Quarta relazione di attività dell’autorità di controllo comune dell’Europol Novembre 2006 – novembre 2008 Mandato dell’autorità di controllo comune (ACC) dell’Europol Il mandato dell’autorità di controllo comune consiste nel rivedere in maniera indipendente, come previsto dalla convenzione Europol, le attività svolte dall’Ufficio europeo di polizia per accertarsi che i diritti dei soggetti interessati non siano violati dalla memorizzazione, dal trattamento e dall’uso dei dati detenuti dai suoi servizi. L’autorità verifica inoltre la legittimità della trasmissione dei dati provenienti dall’Europol. Chiunque ha il diritto di domandare all’autorità di controllo comune accertamenti sulla legittimità e correttezza del modo in cui i dati personali sono stati rilevati, memorizzati, trattati e usati dall’Ufficio. In tal modo, l’ACC funge da intermediario attendibile e affidabile tra il soggetto interessato e l’Europol. L’approccio dell’autorità è sempre improntato alla collaborazione quando si tratta di esaminare le questioni relative all’interpretazione e all’applicazione armonizzate delle disposizioni della convenzione Europol, nonché di proporre soluzioni armonizzate comuni a problemi esistenti in materia di trattamento e uso dei dati personali da parte dell’Europol. 2 Sommario Premessa ................................................................................................................................. 4 Capitolo I ................................................................................................................................ 6 I.1 Introduzione ...................................................................................................................... 6 I.2 Breve rassegna delle attività svolte sinora dall’autorità di controllo comune................... 8 I.3 Nuovi sviluppi nel campo dell’applicazione della legge e della protezione dei dati nell’Unione europea ............................................................................................................. 16 I.4 Futuro dell’Europol ......................................................................................................... 20 Capitolo II............................................................................................................................. 22 II.1 Lavoro di controllo ........................................................................................................ 22 II.1.1 Ispezioni condotte presso l’Europol ........................................................................... 22 II.1.2 Pareri formulati dall’autorità di controllo comune ..................................................... 25 II.1.3 Costituzione degli archivi di analisi............................................................................ 28 II.1.4 Accordi con Stati/organismi terzi ............................................................................... 29 II.1.5 Diritti dei soggetti interessati...................................................................................... 30 II.2 Gestione dell’autorità di controllo comune.................................................................... 32 II.2.1 Gruppi di lavoro.......................................................................................................... 33 II.2.2 Trasparenza................................................................................................................. 34 II.2.3 Bilancio ....................................................................................................................... 34 II.2.4 Convegno del 2008 ..................................................................................................... 35 Capitolo III ........................................................................................................................... 38 III.1 Comitato per i ricorsi.................................................................................................... 38 III.1.1 Sintesi del ricorso presentato dal signor S................................................................. 39 Capitolo IV ........................................................................................................................... 42 IV.1 Autovalutazione ........................................................................................................... 42 IV.2 Futuro ........................................................................................................................... 44 Capitolo V ............................................................................................................................ 46 V.1 Membri dell’autorità di controllo comune dell’Europol e del comitato per i ricorsi .... 46 V.1.1 Autorità di controllo comune dell’Europol ................................................................ 46 V.1.2 Comitato per i ricorsi .................................................................................................. 49 3 Premessa Nel 2008 l’Autorità di controllo comune (ACC) ha raggiunto un importante traguardo: ha celebrato il decimo anniversario della supervisione della protezione dei dati all’Europol. Fin dall’inizio dell’attività dell’ACC, nell’ottobre 1998, l’Europol e l’ACC hanno preso atto del loro interesse comune nel raggiungimento di un elevato livello di protezione dei dati all’Europol. Si è subito instaurato un buon rapporto di lavoro, che si è successivamente sviluppato nel tempo dando luogo a un dialogo costruttivo e a realizzazioni pratiche che hanno permesso d’integrare i requisiti di protezione dei dati nell’attività quotidiana dell’Europol. La protezione dei dati impone ai servizi incaricati di fare rispettare le leggi, compreso l’Europol, adeguate norme di trattamento delle informazioni, che a volte possono sembrare ingombranti, ma che non sono un ostacolo all’attività d’investigazione e di controllo. In realtà, tali norme contribuiscono ad assicurare la qualità e l’attendibilità delle informazioni dell’Europol. La protezione dei dati è come un limite di velocità. Fa rallentare l’autista, ma lo fa per proteggere la sua sicurezza e quella degli altri utenti della strada. Non riduce, bensì aumenta le possibilità dell’Europol di realizzare i suoi obiettivi a lungo termine nel campo dell’applicazione delle leggi. La realizzazione di elevati livelli di protezione dei dati all’Europol dipende anche dalla qualità delle informazioni personali ricevute dagli Stati membri e da altre fonti. Vi è una crescente necessità di esaminare se le prassi e le procedure in atto a livello nazionale per garantire la qualità dei dati siano adeguate ad assicurare che il trattamento dei dati all’Europol possa essere di alta qualità. A tale riguardo, l’Europol ha un ruolo da svolgere nell’istruire e incoraggiare i servizi incaricati di fare rispettare le leggi, ma anche le autorità nazionali per la protezione dei dati hanno un ruolo da svolgere, soprattutto in virtù del loro diritto di controllare le unità nazionali. Per attuare miglioramenti è necessaria la 4 cooperazione non soltanto tra ACC e Europol, ma anche tra ACC e autorità nazionali per la protezione dei dati. L’ACC attende con ansia l’attuazione della decisione del Consiglio che stabilisce un nuovo contesto normativo per l’Europol. L’elaborazione di questo nuovo quadro normativo ha fornito la straordinaria opportunità di migliorare le disposizioni relative alla protezione dei dati nei settori che lo richiedevano. Uno di questi riguarda il diritto delle persone di accedere alle informazioni personali in possesso dell’Europol. Grazie all’efficace collaborazione tra l’Europol e l’ACC, la decisione del Consiglio stabilisce un meccanismo che non rafforza soltanto i diritti individuali, ma mantiene anche gli importanti interessi relativi all’applicazione delle leggi, che l’Europol tiene giustamente a salvaguardare. Sulla via dell’attuazione della decisione del Consiglio da parte dell’Europol si presenteranno altre opportunità di potenziare e, allo stesso tempo, di snellire la prassi della protezione dei dati. Oltre alla nuova decisione Europol si sta realizzando una serie di nuovi sviluppi nel settore dell’applicazione delle leggi e della protezione dei dati, che si ripercuoteranno sul sistema di controllo dei servizi incaricati di fare rispettare le leggi, compreso l’Europol. Ciò che è chiaro fin d’ora è che l’ACC conserverà la sua funzione di controllo per il prossimo futuro. L’ACC conserverà inoltre il suo impegno a fornire un’efficace supervisione della protezione dei dati nelle attività dell’Europol, pur rispettando le esigenze operative dell’Europol. Continuerà poi ad adoperarsi strenuamente per mantenere una stretta ed efficace cooperazione con l’Europol e con le autorità nazionali per la protezione dei dati. David Smith Presidente 5 Capitolo I I.1 Introduzione La presente relazione di attività, la quarta stilata dall’autorità di controllo comune, si sofferma sulle attività e i risultati conseguiti nel biennio novembre 2006 – novembre 2008 a livello di attuazione concreta dei principi di protezione dei dati rispetto all’applicazione della legge. Ripercorre inoltre la storia dell’ACC sin dalla sua costituzione, della quale si celebra quest’anno il decimo anniversario, e contestualmente si concentra sulle future sfide e i nuovi sviluppi della protezione dei dati nel campo della cooperazione giudiziaria e di polizia nell’Unione europea. La relazione dimostra che una chiara attribuzione delle responsabilità alle diverse parti interessate, la reciproca collaborazione e la fiducia consentono un’efficace applicazione quotidiana dei principi di protezione dei dati senza ledere diritti e libertà dei singoli soggetti. Sintesi della relazione Il primo capitolo, dedicato a un excursus storico, presenta una breve rassegna delle attività svolte dall’ACC nel decennio 1998 – 2008, ripercorrendone storia, esperienze e successi, e delineandone le sfide future. Il secondo capitolo, dedicato invece al lavoro di controllo, illustra i risultati del lavoro svolto dall’ACC in qualità di controllore indipendente del trattamento dei dati personali raccolti dall’Europol e di garante i diritti dei soggetti interessati. Il capitolo descrive altresì sviluppi e risultati conseguiti in veste di consulente dell’Europol presentando i pareri formulati su alcuni aspetti inerenti alla protezione dei dati, con particolare riguardo per i temi correlati alla gestione. 6 Nel terzo capitolo si espongono il ruolo e le decisioni del comitato per i ricorsi, con una sintesi delle decisioni adottate e particolare attenzione alle indagini e alle analisi condotte dal comitato nonché alla complessità degli argomenti. Il quarto capitolo, infine, si concentra sull’autovalutazione, nonché sugli obiettivi a breve e lungo termine dell’autorità di controllo comune. 