Parere 1/2013 - WP 201: che fornisce un ulteriore contributo alle discussioni sulla proposta di direttiva concernente la protezione dei dati nei settori della cooperazione di polizia e giudiziaria in materia penale

Il Gruppo di lavoro è stato istituito in virtù dell'articolo 29della direttiva 95/46/CE. » l'organo consultivo indipendente dell'UE per laprotezione dei dati personali e della vita privata. I suoi compiti sono fissatiall'articolo 30 della direttiva 95/46/CE e all'articolo 15 della direttiva2002/58/CE.

Le funzioni di segreteria sono espletate dalla direzione C(Diritti fondamentali e cittadinanza dell'Unione) della Commissione europea,direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190.

Parere 01/2013- WP201

chefornisce un ulteriore contributo alle discussioni sulla proposta di direttivaconcernente la protezione dei dati nei settori della cooperazione di polizia egiudiziaria in materia penale

adottato il 26 febbraio 2013

1. Introduzione

Il 25 gennaio 2012 la Commissioneeuropea ha adottato una proposta di direttiva concernente la tutela dellepersone fisiche con riguardo al trattamento dei dati personali da parte delleautorità competenti a fini di prevenzione, indagine, accertamento eperseguimento di reati o esecuzione di sanzioni penali, e la liberacircolazione di tali dati (in appresso "la direttiva concernente la protezionedei dati nei settori della cooperazione di polizia e giudiziaria in materiapenale" o "la direttiva"). La proposta è stata presentata contestualmentealla proposta di regolamento generale sulla protezione dei dati.Successivamente, il Consiglio e il Parlamento europeo hanno avviato le rispettiveprocedure nell'ambito dell'iter legislativo per entrambi gli strumenti, con l'intentodi giungere a un accordo sull'intero pacchetto prima delle elezioni europee del2014. Tuttavia, i progressi compiuti nel dibattito legislativo sulla direttivasono lenti.

Nel suo parere del 23 marzo 2012,il Gruppo di lavoro "articolo 29" ha espresso la sua prima reazione generalealle proposte della Commissione, evidenziando i settori problematici esuggerendo alcuni miglioramenti.

Il Gruppo accoglie con favore l'approccioglobale adottato dai relatori del Parlamento europeo nei loro progetti direlazione alla commissione LIBE e confida nel fatto che tutti i gruppi politicicontinueranno a tenere debito conto di tutti gli elementi del pacchetto, nonchédell'indispensabile coerenza tra le due proposte al fine di migliorarleulteriormente. Esso, inoltre, approva l'intensificarsi del dibattitolegislativo in seno al Consiglio promosso dalle presidenze cipriota eirlandese.

Dopo il primo parere che fornisceun ulteriore contributo alle discussioni sul regolamento, adottato il 5 ottobre2012, il Gruppo di lavoro "articolo 29" presenta ora ulteriori orientamenti sualcuni elementi specifici della proposta di direttiva concernente la protezionedei dati nei settori della cooperazione di polizia e giudiziaria in materiapenale. Nonostante si siano individuate diverse questioni da sottoporre aulteriore discussione, il Gruppo di lavoro, considerata la fase dellenegoziazioni, ha deciso di concentrarsi su quattro tematiche, attualmenteritenute le più importanti, tra cui l'uso di dati di persone nonindiziate, i diritti degli interessati, il ricorso a valutazioni d'impattosulla riservatezza e i poteri delle autorità di protezione dei dati,specialmente per quanto riguarda informazioni riservate o classificate

2. Sull'uso di dati di personenon indiziate

L'articolo 5 della proposta didirettiva obbliga i responsabili del trattamento a operare una chiaradistinzione tra i dati personali di diverse categorie di soggetti e stabiliscecinque categorie di interessati. Ai sensi del considerando 23, tale distinzioneè inerente al trattamento dei dati personali nel settore dellacooperazione giudiziaria in materia penale e della cooperazione di polizia. IlGruppo di lavoro sottolinea che una siffatta distinzione è altresìnecessaria per garantire una corretta attuazione dei principi applicabili altrattamento di dati personali di cui all'articolo 4.

