Parere del Garante europeo della protezione dei dati sulle proposte giuridiche relative alla politica agricola comune dopo il 2013

Garante europeo della protezione dei dati sulle propostegiuridiche relative alla politica agricola comune dopo il 2013

(Pubblicato nella GUUE n. C 35 del 9.2.2012)

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI,

visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16,

vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati ⁽²⁾,

vista la richiesta di parere a normadell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, HA ADOTTATO IL SEGUENTE PARERE:

1. INTRODUZIONE

1.1. Consultazione del GEPD

1. Il 12 ottobre 2011 la Commissioneha adottato le seguenti proposte (in prosieguo: ´le proposteª) riguardanti lapolitica agricola comune (in prosieguo: ´PACª) dopo il 2013, inviate al GEPD ilgiorno stesso a fini di consultazione:

— proposta di regolamento delParlamento europeo e del Consiglio recante norme sui pagamenti diretti agliagricoltori nell'ambito dei regimi di sostegno previsti dalla politica agricolacomune (in prosieguo: il ´regolamento sui pagamenti direttiª) ⁽³⁾,

— proposta di regolamento delParlamento europeo e del Consiglio recante organizzazione comune dei mercatidei prodotti agricoli (in prosieguo: il ´regolamento sulla OCM unicaª) ⁽⁴⁾,

— proposta di regolamento delParlamento europeo e del Consiglio sul sostegno allo sviluppo rurale da partedel Fondo europeo agricolo per lo sviluppo rurale (FEASR) (in prosieguo: il´regolamento sullo sviluppo ruraleª) ⁽⁵⁾,

— proposta di regolamento delParlamento europeo e del Consiglio sul finanziamento, sulla gestione e sulmonitoraggio della politica agricola comune (in prosieguo: il ´regolamentoorizzontaleª) ⁽⁶⁾,

— proposta di regolamento delConsiglio recante misure per la fissazione di determinati aiuti e restituzioniconnessi all'organizzazione comune dei mercati dei prodotti agricoli ⁽⁷⁾,

— proposta di regolamento delParlamento europeo e del Consiglio recante modifica del regolamento (CE) n.73/2009 in ordine all'applicazione dei pagamenti diretti agli agricoltori peril 2013 ⁽⁸⁾,

— proposta di regolamento delParlamento europeo e del Consiglio che modifica il regolamento (CE) n.1234/2007 in ordine al regime di pagamento unico e al sostegno ai viticoltori ⁽⁹⁾.

2. Il GEPD si compiace di esserestato consultato formalmente dalla Commissione e che nei preamboli proposti peril regolamento sui pagamenti diretti, il regolamento sulla OCM unica, ilregolamento sullo sviluppo regionale e il regolamento orizzontale sia statoincluso un riferimento al presente parere.

1.2. Obiettivi delle proposte etrattamento dei dati personali

3. Le proposte mirano a definire unquadro normativo per (1) una produzione alimentare sostenibile, (2) unagestione sostenibile delle risorse naturali e un'azione per il clima e (3) unosviluppo equilibrato del territorio. A tal fine, istituiscono alcuni regimi disostegno per gli agricoltori e altre misure intese a stimolare lo sviluppoagricolo e rurale.

4. Nell'ambito di questi programmi,il trattamento dei dati personali — riguardanti principalmente ibeneficiari degli aiuti, ma anche terzi — avviene in varie fasi(trattamento delle domande di aiuto, garanzia della trasparenza dei pagamenti,controllo e lotta antifrode ecc.). Il trattamento è perlopiù effettuato dagliStati membri sotto la loro responsabilità, ma la Commissione può accedere allamaggior parte di tali dati. I beneficiari e in alcuni casi i terzi — peresempio ai fini dei controlli antifrode — devono fornire informazionialle autorità competenti designate.

1.3. Scopo del parere del GEPD

5. L'importanza della protezione deidati nel contesto della PAC è stata evidenziata dalla Corte di giustiziadell'Unione europea nella sentenza Schecke, che ha invalidato le disposizionidell'UE relative alla pubblicazione dei nomi dei beneficiari di fondi agricoli ⁽¹⁰⁾. Il GEPD è consapevole del fatto che, nel caso in esame, gliaspetti attinenti alla protezione dei dati non sono al centro delle proposte.Tuttavia, nella misura in cui le proposte comportano il trattamento di datipersonali, si possono formulare alcune osservazioni pertinenti.