7 I.2 Breve rassegna delle attività svolte sinora dall’autorità di controllo comune “Non è la memoria del passato a renderci saggi, ma la responsabilità del futuro”. George Bernard Shaw È tuttavia saggio analizzare il passato prima di proiettarsi verso il futuro, soprattutto se il passato reca con sé l’esperienza necessaria per affrontare le future sfide. L’autorità di controllo comune ha ormai senza dubbio maturato, nel campo dell’applicazione della legge e della protezione dei dati, l’esperienza indispensabile per diventare un garante affidabile dei diritti dei singoli soggetti e un partner costruttivo per l’Europol. Questa esperienza deriva dall’assistenza e dalla consulenza che ha fornito in materia di diritti degli individui e dei meccanismi atti a garantire un’effettiva trasposizione in risultati concreti degli [eventuali] cambiamenti proposti. La creazione dell’ACC dell’Europol è una conseguenza naturale della costituzione dell’Ufficio europeo di polizia, sancita dal Trattato di Maastricht sull’Unione europea del 7 febbraio 1992. La convenzione Europol è stata ratificata da tutti gli Stati membri ed è entrata in vigore il 1° ottobre 1998. Formulati alcuni atti giuridici correlati alla convenzione, l’Europol ha avviato a tutti gli effetti le proprie attività il 1° luglio 1999. Secondo la convenzione, l’Europol è un servizio di sostegno alle agenzie preposte all’applicazione della legge negli Stati membri dell’Unione europea. L’Europol, pertanto, rileva e analizza informazioni personali su singoli soggetti fornite dalle autorità di polizia di tutti gli Stati membri concernenti reati per i quali l’Ufficio è reso specificamente competente. La prima riunione, istitutiva, dell’autorità di controllo comune dell’Europol si è tenuta all’Aia il 9 ottobre 1998, data che segna l’inizio delle attività dell’ACC con piena assunzione delle responsabilità assegnate dalla convenzione. All’inizio, l’autorità di controllo comune disponeva di un segretariato composto da personale del Segretariato generale del Consiglio dell’Unione europea. Successivamente, si 8 è invece proposto di costituire un segretariato permanente e indipendente che, a seguito della decisione del Consiglio del 17 ottobre 2000, è stato creato il 1° settembre 2001. Dalla sua creazione nel 1998, l’ACC ha l’incarico di sovrintendere alle attività di trattamento dei dati personali dell’Europol, compito ancora più importante se si considerano i tipi di informazione che l’Ufficio elabora e le possibili ripercussioni negative che potrebbero subire i soggetti interessati se tali informazioni dovessero essere trattate senza idonei e rigorosi meccanismi di salvaguardia. L’autorità di controllo comune già disponeva di una serie di indicazioni, ossia gli orientamenti in materia di protezione dei dati stabiliti dalla convenzione Europol. La convenzione, infatti, istituisce un regime completo di protezione dei dati che impone agli Stati membri di garantire uno standard di protezione dei dati che corrisponda quantomeno allo standard risultante dall’attuazione dei principi della convenzione del 28 gennaio 1981 del Consiglio d’Europa; nel farlo, gli Stati membri devono anche tenere conto della raccomandazione R (87) 15 del 17 settembre 1987 del Comitato dei Ministri del Consiglio d’Europa volta a regolamentare l’uso dei dati personali nel settore della polizia. La convenzione, pertanto, prevede una serie di diritti e meccanismi di salvaguardia a favore degli individui in relazione al trattamento dei loro dati personali. La sfida consisteva nel garantire che tali diritti e meccanismi concordati fossero correttamente applicati nella pratica. Sin dall’inizio, l’ACC ha dovuto sviluppare metodi di lavoro che le consentissero di fungere da organismo di controllo indipendente. Uno di questi metodi, che ha permesso ai membri dell’autorità di consolidare la propria esperienza e conoscenza, è stato la creazione di gruppi di lavoro con compiti delegati per lo svolgimento di alcuni incarichi in determinati ambiti o su specifici progetti. Sono stati creati gruppi di lavoro per valutare le decisioni costitutive degli archivi di lavoro per fini di analisi (AWF), per affrontare questioni riguardanti i rapporti con Stati od organismi terzi, per approfondire i vari aspetti delle tecnologie dell’informazione, nonché per promuovere e rendere trasparente l’operato dell’ACC gestendone con competenza le pubbliche relazioni. Il lavoro condotto dai gruppi non solo ha consentito di preparare le riunioni dell’autorità, ma ha anche investito nel 9 consolidamento dell’esperienza e della conoscenza in materia di cooperazione tra polizie e del lavoro dello stesso Europol. In quanto autorità di controllo comune incaricata della sorveglianza delle attività di trattamento dei dati dell’Europol, l’ACC ha sempre agito come controllore indipendente. Proprio questa indipendenza è una prerogativa fondamentale per garantire la corretta tutela dei diritti e delle libertà degli individui e non va percepita come un privilegio, bensì come un dovere e una responsabilità. L’articolo 24, paragrafo 1 della convenzione Europol stabilisce che l’ACC deve assolvere i propri compiti in totale indipendenza e ne predispone le garanzie di indipendenza istituzionale e organizzativa: • deve essere composta da non più di due membri o rappresentanti di ciascun organismo di controllo nazionale con garanzie di indipendenza; • possesso da parte dei membri delle capacità richieste; • nomina per cinque anni da parte dei rispettivi Stati membri; • divieto di ricevere istruzioni da altri organismi; • accesso a tutti i documenti e i fascicoli, nonché ai dati memorizzati dall’Europol; • libero accesso in qualunque momento a tutti i locali dell’Europol; • natura vincolante delle decisioni del comitato per i ricorsi; • regolamento interno e bilancio distinti. L’ACC ha colto ogni opportunità per dimostrare la propria indipendenza costruendosi un’immagine forte di controllore imparziale pur mantenendo le sue qualità di partner collaborativo e qualificato. Va detto che, nel corso del decennio, il lavoro dell’ACC è stato messo a dura prova dalla situazione politica. Tuttavia, la piena indipendenza e la totale assunzione delle responsabilità derivanti dalla convenzione Europol le hanno consentito, anche in presenza di pressioni politiche, di superare autonomamente difficoltà e problemi nell’interpretazione della convenzione e nel rispondere alle necessità dell’Ufficio. Un altro elemento importante da sottolineare è il ruolo del coordinatore delle attività di controllo comune. L’ACC è stata probabilmente la prima autorità di controllo comune a promuovere un approccio pratico alle attività a livello europeo e nazionale. Il 29 giugno 2000, l’ACC ha creato un gruppo di ispezione responsabile dello svolgimento di una verifica della sicurezza e degli archivi di lavoro per fini di analisi dell’Europol. In vista dell’accertamento previsto nel novembre 2000 e delle future ispezioni, l’Ufficio e l’autorità 10 di controllo comune hanno adottato un protocollo contenente speciali accordi in materia di accertamenti e ispezioni, stabilendo altresì un piano di revisioni periodiche e verifiche in loco. Gli accertamenti condotti presso l’Europol hanno consentito all’ACC di maturare le necessarie esperienze e conoscenze in merito alle attività dell’Ufficio e alle sue esigenze operative da un punto di vista pratico. Un ruolo consultivo che non sia supportato da un’esperienza pratica e da una specifica conoscenza delle peculiarità di una determinata attività non arricchisce né l’operato del controllore stesso né quello dei suoi controllati. Gli accertamenti hanno inoltre contribuito a potenziare gli sforzi compiuti dall’Europol per rispettare i requisiti di protezione dei dati e metterli in pratica nelle attività quotidiane dell’Ufficio. La serietà dell’Europol e il grande impegno profuso per applicare le raccomandazioni dell’ACC dimostrano incontrovertibilmente il notevole valore di tale lavoro. Maturare dieci anni di esperienza nell’attività di accertamento e nell’attuazione scrupolosa delle raccomandazioni ha aiutato l’ACC a diventare un controllore affidabile e competente. Poiché la convenzione Europol sancisce il diritto degli individui di accedere alle informazioni che li riguardano detenute dall’Europol, nonché il diritto di richiedere che tali informazioni siano verificate, rettificate o cancellate, all’autorità di controllo comune è conferito il potere di rivedere le decisioni dell’Ufficio riguardanti l’applicazione di tali diritti. Nel caso un soggetto non ritenesse soddisfacente la risposta dell’Europol alla sua richiesta, può rivolgersi al comitato per i ricorsi dell’ACC, al quale la convenzione ha delegato uno specifico potere di indagine. Il comitato per i ricorsi agisce in veste di autorità quasi giudiziaria e le sue decisioni sono definitive e inappellabili; per i soggetti interessati rappresenta uno strumento estremamente importante per ottenere riparazione. Nel corso del decennio, sono stati ricevuti ed esaminati sette ricorsi. Un altro compito importante dell’ACC le è conferito dall’articolo 24, paragrafo 4 della convenzione Europol. Chiunque ha il diritto di domandare all’ACC di accertare se il modo in cui i suoi dati personali sono stati rilevati, memorizzati, trattati e usati dall’Europol è legittimo e corretto. Il ruolo di intermediario consente all’autorità di fornire assistenza ai singoli soggetti nei rapporti con l’Europol. Nel corso del decennio, il numero delle 11 domande è aumentato, segno che il pubblico è sempre più consapevole dei diritti conferiti dalla convenzione Europol e ne affida all’ACC la tutela e il controllo. “La conoscenza non ha valore se non la metti in pratica” (Anton Cechov) Forse l’elemento più prezioso dell’autorità di controllo comune è la sua capacità di prestare concretamente consulenza qualificata sui diversi temi e di fornire indicazioni indispensabili per garantire la corretta applicazione delle disposizioni di legge e una loro migliore ottemperanza. Ripercorrendo gli sviluppi e i risultati conseguiti nella pratica, senza dubbio l’ACC ha assolto pienamente il suo compito. Un aspetto del ruolo consultivo dell’autorità di controllo comune consisteva nel formulare pareri sulle decisioni costitutive degli archivi di lavoro per fini di analisi, decisioni che specificano la natura di uno dei tipi di archivio elaborati dall’Europol: l’archivio per fini di analisi (articolo 10 della convenzione Europol). Secondo l’articolo 12, paragrafo 2 della convenzione, l’ACC deve essere immediatamente informata dal direttore dell’Europol della decisione di costituire un archivio e ricevere comunicazione del fascicolo. L’autorità di controllo comune può trasmettere tutti i commenti che ritiene necessari al consiglio di amministrazione. L’ACC ha inoltre elaborato una politica per esprimere un parere su ogni decisione costitutiva ricevuta. Va aggiunto che per le decisioni costitutive l’Europol si 12 avvale di un modello standard, adottato dopo aver consultato l’autorità, che permette di avere una visione chiara dello scopo e dei dati che saranno elaborati. Nell’ambito di tale iter, l’ACC ha rivolto all’Europol molti commenti che sono stati tenuti nella debita considerazione all’atto della costituzione di nuovi archivi o della modifica del relativo approccio comune. Inoltre, l’autorità ha prestato assistenza e fornito consulenza all’Europol nell’elaborazione del nuovo concetto di archivi di lavoro per fini di analisi formulando specifiche condizioni in maniera che i nuovi archivi fossero conformi alle norme di legge