Quarta relazione di attività
dell’autorità di controllo comune dell’Europol
Novembre 2006 – novembre 2008
Mandato dell’autorità di controllo comune (ACC) dell’Europol
Il mandato dell’autorità di controllo comune consiste nel rivedere in maniera indipendente,
come previsto dalla convenzione Europol, le attività svolte dall’Ufficio europeo di polizia
per accertarsi che i diritti dei soggetti interessati non siano violati dalla memorizzazione,
dal trattamento e dall’uso dei dati detenuti dai suoi servizi. L’autorità verifica inoltre la
legittimità della trasmissione dei dati provenienti dall’Europol.
Chiunque ha il diritto di domandare all’autorità di controllo comune accertamenti sulla
legittimità e correttezza del modo in cui i dati personali sono stati rilevati, memorizzati,
trattati e usati dall’Ufficio. In tal modo, l’ACC funge da intermediario attendibile e
affidabile tra il soggetto interessato e l’Europol.
L’approccio dell’autorità è sempre improntato alla collaborazione quando si tratta di
esaminare le questioni relative all’interpretazione e all’applicazione armonizzate delle
disposizioni della convenzione Europol, nonché di proporre soluzioni armonizzate comuni
a problemi esistenti in materia di trattamento e uso dei dati personali da parte dell’Europol.
2
Sommario
Premessa ................................................................................................................................. 4
Capitolo I ................................................................................................................................ 6
I.1 Introduzione ...................................................................................................................... 6
I.2 Breve rassegna delle attività svolte sinora dall’autorità di controllo comune................... 8
I.3 Nuovi sviluppi nel campo dell’applicazione della legge e della protezione dei dati
nell’Unione europea ............................................................................................................. 16
I.4 Futuro dell’Europol ......................................................................................................... 20
Capitolo II............................................................................................................................. 22
II.1 Lavoro di controllo ........................................................................................................ 22
II.1.1 Ispezioni condotte presso l’Europol ........................................................................... 22
II.1.2 Pareri formulati dall’autorità di controllo comune ..................................................... 25
II.1.3 Costituzione degli archivi di analisi............................................................................ 28
II.1.4 Accordi con Stati/organismi terzi ............................................................................... 29
II.1.5 Diritti dei soggetti interessati...................................................................................... 30
II.2 Gestione dell’autorità di controllo comune.................................................................... 32
II.2.1 Gruppi di lavoro.......................................................................................................... 33
II.2.2 Trasparenza................................................................................................................. 34
II.2.3 Bilancio ....................................................................................................................... 34
II.2.4 Convegno del 2008 ..................................................................................................... 35
Capitolo III ........................................................................................................................... 38
III.1 Comitato per i ricorsi.................................................................................................... 38
III.1.1 Sintesi del ricorso presentato dal signor S................................................................. 39
Capitolo IV ........................................................................................................................... 42
IV.1 Autovalutazione ........................................................................................................... 42
IV.2 Futuro ........................................................................................................................... 44
Capitolo V ............................................................................................................................ 46
V.1 Membri dell’autorità di controllo comune dell’Europol e del comitato per i ricorsi .... 46
V.1.1 Autorità di controllo comune dell’Europol ................................................................ 46
V.1.2 Comitato per i ricorsi .................................................................................................. 49
3
Premessa
Nel 2008 l’Autorità di controllo comune (ACC) ha
raggiunto un importante traguardo: ha celebrato il decimo
anniversario della supervisione della protezione dei dati
all’Europol.
Fin
dall’inizio
dell’attività
dell’ACC,
nell’ottobre 1998, l’Europol e l’ACC hanno preso atto del
loro interesse comune nel raggiungimento di un elevato
livello di protezione dei dati all’Europol. Si è subito
instaurato un buon rapporto di lavoro, che si è
successivamente sviluppato nel tempo dando luogo a un
dialogo costruttivo e a realizzazioni pratiche che hanno
permesso d’integrare i requisiti di protezione dei dati
nell’attività quotidiana dell’Europol.
La protezione dei dati impone ai servizi incaricati di fare rispettare le leggi, compreso
l’Europol, adeguate norme di trattamento delle informazioni, che a volte possono sembrare
ingombranti, ma che non sono un ostacolo all’attività d’investigazione e di controllo. In
realtà, tali norme contribuiscono ad assicurare la qualità e l’attendibilità delle informazioni
dell’Europol. La protezione dei dati è come un limite di velocità. Fa rallentare l’autista, ma
lo fa per proteggere la sua sicurezza e quella degli altri utenti della strada. Non riduce, bensì
aumenta le possibilità dell’Europol di realizzare i suoi obiettivi a lungo termine nel campo
dell’applicazione delle leggi.
La realizzazione di elevati livelli di protezione dei dati all’Europol dipende anche dalla
qualità delle informazioni personali ricevute dagli Stati membri e da altre fonti. Vi è una
crescente necessità di esaminare se le prassi e le procedure in atto a livello nazionale per
garantire la qualità dei dati siano adeguate ad assicurare che il trattamento dei dati
all’Europol possa essere di alta qualità. A tale riguardo, l’Europol ha un ruolo da svolgere
nell’istruire e incoraggiare i servizi incaricati di fare rispettare le leggi, ma anche le autorità
nazionali per la protezione dei dati hanno un ruolo da svolgere, soprattutto in virtù del loro
diritto di controllare le unità nazionali. Per attuare miglioramenti è necessaria la
4
cooperazione non soltanto tra ACC e Europol, ma anche tra ACC e autorità nazionali per la
protezione dei dati.
L’ACC attende con ansia l’attuazione della decisione del Consiglio che stabilisce un nuovo
contesto normativo per l’Europol. L’elaborazione di questo nuovo quadro normativo ha
fornito la straordinaria opportunità di migliorare le disposizioni relative alla protezione dei
dati nei settori che lo richiedevano. Uno di questi riguarda il diritto delle persone di
accedere alle informazioni personali in possesso dell’Europol. Grazie all’efficace
collaborazione tra l’Europol e l’ACC, la decisione del Consiglio stabilisce un meccanismo
che non rafforza soltanto i diritti individuali, ma mantiene anche gli importanti interessi
relativi all’applicazione delle leggi, che l’Europol tiene giustamente a salvaguardare. Sulla
via dell’attuazione della decisione del Consiglio da parte dell’Europol si presenteranno altre
opportunità di potenziare e, allo stesso tempo, di snellire la prassi della protezione dei dati.
Oltre alla nuova decisione Europol si sta realizzando una serie di nuovi sviluppi nel settore
dell’applicazione delle leggi e della protezione dei dati, che si ripercuoteranno sul sistema
di controllo dei servizi incaricati di fare rispettare le leggi, compreso l’Europol. Ciò che è
chiaro fin d’ora è che l’ACC conserverà la sua funzione di controllo per il prossimo futuro.
L’ACC conserverà inoltre il suo impegno a fornire un’efficace supervisione della
protezione dei dati nelle attività dell’Europol, pur rispettando le esigenze operative
dell’Europol. Continuerà poi ad adoperarsi strenuamente per mantenere una stretta ed
efficace cooperazione con l’Europol e con le autorità nazionali per la protezione dei dati.
David Smith
Presidente
5
Capitolo I
I.1 Introduzione
La presente relazione di attività, la quarta stilata dall’autorità di controllo comune, si
sofferma sulle attività e i risultati conseguiti nel biennio novembre 2006 – novembre 2008 a
livello di attuazione concreta dei principi di protezione dei dati rispetto all’applicazione
della legge. Ripercorre inoltre la storia dell’ACC sin dalla sua costituzione, della quale si
celebra quest’anno il decimo anniversario, e contestualmente si concentra sulle future sfide
e i nuovi sviluppi della protezione dei dati nel campo della cooperazione giudiziaria e di
polizia nell’Unione europea.
La relazione dimostra che una chiara attribuzione delle responsabilità alle diverse parti
interessate, la reciproca collaborazione e la fiducia consentono un’efficace applicazione
quotidiana dei principi di protezione dei dati senza ledere diritti e libertà dei singoli
soggetti.
Sintesi della relazione
Il primo capitolo, dedicato a un excursus storico, presenta una breve rassegna delle attività
svolte dall’ACC nel decennio 1998 – 2008, ripercorrendone storia, esperienze e successi, e
delineandone le sfide future.
Il secondo capitolo, dedicato invece al lavoro di controllo, illustra i risultati del lavoro
svolto dall’ACC in qualità di controllore indipendente del trattamento dei dati personali
raccolti dall’Europol e di garante i diritti dei soggetti interessati. Il capitolo descrive altresì
sviluppi e risultati conseguiti in veste di consulente dell’Europol presentando i pareri
formulati su alcuni aspetti inerenti alla protezione dei dati, con particolare riguardo per i
temi correlati alla gestione.
6
Nel terzo capitolo si espongono il ruolo e le decisioni del comitato per i ricorsi, con una
sintesi delle decisioni adottate e particolare attenzione alle indagini e alle analisi condotte
dal comitato nonché alla complessità degli argomenti.
Il quarto capitolo, infine, si concentra sull’autovalutazione, nonché sugli obiettivi a breve e
lungo termine dell’autorità di controllo comune.
7
I.2 Breve rassegna delle attività svolte sinora dall’autorità di controllo comune
“Non è la memoria del passato a renderci saggi, ma la responsabilità del futuro”.
George Bernard Shaw
È tuttavia saggio analizzare il passato prima di proiettarsi verso il futuro, soprattutto se il
passato reca con sé l’esperienza necessaria per affrontare le future sfide.
L’autorità di controllo comune ha ormai senza dubbio maturato, nel campo
dell’applicazione della legge e della protezione dei dati, l’esperienza indispensabile per
diventare un garante affidabile dei diritti dei singoli soggetti e un partner costruttivo per
l’Europol. Questa esperienza deriva dall’assistenza e dalla consulenza che ha fornito in
materia di diritti degli individui e dei meccanismi atti a garantire un’effettiva trasposizione
in risultati concreti degli [eventuali] cambiamenti proposti.
La creazione dell’ACC dell’Europol è una conseguenza naturale della costituzione
dell’Ufficio europeo di polizia, sancita dal Trattato di Maastricht sull’Unione europea del 7
febbraio 1992. La convenzione Europol è stata ratificata da tutti gli Stati membri ed è
entrata in vigore il 1° ottobre 1998. Formulati alcuni atti giuridici correlati alla
convenzione, l’Europol ha avviato a tutti gli effetti le proprie attività il 1° luglio 1999.
Secondo la convenzione, l’Europol è un servizio di sostegno alle agenzie preposte
all’applicazione della legge negli Stati membri dell’Unione europea. L’Europol, pertanto,
rileva e analizza informazioni personali su singoli soggetti fornite dalle autorità di polizia di
tutti gli Stati membri concernenti reati per i quali l’Ufficio è reso specificamente
competente. La prima riunione, istitutiva, dell’autorità di controllo comune dell’Europol si
è tenuta all’Aia il 9 ottobre 1998, data che segna l’inizio delle attività dell’ACC con piena
assunzione delle responsabilità assegnate dalla convenzione.
All’inizio, l’autorità di controllo comune disponeva di un segretariato composto da
personale del Segretariato generale del Consiglio dell’Unione europea. Successivamente, si
8
è invece proposto di costituire un segretariato permanente e indipendente che, a seguito
della decisione del Consiglio del 17 ottobre 2000, è stato creato il 1° settembre 2001.