L'articolo 5 distingue tradiverse categorie di persone che presentano un nesso diretto o (eventualmente)indiretto a un reato specifico o a indiziati (categorie da a) a d)) e altrisoggetti (categoria e)). Alla luce della descrizione relativa al collegamento aun reato o a un'indagine delle persone menzionate alle categorie da a) a d), èevidente che i soggetti rientranti nella categoria e) possono essere descritticome persone prive di un chiaro nesso con un reato o con indiziati, comeindicato nelle altre categorie.

Proprio per questo gruppo dipersone le autorità europee di protezione dei dati hanno rilevato giànel 20051 la necessitàdi operare una distinzione tra il trattamento dei dati personali di nonindiziati e quello relativo ai dati di persone collegate a un reato specifico.Il trattamento di dati di persone non sospettate di aver commesso un reato (ediverse da vittime, testimoni, informatori, persone di contatto o collegate) "dovrebbeessere autorizzato unicamente a determinate condizioni e qualora risultiassolutamente necessario per il raggiungimento di uno scopo legittimo, bendefinito e specifico". Inoltre, tale trattamento (secondo le autorità diprotezione dei dati) dovrebbe "essere limitato a un periodo circoscritto e l'ulterioreutilizzo di tali dati per scopi diversi da quelli previsti dovrebbe esserevietato". Nel contempo, la direttiva dovrebbe chiarire il fatto che ulteriorilimitazioni e garanzie si applicano alle vittime o ad altri terzi, come sancitoall'articolo 5, paragrafo 1, lettera c), della proposta in oggetto. Ènecessario che la legge riconosca l'obbligo di distinguere fra il trattamentodi dati personali di autori di reato condannati e quello relativo alle vittimedi un reato, in particolare nelle banche dati create con finalitàpreventive o per il perseguimento di futuri reati.

L'evoluzione di tecniche e metodidi applicazione della legge registrata nel corso dell'ultimo decennio dimostrachiaramente che tutte queste categorie, rientranti nella macrocategoria dei "nonindiziati", esigono una protezione specifica, soprattutto quando il trattamentonon viene effettuato nell'ambito di un'indagine o del perseguimento di un reatospecifico. Questo integra la differenza tra informazioni che le autoritàpreposte all'applicazione della legge "devono avere" e quelle che "è benepossedere".

Al fine di proteggere le persone "nonindiziate" il Gruppo di lavoro suggerisce vivamente di introdurre un nuovoarticolo 7 bis in aggiunta all'articolo 5. Come proposto di seguito, il nuovoarticolo mira a garantire che la differenziazione tra categorie di dati noncostituisca un onere amministrativo e non rappresenti un fine in sé, comepotrebbe essere interpretata la presente proposta. La sua introduzione ènecessaria per garantire che gli Stati membri sottopongano a trattamento i datidi persone "non indiziate" solo se risultano soddisfatti determinati requisitie per assicurare ulteriore protezione durante tale operazione. Risulta pertantopiù opportuno inserire la nuova disposizione nel quadro nell'articolo 7,che disciplina la liceità del trattamento.

Il Gruppo di lavoro èconsapevole della specificità del trattamento dei dati in un contesto diapplicazione della legge e comprende che il trattamento dei dati di persone "nonindiziate" potrebbe essere necessario in situazioni specifiche. La propostaconsidera anche i vari scopi per cui le autorità di contrasto possonoprocedere al trattamento dei dati di persone "non indiziate" e propone normeparticolarmente rigorose per le situazioni in cui il trattamento non siafinalizzato ad un'indagine o azione penale specifica. Questi casi siconfigurano come situazioni in cui il trattamento di dati di persone "nonindiziate" può avvenire solo se risulta indispensabile per ilconseguimento di uno scopo legittimo, ben definito e specifico, èlimitato alla valutazione della pertinenza per una delle categorie di cui all'articolo7 bis, paragrafo 1, lettere da a) a d), riguarda un periodo di tempocircoscritto e non può essere utilizzato per altri scopi.