applicabili. Nell’esprimersi sulla decisione costitutiva, l’ACC ha verificato se lo scopo dichiarato dell’archivio di analisi esulasse o meno dalla sfera di competenza dell’Europol e se i dati elaborati fossero realmente necessari per conseguire l’obiettivo dell’archivio rientrando nel campo di applicazione dell’articolo 6 dell’atto del Consiglio sulle norme applicabili agli archivi di analisi. Sorvegliando e controllando l’operato dell’Europol, l’autorità non si è limitata esclusivamente al carico di responsabilità dell’Ufficio. L’ACC, infatti, ha sempre ribadito l’importanza di una ripartizione delle responsabilità tra Europol e Stati membri, ripartizione in cui la convenzione Europol ravvisa un prerequisito essenziale e una garanzia indispensabile per rispettare la convenzione stessa nel trattamento dei dati personali di singoli soggetti e per raggiungere obiettivi comuni. Ai sensi dell’articolo 2, paragrafo 1 della convenzione, il compito dell’Europol è migliorare, mediante le misure previste dalla convenzione stessa, l’efficacia e la cooperazione delle autorità competenti degli Stati membri nel prevenire e combattere le forme gravi di criminalità internazionale laddove vi siano indicazioni concrete o motivi ragionevoli per ritenere che sia implicata una struttura criminale organizzata o che due o più Stati membri siano coinvolti tanto da richiedere un approccio comune da parte degli Stati membri in considerazione della portata, della gravità e delle possibili conseguenze dei reati in questione. Per combattere efficacemente la criminalità organizzata internazionale, l’Europol collabora con una serie di organizzazioni e paesi terzi, affermando che “un tratto distintivo fondamentale di tutte le moderne organizzazioni criminali è che agiscono sempre 13 più spesso su scala transnazionale”. 1 L’autorità di controllo comune ha svolto un ruolo importante in tale ambito fornendo consulenza nella negoziazione di accordi con organismi e Stati terzi. L’ACC viene infatti consultata in diverse fasi dello sviluppo delle forme di collaborazione con terzi, come previsto dall’articolo 18 della convenzione Europol, dall’atto del Consiglio del 3 novembre 1998 che stabilisce le norme per la ricezione da parte dell’Europol di informazioni provenienti da Stati e organismi terzi, dall’atto del Consiglio del 12 marzo 1999 che stabilisce le norme per la trasmissione di dati personali da parte dell’Europol a Stati od organismi terzi e dalla decisione del Consiglio dell’Unione europea del 27 marzo 2000 che autorizza il direttore dell’Europol ad avviare negoziati per la conclusione di accordi con Stati terzi e organismi non connessi all’Unione europea. Uno di questi processi negoziali merita di essere citato nella presente relazione poiché mette in luce il forte impegno profuso dall’ACC per assolvere i propri compiti e responsabilità in qualità di controllore indipendente. Gli avvenimenti dell’11 settembre 2001 avevano reso necessaria e urgente la costituzione di una collaborazione tra Europol e Stati Uniti. Si è dunque chiesto all’ACC un parere in merito alla procedura di autorizzazione per l’avvio di negoziati con la controparte americana. L’autorità di controllo comune ha riferito al consiglio di amministrazione che, in assenza di una relazione dell’Europol, non era in grado di formulare un parere sul livello di protezione dei dati negli USA, aggiungendo peraltro che soltanto un accordo formale con gli Stati Uniti avrebbe potuto offrire la base giuridica necessaria per una collaborazione tra Europol e USA. L’ACC osservava espressamente che il diritto in materia di protezione dei dati e la prassi amministrativa negli Stati Uniti differivano sotto vari profili dal quadro giuridico dell’Ufficio. Inoltre, ribadiva la necessità di essere tenuta costantemente aggiornata sul processo di analisi dei problemi di protezione dei dati durante l’intera fase negoziale. L’ACC non si è limitata unicamente a compiti di controllo e consulenza, bensì ha esteso le proprie attività ai seguenti ambiti: • studi, proponendo in particolare un questionario sul diritto di accesso incentrato sulle disposizioni di legge esistenti negli Stati membri in materia di diritto di accesso agli archivi di polizia; 1 14 http://www.europol.europa.eu/publications/Serious_Crime_Overviews/overview_SC1.pdf. • assistenza ai nuovi Stati membri, offrendo loro l’opportunità di acquisire familiarità con i metodi di lavoro dell’ACC; • partecipazione a seminari per condividere esperienze con i nuovi Stati membri; • sensibilizzazione attraverso la pubblicazione di un opuscolo sui diritti delle persone sanciti dalla convenzione Europol; • organizzazione di un convegno nel 2006; • sviluppo e aggiornamento del sito web ufficiale dell’ACC, promozione della trasparenza del funzionamento e del processo decisionale, nonché creazione e aggiornamento di un sito web privato per operare in maniera trasparente con i propri membri. Dal 2003, l’autorità di controllo comune dell’Europol (unitamente ad altre autorità di controllo comune come l’ACC Schengen e l’ACC Dogane) è membro accreditato della Conferenza internazionale delle autorità per la protezione dei dati personali e della Conferenza di primavera delle autorità europee per la protezione dei dati personali. Entrambe le conferenze rappresentano forum eccellenti per lo scambio di opinioni, esperienze, idee e percezioni sulle sfide attuali e future di un controllo efficace della protezione dei dati. Da ultimo, ma non meno importante, l’ACC, insieme ad altre autorità di controllo comune e ai garanti nazionali per la protezione dei dati personali, ha fornito la propria consulenza in merito alle condizioni da attuare per garantire la protezione di diritti e libertà degli individui nel trattamento e nello scambio di dati personali tra le autorità preposte all’applicazione della legge, in risposta alle ultime tendenze delineatesi nell’ambito delle nuove iniziative dell’Unione per il miglioramento dell’interoperabilità dei database europei. 15 I.3 Nuovi sviluppi nel campo dell’applicazione della legge e della protezione dei dati nell’Unione europea “La possibilità di fallire nella lotta non dovrebbe dissuaderci dal sostenere una causa che riteniamo giusta”. Abraham Lincoln Nel 2004, il programma dell’Aia affermava: “il Consiglio europeo è convinto che il rafforzamento della libertà, della sicurezza e della giustizia richieda un approccio innovativo nei confronti dello scambio transfrontaliero di informazioni in materia di applicazione della legge. Il fatto che le informazioni attraversino le frontiere non dovrebbe più, di per sé, essere rilevante”. Sono state pertanto predisposte delle misure fondamentali al fine di mettere le informazioni di polizia a disposizione di tutte le autorità preposte all’applicazione della legge negli Stati membri dell’UE, migliorando l’impiego dei servizi dell’Europol. Nel quadro della lotta al terrorismo e del miglioramento della sicurezza interna, l’Unione europea ha intrapreso diverse iniziative per rafforzare l’efficacia dell’applicazione della legge nel proprio territorio usando il concetto di disponibilità come principio guida per gli scambi a livello di applicazione della legge nell’ambito della cooperazione del terzo pilastro. In diverse occasioni, e nel contesto della lotta al terrorismo e del miglioramento della sicurezza interna, sia il Consiglio europeo sia il Consiglio dell’Unione europea hanno esortato la Commissione a formulare proposte volte a una maggiore efficacia, una migliore interoperabilità e un’accresciuta sinergia tra i database europei 2 , intendendo per interoperabilità non solo l’uso comune di sistemi IT su larga scala, ma anche la possibilità di consultazione e scambio di dati, se non addirittura di fusione di database. L’ACC, unitamente ad altre autorità di controllo comune e ai garanti nazionali della protezione dei dati personali, nel corso della Conferenza di primavera delle autorità europee per la protezione dei dati personali del 2006, ha sottolineato che “in tale contesto, <…> la condivisione 2 16 di informazioni http://eur-lex.europa.eu. di carattere personale tra autorità incaricate dell’applicazione della legge è consentita unicamente sulla base di regolamenti in materia di protezione dei dati personali che garantiscano un livello elevato e armonizzato di protezione dei dati in tutti gli Stati partecipanti” 3 . Durante la conferenza, tutti hanno concordato nell’affermare che non vi è alternativa alla creazione di un livello elevato e armonizzato di protezione dei dati nell’ambito del terzo pilastro dell’Unione europea. Si tratta di una conseguenza logica del programma dell’Aia secondo cui libertà, sicurezza e giustizia sono elementi inscindibili che l’Unione europea nel suo complesso deve parimenti salvaguardare. Le autorità europee per la protezione dei dati personali hanno esortato gli Stati membri a “rispettare e rafforzare le libertà civili dei cittadini che vivono nell’UE ampliando le opportunità di scambio di informazioni tra agenzie di sicurezza degli Stati membri” 4 . Un altro passo importante nel tentativo di rispondere adeguatamente alle nuove iniziative è stato compiuto durante la Conferenza delle autorità europee per la protezione dei dati personali, tenutasi a Larnaca (Cipro), il 10 e l’11 maggio 2007. Il gruppo di lavoro sulla polizia e la giustizia è stato incaricato dalla conferenza di monitorare gli sviluppi nel campo dell’applicazione della legge per rispondere alle sfide, sempre più numerose, che si pongono per la protezione degli individui in relazione al trattamento dei dati personali. Superfluo aggiungere che l’ACC partecipa attivamente all’attività di tale gruppo in quanto membro accreditato della conferenza e del gruppo stesso. Nella summenzionata comunicazione della Commissione si ribadisce il “principio di disponibilità” secondo cui le autorità responsabili della sicurezza interna di un determinato Stato membro o i funzionari dell’Europol che dovessero aver bisogno di informazioni per assolvere i propri incarichi dovrebbero poterle ottenere da un altro Stato membro che ne dispone. 