Dalla sua creazione nel 1998, l’ACC ha l’incarico di sovrintendere alle attività di
trattamento dei dati personali dell’Europol, compito ancora più importante se si
considerano i tipi di informazione che l’Ufficio elabora e le possibili ripercussioni negative
che potrebbero subire i soggetti interessati se tali informazioni dovessero essere trattate
senza idonei e rigorosi meccanismi di salvaguardia.
L’autorità di controllo comune già disponeva di una serie di indicazioni, ossia gli
orientamenti in materia di protezione dei dati stabiliti dalla convenzione Europol. La
convenzione, infatti, istituisce un regime completo di protezione dei dati che impone agli
Stati membri di garantire uno standard di protezione dei dati che corrisponda quantomeno
allo standard risultante dall’attuazione dei principi della convenzione del 28 gennaio 1981
del Consiglio d’Europa; nel farlo, gli Stati membri devono anche tenere conto della
raccomandazione R (87) 15 del 17 settembre 1987 del Comitato dei Ministri del Consiglio
d’Europa volta a regolamentare l’uso dei dati personali nel settore della polizia. La
convenzione, pertanto, prevede una serie di diritti e meccanismi di salvaguardia a favore
degli individui in relazione al trattamento dei loro dati personali. La sfida consisteva nel
garantire che tali diritti e meccanismi concordati fossero correttamente applicati nella
pratica.
Sin dall’inizio, l’ACC ha dovuto sviluppare metodi di lavoro che le consentissero di
fungere da organismo di controllo indipendente. Uno di questi metodi, che ha permesso ai
membri dell’autorità di consolidare la propria esperienza e conoscenza, è stato la creazione
di gruppi di lavoro con compiti delegati per lo svolgimento di alcuni incarichi in
determinati ambiti o su specifici progetti. Sono stati creati gruppi di lavoro per valutare le
decisioni costitutive degli archivi di lavoro per fini di analisi (AWF), per affrontare
questioni riguardanti i rapporti con Stati od organismi terzi, per approfondire i vari aspetti
delle tecnologie dell’informazione, nonché per promuovere e rendere trasparente l’operato
dell’ACC gestendone con competenza le pubbliche relazioni. Il lavoro condotto dai gruppi
non solo ha consentito di preparare le riunioni dell’autorità, ma ha anche investito nel
9
consolidamento dell’esperienza e della conoscenza in materia di cooperazione tra polizie e
del lavoro dello stesso Europol.
In quanto autorità di controllo comune incaricata della sorveglianza delle attività di
trattamento dei dati dell’Europol, l’ACC ha sempre agito come controllore indipendente.
Proprio questa indipendenza è una prerogativa fondamentale per garantire la corretta tutela
dei diritti e delle libertà degli individui e non va percepita come un privilegio, bensì come
un dovere e una responsabilità. L’articolo 24, paragrafo 1 della convenzione Europol
stabilisce che l’ACC deve assolvere i propri compiti in totale indipendenza e ne predispone
le garanzie di indipendenza istituzionale e organizzativa:
•
deve essere composta da non più di due membri o rappresentanti di ciascun
organismo di controllo nazionale con garanzie di indipendenza;
•
possesso da parte dei membri delle capacità richieste;
•
nomina per cinque anni da parte dei rispettivi Stati membri;
•
divieto di ricevere istruzioni da altri organismi;
•
accesso a tutti i documenti e i fascicoli, nonché ai dati memorizzati dall’Europol;
•
libero accesso in qualunque momento a tutti i locali dell’Europol;
•
natura vincolante delle decisioni del comitato per i ricorsi;
•
regolamento interno e bilancio distinti.
L’ACC ha colto ogni opportunità per dimostrare la propria indipendenza costruendosi
un’immagine forte di controllore imparziale pur mantenendo le sue qualità di partner
collaborativo e qualificato. Va detto che, nel corso del decennio, il lavoro dell’ACC è stato
messo a dura prova dalla situazione politica. Tuttavia, la piena indipendenza e la totale
assunzione delle responsabilità derivanti dalla convenzione Europol le hanno consentito,
anche in presenza di pressioni politiche, di superare autonomamente difficoltà e problemi
nell’interpretazione della convenzione e nel rispondere alle necessità dell’Ufficio.
Un altro elemento importante da sottolineare è il ruolo del coordinatore delle attività di
controllo comune. L’ACC è stata probabilmente la prima autorità di controllo comune a
promuovere un approccio pratico alle attività a livello europeo e nazionale. Il 29 giugno
2000, l’ACC ha creato un gruppo di ispezione responsabile dello svolgimento di una
verifica della sicurezza e degli archivi di lavoro per fini di analisi dell’Europol. In vista
dell’accertamento previsto nel novembre 2000 e delle future ispezioni, l’Ufficio e l’autorità
10
di controllo comune hanno adottato un protocollo contenente speciali accordi in materia di
accertamenti e ispezioni, stabilendo altresì un piano di revisioni periodiche e verifiche in
loco. Gli accertamenti condotti presso l’Europol hanno consentito all’ACC di maturare le
necessarie esperienze e conoscenze in merito alle attività dell’Ufficio e alle sue esigenze
operative da un punto di vista pratico. Un ruolo consultivo che non sia supportato da
un’esperienza pratica e da una specifica conoscenza delle peculiarità di una determinata
attività non arricchisce né l’operato del controllore stesso né quello dei suoi controllati. Gli
accertamenti hanno inoltre contribuito a potenziare gli sforzi compiuti dall’Europol per
rispettare i requisiti di protezione dei dati e metterli in pratica nelle attività quotidiane
dell’Ufficio. La serietà dell’Europol e il grande impegno profuso per applicare le
raccomandazioni dell’ACC dimostrano incontrovertibilmente il notevole valore di tale
lavoro. Maturare dieci anni di esperienza nell’attività di accertamento e nell’attuazione
scrupolosa delle raccomandazioni ha aiutato l’ACC a diventare un controllore affidabile e
competente.
Poiché la convenzione Europol sancisce il diritto degli individui di accedere alle
informazioni che li riguardano detenute dall’Europol, nonché il diritto di richiedere che tali
informazioni siano verificate, rettificate o cancellate, all’autorità di controllo comune è
conferito il potere di rivedere le decisioni dell’Ufficio riguardanti l’applicazione di tali
diritti. Nel caso un soggetto non ritenesse soddisfacente la risposta dell’Europol alla sua
richiesta, può rivolgersi al comitato per i ricorsi dell’ACC, al quale la convenzione ha
delegato uno specifico potere di indagine. Il comitato per i ricorsi agisce in veste di autorità
quasi giudiziaria e le sue decisioni sono definitive e inappellabili; per i soggetti interessati
rappresenta uno strumento estremamente importante per ottenere riparazione. Nel corso del
decennio, sono stati ricevuti ed esaminati sette ricorsi.
Un altro compito importante dell’ACC le è conferito dall’articolo 24, paragrafo 4 della
convenzione Europol. Chiunque ha il diritto di domandare all’ACC di accertare se il modo
in cui i suoi dati personali sono stati rilevati, memorizzati, trattati e usati dall’Europol è
legittimo e corretto. Il ruolo di intermediario consente all’autorità di fornire assistenza ai
singoli soggetti nei rapporti con l’Europol. Nel corso del decennio, il numero delle
11
domande è aumentato, segno che il pubblico è sempre più consapevole dei diritti conferiti
dalla convenzione Europol e ne affida all’ACC la tutela e il controllo.
“La conoscenza non ha valore se non la metti in pratica” (Anton Cechov)
Forse l’elemento più prezioso dell’autorità di controllo comune è la sua capacità di prestare
concretamente consulenza qualificata sui diversi temi e di fornire indicazioni indispensabili
per garantire la corretta applicazione delle disposizioni di legge e una loro migliore
ottemperanza. Ripercorrendo gli sviluppi e i risultati conseguiti nella pratica, senza dubbio
l’ACC ha assolto pienamente il suo compito.
Un aspetto del ruolo consultivo dell’autorità di controllo comune consisteva nel formulare
pareri sulle decisioni costitutive degli archivi di lavoro per fini di analisi, decisioni che
specificano la natura di uno dei tipi di archivio elaborati dall’Europol: l’archivio per fini di
analisi (articolo 10 della convenzione Europol). Secondo l’articolo 12, paragrafo 2 della
convenzione, l’ACC deve essere immediatamente informata dal direttore dell’Europol della
decisione di costituire un archivio e ricevere comunicazione del fascicolo. L’autorità di
controllo comune può trasmettere tutti i commenti che ritiene necessari al consiglio di
amministrazione. L’ACC ha inoltre elaborato una politica per esprimere un parere su ogni
decisione costitutiva ricevuta. Va aggiunto che per le decisioni costitutive l’Europol si
12
avvale di un modello standard, adottato dopo aver consultato l’autorità, che permette di
avere una visione chiara dello scopo e dei dati che saranno elaborati. Nell’ambito di tale
iter, l’ACC ha rivolto all’Europol molti commenti che sono stati tenuti nella debita
considerazione all’atto della costituzione di nuovi archivi o della modifica del relativo
approccio comune. Inoltre, l’autorità ha prestato assistenza e fornito consulenza all’Europol
nell’elaborazione del nuovo concetto di archivi di lavoro per fini di analisi formulando
specifiche condizioni in maniera che i nuovi archivi fossero conformi alle norme di legge
applicabili. Nell’esprimersi sulla decisione costitutiva, l’ACC ha verificato se lo scopo
dichiarato dell’archivio di analisi esulasse o meno dalla sfera di competenza dell’Europol e
se i dati elaborati fossero realmente necessari per conseguire l’obiettivo dell’archivio
rientrando nel campo di applicazione dell’articolo 6 dell’atto del Consiglio sulle norme
applicabili agli archivi di analisi.
Sorvegliando e controllando l’operato dell’Europol, l’autorità non si è limitata
esclusivamente al carico di responsabilità dell’Ufficio. L’ACC, infatti, ha sempre ribadito
l’importanza di una ripartizione delle responsabilità tra Europol e Stati membri, ripartizione
in cui la convenzione Europol ravvisa un prerequisito essenziale e una garanzia
indispensabile per rispettare la convenzione stessa nel trattamento dei dati personali di
singoli soggetti e per raggiungere obiettivi comuni.