Presa diposizione sull'applicazione della legge e lo scambio di informazioni nell'UE,adottato nella conferenza di primavera delle autorità europee incaricatedella protezione dei dati, Cracovia (Polonia), 25-26 aprile 2005.

Onde evitare discussionisemantiche sulla differenza tra il vocabolo "necessario" (attualmente impiegatonella proposta di direttiva) e l'espressione "assolutamente necessario"(utilizzata nella presa di posizione di Cracovia), nella sua proposta diemendamento il Gruppo di lavoro ha impiegato il termine "indispensabile".Questa formulazione mira a riflettere l'esigenza di una condizione piùrigida per il trattamento dei dati di una persona non indiziata, dovuta all'assenzadi un nesso diretto o indiretto tra il soggetto non indiziato e un'indagine oun reato specifico.

Proposta di emendamento per un nuovo articolo

Articolo 7 bis – Diverse categorie di interessati

1. Gli Stati membri dispongono che le autorità competenti, per le finalità di cui all'articolo 1, paragrafo 1, possono trattare i dati personali soltanto delle seguenti diverse categorie di interessati:

a) le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato;

b) le persone condannate per un reato;

c) le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato;

d) i terzi coinvolti nel reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati, o le persone di contatto o collegate alle persone di cui alle lettere a) e b).

2. I dati personali di interessati diversi da quelli di cui al paragrafo 1 possono essere trattati soltanto:

a) se è necessario per l'indagine o il perseguimento di un reato specifico al fine di valutare la pertinenza dei dati per una delle categorie di cui al paragrafo 1, oppure

b) se tale trattamento è indispensabile per finalità mirate, preventive o a scopo di analisi criminale, purché tale finalità sia legittima, ben definita e specifica e il trattamento sia strettamente limitato a valutare la pertinenza dei dati rispetto a una delle categorie di cui al paragrafo 1. Tale circostanza viene riesaminata periodicamente almeno ogni sei mesi e non sono consentiti ulteriori utilizzi.

3.
di cui al paragrafo 1, lettere c) e d) si applicano limiti e garanzie supplementari conformemente al diritto nazionale.

Gli Stati membri dispongono che al trattamento dei dati personali relativi agli interessati

3. Sui diritti degli interessati

I vari elementi della normativasulla protezione dei dati sono raggruppati intorno a tre attori principali: iresponsabili/gli incaricati del trattamento, le autorità di controllo egli interessati. Per quanto riguarda l'ultima categoria, sia il regolamento chela direttiva prevedono una serie di diritti esercitabili su richiesta, tra cuiil diritto all'informazione, il diritto di accesso e il diritto di rettifica ocancellazione di dati errati o trattati illegalmente. Nel regolamento talidiritti sono stati attuati in modo alquanto lato, con un numero limitato dipossibili eccezioni. Per quanto riguarda la direttiva, la situazione èdifferente, anche a causa della natura del settore relativo all'applicazionedella legge. È del tutto comprensibile che le autorità di polizia egiudiziarie non possano essere sempre trasparenti in ordine alle modalitàdi trattamento dei dati e alla tipologia di dati personali contenuti nei lorofascicoli, dal momento che questo potrebbe compromettere lo svolgimento delleindagini.

Nel contempo, il Gruppo di lavorosottolinea che le attuali deroghe e limitazioni ai diritti degli interessatisono troppo ampie. Senza ulteriori spiegazioni non è giustificabile, inparticolare, il motivo per cui gli Stati membri dovrebbero essere autorizzati aprevedere deroghe per intere categorie di dati personali relativamente aldiritto di accesso. Di conseguenza, l'articolo 11, paragrafo 5, e l'articolo13, paragrafo 2, dovrebbero essere eliminati. Il Gruppo di lavoro rileva che lalimitazione dei diritti di un interessato dovrebbe essere sempre decisa aseconda dei casi, prendendo in considerazione le circostanze specifiche dellarichiesta. Questo, ad esempio, potrebbe indurre a decidere di respingere soloparzialmente una richiesta. In aggiunta, il Gruppo di lavoro ritiene che lederoghe a un diritto fondamentale debbano essere sempre interpretate in sensorestrittivo.