6. Scopo del presente parere non èanalizzare l'intera serie di proposte, bensì offrire un contributo e alcuniorientamenti per definire il trattamento dei dati personali necessario per lagestione della CAP in modo da rispettare i diritti fondamentali alla tuteladella vita privata e alla protezione dei dati personali e, nel contempo,garantire una gestione efficace degli aiuti, la prevenzione e l'accertamentodelle frodi, la trasparenza e la rendicontazione della spesa.

7. A tal fine, il presente parere èstrutturato in due parti: la prima parte, più generale, contiene un'analisi eraccomandazioni valide per la maggior parte delle proposte, e consisteprincipalmente in osservazioni riguardanti i poteri delegati e le competenze diesecuzione attribuiti alla Commissione. La seconda parte esamina ledisposizioni specifiche contenute in alcune proposte ⁽¹¹⁾ e fornisce raccomandazioni per risolvere i problemiindividuati.

2. ANALISI DELLEPROPOSTE

2.1. Osservazioni generali

8. Come già rilevato, le operazionidi trattamento dei dati sono in gran parte effettuate dagli Stati membri.Tuttavia in molti casi la Commissione può accedere ai dati personali. Il GEPDaccoglie pertanto con favore i riferimenti all'applicabilità della direttiva95/46/CE e del regolamento (CE) n. 45/2001 inclusi nei preamboli delle proposte⁽¹²⁾.

9. In generale, si osserva che moltiaspetti fondamentali per la protezione dei dati non figurano nelle proposte inesame, ma saranno disciplinati da atti delegati o di esecuzione. Ciò vale, peresempio, per le misure da adottare riguardo al monitoraggio degli aiuti,all'istituzione di sistemi di informazione, alla trasmissione dei dati ai paesiterzi e ai controlli in loco ⁽¹³⁾.

10. L'articolo 290 TFUE stabilisce lecondizioni per l'esercizio dei poteri delegati da parte della Commissione. Essapuò adottare atti non legislativi ´che integrano o modificano determinatielementi non essenziali dell'atto legislativoª. Inoltre ´gli obiettivi, ilcontenuto, la portata e la durata della delega di potereª devono essereesplicitamente delimitati. Per quanto riguarda le competenze di esecuzione,l'articolo 291 TFUE stabilisce che tali competenze possono essere attribuitealla Commissione quando ´sono necessarie condizioni uniformi di esecuzionedegli atti giuridicamente vincolanti dell'Unioneª. » assicurato un controlloadeguato da parte degli Stati membri.

11. A parere del GEPD, gli aspettifondamentali delle operazioni di trattamento previste nelle proposte e lesalvaguardie necessarie per la protezione dei dati non possono essereconsiderati ´elementi non essenzialiª. Pertanto, al fine di rafforzare lacertezza del diritto, i testi legislativi principali dovrebbero disciplinarealmeno gli elementi seguenti ⁽¹⁴⁾:

— la finalità specifica di ognioperazione di trattamento dovrebbe essere indicata esplicitamente. Ciò rivesteparticolare importanza per quanto riguarda la pubblicazione dei dati personalie la trasmissione dei dati ai paesi terzi,

— le categorie dei dati da trattaredovrebbero essere previste e specificate perché, in molti casi, l'ambito deltrattamento attualmente non è chiaro ⁽¹⁵⁾,

— i diritti di accessodovrebbero essere precisati, in particolare per quanto riguarda l'accesso aidati da parte della Commissione. A questo proposito, occorre specificare che laCommissione può trattare dati personali soltanto se necessario, per esempio afini di controllo,

— il periodo massimo diconservazione dei dati dovrebbe essere stabilito, in quanto le proposte inalcuni casi indicano soltanto il periodo minimo di conservazione ⁽¹⁶⁾,

— i diritti degli interessatidovrebbero essere specificati, soprattutto per quanto riguarda il diritto diinformazione. I beneficiari potrebbero sapere che i loro dati saranno oggettodi trattamento, ma anche i terzi devono essere adeguatamente informati delfatto che i loro dati potrebbero essere usati a fini di controllo,

— anche l'ambito e la finalitàdel trasferimento di dati verso i paesi terzi dovrebbero essere specificati erispettare gli obblighi di cui all'articolo 25 della direttiva 95/46/CE eall'articolo 9, paragrafo 1, del regolamento (CE) n. 45/2001.