Ai sensi dell’articolo 2, paragrafo 1 della convenzione, il compito dell’Europol è
migliorare, mediante le misure previste dalla convenzione stessa, l’efficacia e la
cooperazione delle autorità competenti degli Stati membri nel prevenire e combattere le
forme gravi di criminalità internazionale laddove vi siano indicazioni concrete o motivi
ragionevoli per ritenere che sia implicata una struttura criminale organizzata o che due o
più Stati membri siano coinvolti tanto da richiedere un approccio comune da parte degli
Stati membri in considerazione della portata, della gravità e delle possibili conseguenze dei
reati in questione. Per combattere efficacemente la criminalità organizzata internazionale,
l’Europol collabora con una serie di organizzazioni e paesi terzi, affermando che “un tratto
distintivo fondamentale di tutte le moderne organizzazioni criminali è che agiscono sempre
13
più spesso su scala transnazionale”. 1 L’autorità di controllo comune ha svolto un ruolo
importante in tale ambito fornendo consulenza nella negoziazione di accordi con organismi
e Stati terzi. L’ACC viene infatti consultata in diverse fasi dello sviluppo delle forme di
collaborazione con terzi, come previsto dall’articolo 18 della convenzione Europol,
dall’atto del Consiglio del 3 novembre 1998 che stabilisce le norme per la ricezione da
parte dell’Europol di informazioni provenienti da Stati e organismi terzi, dall’atto del
Consiglio del 12 marzo 1999 che stabilisce le norme per la trasmissione di dati personali da
parte dell’Europol a Stati od organismi terzi e dalla decisione del Consiglio dell’Unione
europea del 27 marzo 2000 che autorizza il direttore dell’Europol ad avviare negoziati per
la conclusione di accordi con Stati terzi e organismi non connessi all’Unione europea. Uno
di questi processi negoziali merita di essere citato nella presente relazione poiché mette in
luce il forte impegno profuso dall’ACC per assolvere i propri compiti e responsabilità in
qualità di controllore indipendente. Gli avvenimenti dell’11 settembre 2001 avevano reso
necessaria e urgente la costituzione di una collaborazione tra Europol e Stati Uniti. Si è
dunque chiesto all’ACC un parere in merito alla procedura di autorizzazione per l’avvio di
negoziati con la controparte americana. L’autorità di controllo comune ha riferito al consiglio
di amministrazione che, in assenza di una relazione dell’Europol, non era in grado di
formulare un parere sul livello di protezione dei dati negli USA, aggiungendo peraltro che
soltanto un accordo formale con gli Stati Uniti avrebbe potuto offrire la base giuridica
necessaria per una collaborazione tra Europol e USA. L’ACC osservava espressamente che
il diritto in materia di protezione dei dati e la prassi amministrativa negli Stati Uniti
differivano sotto vari profili dal quadro giuridico dell’Ufficio. Inoltre, ribadiva la necessità
di essere tenuta costantemente aggiornata sul processo di analisi dei problemi di protezione
dei dati durante l’intera fase negoziale.
L’ACC non si è limitata unicamente a compiti di controllo e consulenza, bensì ha esteso le
proprie attività ai seguenti ambiti:
•
studi, proponendo in particolare un questionario sul diritto di accesso incentrato
sulle disposizioni di legge esistenti negli Stati membri in materia di diritto di
accesso agli archivi di polizia;
1
14
http://www.europol.europa.eu/publications/Serious_Crime_Overviews/overview_SC1.pdf.
•
assistenza ai nuovi Stati membri, offrendo loro l’opportunità di acquisire familiarità
con i metodi di lavoro dell’ACC;
•
partecipazione a seminari per condividere esperienze con i nuovi Stati membri;
•
sensibilizzazione attraverso la pubblicazione di un opuscolo sui diritti delle persone
sanciti dalla convenzione Europol;
•
organizzazione di un convegno nel 2006;
•
sviluppo e aggiornamento del sito web ufficiale dell’ACC, promozione della
trasparenza del funzionamento e del processo decisionale, nonché creazione e
aggiornamento di un sito web privato per operare in maniera trasparente con i propri
membri.
Dal 2003, l’autorità di controllo comune dell’Europol (unitamente ad altre autorità di
controllo comune come l’ACC Schengen e l’ACC Dogane) è membro accreditato della
Conferenza internazionale delle autorità per la protezione dei dati personali e della
Conferenza di primavera delle autorità europee per la protezione dei dati personali.
Entrambe le conferenze rappresentano forum eccellenti per lo scambio di opinioni,
esperienze, idee e percezioni sulle sfide attuali e future di un controllo efficace della
protezione dei dati.
Da ultimo, ma non meno importante, l’ACC, insieme ad altre autorità di controllo comune
e ai garanti nazionali per la protezione dei dati personali, ha fornito la propria consulenza in
merito alle condizioni da attuare per garantire la protezione di diritti e libertà degli individui
nel trattamento e nello scambio di dati personali tra le autorità preposte all’applicazione
della legge, in risposta alle ultime tendenze delineatesi nell’ambito delle nuove iniziative
dell’Unione per il miglioramento dell’interoperabilità dei database europei.
15
I.3 Nuovi sviluppi nel campo dell’applicazione della legge e della protezione dei
dati nell’Unione europea
“La possibilità di fallire nella lotta non dovrebbe dissuaderci dal sostenere una causa che
riteniamo giusta”.
Abraham Lincoln
Nel 2004, il programma dell’Aia affermava: “il Consiglio europeo è convinto che il
rafforzamento della libertà, della sicurezza e della giustizia richieda un approccio
innovativo nei confronti dello scambio transfrontaliero di informazioni in materia di
applicazione della legge. Il fatto che le informazioni attraversino le frontiere non dovrebbe
più, di per sé, essere rilevante”. Sono state pertanto predisposte delle misure fondamentali
al fine di mettere le informazioni di polizia a disposizione di tutte le autorità preposte
all’applicazione della legge negli Stati membri dell’UE, migliorando l’impiego dei servizi
dell’Europol. Nel quadro della lotta al terrorismo e del miglioramento della sicurezza
interna, l’Unione europea ha intrapreso diverse iniziative per rafforzare l’efficacia
dell’applicazione della legge nel proprio territorio usando il concetto di disponibilità come
principio guida per gli scambi a livello di applicazione della legge nell’ambito della
cooperazione del terzo pilastro. In diverse occasioni, e nel contesto della lotta al terrorismo
e del miglioramento della sicurezza interna, sia il Consiglio europeo sia il Consiglio
dell’Unione europea hanno esortato la Commissione a formulare proposte volte a una
maggiore efficacia, una migliore interoperabilità e un’accresciuta sinergia tra i database
europei 2 , intendendo per interoperabilità non solo l’uso comune di sistemi IT su larga scala,
ma anche la possibilità di consultazione e scambio di dati, se non addirittura di fusione di
database.
L’ACC, unitamente ad altre autorità di controllo comune e ai garanti nazionali della
protezione dei dati personali, nel corso della Conferenza di primavera delle autorità europee
per la protezione dei dati personali del 2006, ha sottolineato che “in tale contesto, <…> la
condivisione
2
16
di
informazioni
http://eur-lex.europa.eu.
di
carattere
personale
tra
autorità
incaricate
dell’applicazione della legge è consentita unicamente sulla base di regolamenti in materia
di protezione dei dati personali che garantiscano un livello elevato e armonizzato di
protezione dei dati in tutti gli Stati partecipanti” 3 . Durante la conferenza, tutti hanno
concordato nell’affermare che non vi è alternativa alla creazione di un livello elevato e
armonizzato di protezione dei dati nell’ambito del terzo pilastro dell’Unione europea. Si
tratta di una conseguenza logica del programma dell’Aia secondo cui libertà, sicurezza e
giustizia sono elementi inscindibili che l’Unione europea nel suo complesso deve parimenti
salvaguardare. Le autorità europee per la protezione dei dati personali hanno esortato gli
Stati membri a “rispettare e rafforzare le libertà civili dei cittadini che vivono nell’UE
ampliando le opportunità di scambio di informazioni tra agenzie di sicurezza degli Stati
membri” 4 .
Un altro passo importante nel tentativo di rispondere adeguatamente alle nuove iniziative è
stato compiuto durante la Conferenza delle autorità europee per la protezione dei dati
personali, tenutasi a Larnaca (Cipro), il 10 e l’11 maggio 2007. Il gruppo di lavoro sulla
polizia e la giustizia è stato incaricato dalla conferenza di monitorare gli sviluppi nel campo
dell’applicazione della legge per rispondere alle sfide, sempre più numerose, che si
pongono per la protezione degli individui in relazione al trattamento dei dati personali.
Superfluo aggiungere che l’ACC partecipa attivamente all’attività di tale gruppo in quanto
membro accreditato della conferenza e del gruppo stesso.
Nella summenzionata comunicazione della Commissione si ribadisce il “principio di
disponibilità” secondo cui le autorità responsabili della sicurezza interna di un determinato
Stato membro o i funzionari dell’Europol che dovessero aver bisogno di informazioni per
assolvere i propri incarichi dovrebbero poterle ottenere da un altro Stato membro che ne
dispone. 5 In proposito, nel 2007, le autorità europee per la protezione dei dati personali
hanno sottolineato la necessità di "istituire un quadro completo per la valutazione degli
aspetti della protezione dei dati personali rispetto all’uso di tale concetto. Creando tale
quadro, si forniranno orientamenti per valutare ogni proposta che usi l’esistenza di dati
3
4
5
Dichiarazione di Budapest, 24-25 aprile 2006.
Dichiarazione di Budapest, 24-25 aprile 2006.
http://eur-lex.europa.eu.
17
personali come occasione per migliorare l’efficacia dell’applicazione della legge. Un
quadro di questo tipo potrebbe pertanto contribuire a una valutazione equilibrata
dell’interrelazione tra sicurezza pubblica e diritto fondamentale alla protezione dei dati
personali sancito dalla Carta dei diritti fondamentali dell’Unione europea” 6 . Sottolineando
la necessità di creare tale quadro, le autorità europee per la protezione dei dati personali
hanno sviluppato alcune condizioni e indicazioni per valutare l’uso del concetto di
disponibilità con una corrispondente lista di controllo. Tale lista di controllo può essere
impiegata per valutare ogni proposta che preveda l’uso del principio di disponibilità di dati
personali come punto di partenza per migliorare l’applicazione della legge. Le autorità
europee per la protezione dei dati personali hanno esortato Commissione, Consiglio e
Parlamento europeo ad avvalersi di tale lista all’atto dell’elaborazione, della valutazione e
dell’adozione di qualunque nuova proposta che riguardi l’uso di dati personali applicando il
principio di disponibilità.
Per agevolare lo scambio di informazioni tra servizi giuridici, sono stati suggeriti o
introdotti diversi strumenti giuridici. Le discussioni in merito alla proposta di decisione
quadro del Consiglio sulla protezione dei dati personali trattati nell’ambito della
cooperazione giudiziaria e di polizia in materia penale sono state ricollegate al programma
dell’Aia e all’attuazione del principio di “disponibilità” in maniera da creare un quadro
giuridico appropriato alla protezione dei dati personali nell’ambito della cooperazione tra
autorità preposte all’applicazione della legge. L’11 maggio 2007, in occasione della
Conferenza europea di Larnaca (Cipro), l’ACC e le autorità europee per la protezione dei
dati personali hanno pubblicato una dichiarazione sulla proposta di decisione quadro del
Consiglio di cui sopra, sottolineando che “instaurare un alto livello armonizzato di
protezione dei dati che copra le attività giudiziarie e di polizia nell’Unione è un elemento
essenziale per il rispetto e la salvaguardia dei diritti fondamentali come il diritto alla
protezione dei dati personali nella creazione di uno spazio di libertà, sicurezza e
giustizia”. 7
6
7
18
Posizione comune delle autorità europee per la protezione dei dati personali sull’uso del concetto di disponibilità
nell’applicazione della legge, Larnaca, 11 maggio 2007.
Dichiarazione adottata dalle autorità europee per la protezione dei dati personali a Cipro l’11 maggio 2007.