4. Sul ricorso a valutazioni d'impattosulla riservatezza nel settore delle attività di contrasto

Nella sua prima risposta allaproposta di direttiva, il Gruppo di lavoro ha già esortato il legislatoreeuropeo a inserire nella direttiva alcune disposizioni che prevedano unavalutazione d'impatto sulla protezione dei dati, anche nella proceduralegislativa. Lo svolgimento di siffatte valutazioni assume particolare rilievonell'ambito del trattamento dei dati personali in relazione ad attivitàdi contrasto, specie per i maggiori rischi nei confronti dei soggetti di taletrattamento. Il Gruppo di lavoro non riesce a vedere la differenza sostanzialetra il settore dell'applicazione della legge e gli ambiti contemplati dalregolamento, in cui sono previste valutazioni d'impatto sulla protezione deidati allo scopo di analizzare i rischi di nuove operazioni di trattamento deidati previste per il futuro. L'offerta di accurate garanzie nelle procedure ditrattamento dei dati personali è estremamente rilevante in questo settoredel diritto e, pertanto, dovrebbe essere considerata e attuata prima che iltrattamento dei dati abbia inizio.

Il Gruppo di lavoro accogliedunque con favore gli emendamenti 27, 28, 110 e 113, proposti dal relatore delParlamento europeo, che introducono alcuni obblighi per la valutazione d'impattosulla protezione dei dati per il settore dell'applicazione della legge,paragonabili, in larga misura, a quelli già presenti nel regolamento.Questa importante fase per una migliore tutela dei diritti fondamentali dellepersone, valida anche in un contesto ricco di informazioni come il settore dell'applicazionedella legge, dovrebbe essere inclusa anche nell'approccio generale delConsiglio alla proposta di direttiva.

Su un punto, però, ilGruppo di lavoro esprime un parere divergente da quello del relatore. Sia nelconsiderando 41 modificato che nell'articolo 25, paragrafo 2, il relatoreintroduce per le autorità di protezione dei dati l'obbligo di esaminaretutte le valutazioni d'impatto sulla protezione dei dati e di presentare "opportuneproposte per ovviare al difetto di (...) conformità". Il Gruppo di lavoro"articolo 29" è del parere che le autorità di protezione dei datidebbano esaminare le valutazioni d'impatto sulla protezione dei dati laddoveopportuno.

5. Sui poteri delle autoritàdi protezione dei dati

La decisione quadro attualmenteapplicabile, adottata nell'ambito del terzo pilastro, contiene un esiguo numerodi disposizioni sulle funzioni e i poteri delle autorità di protezionedei dati, nonché sulle loro possibilità e/o obblighi dicooperazione nello svolgimento dei compiti di controllo e applicazione dellalegge. In questo senso la proposta di direttiva rappresenta un notevoleprogresso. Non solo vi figurano disposizioni sulla necessità di avere un'autoritàdi controllo indipendente per tutte le operazioni di trattamento dei dati chesi verificano nell'ambito di applicazione della direttiva, ma viene introdottoanche un capitolo specifico sulla cooperazione tra le autorità diprotezione dei dati. Il Gruppo di lavoro approva l'idea di fondo di talidisposizioni.