12. Dopo aver precisato questielementi nelle proposte legislative principali, si potrà fare ricorso ad attidelegati o di esecuzione per definire le modalità di attuazione specifiche diqueste salvaguardie. Il GEPD si attende di essere consultato in merito agliatti delegati e di esecuzione riguardanti questioni di rilievo per laprotezione dei dati.

13. In alcuni casi i dati relativi a (sospette)infrazioni possono essere oggetto di trattamento (per es. in caso di frode).Poiché la normativa applicabile in materia di protezione dei dati prevede unaprotezione speciale per tali dati ⁽¹⁷⁾, potrebbe essere necessario un controllo preventivo da partedell'autorità nazionale di protezione dei dati competente o del GEPD ⁽¹⁸⁾.

14. Infine, è necessario prevederemisure di sicurezza, soprattutto per quanto riguarda le banche dati e i sistemiinformatizzati. Occorre inoltre tenere conto dei principi di responsabilità edi ´privacy by designª.

2.2. Osservazioni specificheLimitazione delle finalità e ambito del trattamento

15. L'articolo 157 del regolamentosulla OCM unica conferisce alla Commissione il potere di adottare atti diesecuzione riguardanti gli obblighi di comunicazione per diverse finalità (peresempio per garantire la trasparenza del mercato, per il controllo delle misuredella PAC o per l'attuazione di accordi internazionali) ⁽¹⁹⁾, tenendo conto ´dei dati necessari e delle sinergie tra potenzialifonti di datiª ⁽²⁰⁾. Il GEPD raccomanda dispecificare in questa disposizione quali fonti di dati si devono usare perquali finalità specifiche. Al riguardo, il GEPD desidera rammentare il rischioche l'interconnessione fra le banche dati possa essere attuata in violazionedel principio della limitazione delle finalità ⁽²¹⁾, secondo cui i dati personali non possono esseresuccessivamente trattati in modo incompatibile con le finalità originarie perle quali sono stati raccolti ⁽²²⁾.

16. Gli articoli 74 e 77 delregolamento sullo sviluppo rurale stabiliscono un sistema di monitoraggio evalutazione che dovrà essere ´istituito, di concerto tra la Commissione e gliStati membriª, ai fini del monitoraggio e della valutazione, comprendente unsistema di informazione elettronico. Il sistema comporterà il trattamento didati relativi alle ´caratteristiche salienti dei beneficiari e dei progettiªforniti dai beneficiari stessi (articolo 78). Se queste ´informazioniessenzialiª comprendono dati personali, occorre precisarlo nella disposizione.Si devono inoltre definire le categorie di dati da trattare e il GEPD dovrebbeessere consultato sugli atti di esecuzione previsti dall'articolo 74.

17. Inoltre, l'articolo 92 dellamedesima proposta prevede che ´la Commissione, in collaborazione con gli Statimembriª, istituisca un nuovo sistema di informazione per lo scambio sicuro di´dati di comune interesseª. La definizione delle categorie di dati da scambiareè troppo generica e andrebbe limitata nel caso in cui si debbano trasferiredati personali utilizzando tale sistema. Occorre altresì precisare la relazionefra l'articolo 77 e l'articolo 92, in quanto non è chiaro se abbiano la stessafinalità e lo stesso ambito di applicazione.

18. Al considerando 40 del regolamentoorizzontale si afferma che negli Stati membri dovrebbe essere operativo unsistema integrato di gestione e controllo ⁽²³⁾ di determinati pagamenti e che è opportuno ´autorizzare gliStati membri ad avvalersi del sistema integrato anche per altri regimi disostegno unionaliª, al fine di ´migliorare l'efficienza e il controllo deipagamenti concessi dall'Unioneª. Questa disposizione andrebbe chiarita,soprattutto se non riguarda soltanto lo sfruttamento di sinergie in termini diinfrastrutture, ma anche l'uso delle informazioni conservate in tale sistema aifini del monitoraggio di altri regimi di sostegno.