Il punto di partenza delle attività proattive svolte dall’ACC insieme alle autorità omologhe
e ai partner nazionali è stato la necessità di giungere a un alto livello armonizzato di
protezione dei dati personali che copra le attività giudiziarie e di polizia nell’Unione. Nel
contempo, è risultato chiaro che occorre creare fiducia reciproca tra le forze preposte
all’applicazione della legge che cooperano in materia penale, nonché una piena e
consapevole assunzione di responsabilità da parte di tutti gli interessati affinché ciascuno
possa assolvere i compiti assegnatigli per il miglioramento della cooperazione in materia di
applicazione della legge.
19
I.4 Futuro dell’Europol
Secondo il programma dell’Aia, “il Consiglio dovrebbe adottare la legge europea
sull’Europol, prevista all’articolo III-276 del trattato costituzionale, il prima possibile
dopo l’entrata in vigore del trattato e comunque non oltre il 1º gennaio 2008, tenendo
conto di tutti i compiti affidati all’Europol” 8 . Sotto la presidenza austriaca dell’Unione
europea, si è aperto il dibattito in merito al futuro dell’Ufficio. Lo scopo era rafforzarne
ulteriormente il ruolo nella lotta alle forme gravi di criminalità e il contributo alla politica
di sicurezza dell’Unione europea. Inoltre, è stato proposto di modificare la base giuridica
dell’Europol sostituendo la convenzione Europol con una decisione del Consiglio, creando
così una base giuridica più flessibile. Tale approccio prende ispirazione dal processo di
ratificazione dei tre protocolli di modifica della convenzione Europol, la cui conclusione ha
richiesto ben sette anni. Il 20 dicembre 2006, la Commissione ha presentato una propria
proposta di decisione del Consiglio che istituisce l’Europol 9 , sulla quale l’autorità di
controllo comune ha espresso, a sua volta, un parere.
I principali obiettivi dell’Ufficio definiti nel programma di lavoro annuale per il 2009 sono:
scambio di informazioni, analisi operativa e strategica e sostegno alle attività degli Stati
membri 10 . Su tali principi inciderà una serie di fattori tra cui:
•
(eventuale) entrata in vigore del Trattato di Lisbona nel 2009;
•
specifiche conclusioni del Consiglio, decisioni quadro del Consiglio, decisioni del
Consiglio e proposte della Commissione su specifici temi correlati alle politiche e
fenomeni criminali (l’entrata in vigore di una decisione del Consiglio che subentri
alla convenzione Europol è prevista nel gennaio 2010); e
•
sviluppi generali nel campo dello scambio di informazioni con particolare riguardo
al “principio di disponibilità”; attuazione del Trattato di Prüm a livello comunitario
e della decisione quadro (“svedese”) sullo scambio di informazioni.
Poiché il programma dell’Aia enunciava le priorità dell’Unione europea per rafforzare lo
spazio di libertà, sicurezza e giustizia dal 2005 al 2010, sono già stati avviati i preparativi
8
9
10
20
http://ec.europa.eu/justice_home/doc_centre/doc/hague_programme_it.pdf.
COM (2006)817.
http://register.consilium.europa.eu/pdf/en/08/st07/st07801.en08.pdf.
per un prossimo piano di azione quinquennale in tale ambito, con la creazione di un
cosiddetto gruppo sul futuro (gruppo informale a livello ministeriale) per la valutazione del
futuro dello spazio europeo di libertà, sicurezza e giustizia. Il gruppo ha pubblicato una
relazione sul futuro della politica europea in materia di affari interni dal titolo “Freedom,
Security, Privacy – European Home Affairs in an open world” contenente orientamenti in
termini di politiche future con riferimento al ruolo dell’Europol. Secondo la relazione,
l’Ufficio, nell’ambito del suo quadro giuridico, dovrebbe essere maggiormente sfruttato e
ampliato in un centro di competenze che offra supporto tecnico; dovrebbe inoltre
ulteriormente potenziare la propria capacità di fornire informazioni alle forze di polizia
degli Stati membri. Dovrebbe infine essere intensificato l’uso dei database dell’Europol,
specialmente il suo sistema di informazione, e si dovrebbero migliorare la cooperazione
pratica e lo scambio di informazioni tra Europol ed Eurojust, oltre che la collaborazione
con Frontex.
21
Capitolo II
II.1 Lavoro di controllo
“Capire meglio ha un duplice scopo: primo, accrescere la nostra conoscenza; secondo,
permetterci di trasmettere tale conoscenza ad altri”.
John Locke
Sin dall’inizio della sua attività, l’autorità di controllo comune ha profuso grande impegno
per assolvere i propri compiti attraverso ispezioni regolari all’Europol e adoperandosi per
intrattenere un dialogo con l’Ufficio e con altre istituzioni al fine di mantenere un livello di
protezione dei dati adeguato. Questo impegno ha consentito all’ACC di maturare la
necessaria esperienza e di approfondire le attività operative dell’Europol e le sue esigenze,
oltre a comprendere appieno il lavoro svolto quotidianamente dall’organizzazione
controllata. Grazie a tale esperienza è diventata non soltanto un partner affidabile e
costruttivo per l’Europol, ma anche un piattaforma di confronto per i garanti nazionali
responsabili della protezione dei dati personali, contesto nel quale non ci si può esimere dal
citare la fruttuosa collaborazione tra l’ACC e le autorità di controllo nazionali. Il
coinvolgimento dei garanti nazionali è stato fondamentale e si è dimostrato estremamente
proficuo ai fini di una collaborazione che l’ACC intensificherà ulteriormente.
II.1.1 Ispezioni condotte presso l’Europol
L’obiettivo dell’autorità di controllo comune è eseguire almeno una verifica all’anno.
L’Europol è un’organizzazione che considera la cooperazione con gli Stati membri un
fattore di successo decisivo. Le ispezioni condotte negli ultimi due anni e la risposta alle
corrispondenti relazioni dimostrano con chiarezza un’attenzione e un impegno crescente
per il rispetto delle norme di protezione dei dati sia da parte dell’Europol nel suo
complesso, sia da parte del consiglio di amministrazione e dei capi delle unità nazionali.
Ispezione − marzo 2007
L’ACC ha adottato una politica che prevede una verifica annuale dell’Europol. L’ambito di
ciascun accertamento è stato diversificato e accuratamente definito alla luce della
22
convenzione Europol, degli sviluppi in atto all’interno dell’Europol e delle sfide emergenti
nello spazio giuridico europeo.
Nel dicembre 2006, l’autorità di controllo comune ha incaricato i suoi ispettori di:
a) verificare le attività del dipartimento reati gravi;
b) controllare il contenuto del sistema di informazione;
c) verificare due archivi di lavoro per fini di analisi preselezionati; e
d) controllare il seguito dato alle raccomandazioni formulate in occasione del precedente
accertamento del 2006.
Nel marzo 2007, gli ispettori hanno trascorso quattro giorni di ispezione presso l’Europol.
Si è trattato dell’ottavo accertamento condotto dall’ACC. Considerate le diverse
responsabilità rispetto al contenuto del sistema di informazione dell’Europol (SIE) - uno
degli elementi da verificare -, l’autorità di controllo comune ha operato in stretta
collaborazione con i garanti nazionali per la protezione dei dati personali. L’ACC ha
concluso che, poiché il trattamento dei dati personali in un sistema di polizia europeo come
il SIE senza dubbio aumenterà le probabilità di violazione della privacy dei soggetti
interessati, la disponibilità di tali dati a livello europeo e la possibilità di trasmetterli a
organismi e Stati terzi comporterà la necessità di investire in meccanismi di salvaguardia
tali da garantire che i dati trattati siano soltanto quelli che concorrono al conseguimento
dell’obiettivo dell’Europol. Dalla valutazione del contenuto del sistema, è emersa con
chiarezza la necessità pressante di armonizzarne ulteriormente l’uso. In riferimento ad
alcuni aspetti specifici come il trattamento di informazioni su minori, la posizione di chi
potrebbe essere considerato vittima del traffico di esseri umani, e gli appartenenti ad alcune
bande di motociclisti, è stato necessario formulare orientamenti per il trattamento dei dati
personali. Inoltre, l’autorità di controllo comune ha elaborato specifiche raccomandazioni
per quanto concerne il dipartimento reati gravi, sempre allo scopo di migliorare e
armonizzare il trattamento dei dati personali. Come nei precedenti accertamenti, l’ACC ha
ribadito nuovamente la responsabilità degli Stati membri (e delle rispettive unità Europol
nazionali), responsabilità espressamente attribuita dall’articolo 15 della convenzione Europol
e che costituisce un prerequisito fondamentale per la riuscita del lavoro dell’Ufficio.
Ispezione − marzo 2008
23
I preparativi per il nuovo accertamento da condurre nel marzo 2008 sono stati intrapresi nel
dicembre 2007. A tal fine, in occasione della riunione del 17 dicembre 2007, l’autorità di
controllo comune ha costituito un gruppo di ispettori incaricato della conduzione delle
verifiche. L’ambito dell’ispezione era il seguente:
a) verificare il contenuto e la qualità dei dati personali elaborati dall’Europol negli archivi
di lavoro per fini di analisi (cinque archivi di analisi preselezionati) e del sistema di
informazione dell’Europol;
b) controllare il funzionamento del sistema di informazione dell’Europol;
c) verificare l’infrastruttura tecnica e il seguito dato alle raccomandazioni formulate alla
luce dei precedenti accertamenti.
La verifica prevedeva anche il controllo delle procedure applicate alle domande formulate
ai sensi dell’articolo 19 della convenzione Europol, nonché del contenuto e del
funzionamento dei progetti “Check the Web” e OASIS.
Il nono accertamento ha avuto luogo dall’11 al 14 marzo 2008.
24
II.1.2 Pareri formulati dall’autorità di controllo comune 11
“La critica può non sembrare gradevole, è però necessaria. Essa compie la stessa funzione
del dolore nel corpo umano: attira l’attenzione sullo sviluppo di uno stato malsano delle
cose”.
Winston Churchill
Uno degli elementi del ruolo dell’autorità di controllo comune in veste di consulente e
partner affidabile è il suo contributo efficace e costruttivo a nuove iniziative riguardanti le
informazioni elaborate dall’Europol o i quesiti posti dall’Ufficio circa le sue attività
operative. A supporto della funzione di controllo, l’ACC ha anche organizzato colloqui
regolari con funzionari dell’Europol per approfondire i diversi aspetti della protezione dei
dati.
Il 20 dicembre 2006, la Commissione ha formulato una propria proposta di decisione del
Consiglio che istituisce l’Europol 12 e, poiché tale proposta comporta significative
ripercussioni sul trattamento dei dati personali da parte dell’Europol, l’autorità di controllo
comune si è sentita in dovere di esprimere un parere in merito. La proposta di decisione del
Consiglio, infatti, non riproduceva semplicemente la convenzione Europol, compresi i tre
protocolli modificativi, ma conteneva anche una serie di nuovi elementi relativamente ai
compiti dell’Europol e al trattamento delle informazioni. L’ACC ha pertanto proceduto a
una valutazione dell’effetto della proposta sul lavoro dell’Europol e sulle responsabilità di
Stati membri ed Europol in riferimento ai vari aspetti del trattamento dei dati personali. La
funzione di informazione dell’Ufficio, i suoi nuovi compiti e l’ampliamento del suo ruolo
operativo richiederebbero idonei meccanismi di salvaguardia della protezione dei dati
personali; per questo l’autorità di controllo comune ha studiato attentamente tutti i nuovi
sviluppi legati al futuro dell’Europol.