5 In proposito, nel 2007, le autorità europee per la protezione dei dati personali hanno sottolineato la necessità di "istituire un quadro completo per la valutazione degli aspetti della protezione dei dati personali rispetto all’uso di tale concetto. Creando tale quadro, si forniranno orientamenti per valutare ogni proposta che usi l’esistenza di dati 3 4 5 Dichiarazione di Budapest, 24-25 aprile 2006. Dichiarazione di Budapest, 24-25 aprile 2006. http://eur-lex.europa.eu. 17 personali come occasione per migliorare l’efficacia dell’applicazione della legge. Un quadro di questo tipo potrebbe pertanto contribuire a una valutazione equilibrata dell’interrelazione tra sicurezza pubblica e diritto fondamentale alla protezione dei dati personali sancito dalla Carta dei diritti fondamentali dell’Unione europea” 6 . Sottolineando la necessità di creare tale quadro, le autorità europee per la protezione dei dati personali hanno sviluppato alcune condizioni e indicazioni per valutare l’uso del concetto di disponibilità con una corrispondente lista di controllo. Tale lista di controllo può essere impiegata per valutare ogni proposta che preveda l’uso del principio di disponibilità di dati personali come punto di partenza per migliorare l’applicazione della legge. Le autorità europee per la protezione dei dati personali hanno esortato Commissione, Consiglio e Parlamento europeo ad avvalersi di tale lista all’atto dell’elaborazione, della valutazione e dell’adozione di qualunque nuova proposta che riguardi l’uso di dati personali applicando il principio di disponibilità. Per agevolare lo scambio di informazioni tra servizi giuridici, sono stati suggeriti o introdotti diversi strumenti giuridici. Le discussioni in merito alla proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale sono state ricollegate al programma dell’Aia e all’attuazione del principio di “disponibilità” in maniera da creare un quadro giuridico appropriato alla protezione dei dati personali nell’ambito della cooperazione tra autorità preposte all’applicazione della legge. L’11 maggio 2007, in occasione della Conferenza europea di Larnaca (Cipro), l’ACC e le autorità europee per la protezione dei dati personali hanno pubblicato una dichiarazione sulla proposta di decisione quadro del Consiglio di cui sopra, sottolineando che “instaurare un alto livello armonizzato di protezione dei dati che copra le attività giudiziarie e di polizia nell’Unione è un elemento essenziale per il rispetto e la salvaguardia dei diritti fondamentali come il diritto alla protezione dei dati personali nella creazione di uno spazio di libertà, sicurezza e giustizia”. 7 6 7 18 Posizione comune delle autorità europee per la protezione dei dati personali sull’uso del concetto di disponibilità nell’applicazione della legge, Larnaca, 11 maggio 2007. Dichiarazione adottata dalle autorità europee per la protezione dei dati personali a Cipro l’11 maggio 2007. Il punto di partenza delle attività proattive svolte dall’ACC insieme alle autorità omologhe e ai partner nazionali è stato la necessità di giungere a un alto livello armonizzato di protezione dei dati personali che copra le attività giudiziarie e di polizia nell’Unione. Nel contempo, è risultato chiaro che occorre creare fiducia reciproca tra le forze preposte all’applicazione della legge che cooperano in materia penale, nonché una piena e consapevole assunzione di responsabilità da parte di tutti gli interessati affinché ciascuno possa assolvere i compiti assegnatigli per il miglioramento della cooperazione in materia di applicazione della legge. 19 I.4 Futuro dell’Europol Secondo il programma dell’Aia, “il Consiglio dovrebbe adottare la legge europea sull’Europol, prevista all’articolo III-276 del trattato costituzionale, il prima possibile dopo l’entrata in vigore del trattato e comunque non oltre il 1º gennaio 2008, tenendo conto di tutti i compiti affidati all’Europol” 8 . Sotto la presidenza austriaca dell’Unione europea, si è aperto il dibattito in merito al futuro dell’Ufficio. Lo scopo era rafforzarne ulteriormente il ruolo nella lotta alle forme gravi di criminalità e il contributo alla politica di sicurezza dell’Unione europea. Inoltre, è stato proposto di modificare la base giuridica dell’Europol sostituendo la convenzione Europol con una decisione del Consiglio, creando così una base giuridica più flessibile. Tale approccio prende ispirazione dal processo di ratificazione dei tre protocolli di modifica della convenzione Europol, la cui conclusione ha richiesto ben sette anni. Il 20 dicembre 2006, la Commissione ha presentato una propria proposta di decisione del Consiglio che istituisce l’Europol 9 , sulla quale l’autorità di controllo comune ha espresso, a sua volta, un parere. I principali obiettivi dell’Ufficio definiti nel programma di lavoro annuale per il 2009 sono: scambio di informazioni, analisi operativa e strategica e sostegno alle attività degli Stati membri 10 . Su tali principi inciderà una serie di fattori tra cui: • (eventuale) entrata in vigore del Trattato di Lisbona nel 2009; • specifiche conclusioni del Consiglio, decisioni quadro del Consiglio, decisioni del Consiglio e proposte della Commissione su specifici temi correlati alle politiche e fenomeni criminali (l’entrata in vigore di una decisione del Consiglio che subentri alla convenzione Europol è prevista nel gennaio 2010); e • sviluppi generali nel campo dello scambio di informazioni con particolare riguardo al “principio di disponibilità”; attuazione del Trattato di Prüm a livello comunitario e della decisione quadro (“svedese”) sullo scambio di informazioni. Poiché il programma dell’Aia enunciava le priorità dell’Unione europea per rafforzare lo spazio di libertà, sicurezza e giustizia dal 2005 al 2010, sono già stati avviati i preparativi 8 9 10 20 http://ec.europa.eu/justice_home/doc_centre/doc/hague_programme_it.pdf. COM (2006)817. http://register.consilium.europa.eu/pdf/en/08/st07/st07801.en08.pdf. per un prossimo piano di azione quinquennale in tale ambito, con la creazione di un cosiddetto gruppo sul futuro (gruppo informale a livello ministeriale) per la valutazione del futuro dello spazio europeo di libertà, sicurezza e giustizia. Il gruppo ha pubblicato una relazione sul futuro della politica europea in materia di affari interni dal titolo “Freedom, Security, Privacy – European Home Affairs in an open world” contenente orientamenti in termini di politiche future con riferimento al ruolo dell’Europol. Secondo la relazione, l’Ufficio, nell’ambito del suo quadro giuridico, dovrebbe essere maggiormente sfruttato e ampliato in un centro di competenze che offra supporto tecnico; dovrebbe inoltre ulteriormente potenziare la propria capacità di fornire informazioni alle forze di polizia degli Stati membri. Dovrebbe infine essere intensificato l’uso dei database dell’Europol, specialmente il suo sistema di informazione, e si dovrebbero migliorare la cooperazione pratica e lo scambio di informazioni tra Europol ed Eurojust, oltre che la collaborazione con Frontex. 21 Capitolo II II.1 Lavoro di controllo “Capire meglio ha un duplice scopo: primo, accrescere la nostra conoscenza; secondo, permetterci di trasmettere tale conoscenza ad altri”. John Locke Sin dall’inizio della sua attività, l’autorità di controllo comune ha profuso grande impegno per assolvere i propri compiti attraverso ispezioni regolari all’Europol e adoperandosi per intrattenere un dialogo con l’Ufficio e con altre istituzioni al fine di mantenere un livello di protezione dei dati adeguato. Questo impegno ha consentito all’ACC di maturare la necessaria esperienza e di approfondire le attività operative dell’Europol e le sue esigenze, oltre a comprendere appieno il lavoro svolto quotidianamente dall’organizzazione controllata. Grazie a tale esperienza è diventata non soltanto un partner affidabile e costruttivo per l’Europol, ma anche un piattaforma di confronto per i garanti nazionali responsabili della protezione dei dati personali, contesto nel quale non ci si può esimere dal citare la fruttuosa collaborazione tra l’ACC e le autorità di controllo nazionali. Il coinvolgimento dei garanti nazionali è stato fondamentale e si è dimostrato estremamente proficuo ai fini di una collaborazione che l’ACC intensificherà ulteriormente. II.1.1 Ispezioni condotte presso l’Europol L’obiettivo dell’autorità di controllo comune è eseguire almeno una verifica all’anno. L’Europol è un’organizzazione che considera la cooperazione con gli Stati membri un fattore di successo decisivo. Le ispezioni condotte negli ultimi due anni e la risposta alle corrispondenti relazioni dimostrano con chiarezza un’attenzione e un impegno crescente per il rispetto delle norme di protezione dei dati sia da parte dell’Europol nel suo complesso, sia da parte del consiglio di amministrazione e dei capi delle unità nazionali. Ispezione − marzo 2007 L’ACC ha adottato una politica che prevede una verifica annuale dell’Europol. L’ambito di ciascun accertamento è stato diversificato e accuratamente definito alla luce della 22 convenzione Europol, degli sviluppi in atto all’interno dell’Europol e delle sfide emergenti nello spazio giuridico europeo. Nel dicembre 2006, l’autorità di controllo comune ha incaricato i suoi ispettori di: a) verificare le attività del dipartimento reati gravi; b) controllare il contenuto del sistema di informazione; c) verificare due archivi di lavoro per fini di analisi preselezionati; e d) controllare il seguito dato alle raccomandazioni formulate in occasione del precedente accertamento del 2006. Nel marzo 2007, gli ispettori hanno trascorso quattro giorni di ispezione presso l’Europol. Si è trattato dell’ottavo accertamento condotto dall’ACC. Considerate le diverse responsabilità rispetto al contenuto del sistema di informazione dell’Europol (SIE) - uno degli elementi da verificare -, l’autorità di controllo comune ha operato in stretta collaborazione con i garanti nazionali per la protezione dei dati personali. L’ACC ha concluso che, poiché il trattamento dei dati personali in un sistema di polizia europeo come il SIE senza dubbio aumenterà le probabilità di violazione della privacy dei soggetti interessati, la disponibilità di tali dati a livello europeo e la possibilità di trasmetterli a organismi e Stati terzi comporterà la necessità di investire in meccanismi di salvaguardia tali da garantire che i dati trattati siano soltanto quelli che concorrono al conseguimento dell’obiettivo dell’Europol. Dalla valutazione del contenuto del sistema, è emersa con chiarezza la necessità pressante di armonizzarne ulteriormente l’uso. In riferimento ad alcuni aspetti specifici come il trattamento di informazioni su minori, la posizione di chi potrebbe essere considerato vittima del traffico di esseri umani, e gli appartenenti ad alcune bande di motociclisti, è stato necessario formulare orientamenti per il trattamento dei dati personali. Inoltre, l’autorità di controllo comune ha elaborato specifiche raccomandazioni per quanto concerne il dipartimento reati gravi, sempre allo scopo di migliorare e armonizzare il trattamento dei dati personali. Come nei precedenti accertamenti, l’ACC ha ribadito nuovamente la responsabilità degli Stati membri (e delle rispettive unità Europol nazionali), responsabilità espressamente attribuita dall’articolo 15 della convenzione Europol e che costituisce un prerequisito fondamentale per la riuscita del lavoro dell’Ufficio. Ispezione − marzo 2008 23 I preparativi per il nuovo accertamento da condurre nel marzo 2008 sono stati intrapresi nel dicembre 2007. A tal fine, in occasione della riunione del 17 dicembre 2007, l’autorità di controllo comune ha costituito un gruppo di ispettori incaricato della conduzione delle verifiche. L’ambito dell’ispezione era il seguente: a) verificare il contenuto e la qualità dei dati personali elaborati dall’Europol negli archivi di lavoro per fini di analisi (cinque archivi di analisi preselezionati) e del sistema di informazione dell’Europol; b) controllare il funzionamento del sistema di informazione dell’Europol; c) verificare l’infrastruttura tecnica e il seguito dato alle raccomandazioni formulate alla luce dei precedenti accertamenti. La verifica prevedeva anche il controllo delle procedure applicate alle domande formulate ai sensi dell’articolo 19 della convenzione Europol, nonché del contenuto e del funzionamento dei progetti “Check the Web” e OASIS. Il nono accertamento ha avuto luogo dall’11 al 14 marzo 2008. 