13943/21 amo,tes/ini/bp 1 JAI.2 LIMITE IT

Consiglio

dell'Unione europea

Bruxelles, 18 novembre 2021 (OR. en)

13943/21

LIMITE

DATAPROTECT 260 JAI 1243

DIGIT 162 MI 840 FREMP 264

NOTA PUNTO "I/A"

Origine: Segretariato generale del Consiglio

Destinatario: Comitato dei rappresentanti permanenti/Consiglio

Oggetto: Posizione e conclusioni del Consiglio in merito all'applicazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del

27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o

esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio

- Approvazione

1. A norma dell'articolo 62 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione,

indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, la Commissione trasmette al Parlamento europeo e al Consiglio una relazione di valutazione e sul riesame della direttiva. La prima relazione è prevista per il 6 maggio 2022 e sarà

successivamente seguita da relazioni ogni quattro anni.

2. Lo stesso articolo prevede che la Commissione, nell'elaborare la relazione summenzionata, tenga conto delle posizioni e delle conclusioni del Parlamento europeo e del Consiglio, nonché di altri organismi e fonti pertinenti.

3. A norma dell'articolo 62 della direttiva, la Commissione esamina, in particolare,

l'applicazione e il funzionamento del capo V sul trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, con particolare riguardo alle decisioni adottate ai sensi dell'articolo 36, paragrafo 3, e dell'articolo 39 della direttiva.

4. Ai fini della preparazione della posizione del Consiglio, la presidenza ha elaborato un testo sulla base delle osservazioni formulate dagli Stati membri. Il gruppo del Consiglio

"Protezione dei dati" si è riunito il 23 settembre e il 14 ottobre, e l'8 novembre 2021 si è tenuta una riunione dei consiglieri GAI. La posizione e le conclusioni del Consiglio fondate su tali lavori preparatori sono illustrate e riassunte nel presente documento.

5. Si invita pertanto il Comitato dei rappresentanti permanenti a raccomandare al Consiglio di approvare la sua posizione e le sue conclusioni sull'applicazione della direttiva (UE) 2016/680 che figurano nell'allegato. La Commissione sarà informata della posizione del Consiglio.

ALLEGATO

Posizione e conclusioni del Consiglio in merito all'applicazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle

persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione

di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio

INTRODUZIONE

1. La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio¹ (in appresso: "la direttiva") è entrata in vigore il 6 maggio 2018, sostituendo la decisione quadro 2008/977/GAI del Consiglio. La direttiva mira a garantire un livello uniforme ed elevato di protezione dei dati personali delle persone fisiche, agevolando nel contempo lo scambio di dati personali tra le autorità

competenti degli Stati membri a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, inclusi la salvaguardia e la prevenzione di minacce alla sicurezza pubblica all'interno dell'Unione e il trasferimento di tali dati personali verso paesi terzi e organizzazioni internazionali. La direttiva è il primo strumento che adotta un approccio globale alla protezione dei dati nel settore dell'applicazione del diritto penale e rappresenta uno sviluppo significativo rispetto alla precedente decisione quadro, che riguardava solo la trasmissione di dati tra Stati membri.

1 Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.

2. A norma dell'articolo 62 della direttiva, la Commissione trasmette al Parlamento europeo e al Consiglio una relazione di valutazione e sul riesame della direttiva. La prima relazione è prevista per il 6 maggio 2022 e sarà successivamente seguita da relazioni ogni quattro anni.

Lo stesso articolo prevede che, nella preparazione della suddetta relazione, la Commissione tenga conto delle posizioni e delle conclusioni del Parlamento europeo e del Consiglio, nonché di altri organismi e fonti pertinenti. La Commissione può anche richiedere informazioni agli Stati membri e alle autorità di controllo.

3. A norma dell'articolo 62 della direttiva, la Commissione esamina, in particolare,

l'applicazione e il funzionamento del capo V sul trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, con particolare riguardo alle decisioni adottate ai sensi dell'articolo 36, paragrafo 3, e dell'articolo 39 della direttiva.

4. A tale riguardo, il Consiglio ritiene che le sue conclusioni non dovrebbero limitarsi ai temi specificamente menzionati nella direttiva. Pertanto, il Consiglio incoraggia la Commissione anche a valutare e rivedere, nella sua prossima relazione, l'applicazione e il funzionamento della direttiva al di là di quanto specificamente menzionato all'articolo 62. Inoltre, la

Commissione dovrebbe prendere in considerazione la posizione e le conclusioni del Consiglio che riflettono il contributo delle autorità giudiziarie e di polizia competenti, nonché le

esperienze e i contributi dei pertinenti portatori di interessi, che contribuiranno a garantire che la valutazione sia quanto più completa possibile.