Purtroppo le disposizioni delladirettiva sono molto meno specifiche di quelle contenute nella proposta di regolamento.Nel suo parere generale sul pacchetto legislativo, pertanto, il Gruppo dilavoro ha già affermato la necessità di consentire alle autoritàdi controllo l'accesso a tutti i locali. Inoltre, è stata sottolineata l'esigenzadi ravvicinare le disposizioni di entrambi gli strumenti con l'intento digarantire coerenza nel quadro giuridico della protezione dei dati. Questorisulta particolarmente importante con riferimento alla cooperazione richiestatra le autorità di protezione dei dati. Qualora dette autoritàdetengano poteri dissimili all'interno dell'Unione europea, potrebbe rivelarsiestremamente difficile tutelare i diritti dei cittadini. Sono ipotizzabilisituazioni in cui una determinata autorità, alla luce della normativanazionale di attuazione, sia autorizzata ad accedere ai locali di un'autoritàdi contrasto a fini di controllo e senza previo consenso di quest'ultima,mentre un'altra autorità di protezione dei dati, operante in un paeselimitrofo, sia priva di questo potere e, pertanto, possa vedersi negato l'accessoai locali dell'autorità di contrasto.

Per quanto riguarda la posizionedelle autorità di protezione dei dati in materia di informazione, lacooperazione potrebbe risultare ancora più difficile nell'ipotesi in cuii poteri delle autorità non siano armonizzati, come nella situazioneattuale. Un'indagine condotta dal Gruppo di lavoro "articolo 29" rivela che,sulla base di una specifica disposizione del diritto nazionale, alcune autoritàdi protezione dei dati possono accedere a tutte le informazioni e ai documentirichiesti, a prescindere dal fatto che si tratti di fonti pubbliche, riservateo classificate, per espletare i propri compiti di controllo sul trattamento deidati nel settore delle attività di contrasto. Per altre autorità diprotezione dei dati, analogo accesso viene consentito ai membri del personaleche hanno ottenuto un nulla osta di sicurezza dai servizi di intelligencepertinenti. In altri casi ancora, le autorità di protezione dei dati nonhanno alcuna possibilità di accedere a informazioni riservate e/oclassificate.

Pertanto, se le autorità diprotezione dei dati sono chiamate a cooperare ai sensi della direttiva, èfondamentale che tutti gli enti interessati abbiano accesso alle medesimeinformazioni. In caso contrario, essi non possono avere un quadro completodella situazione concernente un caso specifico e non possono giungere allamedesima conclusione, rischiando così di arrecare pregiudizio all'interessato.Di conseguenza, il Gruppo di lavoro propone di individuare all'interno delladirettiva le informazioni accessibili alle autorità di protezione deidati, qualora dette informazioni siano necessarie per l'esercizio delle lorofunzioni di controllo. Lo scopo della proposta non consiste nel ridurre ilivelli di accesso a informazioni classificate attualmente detenute dalleautorità di protezione dei dati.

Più in generale, il Gruppodi lavoro accoglie con favore le proposte presentate dal relatore delParlamento europeo sui poteri delle autorità di protezione dei dati esostiene la descrizione di poteri più dettagliata da questi suggerita. L'emendamentoriportato di seguito è da intendersi quale supplemento alle suddetteproposte.

Proposta di emendamento

Articolo 46 – Poteri (paragrafi da aggiungere)

Gli Stati membri garantiscono che ogni autorità di controllo disponga dei poteri investigativi necessari per ottenere dal responsabile del trattamento o dall'incaricato del trattamento l'accesso a tutti i suoi locali, compresi tutti gli strumenti e mezzi di trattamento dei dati.
Gli Stati membri garantiscono che ogni autorità di controllo ottenga ogni informazione e tutti i documenti necessari per l'esercizio dei poteri investigativi. Non possono essere opposti requisiti di segretezza alle richieste dell'autorità di controllo, ad eccezione del requisito di segretezza professionale di cui all'articolo 43.
Gli Stati membri possono disporre che siano richieste ulteriori indagini di sicurezza in linea con la legislazione nazionale per l'accesso a informazioni classificate a un livello pari o superiore a "EU CONFIDENTIAL". Tutti gli altri Stati membri devono riconoscere la mancata richiesta d'indagini di sicurezza a norma della legislazione dello Stato membro dell'autorità di controllo.

Fatto a Bruxelles, il 26 febbraio2013

Per il Gruppodi lavoro

Il presidente
Jacob KOHNSTAMM