24 II.1.2 Pareri formulati dall’autorità di controllo comune 11 “La critica può non sembrare gradevole, è però necessaria. Essa compie la stessa funzione del dolore nel corpo umano: attira l’attenzione sullo sviluppo di uno stato malsano delle cose”. Winston Churchill Uno degli elementi del ruolo dell’autorità di controllo comune in veste di consulente e partner affidabile è il suo contributo efficace e costruttivo a nuove iniziative riguardanti le informazioni elaborate dall’Europol o i quesiti posti dall’Ufficio circa le sue attività operative. A supporto della funzione di controllo, l’ACC ha anche organizzato colloqui regolari con funzionari dell’Europol per approfondire i diversi aspetti della protezione dei dati. Il 20 dicembre 2006, la Commissione ha formulato una propria proposta di decisione del Consiglio che istituisce l’Europol 12 e, poiché tale proposta comporta significative ripercussioni sul trattamento dei dati personali da parte dell’Europol, l’autorità di controllo comune si è sentita in dovere di esprimere un parere in merito. La proposta di decisione del Consiglio, infatti, non riproduceva semplicemente la convenzione Europol, compresi i tre protocolli modificativi, ma conteneva anche una serie di nuovi elementi relativamente ai compiti dell’Europol e al trattamento delle informazioni. L’ACC ha pertanto proceduto a una valutazione dell’effetto della proposta sul lavoro dell’Europol e sulle responsabilità di Stati membri ed Europol in riferimento ai vari aspetti del trattamento dei dati personali. La funzione di informazione dell’Ufficio, i suoi nuovi compiti e l’ampliamento del suo ruolo operativo richiederebbero idonei meccanismi di salvaguardia della protezione dei dati personali; per questo l’autorità di controllo comune ha studiato attentamente tutti i nuovi sviluppi legati al futuro dell’Europol. Nel suo parere l’ACC ha sottolineato che la proposta dovrebbe includere un regime completo di protezione dei dati personali, ribadendo la necessità di chiarire la distinzione tra gli 11 12 Tutti i pareri formulati dall’ACC sono consultabili all’indirizzo http://europoljsb.consilium.europa.eu/. COM (2006)817. 25 obiettivi e le competenze dell’Europol e le possibili conseguenze che i cambiamenti introdotti potrebbero comportare per le strutture di informazione esistenti non solo all’interno dell’Europol, ma anche con Stati membri e terzi. L’ACC ha inoltre ribadito l’importanza di specificare, negli strumenti giuridici, le diverse responsabilità rispetto alla protezione dei dati personali, lo scopo del sistema e la struttura delle informazioni elaborate dai sistemi di informazione dell’Europol, l’obbligo di consultare l’autorità di controllo comune sui temi della protezione dei dati, la limitazione dell’accesso al sistema di informazione, la necessità della revisione annuale dei dati contenuti negli archivi di lavoro per fini di analisi, le norme specifiche riguardanti la rettifica e la memorizzazione di dati in archivi cartacei, la specifica regolamentazione dell’accesso ai sistemi di informazione nazionali e internazionali da parte dell’Europol e l’esigenza di una normativa armonizzata completa che garantisca ai soggetti interessati un livello elevato di applicabilità del diritto di accesso e verifica dei dati senza ricorrere alle normative nazionali. L’ACC ha sottolineato in particolare l’importanza dell’introduzione all’interno della struttura dell’Europol di un incaricato della protezione dei dati personali. Uno dei temi importanti discussi ed elaborati in stretta collaborazione tra l’autorità di controllo comune e l’Europol è stato il nuovo sistema del diritto di accesso. Attualmente, l’articolo 19, paragrafo 3 della convenzione Europol dispone che il diritto di chiunque di accedere a dati che lo riguardino od ottenere la verifica di tali dati debba essere esercitato secondo la legge dello Stato membro in cui il diritto viene rivendicato. Il lavoro svolto in collaborazione tra l’ACC e l’Europol durante il processo di formulazione della decisione del Consiglio che istituisce l’Ufficio è sfociato in un nuovo sistema di regolamentazione di tale diritto. L’articolo 30, paragrafo 1 della decisione del Consiglio unifica infatti l’esercizio del diritto di accesso disponendo che debba essere esercitato in ogni caso nel rispetto delle condizioni stabilite dall’articolo stesso senza alcun riferimento ulteriore alle normative degli Stati membri. L’autorità di controllo comune ha partecipato attivamente alle discussioni e ai lavori preparatori per la predisposizione degli strumenti giuridici necessari in vista dell’entrata in vigore della decisione del Consiglio sull’Europol. Inoltre, sempre durante tale periodo, l’ACC ha contribuito in veste di consulente ai nuovi progetti elaborati dall’Europol, essendo profondamente persuasa del fatto che un ruolo 26 proattivo nell’affrontare problemi e questioni di protezione dei dati personali sin dall’inizio dei nuovi sviluppi all’interno dell’organizzazione possa concorrere all’efficienza del lavoro dello stesso Ufficio e al rispetto delle norme in materia di protezione dei dati. In tale contesto, l’autorità ha partecipato al lavoro riguardante il nuovo progetto di analisi dell’Europol (OASIS) e agli sviluppi del nuovo progetto “Check the Web”. OASIS (Overall Analysis System for Intelligence and Support). Sin dal 2005, l’ACC è stata spesso consultata dall’Europol su tale progetto e ha formulato in merito una serie di pareri sempre ribadendo che, secondo il quadro giuridico stabilito dalla convenzione Europol, questa specifica iniziativa dovrebbe fare espressamente riferimento alla responsabilità comune della protezione dei dati e ripartirla tra Europol e Stati membri, pur riconoscendo i potenziali vantaggi economici che il progetto OASIS potrebbe offrire grazie all’uso più efficiente delle risorse di analisi dell’Ufficio e rilevando anche i potenziali vantaggi che esso potrebbe assicurare a livello di protezione dei dati personali, a dimostrazione del fatto che l’uso delle nuove tecnologie può consentire di ottenere un’analisi dei reati più efficace e, nel contempo, una migliore protezione dei dati. “Check the Web”. Secondo i programmi, questo progetto, intrapreso dalla presidenza tedesca del Consiglio e consistente nella creazione di un portale di informazione presso l’Europol con funzione di strumento centrale doveva diventare operativo all’inizio del maggio 2007. L’iniziativa era volta a rafforzare la collaborazione e la condivisione del compito di sorveglianza e valutazione delle fonti Internet aperte su base volontaria. Lo scopo principale del portale era presentare informazioni desunte da siti Internet correlabili ad attacchi terroristici in grado di contribuire allo svolgimento delle indagini e delle attività di analisi dell’Europol e degli Stati membri. L’Europol ha chiesto all’autorità di controllo comune di approfondire i requisiti di protezione dei dati personali stabiliti in relazione al progetto e le ha permesso di ispezionare il portale. Il parere formulato dall’ACC ha considerato gli aspetti legati alle competenze e agli obiettivi dell’Europol, nonché le implicazioni in termini di protezione dei dati personali e i corrispondenti requisiti, soprattutto a livello di sicurezza e controllabilità del portale. 27 II.1.3 Costituzione degli archivi di analisi Ogni qual volta l’Europol intende costituire un nuovo archivio di analisi a norma dell’articolo 10 della convenzione Europol, occorre adottare una decisione per la sua costituzione, decisione nella quale è necessario specificare, tra l’altro, lo scopo dell’archivio, gli Stati membri partecipanti e le categorie di dati personali che saranno detenuti. Il gruppo di lavoro sulle decisioni costitutive è stato creato al fine di agevolare il lavoro dell’autorità di controllo comune e renderlo più efficiente. Secondo il mandato, l’ACC ha autorizzato il gruppo di lavoro sulle decisioni costitutive a formulare un parere per conto dell’autorità nei casi in cui la decisione riguardi una specifica materia di analisi su cui essa si è già espressa in passato. Se una delegazione domanda una discussione plenaria entro cinque giorni dalla divulgazione della decisione costitutiva, il gruppo di lavoro è tenuto a predisporre un parere per la riunione. Le decisioni costitutive devono essere approvate dal consiglio di amministrazione dell’Europol, che è obbligato a trasmetterle all’ACC affinché possa formulare i propri commenti. In tale ambito, l’autorità di controllo comune ha sempre ribadito l’importanza della ripartizione delle responsabilità tra Europol e Stati membri derivante dalla convenzione Europol quale fattore fondamentale per conseguire gli obiettivi comuni e garantire un maggiore rispetto della convenzione stessa. Nel biennio novembre 2006 – novembre 2008, l’ACC ha formulato pareri su due decisioni costitutive esprimendosi sulle categorie di dati che possono essere legittimamente trattate e la loro pertinenza rispetto allo scopo degli archivi di lavoro per fini di analisi, nonché sugli effetti dell’entrata in vigore del protocollo recante modifiche della convenzione Europol del 18 aprile 2007 (GU C2, 6.1.2004) relativamente alle condizioni e alla procedura secondo cui è possibile comunicare i dati personali memorizzati in archivi. Al momento, l’Europol sta elaborando dati personali in 18 distinti archivi di lavoro per fini di analisi. 