La Direttiva (UE) 2016/680 rappresenta lo strumento introdotto dal Legi- slatore europeo per la protezione delle persone fisiche con riguardo al trat- tamento dei dati personali da parte delle autorità competenti a fini di pre- venzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
Pertanto, rappresenta la normativa di riferimento per il trattamento dei dati personali nel corso delle procedure di EIO.
La Direttiva sull’EIO pone particolare attenzione all’esigenza di assicu- rare la tutela dei dati personali dei soggetti coinvolti nelle procedure di EIO. In particolare, ai sensi del Recital 40, «la protezione delle persone fisiche in relazione al trattamento dei dati personali è un diritto fondamentale», quindi ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano qualsiasi sia la situazione in cui il trattamento degli stessi venga in rilievo.
A tal fine, il Recital 41 espressamente stabilisce che «gli Stati mem- bri dovrebbero prevedere, nell’applicazione della presente direttiva, politiche trasparenti riguardo al trattamento dei dati personali e all’esercizio del di- ritto dell’interessato di ricorrere ai mezzi d’impugnazione per la protezione dei propri dati personali».
Infine, il Recital 42 continua affermando che «i dati personali acquisiti ai sensi della presente direttiva dovrebbero essere trattati solamente laddove necessario e in modo proporzionato a fini compatibili con la prevenzione, l’in- dagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali e l’esercizio del diritto di difesa».
Per quanto riguarda le modalità di trattamento dei dati personali nel corso delle procedura di EIO, l’art. 20 della Direttiva 2014/41/UE pone in capo agli Stati membri un obbligo di assicurare che «i dati personali siano protetti e possano essere trattati solo in conformità della decisione quadro 2008/977/GAI del Consiglio»9. Decisione che è stata abrogata dalla Diret-
9Decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sul-
la protezione dei dati personali trattati nell’ambito della cooperazione giudizia- ria e di polizia in materia penale. Si veda https://eur-lex.europa.eu/legal- content/IT/TXT/?uri=CELEX:32008F0977.
6.2 Le disposizioni della Direttiva 2016/680/Ue e la Direttiva sull’EIO 147
tiva 2016/680/UE, che quindi rappresenta la base giuridica del trattamento dei dati personali nel corso dell’emanazione ed esecuzione di un EIO.
Attraverso la regolamentazione del trattamento dei dati personali in am- bito penale, la Direttiva 2016/680 si propone di incentivare e al tempo stesso tutelare il libero flusso di dati personali tra le autorità competenti contri- buendo a favorire «la costruzione di un quadro comune e uniforme di norme per la protezione dei dati personali nell’Unione»10.
Al tempo stesso, una corretta regolamentazione della protezione dei dati rappresenta sicuramente un fattore fondamentale «per garantire un’efficace cooperazione giudiziaria in materia penale e in materia di cooperazione di polizia»11.
Proprio allo scopo di rafforzare la cooperazione giudiziaria in materia penale e per favorire la prevenzione e repressione del crimine, il Recital 44 della Direttiva 2016/680/UE afferma che «gli Stati membri dovrebbero poter adottare misure legislative intese a ritardare, limitare o escludere la comu- nicazione di informazioni all’interessato o a limitare, in tutto o in parte, l’accesso di questi ai suoi dati personali nella misura e per la durata in cui ciò costituisca una misura necessaria e proporzionata in una società demo- cratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata, per non compromettere indagini, inchieste
10Recital 4 della Direttiva: «La libera circolazione dei dati personali tra le autorità
competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di sanzioni penali, inclusi la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, all’interno dell’Unione e il trasferimento di tali dati personali verso paesi terzi e organizzazioni internazionali, dovrebbe essere agevolata garantendo al tempo stesso un elevato livello di protezione dei dati personali. Ciò richiede la costruzione di un quadro giuridico solido e più coerente in materia di protezione dei dati personali nell’Unione, affiancato da efficaci misure di attuazione».
11Recital 7 della Direttiva: «Assicurare un livello uniforme ed elevato di protezione dei
dati personali delle persone fisiche e facilitare lo scambio di dati personali tra le autorità competenti degli Stati membri è essenziale al fine di garantire un’efficace cooperazione giudiziaria in materia penale e di polizia. Per questo sarebbe auspicabile un livello di tutela equivalente in tutti gli Stati membri dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento dei diritti degli interessati e degli obblighi di tutti coloro che trattano dati personali, nonché poteri equivalenti per controllare e garantire il rispetto delle norme di protezione dei dati personali negli Stati membri».
148 Profili di “data protection” nello scambio transnazionale...
o procedimenti ufficiali o giudiziari, per non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di san- zioni penali, per proteggere la sicurezza pubblica o la sicurezza nazionale o per tutelare i diritti e le libertà altrui. È opportuno che il titolare del tratta- mento valuti, mediante un esame concreto e individuale di ciascun caso, se si debba applicare una limitazione parziale o totale del diritto di accesso».
L’art. 15 conferma le limitazioni del diritto di accesso ai dati sopra indicate: il testo della Direttiva pone quindi limiti che di fatto contribuiscono ad un efficace svolgimento delle indagini e nel caso di EIO, ad un corretto svolgimento delle procedure.