Nel suo parere l’ACC ha sottolineato che la proposta dovrebbe includere un regime completo
di protezione dei dati personali, ribadendo la necessità di chiarire la distinzione tra gli
11
12
Tutti i pareri formulati dall’ACC sono consultabili all’indirizzo http://europoljsb.consilium.europa.eu/.
COM (2006)817.
25
obiettivi e le competenze dell’Europol e le possibili conseguenze che i cambiamenti
introdotti potrebbero comportare per le strutture di informazione esistenti non solo
all’interno dell’Europol, ma anche con Stati membri e terzi. L’ACC ha inoltre ribadito
l’importanza di specificare, negli strumenti giuridici, le diverse responsabilità rispetto alla
protezione dei dati personali, lo scopo del sistema e la struttura delle informazioni elaborate
dai sistemi di informazione dell’Europol, l’obbligo di consultare l’autorità di controllo
comune sui temi della protezione dei dati, la limitazione dell’accesso al sistema di
informazione, la necessità della revisione annuale dei dati contenuti negli archivi di lavoro
per fini di analisi, le norme specifiche riguardanti la rettifica e la memorizzazione di dati in
archivi cartacei, la specifica regolamentazione dell’accesso ai sistemi di informazione
nazionali e internazionali da parte dell’Europol e l’esigenza di una normativa armonizzata
completa che garantisca ai soggetti interessati un livello elevato di applicabilità del diritto
di accesso e verifica dei dati senza ricorrere alle normative nazionali. L’ACC ha
sottolineato in particolare l’importanza dell’introduzione all’interno della struttura
dell’Europol di un incaricato della protezione dei dati personali.
Uno dei temi importanti discussi ed elaborati in stretta collaborazione tra l’autorità di
controllo comune e l’Europol è stato il nuovo sistema del diritto di accesso. Attualmente,
l’articolo 19, paragrafo 3 della convenzione Europol dispone che il diritto di chiunque di
accedere a dati che lo riguardino od ottenere la verifica di tali dati debba essere esercitato
secondo la legge dello Stato membro in cui il diritto viene rivendicato. Il lavoro svolto in
collaborazione tra l’ACC e l’Europol durante il processo di formulazione della decisione
del Consiglio che istituisce l’Ufficio è sfociato in un nuovo sistema di regolamentazione di
tale diritto. L’articolo 30, paragrafo 1 della decisione del Consiglio unifica infatti
l’esercizio del diritto di accesso disponendo che debba essere esercitato in ogni caso nel
rispetto delle condizioni stabilite dall’articolo stesso senza alcun riferimento ulteriore alle
normative degli Stati membri. L’autorità di controllo comune ha partecipato attivamente alle
discussioni e ai lavori preparatori per la predisposizione degli strumenti giuridici necessari in
vista dell’entrata in vigore della decisione del Consiglio sull’Europol.
Inoltre, sempre durante tale periodo, l’ACC ha contribuito in veste di consulente ai nuovi
progetti elaborati dall’Europol, essendo profondamente persuasa del fatto che un ruolo
26
proattivo nell’affrontare problemi e questioni di protezione dei dati personali sin dall’inizio
dei nuovi sviluppi all’interno dell’organizzazione possa concorrere all’efficienza del lavoro
dello stesso Ufficio e al rispetto delle norme in materia di protezione dei dati.
In tale contesto, l’autorità ha partecipato al lavoro riguardante il nuovo progetto di analisi
dell’Europol (OASIS) e agli sviluppi del nuovo progetto “Check the Web”.
OASIS (Overall Analysis System for Intelligence and Support). Sin dal 2005, l’ACC è
stata spesso consultata dall’Europol su tale progetto e ha formulato in merito una serie di
pareri sempre ribadendo che, secondo il quadro giuridico stabilito dalla convenzione
Europol, questa specifica iniziativa dovrebbe fare espressamente riferimento alla
responsabilità comune della protezione dei dati e ripartirla tra Europol e Stati membri, pur
riconoscendo i potenziali vantaggi economici che il progetto OASIS potrebbe offrire grazie
all’uso più efficiente delle risorse di analisi dell’Ufficio e rilevando anche i potenziali
vantaggi che esso potrebbe assicurare a livello di protezione dei dati personali, a
dimostrazione del fatto che l’uso delle nuove tecnologie può consentire di ottenere
un’analisi dei reati più efficace e, nel contempo, una migliore protezione dei dati.
“Check the Web”. Secondo i programmi, questo progetto, intrapreso dalla presidenza
tedesca del Consiglio e consistente nella creazione di un portale di informazione presso
l’Europol con funzione di strumento centrale doveva diventare operativo all’inizio del
maggio 2007. L’iniziativa era volta a rafforzare la collaborazione e la condivisione del
compito di sorveglianza e valutazione delle fonti Internet aperte su base volontaria. Lo
scopo principale del portale era presentare informazioni desunte da siti Internet correlabili
ad attacchi terroristici in grado di contribuire allo svolgimento delle indagini e delle attività
di analisi dell’Europol e degli Stati membri.
L’Europol ha chiesto all’autorità di controllo comune di approfondire i requisiti di
protezione dei dati personali stabiliti in relazione al progetto e le ha permesso di ispezionare
il portale. Il parere formulato dall’ACC ha considerato gli aspetti legati alle competenze e
agli obiettivi dell’Europol, nonché le implicazioni in termini di protezione dei dati personali
e i corrispondenti requisiti, soprattutto a livello di sicurezza e controllabilità del portale.
27
II.1.3 Costituzione degli archivi di analisi
Ogni qual volta l’Europol intende costituire un nuovo archivio di analisi a norma
dell’articolo 10 della convenzione Europol, occorre adottare una decisione per la sua
costituzione, decisione nella quale è necessario specificare, tra l’altro, lo scopo
dell’archivio, gli Stati membri partecipanti e le categorie di dati personali che saranno
detenuti.
Il gruppo di lavoro sulle decisioni costitutive è stato creato al fine di agevolare il lavoro
dell’autorità di controllo comune e renderlo più efficiente. Secondo il mandato, l’ACC ha
autorizzato il gruppo di lavoro sulle decisioni costitutive a formulare un parere per conto
dell’autorità nei casi in cui la decisione riguardi una specifica materia di analisi su cui essa
si è già espressa in passato. Se una delegazione domanda una discussione plenaria entro
cinque giorni dalla divulgazione della decisione costitutiva, il gruppo di lavoro è tenuto a
predisporre un parere per la riunione.
Le decisioni costitutive devono essere approvate dal consiglio di amministrazione
dell’Europol, che è obbligato a trasmetterle all’ACC affinché possa formulare i propri
commenti. In tale ambito, l’autorità di controllo comune ha sempre ribadito l’importanza
della ripartizione delle responsabilità tra Europol e Stati membri derivante dalla
convenzione Europol quale fattore fondamentale per conseguire gli obiettivi comuni e
garantire un maggiore rispetto della convenzione stessa.
Nel biennio novembre 2006 – novembre 2008, l’ACC ha formulato pareri su due decisioni
costitutive esprimendosi sulle categorie di dati che possono essere legittimamente trattate e
la loro pertinenza rispetto allo scopo degli archivi di lavoro per fini di analisi, nonché sugli
effetti dell’entrata in vigore del protocollo recante modifiche della convenzione Europol del
18 aprile 2007 (GU C2, 6.1.2004) relativamente alle condizioni e alla procedura secondo
cui è possibile comunicare i dati personali memorizzati in archivi.
Al momento, l’Europol sta elaborando dati personali in 18 distinti archivi di lavoro per fini
di analisi.
28
II.1.4 Accordi con Stati/organismi terzi
A norma dell’articolo 1, paragrafo 5 della decisione del Consiglio che autorizza il direttore
dell’Europol ad avviare negoziati per la conclusione di accordi con Stati terzi e organismi non
connessi all’Unione europea, la consultazione dell’autorità di controllo comune rientra in
una procedura in cui il consiglio di amministrazione è tenuto a stilare una relazione per il
Consiglio che gli fornisca le informazioni necessarie per decidere se sussistano o meno
ostacoli all’avvio di negoziati. L’articolo 3, paragrafo 3, delle norme per la trasmissione di
dati personali da parte dell’Europol a Stati od organismi terzi e l’articolo 2, paragrafo 4 delle
norme per la ricezione da parte dell’Europol di informazioni provenienti da Stati e organismi
terzi espressamente riconoscono che l’autorità di controllo comune deve esprimere un parere
durante la procedura nel corso della quale il Consiglio è chiamato a decidere se approvare o
meno un accordo negoziato tra l’Europol e Stati terzi. In merito al progetto di accordo da
sottoscrivere tra l’Europol e l’Australia è stato adottato un parere nel quale l’ACC ha
formulato una serie di commenti, sottolineando soprattutto la necessità di garantire che i
funzionari australiani di stanza presso la sede dell’Europol non possano avere accesso
diretto ai dati detenuti dall’Europol né compromettere in altro modo la sicurezza dei dati
personali, come disposto dall’articolo 25 della convenzione Europol. In termini generali,
comunque, l’autorità di controllo comune ha concluso che, dal punto di vista della protezione
dei dati, nulla ostava alla conclusione dell’accordo da parte dell’Europol.
Nell’ottobre 2008, all’ACC è stato chiesto di formulare due pareri sulla possibilità che
l’Europol avviasse negoziati con la Federazione russa e Israele che sarebbero potuti
sfociare in accordi sulla trasmissione di dati personali da parte dell’Europol ai due paesi.
Il parere dell’autorità di controllo comune in merito al livello di protezione dei dati in Israele
ha concluso che, vista la natura delle differenze esistenti tra il livello di protezione dei dati in
Israele e quello richiesto dall’Europol, dal punto di vista della protezione dei dati nulla
impediva l’avvio di negoziati in vista di un accordo sulla trasmissione di dati personali da
parte dell’Europol a Israele. Tale conclusione era tuttavia subordinata a un debito
approfondimento di determinati aspetti nel corso delle trattative. In particolare, l’ACC
chiedeva che si analizzassero attentamente l’attuazione dell’accordo e l’applicabilità diretta
dei diritti dei soggetti interessati, il controllo indipendente con le competenze e i poteri
29
necessari per indagare le agenzie incaricate dell’applicazione della legge, una serie di
aspetti legati alla qualità dei dati, le norme per la trasmissione dei dati sensibili (che
avrebbero dovuto essere quanto più chiare possibile), i termini per la memorizzazione dei
dati, la responsabilità e i mezzi di ricorso previsti dalla legge per i singoli soggetti in caso di
violazione dell’accordo e trattamento dei dati non corretto o non autorizzato e, infine, una
serie di temi legati alla sicurezza dei dati.
Quanto alla Federazione russa, l’autorità di controllo comune ha chiesto al consiglio di
amministrazione ulteriori informazioni per poter valutare il livello di protezione dei dati del
paese e potersi dunque esprimere in via definitiva.
I pareri su tutti gli accordi sono consultabili all’indirizzo
http://europoljsb.consilium.europa.eu/.