19. Ai sensi dell'articolo 73,paragrafo 1, lettera c), del regolamento orizzontale, le domande di aiutodevono comprendere, oltre alle parcelle agricole e ai diritti all'aiuto, anche´ogni altra informazione prevista dal presente regolamento o richiesta perl'attuazione della corrispondente legislazione settoriale agricola o richiestadallo Stato membro interessatoª ⁽²⁴⁾. Se si prevede che tali informazionicontengano dati personali, è necessario specificare le categorie di datirichieste.

Diritti di accesso

20. Il regolamento orizzontaleistituisce alcuni organismi per l'attuazione pratica della PAC e attribuisceloro i rispettivi compiti (articoli 7-15). Per la Commissione, sono previste lecompetenze seguenti (titoli IV-VII):

— può accedere ai dati trattatida questi organismi a fini di controllo (di pagamenti e beneficiari specifici) ⁽²⁵⁾,

— può altresì accedere allamaggior parte di tali dati per la valutazione generale delle misure ⁽²⁶⁾.

21. Il primo compito indicato alparagrafo precedente comporta il trattamento di dati personali, mentre per ilsecondo compito a prima vista non sussiste alcuna necessità di trattare datipersonali: una valutazione generale delle misure può essere effettuata anchesulla base di dati aggregati o resi anonimi. A meno che la Commissione nonfornisca una motivazione adeguata della necessità di trattare dati personali inquesto contesto, occorre chiarire che non saranno forniti alla Commissione datipersonali ai fini della valutazione generale delle misure.

22. Gli articoli49-52 e 61-63 del regolamento orizzontale stabiliscono le norme per i controlliin loco ⁽²⁷⁾. La proposta indica che talicontrolli saranno principalmente effettuati dalle autorità competenti degliStati membri, soprattutto per quanto riguarda le perquisizioni el'interrogatorio formale delle persone, ma la Commissione avrà accesso alleinformazioni così ottenute. Qui il legislatore dovrebbe precisare che laCommissione accederà a tali dati soltanto se necessario a fini di controllo. Sidovrebbero inoltre specificare le categorie di dati personali cui laCommissione avrà accesso.

23. Ai fini del monitoraggio degliaiuti, il regolamento orizzontale istituisce un sistema di gestione e dicontrollo ⁽²⁸⁾ (articoli 68-78), costituitoda alcune banche dati:

— una banca dati informatizzata(articolo 70), — un sistema di identificazione delle parcelle agricole(articolo 71), — un sistema di identificazione e di registrazione deidiritti all'aiuto (articolo 72), — le domande di aiuto (articolo 73).

24. La banca dati informatizzataconsiste in una banca dati per ciascuno Stato membro (i quali possono anchecreare banche dati decentrate), nella quale sono registrati i dati ottenuti daciascun beneficiario tramite le domande di aiuto e di pagamento. Consideratoche, ai fini del controllo, potrebbero non essere necessari tutti i datiricavati dalle domande di aiuto, si dovrebbero prendere in considerazionemodalità che consentano di ridurre al minimo il trattamento dei dati personaliin questo ambito.

25. L'accesso al sistema di gestionee di controllo non è disciplinato esplicitamente. Analogamente a quantoaffermato riguardo ai controlli in loco, il GEPD raccomanda al legislatore distabilire norme chiaramente circostanziate per l'accesso a questo sistema.

26. Per quanto riguarda i controlli,il regolamento orizzontale prevede il controllo dei documenti commerciali,compresi quelli di terzi (articoli 79-88) ⁽²⁹⁾. Tali documenti possono contenere dati personali di terzi. Lecondizioni alle quali i terzi sono tenuti a mettere a disposizione i lorodocumenti commerciali dovrebbero essere specificate nello strumento ⁽³⁰⁾.

27. L'articolo 87 della medesimaproposta stabilisce che gli agenti della Commissione hanno accesso all'insiemedei documenti ´elaborati per o a seguito dei controlliª ´conformemente alledisposizioni legislative nazionaliª. Ciò vale sia nel caso in cui possanopartecipare ai controlli (paragrafo 2), sia nel caso in cui determinati attisiano riservati ad agenti designati dalla legge dello Stato membro in cui sonoeffettuati i controlli (paragrafo 4). In entrambi i casi, occorre assicurareche gli agenti della Commissione accedano a tali dati soltanto se necessario(cioè a fini di controllo), anche qualora la legislazione nazionale consental'accesso per altre finalità. Il GEPD invita il legislatore a inserire neltesto precisazioni in tal senso.