28 II.1.4 Accordi con Stati/organismi terzi A norma dell’articolo 1, paragrafo 5 della decisione del Consiglio che autorizza il direttore dell’Europol ad avviare negoziati per la conclusione di accordi con Stati terzi e organismi non connessi all’Unione europea, la consultazione dell’autorità di controllo comune rientra in una procedura in cui il consiglio di amministrazione è tenuto a stilare una relazione per il Consiglio che gli fornisca le informazioni necessarie per decidere se sussistano o meno ostacoli all’avvio di negoziati. L’articolo 3, paragrafo 3, delle norme per la trasmissione di dati personali da parte dell’Europol a Stati od organismi terzi e l’articolo 2, paragrafo 4 delle norme per la ricezione da parte dell’Europol di informazioni provenienti da Stati e organismi terzi espressamente riconoscono che l’autorità di controllo comune deve esprimere un parere durante la procedura nel corso della quale il Consiglio è chiamato a decidere se approvare o meno un accordo negoziato tra l’Europol e Stati terzi. In merito al progetto di accordo da sottoscrivere tra l’Europol e l’Australia è stato adottato un parere nel quale l’ACC ha formulato una serie di commenti, sottolineando soprattutto la necessità di garantire che i funzionari australiani di stanza presso la sede dell’Europol non possano avere accesso diretto ai dati detenuti dall’Europol né compromettere in altro modo la sicurezza dei dati personali, come disposto dall’articolo 25 della convenzione Europol. In termini generali, comunque, l’autorità di controllo comune ha concluso che, dal punto di vista della protezione dei dati, nulla ostava alla conclusione dell’accordo da parte dell’Europol. Nell’ottobre 2008, all’ACC è stato chiesto di formulare due pareri sulla possibilità che l’Europol avviasse negoziati con la Federazione russa e Israele che sarebbero potuti sfociare in accordi sulla trasmissione di dati personali da parte dell’Europol ai due paesi. Il parere dell’autorità di controllo comune in merito al livello di protezione dei dati in Israele ha concluso che, vista la natura delle differenze esistenti tra il livello di protezione dei dati in Israele e quello richiesto dall’Europol, dal punto di vista della protezione dei dati nulla impediva l’avvio di negoziati in vista di un accordo sulla trasmissione di dati personali da parte dell’Europol a Israele. Tale conclusione era tuttavia subordinata a un debito approfondimento di determinati aspetti nel corso delle trattative. In particolare, l’ACC chiedeva che si analizzassero attentamente l’attuazione dell’accordo e l’applicabilità diretta dei diritti dei soggetti interessati, il controllo indipendente con le competenze e i poteri 29 necessari per indagare le agenzie incaricate dell’applicazione della legge, una serie di aspetti legati alla qualità dei dati, le norme per la trasmissione dei dati sensibili (che avrebbero dovuto essere quanto più chiare possibile), i termini per la memorizzazione dei dati, la responsabilità e i mezzi di ricorso previsti dalla legge per i singoli soggetti in caso di violazione dell’accordo e trattamento dei dati non corretto o non autorizzato e, infine, una serie di temi legati alla sicurezza dei dati. Quanto alla Federazione russa, l’autorità di controllo comune ha chiesto al consiglio di amministrazione ulteriori informazioni per poter valutare il livello di protezione dei dati del paese e potersi dunque esprimere in via definitiva. I pareri su tutti gli accordi sono consultabili all’indirizzo http://europoljsb.consilium.europa.eu/. II.1.5 Diritti dei soggetti interessati Elemento classico e condizione fondamentale di ogni sistema di protezione dei dati personali è l’applicabilità del diritto di un soggetto interessato di accedere ai dati elaborati dai responsabili del trattamento e del diritto di ottenere la rettifica o la cancellazione di dati personali che risultino trattati in maniera non corretta o legittima. Tali diritti sono i meccanismi di salvaguardia per consentire a un soggetto interessato di difendere le proprie libertà, verificare se i dati siano esatti e controllare se siano trattati secondo le norme in materia di protezione dei dati. Il diritto soggettivo dell’interessato di accedere alle proprie informazioni è infatti uno strumento importante per consentire al soggetto in questione di partecipare alla protezione dei propri dati, diritto che è ancora più importante nel quadro del trattamento dei dati da parte delle agenzie incaricate dell’applicazione della legge. L’articolo 19 della convenzione Europol stabilisce che un soggetto che intenda esercitare il proprio diritto di accedere a dati che lo riguardino memorizzati dall’Europol od ottenere una verifica di tali dati possa presentare a titolo gratuito domanda in tal senso all’autorità nazionale competente in qualunque Stato membro di sua scelta. Lo Stato membro in questione si impegna a trasmettere la domanda all’Ufficio e avvisa il soggetto interessato 30 che quest’ultimo gli risponderà direttamente. L’Europol è tenuto a evadere la richiesta entro tre mesi dal suo ricevimento da parte dell’autorità nazionale competente. Secondo le statistiche fornite dall’Europol, dal 2003 al 2008 sono state ricevute le seguenti domande a norma dell’articolo 19. Anno Numero di domande a norma dell’articolo 19 2003 5 2004 9 2005 6 2006 19 2007 122 2008 135 Nel 2007, le domande presentate da singoli soggetti per esercitare il diritto di accesso in applicazione dell’articolo 19 sono aumentate dell’84% rispetto al 2006, un nuovo sviluppo che ha portato a formulare ulteriori considerazioni in relazione al completamento della procedura prevista per la gestione di tali richieste da parte dell’Europol. L’aumento delle domande attualmente registrato è dovuto alle campagne di informazione condotte in rete sui diritti dei cittadini per quanto concerne l’Europol che, ovviamente, hanno prodotto ricadute positive in termini di sensibilizzazione del pubblico. Altro diritto importante dei singoli soggetti secondo l’articolo 24, paragrafo 4, della convenzione Europol è quello di domandare all’autorità di controllo comune di accertare che il modo in cui i dati personali sono stati rilevati, memorizzati, trattati e usati dall’Europol è corretto e legittimo. Sinora sono pervenute sei richieste in tal senso e, una volta eseguite le verifiche, è emerso in tutti i casi che l’Europol aveva agito conformemente alla convenzione Europol. 31 II.2 Gestione dell’autorità di controllo comune L’ACC si è riunita nove volte dal novembre 2006 all’ottobre 2008. Secondo l’articolo 24, paragrafo 1, l’autorità di controllo comune deve essere composta da non più di due membri o rappresentanti (ove del caso, assistiti da supplenti) di ciascun organismo di controllo nazionale con tutte le garanzie di indipendenza del caso e aventi le capacità richieste all’uopo. I membri devono essere nominati per cinque anni da ogni Stato membro. Nello svolgimento dei propri doveri, i membri dell’autorità di controllo comune non devono ricevere istruzioni da altri organismi. La gestione dell’ACC è compito comune di tutti i membri e del segretariato, compito non sempre facile da assolvere, specialmente da quando i membri sono 27. La gestione del lavoro dell’autorità potrebbe essere descritta come segue: • pianificazione – ogni due anni si definiscono gli obiettivi strategici dell’ACC; tutte le ispezioni condotte presso l’Europol sono discusse e pianificate anticipatamente; • organizzazione – l’attuazione degli obiettivi è generalmente il compito più arduo, ma nondimeno il più avvincente e stimolante. La stretta collaborazione tra i gruppi di lavoro e il segretariato si è dimostrata uno strumento efficiente ai fini della preparazione dei documenti per le riunioni plenarie. I documenti vengono inviati ai membri dell’ACC conformemente al regolamento interno due settimane prima dell’incontro. In tal modo, i membri hanno la possibilità di prepararsi alle riunioni e contribuire notevolmente alle discussioni che vi si svolgono; • scelta del personale – grande attenzione viene prestata all’esperienza dei membri dell’ACC. L’esempio più eloquente di tale approccio è rappresentato dalla composizione permanente del gruppo di ispettori che, nei tanti anni di verifiche condotte presso l’Europol, hanno approfondito considerevolmente le attività operative quotidiane e pratiche dell’Ufficio, il che costituisce un vantaggio per il lavoro di controllo e consulenza dell’autorità; • motivazione – la motivazione più forte che ispira tutti i membri dell’ACC è il suo fine ultimo, ossia la tutela dei diritti dei singoli soggetti, sia a livello nazionale sia a livello internazionale; 32 • sorveglianza, autovalutazione – ogni due anni, l’autorità di controllo comune svolge attività di autovalutazione per giudicare il livello di assolvimento dei propri compiti e doveri. Tutto ciò contribuisce al funzionamento efficiente dell’ACC quale organismo di controllo. I rapporti interni tra i membri dell’autorità, improntati a un clima di cooperazione, sono tanto importanti quanto le relazioni esterne con l’Europol e altri organismi o istituzioni. La chiave del successo del lavoro dell’ACC sta nell’impegno, nella responsabilità e nella partecipazione attiva di tutti i membri. II.2.1 Gruppi di lavoro Per agevolare un approccio proattivo nei confronti dell’Europol, l’autorità di controllo comune ha creato vari gruppi di lavoro, alcuni dei quali intrattengono contatti regolari con l’Ufficio. Uno dei vantaggi di tali contatti è che l’ACC ha modo di approfondire le pratiche di lavoro quotidiane dell’organizzazione. I gruppi di lavoro aggiungono dunque un valore notevole all’operato dell’autorità in quanto i loro membri qualificati forniscono un’analisi approfondita dei temi discussi e contribuiscono all’ottenimento di risultati costruttivi. I gruppi di lavoro attualmente in essere sono i seguenti: i) gruppo di ispettori: con il compito di pianificare ed eseguire gli accertamenti presso l’Europol; ii) gruppo per i nuovi progetti: con l’incarico di esaminare gli aspetti tecnici; iii) gruppo per i rapporti con gli Stati terzi: con il compito di studiare gli aspetti giuridici degli accordi di cooperazione dell’Europol con Stati terzi; iv) gruppo per le decisioni costitutive: con l’incarico di analizzare gli aspetti correlati alla protezione dei dati per quel che riguarda le decisioni costitutive degli archivi di analisi dell’Europol; v) gruppo per le pubbliche relazioni: con il compito di formulare proposte per pubblicizzare il lavoro dell’ACC; vi) gruppo per i programmi concernenti i nuovi Stati membri: con l’incarico di sviluppare una scheda informativa sull’Europol unitamente a una serie di informazioni pratiche circa il 33 funzionamento dell’autorità di controllo comune e del comitato per i ricorsi a uso dei nuovi Stati membri. II.2.2 Trasparenza “Il sentimento pubblico è tutto. Con il sentimento pubblico, niente può fallire. Senza esso, niente può riuscire”. Abraham Lincoln Il concetto della trasparenza non è un guscio vuoto. L’aumento del livello di trasparenza delle attività serve ad accrescere la credibilità. La trasparenza è indispensabile per conquistare la fiducia del pubblico. Singoli soggetti e organismi pubblici hanno il diritto di conoscere il lavoro dell’autorità di controllo comune e, pertanto, devono poter accedere a informazioni che spieghino come e perché vengono prese le decisioni. L’ACC si preoccupa costantemente di migliorare la trasparenza del proprio lavoro. L’atto del Consiglio del 27 novembre 2003 recante modifiche della convenzione Europol ha emendato l’articolo 24, paragrafo 6, della convenzione rendendo l’autorità di controllo comune più responsabile, aperta e trasparente al mondo esterno. Ora le relazioni di attività sono trasmesse al Parlamento europeo e al Consiglio, e il consiglio di amministrazione ha l’opportunità di esprimere un parere che vi viene accluso. Inoltre, tutti gli atti pubblici di ogni riunione plenaria dell’ACC sono tradotti in tutte le lingue ufficiali dell’Unione europea e messi a disposizione sul sito web dell’autorità all’indirizzo http://europoljsb.consilium.europa.eu/. II.2.3 Bilancio L’autorità di controllo comune ha un proprio bilancio che fa parte del bilancio dell’Europol. Secondo l’articolo 31, paragrafo 1, del regolamento interno dell’ACC dell’Europol, il segretariato è tenuto a preparare proposte di bilancio annuale per l’autorità che, una volta approvate, vengono trasmesse al consiglio di amministrazione prima della consultazione prevista dall’articolo 24, paragrafo 9, della convenzione Europol. L’articolo 24, paragrafo 9, della convenzione Europol stabilisce infatti che l’autorità di controllo comune debba 34 essere consultata sulla parte del bilancio che la riguarda. Il suo parere è allegato al progetto di bilancio in questione. Dopodiché, a norma