II.1.5 Diritti dei soggetti interessati
Elemento classico e condizione fondamentale di ogni sistema di protezione dei dati
personali è l’applicabilità del diritto di un soggetto interessato di accedere ai dati elaborati
dai responsabili del trattamento e del diritto di ottenere la rettifica o la cancellazione di dati
personali che risultino trattati in maniera non corretta o legittima. Tali diritti sono i
meccanismi di salvaguardia per consentire a un soggetto interessato di difendere le proprie
libertà, verificare se i dati siano esatti e controllare se siano trattati secondo le norme in
materia di protezione dei dati. Il diritto soggettivo dell’interessato di accedere alle proprie
informazioni è infatti uno strumento importante per consentire al soggetto in questione di
partecipare alla protezione dei propri dati, diritto che è ancora più importante nel quadro del
trattamento dei dati da parte delle agenzie incaricate dell’applicazione della legge.
L’articolo 19 della convenzione Europol stabilisce che un soggetto che intenda esercitare il
proprio diritto di accedere a dati che lo riguardino memorizzati dall’Europol od ottenere
una verifica di tali dati possa presentare a titolo gratuito domanda in tal senso all’autorità
nazionale competente in qualunque Stato membro di sua scelta. Lo Stato membro in
questione si impegna a trasmettere la domanda all’Ufficio e avvisa il soggetto interessato
30
che quest’ultimo gli risponderà direttamente. L’Europol è tenuto a evadere la richiesta entro
tre mesi dal suo ricevimento da parte dell’autorità nazionale competente.
Secondo le statistiche fornite dall’Europol, dal 2003 al 2008 sono state ricevute le seguenti
domande a norma dell’articolo 19.
Anno
Numero di domande a norma
dell’articolo 19
2003
5
2004
9
2005
6
2006
19
2007
122
2008
135
Nel 2007, le domande presentate da singoli soggetti per esercitare il diritto di accesso in
applicazione dell’articolo 19 sono aumentate dell’84% rispetto al 2006, un nuovo sviluppo
che ha portato a formulare ulteriori considerazioni in relazione al completamento della
procedura prevista per la gestione di tali richieste da parte dell’Europol. L’aumento delle
domande attualmente registrato è dovuto alle campagne di informazione condotte in rete sui
diritti dei cittadini per quanto concerne l’Europol che, ovviamente, hanno prodotto ricadute
positive in termini di sensibilizzazione del pubblico.
Altro diritto importante dei singoli soggetti secondo l’articolo 24, paragrafo 4, della
convenzione Europol è quello di domandare all’autorità di controllo comune di accertare
che il modo in cui i dati personali sono stati rilevati, memorizzati, trattati e usati
dall’Europol è corretto e legittimo. Sinora sono pervenute sei richieste in tal senso e, una
volta eseguite le verifiche, è emerso in tutti i casi che l’Europol aveva agito conformemente
alla convenzione Europol.
31
II.2 Gestione dell’autorità di controllo comune
L’ACC si è riunita nove volte dal novembre 2006 all’ottobre 2008. Secondo l’articolo 24,
paragrafo 1, l’autorità di controllo comune deve essere composta da non più di due membri
o rappresentanti (ove del caso, assistiti da supplenti) di ciascun organismo di controllo
nazionale con tutte le garanzie di indipendenza del caso e aventi le capacità richieste
all’uopo. I membri devono essere nominati per cinque anni da ogni Stato membro. Nello
svolgimento dei propri doveri, i membri dell’autorità di controllo comune non devono
ricevere istruzioni da altri organismi. La gestione dell’ACC è compito comune di tutti i
membri e del segretariato, compito non sempre facile da assolvere, specialmente da quando
i membri sono 27.
La gestione del lavoro dell’autorità potrebbe essere descritta come segue:
•
pianificazione – ogni due anni si definiscono gli obiettivi strategici dell’ACC; tutte
le ispezioni condotte presso l’Europol sono discusse e pianificate anticipatamente;
•
organizzazione – l’attuazione degli obiettivi è generalmente il compito più arduo,
ma nondimeno il più avvincente e stimolante. La stretta collaborazione tra i gruppi
di lavoro e il segretariato si è dimostrata uno strumento efficiente ai fini della
preparazione dei documenti per le riunioni plenarie. I documenti vengono inviati ai
membri dell’ACC conformemente al regolamento interno due settimane prima
dell’incontro. In tal modo, i membri hanno la possibilità di prepararsi alle riunioni e
contribuire notevolmente alle discussioni che vi si svolgono;
•
scelta del personale – grande attenzione viene prestata all’esperienza dei membri
dell’ACC. L’esempio più eloquente di tale approccio è rappresentato dalla
composizione permanente del gruppo di ispettori che, nei tanti anni di verifiche
condotte presso l’Europol, hanno approfondito considerevolmente le attività
operative quotidiane e pratiche dell’Ufficio, il che costituisce un vantaggio per il
lavoro di controllo e consulenza dell’autorità;
•
motivazione – la motivazione più forte che ispira tutti i membri dell’ACC è il suo
fine ultimo, ossia la tutela dei diritti dei singoli soggetti, sia a livello nazionale sia a
livello internazionale;
32
•
sorveglianza, autovalutazione – ogni due anni, l’autorità di controllo comune
svolge attività di autovalutazione per giudicare il livello di assolvimento dei propri
compiti e doveri.
Tutto ciò contribuisce al funzionamento efficiente dell’ACC quale organismo di controllo. I
rapporti interni tra i membri dell’autorità, improntati a un clima di cooperazione, sono tanto
importanti quanto le relazioni esterne con l’Europol e altri organismi o istituzioni. La
chiave del successo del lavoro dell’ACC sta nell’impegno, nella responsabilità e nella
partecipazione attiva di tutti i membri.
II.2.1 Gruppi di lavoro
Per agevolare un approccio proattivo nei confronti dell’Europol, l’autorità di controllo
comune ha creato vari gruppi di lavoro, alcuni dei quali intrattengono contatti regolari con
l’Ufficio. Uno dei vantaggi di tali contatti è che l’ACC ha modo di approfondire le pratiche di
lavoro quotidiane dell’organizzazione. I gruppi di lavoro aggiungono dunque un valore
notevole all’operato dell’autorità in quanto i loro membri qualificati forniscono un’analisi
approfondita dei temi discussi e contribuiscono all’ottenimento di risultati costruttivi.
I gruppi di lavoro attualmente in essere sono i seguenti:
i) gruppo di ispettori: con il compito di pianificare ed eseguire gli accertamenti presso
l’Europol;
ii) gruppo per i nuovi progetti: con l’incarico di esaminare gli aspetti tecnici;
iii) gruppo per i rapporti con gli Stati terzi: con il compito di studiare gli aspetti giuridici
degli accordi di cooperazione dell’Europol con Stati terzi;
iv) gruppo per le decisioni costitutive: con l’incarico di analizzare gli aspetti correlati alla
protezione dei dati per quel che riguarda le decisioni costitutive degli archivi di analisi
dell’Europol;
v) gruppo per le pubbliche relazioni: con il compito di formulare proposte per pubblicizzare
il lavoro dell’ACC;
vi) gruppo per i programmi concernenti i nuovi Stati membri: con l’incarico di sviluppare una
scheda informativa sull’Europol unitamente a una serie di informazioni pratiche circa il
33
funzionamento dell’autorità di controllo comune e del comitato per i ricorsi a uso dei nuovi
Stati membri.
II.2.2 Trasparenza
“Il sentimento pubblico è tutto. Con il sentimento pubblico, niente può fallire. Senza esso,
niente può riuscire”.
Abraham Lincoln
Il concetto della trasparenza non è un guscio vuoto. L’aumento del livello di trasparenza delle
attività serve ad accrescere la credibilità. La trasparenza è indispensabile per conquistare la
fiducia del pubblico. Singoli soggetti e organismi pubblici hanno il diritto di conoscere il
lavoro dell’autorità di controllo comune e, pertanto, devono poter accedere a informazioni
che spieghino come e perché vengono prese le decisioni. L’ACC si preoccupa
costantemente di migliorare la trasparenza del proprio lavoro.
L’atto del Consiglio del 27 novembre 2003 recante modifiche della convenzione Europol
ha emendato l’articolo 24, paragrafo 6, della convenzione rendendo l’autorità di controllo
comune più responsabile, aperta e trasparente al mondo esterno. Ora le relazioni di attività
sono trasmesse al Parlamento europeo e al Consiglio, e il consiglio di amministrazione ha
l’opportunità di esprimere un parere che vi viene accluso. Inoltre, tutti gli atti pubblici di
ogni riunione plenaria dell’ACC sono tradotti in tutte le lingue ufficiali dell’Unione
europea
e
messi
a
disposizione
sul
sito
web
dell’autorità
all’indirizzo
http://europoljsb.consilium.europa.eu/.
II.2.3 Bilancio
L’autorità di controllo comune ha un proprio bilancio che fa parte del bilancio dell’Europol.
Secondo l’articolo 31, paragrafo 1, del regolamento interno dell’ACC dell’Europol, il
segretariato è tenuto a preparare proposte di bilancio annuale per l’autorità che, una volta
approvate, vengono trasmesse al consiglio di amministrazione prima della consultazione
prevista dall’articolo 24, paragrafo 9, della convenzione Europol. L’articolo 24, paragrafo
9, della convenzione Europol stabilisce infatti che l’autorità di controllo comune debba
34
essere consultata sulla parte del bilancio che la riguarda. Il suo parere è allegato al progetto
di bilancio in questione. Dopodiché, a norma dell’articolo 35, paragrafo 5, della
convenzione Europol, una volta ottenuto il parere del consiglio di amministrazione, il
Consiglio adotta il bilancio dell’Europol. L’articolo 31, paragrafo 2, del regolamento
interno dell’ACC stabilisce che l’autorità decida in merito agli esborsi del bilancio
assegnatole, amministrato dal segretariato.
Gli importi effettivi stanziati dall’autorità di controllo comune nel biennio novembre 2006
– novembre 2008 sono stati i seguenti.
Anno
Importo (euro)
2006
1.135.00
2007
970.000
2008
600.000
2009
610.000
Degli importi stanziati, l’80% è destinato a coprire i costi delle riunioni plenarie
(traduzione, interpretazione e spese di viaggio).
II.2.4 Convegno del 2008
Il 9 ottobre 2008, l’autorità di controllo comune dell’Europol ha celebrato dieci anni di
attività organizzando il convegno dal titolo “What will the future bring? Rising to the
challenge of maintaining effective data protection supervision at Europol”.
Scopo di tale convegno non era unicamente ripercorrere i successi conseguiti dall’autorità
nel suo primo decennio di attività, bensì soprattutto richiamare l’attenzione sulle future
sfide e il modo in cui l’ACC intende raccoglierle.
Il convegno ha rappresentato una piattaforma straordinaria per uno scambio di punti di
vista, idee e percezioni delle future sfide nell’ottica di un controllo efficace della protezione
dei dati dell’Europol, offrendo un’opportunità rara di riflettere sui modi per rendere la
protezione dei dati significativa ed efficace, garantendo in tal modo la tutela dei singoli
35
cittadini alla luce delle tante sfide poste dall’ampia gamma di attività svolte dall’Unione
europea nel campo della sicurezza e dell’applicazione della legge.
Vari oratori nel corso del convegno si sono soffermati sul futuro cambiamento del quadro
giuridico dell’Europol e l’ambiente di applicazione della legge entro il quale si situa
nell’Unione europea, analizzando peraltro piani e attività dell’Unione nel campo della
libertà, della sicurezza e della giustizia con particolare riguardo all’introduzione dei principi
di disponibilità e convergenza, tenuto conto di una crescente pressione verso la
condivisione dei dati.