28. Ai sensi dell'articolo 102 delregolamento orizzontale, gli Stati membri comunicano alla Commissionedeterminate categorie di informazioni, dichiarazioni e documenti, compresa ´unasintesi dei risultati di tutte le ispezioni e di tutti i controlli effettuatiª[articolo 102, paragrafo 1, lettera c), punto v)]. In questo caso, occorreprecisare che tale sintesi non conterrà dati personali, oppure, qualora sianonecessari dati personali, specificare la finalità per la quale devono esserecomunicati.

Periodi di conservazione

29. L'articolo 70, paragrafo 1, delregolamento orizzontale stabilisce che la banca dati informatizzata consente laconsultazione ´tramite l'autorità competente dello Stato membroª dei dati a decorreredal 2000 e ´la consultazione diretta e immediataª dei dati relativi ´almenoªagli ultimi cinque anni civili consecutivi ⁽³¹⁾.

30. Il sistema di identificazione edi registrazione dei diritti all'aiuto permette ´la verifica dei diritti e leverifiche incrociate con le domande di aiuto e con il sistema diidentificazione delle parcelle agricoleª. L'articolo 72, paragrafo 2, delregolamento orizzontale stabilisce che i dati devono essere disponibili per unperiodo di ´almenoª quattro anni ⁽³²⁾.

31. Riguardo a questi due sistemi, ilGEPD ricorda che l'articolo 6, paragrafo 1, lettera e), della direttiva95/46/CE e l'articolo 4, paragrafo 1, lettera e), del regolamento (CE) n.45/2001 stabiliscono che i dati non devono essere conservati in modo identificabileper un periodo superiore a quello necessario al conseguimento delle finalitàper le quali sono stati raccolti. Ciò significa che si deve definire il periodomassimo di conservazione, non soltanto i periodi minimi.

Trasferimenti internazionali

32. L'articolo 157, paragrafo 1,secondo comma, del regolamento sulla OCM unica indica che i dati possono esseretrasmessi a paesi terzi e a organismi internazionali. Il GEPD desideraricordare che il trasferimento di dati personali verso paesi che non assicuranoun adeguato livello di protezione può essere giustificato soltanto caso percaso, se si applica una delle deroghe di cui all'articolo 26 della direttiva95/46/CE o all'articolo 9, paragrafo 6, del regolamento (CE) n. 45/2001 (peresempio, se il trasferimento è necessario o prescritto dalla legge per lasalvaguardia di un interesse pubblico rilevante).

33. In questo caso occorre indicarela finalità specifica del trasferimento (per es., per l'attuazione di accordiinternazionali) ⁽³³⁾. L'accordo internazionale inquestione dovrebbe comprendere salvaguardie specifiche relative alla protezionedella vita privata e dei dati personali e all'esercizio di tali diritti daparte degli interessati. Inoltre, qualora i dati debbano essere trasmessi dallaCommissione, il trasferimento dovrebbe essere autorizzato dal GEPD ⁽³⁴⁾.

Pubblicazione delle informazioni

34. Al considerando 70 delregolamento orizzontale e nelle relazioni esplicative delle proposte si affermache sono in corso di preparazione nuove norme in materia di pubblicazione delleinformazioni sui beneficiari ´che tengano conto delle obiezioni sollevate dallaCorteª nella sentenza Schecke ⁽³⁵⁾.

35. Il GEPD desidera ricordare che ledisposizioni relative alla pubblicazione delle informazioni sui beneficiari devonorispettare il principio di proporzionalità. Come confermato dalla Corte digiustizia ⁽³⁶⁾, occorre garantire il giustoequilibrio tra, da un lato, i diritti fondamentali dei beneficiari al rispettodella loro vita privata e alla protezione dei loro dati personali e,dall'altro, l'interesse dell'Unione europea a garantire la trasparenza e unasana gestione delle finanze pubbliche.