dell’articolo 35, paragrafo 5, della convenzione Europol, una volta ottenuto il parere del consiglio di amministrazione, il Consiglio adotta il bilancio dell’Europol. L’articolo 31, paragrafo 2, del regolamento interno dell’ACC stabilisce che l’autorità decida in merito agli esborsi del bilancio assegnatole, amministrato dal segretariato. Gli importi effettivi stanziati dall’autorità di controllo comune nel biennio novembre 2006 – novembre 2008 sono stati i seguenti. Anno Importo (euro) 2006 1.135.00 2007 970.000 2008 600.000 2009 610.000 Degli importi stanziati, l’80% è destinato a coprire i costi delle riunioni plenarie (traduzione, interpretazione e spese di viaggio). II.2.4 Convegno del 2008 Il 9 ottobre 2008, l’autorità di controllo comune dell’Europol ha celebrato dieci anni di attività organizzando il convegno dal titolo “What will the future bring? Rising to the challenge of maintaining effective data protection supervision at Europol”. Scopo di tale convegno non era unicamente ripercorrere i successi conseguiti dall’autorità nel suo primo decennio di attività, bensì soprattutto richiamare l’attenzione sulle future sfide e il modo in cui l’ACC intende raccoglierle. Il convegno ha rappresentato una piattaforma straordinaria per uno scambio di punti di vista, idee e percezioni delle future sfide nell’ottica di un controllo efficace della protezione dei dati dell’Europol, offrendo un’opportunità rara di riflettere sui modi per rendere la protezione dei dati significativa ed efficace, garantendo in tal modo la tutela dei singoli 35 cittadini alla luce delle tante sfide poste dall’ampia gamma di attività svolte dall’Unione europea nel campo della sicurezza e dell’applicazione della legge. Vari oratori nel corso del convegno si sono soffermati sul futuro cambiamento del quadro giuridico dell’Europol e l’ambiente di applicazione della legge entro il quale si situa nell’Unione europea, analizzando peraltro piani e attività dell’Unione nel campo della libertà, della sicurezza e della giustizia con particolare riguardo all’introduzione dei principi di disponibilità e convergenza, tenuto conto di una crescente pressione verso la condivisione dei dati. Le discussioni hanno affrontato non soltanto il controllo della protezione dei dati dell’Europol, ma si sono anche estese agli sviluppi intervenuti a livello di Unione europea e ai modi per garantire una reale tutela ai singoli soggetti. La percezione condivisa dai partecipanti è stata che una soluzione pratica a tutte le attuali tendenze in materia di scambio di informazioni consista nel migliorare il controllo comune da parte dei garanti nazionali per la protezione dei dati personali e delle autorità di controllo comune in modo da renderlo efficiente ed efficace. Nel corso del convegno spesso si è citato il forte impegno necessario per individuare un giusto equilibrio tra il rafforzamento della lotta alla criminalità e il mantenimento di un alto livello nel sistema di controllo della protezione dei dati. Dal convegno è inoltre emerso con chiarezza che la principale sfida per le autorità responsabili della protezione dei dati e le agenzie incaricate dell’applicazione della legge è trovare il giusto equilibrio attraverso il dialogo. Altro tema importante riconosciuto da tutti i partecipanti al convegno è stato la necessità di sensibilizzare i singoli soggetti rispetto ai propri diritti e alle proprie libertà, migliorando nel contempo a loro beneficio la trasparenza di tutte le nuove politiche e iniziative intraprese nell’Unione europea. 36 Poiché l’obiettivo del convegno era più prospettico che retrospettivo, si sono esposte altresì le conseguenze del Trattato di Lisbona e della decisione del Consiglio che subentrerà alla convenzione Europol, descrivendo le possibili ripercussioni che potrebbero avere sulle future attività dell’autorità di controllo comune. Tutti hanno concordato nell’affermare che i cambiamenti futuri rappresenteranno per l’ACC soltanto una motivazione ancora più forte per perseguire il suo mandato. La principale conclusione tratta dal convegno è stata che l’autorità di controllo comune dell’Europol continua a garantire un efficace controllo della protezione dei dati da parte dell’Ufficio, anche grazie alla collaborazione costruttiva offerta a quest’ultimo sostenendolo nell’applicazione quotidiana delle disposizioni giuridiche esistenti in materia di protezione dei dati. Tutti i presenti hanno convenuto sul fatto che, di fronte ad approcci innovativi allo scambio di informazioni nell’Unione europea, le autorità di controllo comune come l’ACC dell’Europol, unitamente ai garanti nazionali per la protezione dei dati personali, devono mantenere in essere l’attuale sistema di controllo della protezione dei dati e intensificare le proprie attività per garantire una reale tutela dei singoli soggetti, ora e in futuro. 37 Capitolo III III.1 Comitato per i ricorsi “Da tempo si è riconosciuto che un elemento essenziale della tutela dei diritti umani è una conoscenza diffusa da parte dei singoli dei propri diritti e dei modi per difenderli”. Boutros Boutros-Ghali, sesto Segretario generale dell’ONU, 1992-1996 Un incarico particolare attribuito all’autorità di controllo comune dalla convenzione Europol è l’analisi dei reclami formulati dai singoli soggetti in merito alla risposta trasmessa loro dall’Europol a seguito di una domanda di esercizio di un diritto. Per questo, il 23 novembre 1998, l’ACC ha creato un proprio comitato per i ricorsi, organismo quasi giudiziario, il cui compito è offrire uno strumento di riparazione a singoli interessati che rivendichino diritti e libertà rispetto al trattamento e all’uso dei rispettivi dati personali da parte dell’Europol. I singoli soggetti hanno il diritto di accedere alle informazioni di carattere personale detenute dall’Europol che li riguardano, così come hanno il diritto di ottenere che tali informazioni siano verificate, rettificate o cancellate. Nel momento in cui un soggetto si dovesse reputare leso dal modo in cui l’Europol ha replicato a una domanda di accesso, rettifica o cancellazione di informazioni, tale soggetto può presentare ricorso all’apposito comitato dell’ACC. All’atto del ricevimento della domanda, al soggetto viene confermato o meno il diritto di ricorso. Dopodiché il comitato per i ricorsi procede con le proprie indagini per accertare se l’Europol abbia agito conformemente alle disposizioni applicabili della convenzione. La decisione del comitato per i ricorsi è definitiva per tutte le parti coinvolte. È importante rammentare che, sebbene i membri del comitato per i ricorsi provengano dall’ACC, si tratta comunque di un organismo indipendente e imparziale, non vincolato da alcuna istruzione. L’imparzialità del comitato per i ricorsi garantisce che il reclamo di un soggetto sia esaminato in maniera giusta ed equa. Offrendo al singolo cittadino la possibilità di ricorrere, la fiducia del pubblico nell’operato dell’autorità di controllo comune ne risulta rafforzata. 38 A oggi, il comitato per i ricorsi si è espresso su sei casi. Negli ultimi due anni è stata presa una decisione e un caso è ancora pendente. III.1.1 Sintesi del ricorso presentato dal signor S Il signor S si è rivolto alla SOCA (Serious Organised Crime Agency) nel Regno Unito presentando domanda a norma degli articoli 19 e 20 della convenzione Europol. La richiesta è stata trasmessa all’Europol. L’Europol ha risposto al signor S con una lettera che recitava come segue: “Conformemente alla procedura stabilita dalla convenzione Europol e alla legislazione nazionale britannica applicabile, Le comunichiamo che, a seguito della Sua domanda, sono state eseguite verifiche negli archivi dell’Europol. Ai sensi dell’articolo 19 della convenzione Europol in combinato disposto con la legislazione britannica applicabile, La informiamo che l’Europol non tratta alcun dato che La riguardi al quale Lei abbia diritto di accedere a norma dell’articolo 19 della convenzione Europol”. Il signor S lamentava il fatto che informazioni inesatte di cui era venuto a conoscenza avevano avuto ripercussioni estremamente gravi, addirittura devastanti, sulla sua carriera e il suo benessere, nonché sul benessere della sua famiglia. Il signor S asseriva inoltre che tale danno grave non era cessato e sarebbe proseguito a meno che e fintantoché i responsabili non avessero proceduto a una ritrattazione e una rettifica. Nelle sue lettere, il signor S faceva riferimento al verbale di una riunione tenutasi presso l’Europol secondo cui rappresentanti del Regno Unito avrebbero fornito ai presenti informazioni in merito al ricorrente. Nel suo primo pronunciamento, il comitato per i ricorsi ha ritenuto che la decisione dell’Europol non fosse conforme all’articolo 19, paragrafo 3, e all’articolo 20, paragrafo 4, della convenzione Europol e che, viste le specifiche circostanze, fosse opportuno concedere all’Europol la possibilità di riprendere in esame la sua decisione. 39 A seguito del pronunciamento del comitato per i ricorsi, l’Europol ha rivisto la sua decisione in merito alla domanda iniziale del signor S e ha formulato una nuova decisione nella quale si affermava quanto segue: “Conformemente alla procedura stabilita dalla convenzione Europol e alla normativa nazionale britannica applicabile, Le comunichiamo che, a seguito della Sua domanda, sono state eseguite verifiche negli archivi dell’Europol. Ai sensi degli articoli 19 e 20 della convenzione Europol in combinato disposto con la normativa nazionale britannica applicabile, La informiamo che l’Europol non tratta alcun dato che La riguardi. Non vi sono pertanto dati che l’Europol potrebbe eventualmente rettificare o cancellare a norma dell’articolo 20 della convenzione Europol”. In una lettera al comitato per i ricorsi, l’Europol aggiungeva che la nuova decisione era stata presa unicamente alla luce delle circostanze molto particolari della fattispecie, poiché l’Europol esamina sempre le domande dei singoli soggetti caso per caso. A giudizio del ricorrente, dalla nuova decisione dell’Europol non si evinceva chiaramente se l’Europol detenesse dati riguardanti il ricorrente. Orbene, l’articolo 19, paragrafo 1, della convenzione Europol prevede un diritto di accesso o verifica dei dati, mentre l’articolo 20, paragrafo 4, della convenzione Europol conferisce a chiunque il diritto di domandare all’Europol di rettificare o cancellare dati inesatti che lo riguardino. La domanda del signor S concerneva evidentemente sia il diritto di ottenere una verifica dei dati, sia il diritto di ottenere una loro rettifica o cancellazione. Il comitato per i ricorsi non ha però rinvenuto alcun motivo nella documentazione sottopostagli per ritenere che la domanda del signor S fosse anche una richiesta di accesso a dati che lo riguardavano di cui all’articolo 19, paragrafo 1, della convenzione Europol. Considerato lo stretto nesso esistente tra il diritto di un soggetto interessato di domandare una verifica dei propri dati e il diritto di cui alla parte V, sezione 42, della legge sulla protezione dei dati del Regno Unito, l’esistenza in detta legge della possibilità di essere 40 informati porta all’applicabilità della seconda frase dell’articolo 19, paragrafo 3, che dispone in maniera precisa quando una comunicazione debba essere rifiutata. Qualora si dovesse ravvisare una delle tre deroghe di cui all’articolo 19, paragrafo 3, la comunicazione deve essere rifiutata. Ciò significa che nel caso in cui dovesse risultare applicabile la seconda frase dell’articolo 19, paragrafo 3, ogni domanda di verifica deve essere valutata caso per caso per appurare se sia ravvisabile una delle deroghe per rifiutare la comunicazione. Sebbene l’esercizio del diritto di ottenere una verifica debba avvenire nel rispetto della corrispondente normativa dello Stato membro, spetta all’Europol appurare se siano applicabili le deroghe di cui all’articolo 19, paragrafo 3. Nella nuova decisione, l’Europol comunicava al ricorrente che non erano trattati dati che lo riguardassero, per cui nello specifico si è proceduto a una valutazione della non applicabilità delle deroghe di cui all’articolo 19, paragrafo 3, della convenzione Europol. Alla luce della normativa del Regno Unito e dell’articolo 19, paragrafo 3, della convezione Europol, la nuova decisione dell’Europol sulla domanda del signor S era conforme all’articolo 19, paragrafo 3, della convenzione Europol. 