03-20 Parere dell`ACC in merito al livello di protezione dei dati a Malta

JOINT SUPERVISORY BODY of EUROPOL
AUTORITÀ DI CONTROLLO COMUNE DELL’EUROPOL
Parere 03/20 dell’ACC in merito al livello di protezione dei dati a Malta
AUTORITÀ DI CONTROLLO COMUNE DELL’EUROPOL
A.
Osservazioni introduttive
1.
L’ACC è stata incaricata di elaborare un parere in merito alle leggi e alla prassi
amministrativa di Malta nel settore della protezione dei dati, sulla base della relazione
Fascic. n. 2641-36 presentata dall’Europol.
2.
Detta relazione è stata sottoposta all'esame dell'ACC dal consiglio di amministrazione
dell'Europol, in conformità dell'articolo 1, paragrafo 5 della decisione del Consiglio
che autorizza il direttore dell'Europol ad avviare negoziati per la conclusione di
accordi con Stati terzi ed organismi non connessi all’Unione europea.
3.
Ai sensi dell'articolo 3, paragrafo 3, seconda parte delle norme per la trasmissione di
dati di carattere personale a Stati ed organismi terzi, l'ACC è altresì chiamata a
formulare un parere durante la procedura in cui il Consiglio dell'Unione europea deve
decidere se approvare o meno un accordo tra l'Europol e Malta. L'ACC fa notare che
il presente parere riguarda unicamente l’esistenza o meno di ostacoli all’avvio di
negoziati tra l’Europol e Malta in vista di un accordo sulla trasmissione di dati di
carattere personale dall’Europol a Malta. Il parere in oggetto non è in alcun modo
vincolante per l'ACC all'atto di redigere un parere relativo all'accordo definitivo
proposto tra l'Europol e Malta.
4.
Ciononostante, l'ACC sottolinea l’opportunità che le questioni sollevate nel presente
parere vengano affrontate nell’accordo con Malta. Il parere dell'ACC sull'accordo
vero e proprio terrà certamente conto del fatto che i problemi illustrati qui di seguito
siano stati o meno adeguatamente risolti nel quadro dell'accordo definitivo proposto.
Autorità di controllo comune dell’Europol
Segretariato, rue de la Loi 175, B-1048 Bruxelles
Tel: +32(0)2 2858602(5026)
Fax: +32(0)2 2855126
1
5.
L'ACC richiama l'attenzione sul fatto che il presente parere si basa unicamente sulla
relazione di cui al fascicolo n. 2641-36 del 20 marzo 2003. Ciò significa che il parere
dell'ACC si basa sui fatti esposti nella suddetta relazione. Qualsiasi modifica nel
livello di protezione dei dati a Malta si ripercuoterà senza dubbio sul parere dell'ACC
riguardo all'accordo.
B.
Parere dell’ACC riguardo a Malta
L'ACC ritiene che, sulla base dei fatti e delle conclusioni esposti nel documento n. 2641-36,
non sussistono ostacoli dal punto di vista della protezione dei dati all'avvio di negoziati con
Malta in vista del raggiungimento di un accordo sulla trasmissione di dati di carattere
personale dall’Europol a Malta.
Nel redigere il parere l'ACC ha tenuto conto delle leggi e delle prassi amministrative di Malta
nell’ambito della protezione dei dati nonché dell'esistenza del commissario per la protezione
dei dati responsabile delle questioni relative alla protezione dei dati, come descritto nella
relazione. L’ACC precisa di non aver ricevuto dall’Europol le leggi e normative pertinenti,
per cui il presente parere è basato unicamente sulla summenzionata relazione.
L’ACC sottolinea esplicitamente la mancanza di esperienza in merito alla prassi
amministrativa nel settore della protezione dei dati e dell’osservanza delle leggi, in quanto la
legge sulla protezione dei dati a Malta non si applica all’elaborazione dei dati da parte delle
Forze dell’ordine. Le norme del 2002 sulla protezione dei dati, che disciplinano
l’elaborazione dei dati personali nell’ambito delle Forze di polizia, non sono ancora entrate in
vigore. L’ACC sottolinea che, finché queste norme non sono entrate in vigore, non deve
essere effettuata alcuna trasmissione di dati dall’Europol a Malta.
L’ACC sottolinea che, quando sarà invitata a formulare un parere sul progetto di accordo,
dovrà essere ulteriormente informata sugli sviluppi della legislazione a Malta.
C.
Punti da prendere in considerazione nelle trattative con Malta
a)
Nell'accordo si dovrà precisare che la trasmissione di dati di carattere personale a
Malta è ammessa soltanto se la finalità e il motivo della trasmissione sono sufficientemente
chiari e rientrano a) nella sfera della convenzione Europol e b) nell'ambito dell'accordo tra
l'Europol e Malta. Bisogna inoltre assicurare che Malta possa utilizzare i dati ricevuti
dall'Europol unicamente per gli scopi specificati nell'accordo, che devono naturalmente
figurare tra gli scopi precisati nella convenzione Europol. L’ACC raccomanda di inserire
nell’accordo una disposizione che assicuri che i dati forniti dall’Europol verranno sempre
trattati conformemente ai termini dell’accordo stesso.
È necessario adempire pienamente all'articolo 6, paragrafo 1, prima parte, nonché
all'articolo 6, paragrafo 2, delle norme per la trasmissione di dati di carattere personale da
parte dell'Europol a Stati o organismi terzi.