36. Ciò valeanche per l'articolo 157, paragrafo 1, secondo comma, del regolamento sulla OCMunica, in forza del quale le informazioni possono ´essere pubblicate fermarestando la protezione dei dati personali e del legittimo interesse delleimprese alla tutela dei segreti aziendaliª. L'articolo 157, al paragrafo 2,lettera d), e al paragrafo 3, lettera c), conferisce alla Commissione il poteredi adottare atti delegati per definire ´le condizioni e i mezzi dipubblicazione delle informazioniª e atti di esecuzione per stabilire lemodalità relative alla messa a disposizione delle informazioni e dei documenti.

37. Il GEPD si compiace del fatto chela pubblicazione delle informazioni e dei documenti sia soggetta allaprotezione dei dati personali. Tuttavia gli elementi essenziali, quali lafinalità della pubblicazione e le categorie di dati da pubblicare, andrebberospecificati nelle proposte stesse, anziché in atti delegati o di esecuzione.

Diritti degli interessati

38. » necessario specificare idiritti degli interessati, soprattutto il diritto di informazione e il dirittodi accesso. Ciò è particolarmente importante per quanto riguarda l'articolo 81del regolamento orizzontale, secondo il quale possono essere controllati idocumenti commerciali dei beneficiari, ma anche dei fornitori, clienti, vettorio altri terzi. I beneficiari potrebbero sapere che i loro dati saranno oggettodi trattamento, ma anche i terzi devono essere adeguatamente informati delfatto che i loro dati potrebbero essere usati a fini di controllo (per es.,mediante un'avvertenza sulla riservatezza consegnata al momento della raccoltae informazioni riportate su tutti i siti Internet e i documenti pertinenti).L'obbligo di informare gli interessati, compresi i terzi, deve essere inclusonelle proposte.

Misure di sicurezza

39. Si devono prevedere misure disicurezza, soprattutto per quanto riguarda le banche dati e i sistemiinformatizzati. Occorre tenere conto dei principi di responsabilità e di´privacy by designª. Un elenco delle misure di sicurezza da adottare per talibanche dati e sistemi informatizzati potrebbe essere introdotto almeno medianteatti delegati o di esecuzione. Ciò è tanto più importante allorché i dati personalitrattati nel contesto di ispezioni e controlli possono comprendere informazionisu sospette infrazioni.

40. Il GEPD accoglie con favorel'obbligo imposto dall'articolo 103 del regolamento orizzontale di garantire lariservatezza e il segreto professionale nell'ambito dei controlli previsti agliarticoli 79-88 del regolamento stesso.

3. CONCLUSIONI

41. Il GEPD ritiene che gli aspettifondamentali delle operazioni di trattamento previste nelle proposte e lesalvaguardie necessarie per la protezione dei dati debbano essere disciplinatinei testi legislativi principali, anziché in atti delegati o di esecuzione, alfine di rafforzare la certezza del diritto:

— occorre indicareesplicitamente nelle proposte la finalità specifica di ogni operazione ditrattamento, soprattutto per quanto riguarda la pubblicazione dei datipersonali e i trasferimenti internazionali;

— si devono specificare lecategorie di dati oggetto di trattamento,

— il trattamento dei datipersonali deve limitarsi allo stretto necessario,

— si devono precisare i dirittidi accesso. In particolare, occorre specificare che la Commissione può trattaredati personali soltanto se necessario, per esempio a fini di controllo,

— è necessario stabilire iperiodi massimi di conservazione dei dati nelle proposte,

— si devono specificare idiritti degli interessati, soprattutto il diritto di informazione. Occorregarantire che non solo i beneficiari, ma anche i terzi siano informati deltrattamento di dati che li riguardano,

— la o le finalità specifiche el'ambito dei trasferimenti internazionali dovrebbero limitarsi allo strettonecessario ed essere adeguatamente definiti nelle proposte.

42. Questi elementi possono essereulteriormente elaborati in atti delegati o di esecuzione. Il GEPD si attende diessere consultato al riguardo.

43. Si dovrebbero inoltre prevederemisure di sicurezza almeno mediante atti delegati o di esecuzione, soprattuttoper quanto riguarda le banche dati e i sistemi informatizzati. Occorre tenereconto dei principi di responsabilità e di ´privacy by designª.

