente e pubblicamente come tratta i dati personali nell’ambito delle sue varie attività. Il GEPD ritiene che da tale approccio globale ed esplicito scaturiranno una maggiore trasparenza del trattamento dei dati personali da parte dell’OLAF e una migliore fruibilità dei processi investigativi dell’Ufficio.

58. Il GEPD suggerisce pertanto che le disposizioni della proposta affidino al direttore generale il compito di assicurare la realizzazione e l’aggiornamento di una sintesi globale di tutte le varie operazioni di trattamento dei dati effettuate dall’OLAF o che la loro necessità venga almeno spiegata in un considerando. Tale sintesi — dei cui risultati dovrà essere garantita la trasparenza attraverso, ad esempio, una relazione annuale o tramite altre opzioni — non solo rafforzerà l’efficacia delle varie attività dell’OLAF e la loro interazione, ma incoraggerà altresì l’Ufficio ad adottare un approccio più globale riguardo alla necessità e alla proporzionalità delle operazioni di trattamento. Sarebbe inoltre opportuno che l’OLAF dimostrasse più chiaramente di attuare in modo corretto i principi della «privacy by design» (tutela della vita privata fin dalla progettazione) e della responsabilità.

 

5. CONCLUSIONE

59. In conclusione il GEPD accoglie con favore le modifiche apportate al testo che rafforzano il rispetto della legislazione UE in materia di protezione dei dati dell’UE da parte della proposta.

60. Tuttavia, il GEPD desidera altresì sottolineare una serie di carenze che devono essere affrontate dalla modifica del testo, e soprattutto:

— la proposta deve indicare chiaramente il diritto di informazione delle diverse categorie di interessati nonché il diritto di accesso e rettifica riguardo a tutte le fasi delle indagini svolte dall’OLAF,

— la proposta deve chiarire la relazione tra l’esigenza della riservatezza delle indagini e il regime di protezione dei dati applicabile nel corso delle indagini: il GEPD suggerisce che i diritti degli interessati siano chiaramente definiti e separati, analogamente alle eventuali deroghe per motivi di riservatezza delle indagini, e che siano espressamente introdotte le salvaguardie di cui all’articolo 20 del regolamento (CE) n. 45/2001,

— la proposta deve chiarire la politica di informazione al pubblico dell’OLAF in relazione alla protezione dei dati,

— la proposta deve introdurre disposizioni specifiche a tutela della riservatezza delle persone che denunciano un’irregolarità e degli informatori,

— la proposta deve chiarire i principi generali di protezione dei dati sulla cui base l’OLAF può trasmettere e ricevere informazioni, inclusi dati personali, con organi e agenzie dell’UE, paesi terzi e organizzazioni internazionali,

— le disposizioni della proposta devono affidare al direttore generale il compito di assicurare la realizzazione, l’aggiornamento e la trasparenza di una sintesi strategica e globale delle varie operazioni di trattamento dei dati effettuate dall’OLAF o prevedere che almeno ne venga spiegata la necessità in un considerando.

Fatto a Bruxelles, il 1 giugno 2011

Giovanni BUTTARELLI

Garante europeo aggiunto della protezione dei dati