41 Capitolo IV IV.1 Autovalutazione “Senza una crescita e un progresso costanti, parole come miglioramento, conquista e successo non avrebbero senso". Benjamin Franklin L’autovalutazione contribuisce a migliorare prestazioni, efficienza e qualità del lavoro, metodi di lavoro e risultati conseguiti fornendo orientamenti in tal senso. Un’istituzione che valuti le proprie attività formula obiettivi e compiti, analizza il proprio operato applicando diversi approcci mettendo al contempo in luce i problemi legati a tali attività e ipotizzando modi per risolverli. Sin dai primi passi compiuti nel mese di ottobre 1998, l’autorità di controllo comune si pone come controllore dell’Europol con un atteggiamento di apertura prestando grande attenzione ad assolvere il proprio compito con un approccio proattivo. Da allora, l’ACC si adopera per diventare un organo di controllo efficace. Ogni due anni, l’autorità stila l’elenco dei futuri impegni, che viene sistematicamente rivisto valutando i risultati conseguiti e le questioni pendenti. Inoltre, ora è previsto che le relazioni di attività siano trasmesse al Parlamento europeo e al Consiglio, e i verbali pubblici delle plenarie sono consultabili sul sito web dell’ACC, il che non soltanto contribuisce a promuovere il profilo dell’autorità di controllo comune, ma la rende maggiormente credibile agli occhi del pubblico in generale. Per loro natura, i temi legati alla protezione dei dati evolvono in maniera alquanto dinamica creando in tal modo ulteriori stimoli e motivazioni per l’ACC. Le nuove sfide che si pongono in termini di protezione dei dati richiedono maggiore impegno e lavoro. I risultati conseguiti non permettono all’autorità di controllo comune di fermarsi o rallentare, obbligandola al contrario a mantenere lo stesso livello di qualità e rapidità nel suo operato, 42 il che a sua volta richiede un maggiore contributo, lavoro e coinvolgimento da parte di tutti i membri dell’ACC. Le attività dell’autorità di controllo comune possono essere valutate sulla base dei quesiti formulati dall’Europol in merito ai diversi temi correlati alla protezione dei dati, sempre più frequenti, comprese le consultazioni su progetti nuovi e complessi inerenti le tecnologie dell’informazione. Il lavoro dell’autorità è organizzato in maniera tale che ogni membro dell’ACC abbia la possibilità di contribuirvi. La creazione di gruppi di lavoro consente un’analisi approfondita dei temi discussi e concorre al conseguimento di risultati costruttivi. L’operato dell’autorità, grazie alle verifiche condotte presso l’Europol e al coinvolgimento dei garanti nazionali per la protezione dei dati personali nelle indagini svolte a livello locale, crea l’esperienza e la conoscenza necessaria per svolgere i compiti di controllo, soprattutto nell’ambito dell’applicazione della legge. I vari metodi di lavoro adottati dall’ACC contribuiscono alla sua produttività (pareri sui vari temi legati alla protezione dei dati, valutazione delle decisioni costitutive, accordi con Stati terzi) dimostrando in tal modo l’impegno da essa profuso per assolvere i doveri affidatile dalla convenzione Europol. 43 IV.2 Futuro Due anni fa, l’autorità di controllo comune si è impegnata a concentrarsi sui seguenti elementi: i) svolgimento di accertamenti annuali presso l’Europol prestando particolare attenzione alla qualità dei dati trattati da quest’ultima; ii) miglioramento dei metodi di ispezione; ii) studio costante dei nuovi sviluppi in materia di protezione dei dati nel campo dell’applicazione della legge e degli sviluppi legati ai sistemi di informazione dell’Unione europea; iii) interventi di controllo comune coordinati a livello nazionale; iv) sensibilizzazione del pubblico rispetto ai diritti conferiti ai singoli dalla convenzione Europol e al ruolo dell’autorità di controllo comune dell’Europol in sé e unitamente ai garanti nazionali per la protezione dei dati personali. Sebbene siano stati ampiamente conseguiti, tali obiettivi continueranno a rivestire una notevole importanza per l’ACC. Per consolidare l’efficacia, l’organizzazione e la gestione del suo lavoro saranno valutate sistematicamente. Le conseguenze del Trattato di Lisbona e della decisione del Consiglio che subentrerà alla convenzione Europol incideranno sulle sue future attività e costituiranno un potente stimolo a rivedere il suo lavoro organizzativo e i suoi obiettivi strategici pur mantenendo immutata la sua priorità, ossia la costante tutela dei diritti delle persone. I principali cambiamenti che interverranno nel lavoro dell’autorità di controllo comune riguarderanno l’entrata in vigore della decisione del Consiglio che subentrerà alla convenzione Europol, in particolare il rafforzamento della cooperazione e il coinvolgimento dei garanti nazionali per la protezione dei dati personali nel processo decisionale durante gli approfondimenti condotti sui ricorsi dei singoli cittadini. La decisione del Consiglio prevede un nuovo sistema unificato per l’esercizio del diritto di accesso formalizzando la posizione dell’incaricato per la protezione dei dati presso l’Europol e la maggiore collaborazione con l’ACC. L’importanza del ruolo e del contributo 44 dell’autorità di controllo comune è infatti sottolineata nell’articolo 10, paragrafo 2, della decisione in cui si afferma che l’ACC deve essere consultata prima dell’introduzione di qualunque nuovo sistema di trattamento dei dati personali, misura proattiva che le offre l’opportunità di partecipare al processo sin dalle prime fasi. Nonostante i nuovi obiettivi strategici e le future sfide dell’ACC, la sua attenzione sarà concentrata sulla prosecuzione del lavoro già intrapreso per fornire all’Europol, negli anni a venire, servizi di alta qualità in materia di protezione dei dati personali tenuto conto dei mutamenti che interessano lo spazio giuridico europeo. Come si è concluso in occasione del convegno del 9 ottobre 2008, l’autorità di controllo comune dell’Europol, unitamente ai garanti nazionali per la protezione dei dati personali, manterrà in essere l’attuale sistema di controllo della protezione dei dati e ne intensificherà ulteriormente le attività per garantire una reale tutela ai soggetti interessati, ora e in futuro. 45 Capitolo V V.1 Membri dell’autorità di controllo comune dell’Europol e del comitato per i ricorsi V.1.1 Autorità di controllo comune dell’Europol Presidente: Vicepresidente: David SMITH Isabel CERQUEIRA DA CRUZ Austria Belgio Membri Waltraut KOTSCHY Eva SOUHRADA-KIRCHMAYER Membri Willem DEBEUCKELAERÉ Bart DE SCHUTTER Supplenti Gregor KÖNIG Caroline FRITZ Supplente Priscilla de LOCHT Bulgaria Cipro Membri Marija MATEVA Veselin TSELKOV Membro Goulla FRANGOU Supplente Louiza MARKIDOU Repubblica ceca Membro Miroslava MATOUŠOVÁ Supplente Jiri MESICEK Estonia Membro Taago PÄHKEL Supplente Kaja PUUSEPP Francia Membro Georges de La LOYÈRE Supplente Michel MAZARS 46 Danimarca Membri Lena ANDERSEN Sten HANSEN Supplenti Jens Harkov HANSEN Ole TERKELSEN Finlandia Membri Reijo AARNIO Heikki HUHTINIEMI Supplente Elisa KUMPULA Germania Membri Michael RONELLENFITSCH Roland BACHMEIER Supplenti Angelika SCHRIEVER-STEINBERG Wolfgang Von POMMER ESCHE Grecia Membri Grigorios LAZARAKOS Leonidas KOTSALIS Ungheria Membro András JÓRI Supplente Agnes PAJÓ Supplenti Dina KAMPOURAKI Maria ALIKAKOU Italia Irlanda Membro Vanna PALUMBO Membri Billy HAWKES Gary DAVIS Supplenti Ciara O'SULLIVAN Diarmuid HALLINAN Lettonia Lituania Membri Signe PLUMINA Aiga BALODE Lussemburgo Membri Georges WIVENES Thierry LALLEMANG Membri Rita VAITKEVIČIENĖ Neringa KAKTAVIČIŪTĖ-MICKIENĖ Malta Supplente David CAUCHI Supplente Pierre WEIMERSKIRCH Paesi Bassi Membri Jacob KOHNSTAMM Jannette BEUVING Polonia Membro Michał SERZYCKI Supplente Piotr DROBEK Supplente Laetitia KRÖNER Portogallo Membri Isabel CERQUEIRA DA CRUZ Eduardo Manuel Castro GUIMARĀES DE CARVALHO Romania Membri Georgeta BASARABESCU Nicoleta RUSU Supplenti Simona SANDRU George GRIGORE Supplenti Clara VIEIRA CARDOSO GUERRA Vasco Rodrigo DUARTE DE ALMEIDA Repubblica slovacca Membro Peter LIESKOVSKÝ Supplente Tomaš MIČO Slovenia Membri Alenka JERŠE Natasa PIRC MUSAR Supplente Marijan ÈONÈ 47 Spagna Svezia Membro Rafael GARCÍA GOZALO Supplente Marta AGUIRRE CALZADA Regno Unito Membri David SMITH Jonathan BAMFORD Supplenti Chris TURNER Ian MILLER 48 Membri Agneta RUNMARKER Katja ISBERG AMNÄS Supplenti Britt-Marie WESTER Birgitta ABJÖRΝSSON V.1.2 Comitato per i ricorsi Presidente: Agneta RUNMARKER Vicepresidente: Heikki HUHTINIEMI Austria Belgio Membro Gregor KÖNIG Membro Willem DEBEUCKELAERÉ Supplente Caroline FRITZ Supplente Bart DE SCHUTTER Bulgaria Cipro Membro Goulla FRANGOU Membro Marija MATEVA Supplente Louiza MARKIDOU Supplente Veselin TSELKOV Repubblica ceca Membro Miroslava MATOUŠOVÁ Danimarca Membro Lena ANDERSEN Supplente Jiri MESICEK Estonia Membro Taago PÄHKEL Supplente Jens Harkov HANSEN Finlandia Membro Reijo AARNIO Supplente Heikki HUHTINIEMI Francia Membro Georges de La LOYÈRE Germania Membro Roland BACHMEIER Supplente Michel MAZARS Grecia Supplente Wolfgang Von POMMER ESCHE Ungheria Membro Grigorios LAZARAKOS Membro András JÓRI Supplente Maria ALIKAKOU Supplente Agnes PAJÓ Italia Irlanda Membro Vanna PALUMBO Membro Diarmuid HALLINAN Supplente Gary DAVIS 49 Lettonia Lituania Membro Signe PLUMINA Membro Rita VAITKEVIČIENĖ Supplente Aiga BALODE Supplente Neringa KAKTAVIČIŪTĖ-MICKIENĖ Lussemburgo Membro Georges WIVENES Malta Supplente David CAUCHI Supplente Thierry LALLEMANG Paesi Bassi Membro Jacob KOHNSTAMM Polonia Membro Michał SERZYCKI Supplente Laetitia KRÖNER Portogallo Membro Isabel CERQUEIRA DA CRUZ Supplente Piotr DROBEK Romania Membro Georgeta BASARABESCU Supplente Clara VIEIRA CARDOSO GUERRA Repubblica slovacca Membro Peter LIESKOVSKÝ Supplente George GRIGORE Slovenia Supplente Alenka JERŠE Supplente Tomaš MIČO Spagna Svezia Membro Rafael GARCÍA GOZALO Membro Agneta RUNMARKER Supplente Marta AGUIRRE CALZADA Supplente Katja ISBERG AMNÄS Regno Unito Membro David SMITH Supplente Jonathan BAMFORD 50