44. Infine, considerato che in alcunicasi i dati relativi a (sospette) infrazioni possono essere oggetto ditrattamento (per es. in caso di frode), potrebbe essere necessario un controllopreventivo da parte dell'autorità nazionale di protezione dei dati competente odel GEPD.

Fatto a Bruxelles, il 14 dicembre2011

Giovanni BUTTARELLI

Garante europeo aggiunto dellaprotezione dei dati

NOTE

(1) GU L 281del 23.11.1995, pag. 31.

(2) GU L 8 del12.1.2001, pag. 1.

(3) COM(2011)625 definitivo.

(4) COM(2011)626 definitivo.

(5) COM(2011)627 definitivo.

(6) COM(2011)628 definitivo.

(7) COM(2011)629 definitivo.

(8) COM(2011)630 definitivo.

(9) COM(2011)631 definitivo.

(10) Sentenzadella Corte del 9 novembre 2010, Schecke e Eifert, cause riunite C-92/09 eC-93/09.

(11) Molte diqueste disposizioni sono già presenti nel quadro normativo attuale.

(12) COM(2011)625 definitivo, considerando 42; COM(2011) 626 definitivo, considerando 137;COM(2011) 627 definitivo, considerando 67; COM(2011) 628 definitivo,considerando 69.

(13) Cfr., tral'altro, l'articolo 157 del regolamento sulla OCM unica, il titolo VII(Monitoraggio e valutazione) e gli articoli 78 e 92 del regolamento sullosviluppo rurale, nonché gli articoli 21-23, 49-52 e il titolo V, capi II e III,del regolamento orizzontale.

(14) Cfr. ancheil parere del GEPD sulla proposta di direttiva del Parlamento europeo e delConsiglio che modifica le direttive 89/666/CEE, 2005/56/CE e 2009/101/CE inmateria di interconnessione dei registri centrali, commerciali e delle imprese(GU C 220 del 26.7.2011, pag. 1, parte 3.2); il parere del GEPD sulla propostadi regolamento del Parlamento europeo e del Consiglio sugli strumenti derivatiOTC, le controparti centrali e i repertori di dati sulle negoziazioni (GU C 216del 22.7.2011, pag. 9, punti 13, 28 e 30), e il parere del GEPD sulla propostadi direttiva del Parlamento europeo e del Consiglio in merito ai contratti dicredito relativi ad immobili residenziali, punti 7, 12 e 13, tutti disponibiliall'indirizzo Internet http://www.edps.europa.eu

(15) Cfr., tral'altro, gli articoli 77 e 92 del regolamento sullo sviluppo rurale.

(16) Cfr.l'articolo 70, paragrafo 1, e l'articolo 72, paragrafo 2, del regolamentoorizzontale.

(17) Articolo10, paragrafo 5, del regolamento (CE) n. 45/2001 e articolo 8, paragrafo 5,della direttiva 95/46/CE.

(18) Articolo27, paragrafo 2, del regolamento (CE) n. 45/2001 e articolo 20 della direttiva95/46/CE. (19) Questi obblighi di comunicazione sono intesi ai fini´dell'applicazione del presente regolamento, del monitoraggio,

dell'analisi edella gestione del mercato dei prodotti agricoli, per garantire la trasparenzadel mercato, il corretto funzionamento delle misure della PAC, eseguireverifiche, controlli, monitoraggi, valutazioni e audit delle misure della PAC eai fini dell'attuazione degli accordi internazionali, compresi gli obblighi dinotifica previsti da tali accordiª (articolo 157, paragrafo 1, primo comma).

(20) Lo scambiodi informazioni a fini analoghi è già previsto dalla normativa attuale [cfr.,per esempio, l'articolo 36 del regolamento (CE) n. 1290/2005 del Consiglio, del21 giugno 2005, relativo al finanziamento della politica agricola comune, diseguito: il ´regolamento sul finanziamento della PACª (GU L 209 dell'11.8.2005,pag. 1), e l'articolo 192 del regolamento (CE) n. 1234/2007 del Consiglio, del22 ottobre 2007, recante organizzazione comune dei mercati agricoli edisposizioni specifiche per taluni prodotti agricoli (GU L 299 del 16.11.2007,pag. 1)].