Le discussioni hanno affrontato non soltanto il controllo della protezione dei dati
dell’Europol, ma si sono anche estese agli sviluppi intervenuti a livello di Unione europea e
ai modi per garantire una reale tutela ai singoli soggetti. La percezione condivisa dai
partecipanti è stata che una soluzione pratica a tutte le attuali tendenze in materia di
scambio di informazioni consista nel migliorare il controllo comune da parte dei garanti
nazionali per la protezione dei dati personali e delle autorità di controllo comune in modo
da renderlo efficiente ed efficace.
Nel corso del convegno spesso si è citato il forte impegno necessario per individuare un
giusto equilibrio tra il rafforzamento della lotta alla criminalità e il mantenimento di un alto
livello nel sistema di controllo della protezione dei dati.
Dal convegno è inoltre emerso con chiarezza che la principale sfida per le autorità
responsabili della protezione dei dati e le agenzie incaricate dell’applicazione della legge è
trovare il giusto equilibrio attraverso il dialogo.
Altro tema importante riconosciuto da tutti i partecipanti al convegno è stato la necessità di
sensibilizzare i singoli soggetti rispetto ai propri diritti e alle proprie libertà, migliorando
nel contempo a loro beneficio la trasparenza di tutte le nuove politiche e iniziative
intraprese nell’Unione europea.
36
Poiché l’obiettivo del convegno era più prospettico che retrospettivo, si sono esposte altresì
le conseguenze del Trattato di Lisbona e della decisione del Consiglio che subentrerà alla
convenzione Europol, descrivendo le possibili ripercussioni che potrebbero avere sulle
future attività dell’autorità di controllo comune. Tutti hanno concordato nell’affermare che i
cambiamenti futuri rappresenteranno per l’ACC soltanto una motivazione ancora più forte
per perseguire il suo mandato.
La principale conclusione tratta dal convegno è stata che l’autorità di controllo comune
dell’Europol continua a garantire un efficace controllo della protezione dei dati da parte
dell’Ufficio, anche grazie alla collaborazione costruttiva offerta a quest’ultimo
sostenendolo nell’applicazione quotidiana delle disposizioni giuridiche esistenti in materia
di protezione dei dati.
Tutti i presenti hanno convenuto sul fatto che, di fronte ad approcci innovativi allo scambio
di informazioni nell’Unione europea, le autorità di controllo comune come l’ACC
dell’Europol, unitamente ai garanti nazionali per la protezione dei dati personali, devono
mantenere in essere l’attuale sistema di controllo della protezione dei dati e intensificare le
proprie attività per garantire una reale tutela dei singoli soggetti, ora e in futuro.
37
Capitolo III
III.1 Comitato per i ricorsi
“Da tempo si è riconosciuto che un elemento essenziale della tutela dei diritti umani è una
conoscenza diffusa da parte dei singoli dei propri diritti e dei modi per difenderli”.
Boutros Boutros-Ghali, sesto Segretario generale dell’ONU, 1992-1996
Un incarico particolare attribuito all’autorità di controllo comune dalla convenzione
Europol è l’analisi dei reclami formulati dai singoli soggetti in merito alla risposta
trasmessa loro dall’Europol a seguito di una domanda di esercizio di un diritto. Per questo,
il 23 novembre 1998, l’ACC ha creato un proprio comitato per i ricorsi, organismo quasi
giudiziario, il cui compito è offrire uno strumento di riparazione a singoli interessati che
rivendichino diritti e libertà rispetto al trattamento e all’uso dei rispettivi dati personali da
parte dell’Europol.
I singoli soggetti hanno il diritto di accedere alle informazioni di carattere personale
detenute dall’Europol che li riguardano, così come hanno il diritto di ottenere che tali
informazioni siano verificate, rettificate o cancellate. Nel momento in cui un soggetto si
dovesse reputare leso dal modo in cui l’Europol ha replicato a una domanda di accesso,
rettifica o cancellazione di informazioni, tale soggetto può presentare ricorso all’apposito
comitato dell’ACC. All’atto del ricevimento della domanda, al soggetto viene confermato o
meno il diritto di ricorso. Dopodiché il comitato per i ricorsi procede con le proprie indagini
per accertare se l’Europol abbia agito conformemente alle disposizioni applicabili della
convenzione. La decisione del comitato per i ricorsi è definitiva per tutte le parti coinvolte.
È importante rammentare che, sebbene i membri del comitato per i ricorsi provengano
dall’ACC, si tratta comunque di un organismo indipendente e imparziale, non vincolato da
alcuna istruzione. L’imparzialità del comitato per i ricorsi garantisce che il reclamo di un
soggetto sia esaminato in maniera giusta ed equa. Offrendo al singolo cittadino la
possibilità di ricorrere, la fiducia del pubblico nell’operato dell’autorità di controllo comune
ne risulta rafforzata.
38
A oggi, il comitato per i ricorsi si è espresso su sei casi. Negli ultimi due anni è stata presa
una decisione e un caso è ancora pendente.
III.1.1 Sintesi del ricorso presentato dal signor S
Il signor S si è rivolto alla SOCA (Serious Organised Crime Agency) nel Regno Unito
presentando domanda a norma degli articoli 19 e 20 della convenzione Europol. La
richiesta è stata trasmessa all’Europol.
L’Europol ha risposto al signor S con una lettera che recitava come segue:
“Conformemente alla procedura stabilita dalla convenzione Europol e alla legislazione
nazionale britannica applicabile, Le comunichiamo che, a seguito della Sua domanda,
sono state eseguite verifiche negli archivi dell’Europol. Ai sensi dell’articolo 19 della
convenzione Europol in combinato disposto con la legislazione britannica applicabile, La
informiamo che l’Europol non tratta alcun dato che La riguardi al quale Lei abbia diritto
di accedere a norma dell’articolo 19 della convenzione Europol”.
Il signor S lamentava il fatto che informazioni inesatte di cui era venuto a conoscenza
avevano avuto ripercussioni estremamente gravi, addirittura devastanti, sulla sua carriera e
il suo benessere, nonché sul benessere della sua famiglia. Il signor S asseriva inoltre che
tale danno grave non era cessato e sarebbe proseguito a meno che e fintantoché i
responsabili non avessero proceduto a una ritrattazione e una rettifica.
Nelle sue lettere, il signor S faceva riferimento al verbale di una riunione tenutasi presso
l’Europol secondo cui rappresentanti del Regno Unito avrebbero fornito ai presenti
informazioni in merito al ricorrente.
Nel suo primo pronunciamento, il comitato per i ricorsi ha ritenuto che la decisione
dell’Europol non fosse conforme all’articolo 19, paragrafo 3, e all’articolo 20, paragrafo 4,
della convenzione Europol e che, viste le specifiche circostanze, fosse opportuno concedere
all’Europol la possibilità di riprendere in esame la sua decisione.
39
A seguito del pronunciamento del comitato per i ricorsi, l’Europol ha rivisto la sua
decisione in merito alla domanda iniziale del signor S e ha formulato una nuova decisione
nella quale si affermava quanto segue:
“Conformemente alla procedura stabilita dalla convenzione Europol e alla normativa
nazionale britannica applicabile, Le comunichiamo che, a seguito della Sua domanda,
sono state eseguite verifiche negli archivi dell’Europol.
Ai sensi degli articoli 19 e 20 della convenzione Europol in combinato disposto con la
normativa nazionale britannica applicabile, La informiamo che l’Europol non tratta alcun
dato che La riguardi. Non vi sono pertanto dati che l’Europol potrebbe eventualmente
rettificare o cancellare a norma dell’articolo 20 della convenzione Europol”.
In una lettera al comitato per i ricorsi, l’Europol aggiungeva che la nuova decisione era
stata presa unicamente alla luce delle circostanze molto particolari della fattispecie, poiché
l’Europol esamina sempre le domande dei singoli soggetti caso per caso.
A giudizio del ricorrente, dalla nuova decisione dell’Europol non si evinceva chiaramente
se l’Europol detenesse dati riguardanti il ricorrente.
Orbene, l’articolo 19, paragrafo 1, della convenzione Europol prevede un diritto di accesso
o verifica dei dati, mentre l’articolo 20, paragrafo 4, della convenzione Europol conferisce a
chiunque il diritto di domandare all’Europol di rettificare o cancellare dati inesatti che lo
riguardino.
La domanda del signor S concerneva evidentemente sia il diritto di ottenere una verifica dei
dati, sia il diritto di ottenere una loro rettifica o cancellazione. Il comitato per i ricorsi non
ha però rinvenuto alcun motivo nella documentazione sottopostagli per ritenere che la
domanda del signor S fosse anche una richiesta di accesso a dati che lo riguardavano di cui
all’articolo 19, paragrafo 1, della convenzione Europol.
Considerato lo stretto nesso esistente tra il diritto di un soggetto interessato di domandare
una verifica dei propri dati e il diritto di cui alla parte V, sezione 42, della legge sulla
protezione dei dati del Regno Unito, l’esistenza in detta legge della possibilità di essere
40
informati porta all’applicabilità della seconda frase dell’articolo 19, paragrafo 3, che
dispone in maniera precisa quando una comunicazione debba essere rifiutata. Qualora si
dovesse ravvisare una delle tre deroghe di cui all’articolo 19, paragrafo 3, la comunicazione
deve essere rifiutata. Ciò significa che nel caso in cui dovesse risultare applicabile la
seconda frase dell’articolo 19, paragrafo 3, ogni domanda di verifica deve essere valutata
caso per caso per appurare se sia ravvisabile una delle deroghe per rifiutare la
comunicazione. Sebbene l’esercizio del diritto di ottenere una verifica debba avvenire nel
rispetto della corrispondente normativa dello Stato membro, spetta all’Europol appurare se
siano applicabili le deroghe di cui all’articolo 19, paragrafo 3.
Nella nuova decisione, l’Europol comunicava al ricorrente che non erano trattati dati che lo
riguardassero, per cui nello specifico si è proceduto a una valutazione della non
applicabilità delle deroghe di cui all’articolo 19, paragrafo 3, della convenzione Europol.
Alla luce della normativa del Regno Unito e dell’articolo 19, paragrafo 3, della convezione
Europol, la nuova decisione dell’Europol sulla domanda del signor S era conforme
all’articolo 19, paragrafo 3, della convenzione Europol.
41
Capitolo IV
IV.1 Autovalutazione
“Senza una crescita e un progresso costanti, parole come miglioramento, conquista e
successo non avrebbero senso".
Benjamin Franklin
L’autovalutazione contribuisce a migliorare prestazioni, efficienza e qualità del lavoro,
metodi di lavoro e risultati conseguiti fornendo orientamenti in tal senso. Un’istituzione che
valuti le proprie attività formula obiettivi e compiti, analizza il proprio operato applicando
diversi approcci mettendo al contempo in luce i problemi legati a tali attività e ipotizzando
modi per risolverli.
Sin dai primi passi compiuti nel mese di ottobre 1998, l’autorità di controllo comune si
pone come controllore dell’Europol con un atteggiamento di apertura prestando grande
attenzione ad assolvere il proprio compito con un approccio proattivo. Da allora, l’ACC si
adopera per diventare un organo di controllo efficace.
Ogni due anni, l’autorità stila l’elenco dei futuri impegni, che viene sistematicamente
rivisto valutando i risultati conseguiti e le questioni pendenti. Inoltre, ora è previsto che le
relazioni di attività siano trasmesse al Parlamento europeo e al Consiglio, e i verbali
pubblici delle plenarie sono consultabili sul sito web dell’ACC, il che non soltanto
contribuisce a promuovere il profilo dell’autorità di controllo comune, ma la rende
maggiormente credibile agli occhi del pubblico in generale.