Autorità di controllo comune dell’Europol
Segretariato, rue de la Loi 175, B-1048 Bruxelles
Tel: +32(0)2 2858602(5026)
Fax: +32(0)2 2855126
2
b)
L'accordo deve inoltre sancire che Malta è tenuta a cancellare i dati ricevuti
dall'Europol se questi non sono più necessari per lo scopo per cui sono stati trasmessi (cfr.
articolo 7, paragrafo 3 delle norme per la trasmissione di dati di carattere personale).
c)
I limiti di tempo previsti per l'archiviazione dei dati personali indicati nella
convenzione Europol e nelle relative norme di applicazione devono essere applicati ai dati
trasmessi dall'Europol a Malta onde evitare che quest'ultima archivi dati per un periodo più
lungo rispetto a quello concesso all'Europol. L’ACC raccomanda di inserire nell’accordo una
disposizione che assicuri che i dati possono essere memorizzati unicamente per periodi di
tempo ben definiti e che devono essere verificati regolarmente per controllare che siano
ancora pertinenti.
d)
La ritrasmissione da parte di Malta a Stati terzi di dati di carattere personale ricevuti
dall’Europol deve essere vietata, in assenza di una deroga specifica che consenta
l’applicazione dell’articolo 5, paragrafo 5 dell’atto del Consiglio che stabilisce le norme per
la trasmissione di dati di carattere personale a Stati o organismi terzi.
e)
Un collegamento diretto tra i sistemi informatici dell'Europol e di Malta costituirebbe
una violazione della convenzione Europol. L'ACC richiede quindi che l'accordo garantisca
che la trasmissione di dati di carattere personale dall’Europol a Malta segua una procedura
volta ad assicurare un adeguato livello di sicurezza dei dati. Anche l’archiviazione e l’uso dei
dati da parte di Malta devono essere adeguatamente protetti.
f)
L’accordo deve contenere disposizioni specifiche relative al trattamento dei dati
sensibili. Tali disposizioni devono garantire il rispetto dei medesimi obblighi cui deve
ottemperare l’Europol.
Le norme del 2002 sulla protezione dei dati sono diverse dalle norme dell’Europol applicabili
in materia. Devono essere seguiti i suggerimenti contenuti nel capitolo 3, paragrafo 8 della
relazione.
g)
Nell’accordo è necessario sottolineare che la trasmissione di dati sensibili
dall’Europol a Malta è ammissibile soltanto se Malta dimostra caso per caso un’esigenza
chiara e motivata di trasmissione di tali dati. A tale riguardo è necessario attenersi
rigorosamente all'articolo 6, paragrafo 1, seconda parte delle norme per la trasmissione di dati
di carattere personale da parte dell'Europol a Stati o organismi terzi.
h)
Conformemente all'articolo 7 delle norme per la trasmissione di dati di carattere
personale da parte dell'Europol a Stati o organismi terzi, l’Europol deve notificare senza
indugio a Malta le eventuali rettifiche apportate ai dati trasmessi dall’Europol a Malta.
L’accordo deve precisare che Malta, una volta ricevuta tale notifica, è giuridicamente
vincolata a rettificare o cancellare i dati ricevuti dall’Europol conformemente alla suddetta
notifica.
Autorità di controllo comune dell’Europol
Segretariato, rue de la Loi 175, B-1048 Bruxelles
Tel: +32(0)2 2858602(5026)
Fax: +32(0)2 2855126
3
i)
L’accordo deve contenere il principio che impone la stesura di relazioni sui richiami
di dati.
j)
L’attuazione dell’accordo deve essere sottoposta ad un’adeguata sorveglianza e deve
essere introdotta una disposizione che preveda la responsabilità di Malta nei confronti dei
singoli individui in caso di mancato rispetto dell’accordo e di trattamento non autorizzato o
incorretto dei dati (cfr. articolo 8 delle norme per la trasmissione di dati di carattere personale
da parte dell’Europol a Stati o organismi terzi).
k)
Va sottolineato che il livello di sicurezza dei dati che Malta è tenuta a garantire,
riguardo ai dati di carattere personale trasmessi dall’Europol, deve essere valutato tenendo
conto del contesto stabilito nell’articolo 25 della convenzione Europol.
l)
L’accordo deve contenere il principio che impone il rispetto di qualsiasi condizione
posta all’utilizzo dei dati. Devono essere seguiti i suggerimenti contenuti nel capitolo 3,
paragrafo 7 della relazione.
m)
Dato che le norme del 2002 sulla protezione dei dati non sono ancora entrate in
vigore, la trasmissione di dati dall’Europol a Malta non sarà possibile finché tali norme non
saranno entrate in vigore.
D.
Osservazioni conclusive
Come già affermato, l’ACC desidera mantenersi aggiornata sugli eventuali sviluppi che
interessano Malta e chiede pertanto all’Europol di comunicarle anche in futuro tutte le
informazioni pertinenti. L’ACC sarebbe inoltre lieta di poter partecipare in futuro,
nell’ambito delle proprie competenze, al processo inteso al raggiungimento di un accordo con
Malta. A tale proposito l’ACC è pronta a fornire la propria collaborazione all’Europol,
qualora le circostanze lo richiedano.
Fatto a Bruxelles
7 maggio 2003
Klaus KALK
Presidente
dell’Autorità di controllo comune
dell’Europol
Autorità di controllo comune dell’Europol
Segretariato, rue de la Loi 175, B-1048 Bruxelles
Tel: +32(0)2 2858602(5026)
Fax: +32(0)2 2855126
4