(21) Cfr. ancheil parere del GEPD sulla proposta di decisione del Consiglio sull'istituzione,l'esercizio e l'uso del sistema di informazione Schengen di seconda generazione(SIS II) [COM(2005) 230 defin.]; proposta di regolamento del Parlamento europeoe del Consiglio sull'istituzione, l'esercizio e l'uso del sistemad'informazione Schengen di seconda generazione (SIS II) [COM(2005) 236 defin.]e proposta di regolamento del Parlamento europeo e del Consiglio sull'accessoal sistema d'informazione Schengen di seconda generazione (SIS II) dei servizicompetenti negli Stati membri per il rilascio delle carte di circolazione[COM(2005) 237 defin.] (GU C 91 del 19.4.2006, pag. 38), in particolare ilpunto 10, e il parere del GEPD sulla comunicazione della Commissione alParlamento europeo e al Consiglio — ´Panorama generale della gestionedelle informazioni nello spazio di libertà, sicurezza e giustiziaª, inparticolare i punti 47-48, e le osservazioni del GEPD sulla comunicazione dellaCommissione sull'interoperabilità tra le banche dati europee del 10 marzo 2006,tutti disponibili all'indirizzo Internet http://www.edps.europa.eu

(22) Cfr.articolo 4, paragrafo 1, lettera b), del regolamento (CE) n. 45/2001 nonché ledisposizioni nazionali di attuazione dell'articolo 6, paragrafo 1, lettera a),della direttiva 95/46/CE.

(23) Giàistituito dall'articolo 14 del regolamento (CE) n. 73/2009 del Consiglio, del19 gennaio 2009, che stabilisce norme comuni relative ai regimi di sostegnodiretto agli agricoltori nell'ambito della politica agricola comune eistituisce taluni regimi di sostegno a favore degli agricoltori, e che modificai regolamenti (CE) n. 1290/2005, (CE) n. 247/2006, (CE) n. 378/2007 e abroga ilregolamento (CE) n. 1782/2003 (GU L 30 del 31.1.2009, pag. 16) (di seguito: il´regolamento sui pagamenti direttiª).

(24) L'articolo19, paragrafo 1, lettera c), del regolamento sui pagamenti diretti ha unaformulazione analoga.

(25) L'articolo36 del regolamento sul finanziamento della PAC prevede già lo scambio di datiper finalità analoghe.

(26) Cfr.articolo 110.

(27) I controlli inloco sono già previsti dalla normativa attuale (cfr. articoli 36 e 37 delregolamento sul finanziamento della PAC).

(28) Analogo alsistema istituito dall'articolo 14 del regolamento sui pagamenti diretti.

(29) Il controllodei documenti commerciali, compresi quelli di terzi, e l'accesso agli stessi daparte della Commissione è già previsto dalla normativa attuale [cfr., peresempio, l'articolo 15 del regolamento (CE) n. 485/2008 del Consiglio, del 26maggio 2008, relativo ai controlli, da parte degli Stati membri, delleoperazioni che rientrano nel sistema di finanziamento del Fondo europeoagricolo di garanzia (versione codificata) (GU L 143 del 3.6.2008, pag. 1)].

(30) Cfr. anche ilparere del Garante europeo della protezione dei dati, del 19 aprile 2011, sullaproposta di regolamento del Parlamento europeo e del Consiglio sugli strumentiderivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni(GU C 216 del 22.7.2011, pag. 9), in particolare il punto 32, reperibileall'indirizzo Internet http:// www.edps.europa.eu

(31) Giàindicato all'articolo 16 del regolamento sui pagamenti diretti.

(32) L'articolo18 del regolamento sui pagamenti diretti ha una formulazione molto simile.

(33) L'articolo157, paragrafo 1, primo comma del regolamento sulla OCM unica comprende unelenco di finalità per la comunicazione di informazioni alla Commissione, manon specifica per quali finalità i dati possono essere trasmessi a paesi terzio a organismi internazionali.

(34) Articolo 9,paragrafo 7, del regolamento (CE) n. 45/2001.

(35) Sentenzadella Corte del 9 novembre 2010, Schecke e Eifert, cause riunite C-92/09 eC-93/09.

(36) SentenzaSchecke, punti 77-88.