Per loro natura, i temi legati alla protezione dei dati evolvono in maniera alquanto dinamica
creando in tal modo ulteriori stimoli e motivazioni per l’ACC. Le nuove sfide che si
pongono in termini di protezione dei dati richiedono maggiore impegno e lavoro. I risultati
conseguiti non permettono all’autorità di controllo comune di fermarsi o rallentare,
obbligandola al contrario a mantenere lo stesso livello di qualità e rapidità nel suo operato,
42
il che a sua volta richiede un maggiore contributo, lavoro e coinvolgimento da parte di tutti
i membri dell’ACC.
Le attività dell’autorità di controllo comune possono essere valutate sulla base dei quesiti
formulati dall’Europol in merito ai diversi temi correlati alla protezione dei dati, sempre più
frequenti, comprese le consultazioni su progetti nuovi e complessi inerenti le tecnologie
dell’informazione.
Il lavoro dell’autorità è organizzato in maniera tale che ogni membro dell’ACC abbia la
possibilità di contribuirvi. La creazione di gruppi di lavoro consente un’analisi approfondita
dei temi discussi e concorre al conseguimento di risultati costruttivi. L’operato
dell’autorità, grazie alle verifiche condotte presso l’Europol e al coinvolgimento dei garanti
nazionali per la protezione dei dati personali nelle indagini svolte a livello locale, crea
l’esperienza e la conoscenza necessaria per svolgere i compiti di controllo, soprattutto
nell’ambito dell’applicazione della legge.
I vari metodi di lavoro adottati dall’ACC contribuiscono alla sua produttività (pareri sui
vari temi legati alla protezione dei dati, valutazione delle decisioni costitutive, accordi con
Stati terzi) dimostrando in tal modo l’impegno da essa profuso per assolvere i doveri
affidatile dalla convenzione Europol.
43
IV.2 Futuro
Due anni fa, l’autorità di controllo comune si è impegnata a concentrarsi sui seguenti
elementi:
i) svolgimento di accertamenti annuali presso l’Europol prestando particolare attenzione
alla qualità dei dati trattati da quest’ultima;
ii) miglioramento dei metodi di ispezione;
ii) studio costante dei nuovi sviluppi in materia di protezione dei dati nel campo
dell’applicazione della legge e degli sviluppi legati ai sistemi di informazione dell’Unione
europea;
iii) interventi di controllo comune coordinati a livello nazionale;
iv) sensibilizzazione del pubblico rispetto ai diritti conferiti ai singoli dalla convenzione
Europol e al ruolo dell’autorità di controllo comune dell’Europol in sé e unitamente ai
garanti nazionali per la protezione dei dati personali.
Sebbene siano stati ampiamente conseguiti, tali obiettivi continueranno a rivestire una
notevole importanza per l’ACC. Per consolidare l’efficacia, l’organizzazione e la gestione
del suo lavoro saranno valutate sistematicamente. Le conseguenze del Trattato di Lisbona e
della decisione del Consiglio che subentrerà alla convenzione Europol incideranno sulle sue
future attività e costituiranno un potente stimolo a rivedere il suo lavoro organizzativo e i
suoi obiettivi strategici pur mantenendo immutata la sua priorità, ossia la costante tutela dei
diritti delle persone.
I principali cambiamenti che interverranno nel lavoro dell’autorità di controllo comune
riguarderanno l’entrata in vigore della decisione del Consiglio che subentrerà alla
convenzione Europol, in particolare il rafforzamento della cooperazione e il
coinvolgimento dei garanti nazionali per la protezione dei dati personali nel processo
decisionale durante gli approfondimenti condotti sui ricorsi dei singoli cittadini. La
decisione del Consiglio prevede un nuovo sistema unificato per l’esercizio del diritto di
accesso formalizzando la posizione dell’incaricato per la protezione dei dati presso
l’Europol e la maggiore collaborazione con l’ACC. L’importanza del ruolo e del contributo
44
dell’autorità di controllo comune è infatti sottolineata nell’articolo 10, paragrafo 2, della
decisione in cui si afferma che l’ACC deve essere consultata prima dell’introduzione di
qualunque nuovo sistema di trattamento dei dati personali, misura proattiva che le offre
l’opportunità di partecipare al processo sin dalle prime fasi.
Nonostante i nuovi obiettivi strategici e le future sfide dell’ACC, la sua attenzione sarà
concentrata sulla prosecuzione del lavoro già intrapreso per fornire all’Europol, negli anni a
venire, servizi di alta qualità in materia di protezione dei dati personali tenuto conto dei
mutamenti che interessano lo spazio giuridico europeo. Come si è concluso in occasione del
convegno del 9 ottobre 2008, l’autorità di controllo comune dell’Europol, unitamente ai
garanti nazionali per la protezione dei dati personali, manterrà in essere l’attuale sistema di
controllo della protezione dei dati e ne intensificherà ulteriormente le attività per garantire
una reale tutela ai soggetti interessati, ora e in futuro.
45
Capitolo V
V.1 Membri dell’autorità di controllo comune dell’Europol e del comitato per i
ricorsi
V.1.1 Autorità di controllo comune dell’Europol
Presidente:
Vicepresidente:
David SMITH
Isabel CERQUEIRA DA CRUZ
Austria
Belgio
Membri
Waltraut KOTSCHY
Eva SOUHRADA-KIRCHMAYER
Membri
Willem DEBEUCKELAERÉ
Bart DE SCHUTTER
Supplenti
Gregor KÖNIG
Caroline FRITZ
Supplente
Priscilla de LOCHT
Bulgaria
Cipro
Membri
Marija MATEVA
Veselin TSELKOV
Membro
Goulla FRANGOU
Supplente
Louiza MARKIDOU
Repubblica ceca
Membro
Miroslava MATOUŠOVÁ
Supplente
Jiri MESICEK
Estonia
Membro
Taago PÄHKEL
Supplente
Kaja PUUSEPP
Francia
Membro
Georges de La LOYÈRE
Supplente
Michel MAZARS
46
Danimarca
Membri
Lena ANDERSEN
Sten HANSEN
Supplenti
Jens Harkov HANSEN
Ole TERKELSEN
Finlandia
Membri
Reijo AARNIO
Heikki HUHTINIEMI
Supplente
Elisa KUMPULA
Germania
Membri
Michael RONELLENFITSCH
Roland BACHMEIER
Supplenti
Angelika SCHRIEVER-STEINBERG
Wolfgang Von POMMER ESCHE
Grecia
Membri
Grigorios LAZARAKOS
Leonidas KOTSALIS
Ungheria
Membro
András JÓRI
Supplente
Agnes PAJÓ
Supplenti
Dina KAMPOURAKI
Maria ALIKAKOU
Italia
Irlanda
Membro
Vanna PALUMBO
Membri
Billy HAWKES
Gary DAVIS
Supplenti
Ciara O'SULLIVAN
Diarmuid HALLINAN
Lettonia
Lituania
Membri
Signe PLUMINA
Aiga BALODE
Lussemburgo
Membri
Georges WIVENES
Thierry LALLEMANG
Membri
Rita VAITKEVIČIENĖ
Neringa KAKTAVIČIŪTĖ-MICKIENĖ
Malta
Supplente
David CAUCHI
Supplente
Pierre WEIMERSKIRCH
Paesi Bassi
Membri
Jacob KOHNSTAMM
Jannette BEUVING
Polonia
Membro
Michał SERZYCKI
Supplente
Piotr DROBEK
Supplente
Laetitia KRÖNER
Portogallo
Membri
Isabel CERQUEIRA DA CRUZ
Eduardo Manuel Castro GUIMARĀES DE
CARVALHO
Romania
Membri
Georgeta BASARABESCU
Nicoleta RUSU
Supplenti
Simona SANDRU
George GRIGORE
Supplenti
Clara VIEIRA CARDOSO GUERRA
Vasco Rodrigo DUARTE DE ALMEIDA
Repubblica slovacca
Membro
Peter LIESKOVSKÝ
Supplente
Tomaš MIČO
Slovenia
Membri
Alenka JERŠE
Natasa PIRC MUSAR
Supplente
Marijan ÈONÈ
47
Spagna
Svezia
Membro
Rafael GARCÍA GOZALO
Supplente
Marta AGUIRRE CALZADA
Regno Unito
Membri
David SMITH
Jonathan BAMFORD
Supplenti
Chris TURNER
Ian MILLER
48
Membri
Agneta RUNMARKER
Katja ISBERG AMNÄS
Supplenti
Britt-Marie WESTER
Birgitta ABJÖRΝSSON
V.1.2 Comitato per i ricorsi
Presidente:
Agneta RUNMARKER
Vicepresidente: Heikki HUHTINIEMI
Austria
Belgio
Membro
Gregor KÖNIG
Membro
Willem DEBEUCKELAERÉ
Supplente
Caroline FRITZ
Supplente
Bart DE SCHUTTER
Bulgaria
Cipro
Membro
Goulla FRANGOU
Membro
Marija MATEVA
Supplente
Louiza MARKIDOU
Supplente
Veselin TSELKOV
Repubblica ceca
Membro
Miroslava MATOUŠOVÁ
Danimarca
Membro
Lena ANDERSEN
Supplente
Jiri MESICEK
Estonia
Membro
Taago PÄHKEL
Supplente
Jens Harkov HANSEN
Finlandia
Membro
Reijo AARNIO
Supplente
Heikki HUHTINIEMI
Francia
Membro
Georges de La LOYÈRE
Germania
Membro
Roland BACHMEIER
Supplente
Michel MAZARS
Grecia
Supplente
Wolfgang Von POMMER ESCHE
Ungheria
Membro
Grigorios LAZARAKOS
Membro
András JÓRI
Supplente
Maria ALIKAKOU
Supplente
Agnes PAJÓ
Italia
Irlanda
Membro
Vanna PALUMBO
Membro
Diarmuid HALLINAN
Supplente
Gary DAVIS
49
Lettonia
Lituania
Membro
Signe PLUMINA
Membro
Rita VAITKEVIČIENĖ
Supplente
Aiga BALODE
Supplente
Neringa KAKTAVIČIŪTĖ-MICKIENĖ
Lussemburgo
Membro
Georges WIVENES
Malta
Supplente
David CAUCHI
Supplente
Thierry LALLEMANG
Paesi Bassi
Membro
Jacob KOHNSTAMM
Polonia
Membro
Michał SERZYCKI
Supplente
Laetitia KRÖNER
Portogallo
Membro
Isabel CERQUEIRA DA CRUZ
Supplente
Piotr DROBEK
Romania
Membro
Georgeta BASARABESCU
Supplente
Clara VIEIRA CARDOSO GUERRA
Repubblica slovacca
Membro
Peter LIESKOVSKÝ
Supplente
George GRIGORE
Slovenia
Supplente
Alenka JERŠE
Supplente
Tomaš MIČO
Spagna
Svezia
Membro
Rafael GARCÍA GOZALO
Membro
Agneta RUNMARKER
Supplente
Marta AGUIRRE CALZADA
Supplente
Katja ISBERG AMNÄS
Regno Unito
Membro
David SMITH
Supplente
Jonathan BAMFORD
50