5. Nell'esaminare l'applicazione e il funzionamento del capo V della direttiva, la Commissione è invitata anche a tener conto delle osservazioni della presidenza tedesca presentate nel

documento "Presidency report on the Exchange of police data with third countries – Experiences in the application of Article 37 of the Law Enforcement Directive" (Relazione della presidenza sullo scambio dei dati di polizia con i paesi terzi - Esperienze

nell'applicazione dell'articolo 37 della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie), in appresso "relazione della presidenza", del dicembre 2020² .

6. Al fine di elaborare la posizione e le conclusioni del Consiglio, alle delegazioni è stato chiesto di inviare osservazioni scritte³. Sulla base delle osservazioni degli Stati membri, la presidenza ha preparato un progetto di testo che è stato discusso dal gruppo "Protezione dei dati" nelle riunioni del 23 settembre e del 14 ottobre e nella riunione dei consiglieri GAI

dell'8 novembre 2021. La posizione e le conclusioni del Consiglio fondate su tali lavori preparatori sono illustrate e riassunte nel presente documento.

7. Il Consiglio sottolinea che la direttiva è in vigore solo dal maggio 2018. È pertanto probabile che per risolvere la maggior parte delle diverse questioni individuate dagli Stati membri sarà estremamente utile una maggiore esperienza nell'applicazione della direttiva nei prossimi anni. Per gli Stati membri sarebbero utili anche ulteriori orientamenti, in particolare da parte del comitato europeo per la protezione dei dati ("EDPB") e, se del caso, delle autorità di controllo competenti per la protezione dei dati, nonché lo scambio di informazioni sulle prassi nazionali, le interpretazioni della Corte di giustizia dell'Unione europea e tutte le altre

decisioni giudiziarie pertinenti, ad esempio in seno al gruppo di esperti della Commissione sul regolamento (UE) 2016/679 e sulla direttiva 2016/680.

8. Il Consiglio ha formulato diverse osservazioni sull'applicazione della direttiva. Nel presente documento illustra alcune tematiche che gli Stati membri hanno ritenuto particolarmente pertinenti. Anch'esse dovrebbero trovare adeguato riscontro nella prossima relazione della Commissione.

2 Doc. 13555/1/20 REV 1.

3 Doc. 10885/21.

OSSERVAZIONI GENERALI

9. Il Consiglio ritiene che, analogamente al GDPR, la direttiva sia riuscita a fornire un'adeguata protezione dei dati personali nell'ambito di applicazione della stessa. Il Consiglio ritiene che l'introduzione della direttiva abbia avuto e continui ad avere un impatto significativo sulla sensibilizzazione e abbia ulteriormente aumentato la sicurezza del trattamento dei dati tra le autorità competenti, in particolare tra le autorità giudiziarie e di polizia. Il quadro armonizzato promuove la fiducia e contribuisce ad agevolare lo scambio di informazioni operative tra le autorità competenti, all'interno di uno Stato membro e tra gli Stati membri, oltre a fornire buoni principi generali per il trasferimento di dati personali verso paesi terzi e organizzazioni internazionali.

10. Il Consiglio mira ad assicurare un livello uniforme ed elevato di protezione dei dati personali delle persone fisiche e ad agevolare lo scambio di dati personali tra le autorità competenti degli Stati membri al fine di garantire l'efficacia della cooperazione giudiziaria in materia penale e della cooperazione di polizia. A tale riguardo, il Consiglio prende atto del dialogo in corso tra la Commissione e gli Stati membri sulle modalità di recepimento delle disposizioni della direttiva negli ordinamenti giuridici nazionali.

11. Occorre tuttavia sottolineare che la direttiva è in applicazione solo da un periodo relativamente breve. Si prevede pertanto che si potrebbero trovare soluzioni a diversi problemi con l'acquisizione da parte degli Stati membri di una maggiore esperienza nell'applicazione della direttiva.

12. Il Consiglio riconosce l'importante ruolo svolto dalle autorità nazionali di controllo competenti per la protezione dei dati nel funzionamento e nell'applicazione coerente della direttiva e del GDPR. Rileva altresì l'aumento significativo nelle attività delle autorità di controllo competenti per la protezione dei dati in connessione all'esercizio dei loro nuovi compiti e poteri concernenti il trattamento dei dati da parte delle autorità giudiziarie e di polizia come anche gli sviluppi positivi relativamente all'aumento delle risorse loro assegnate in molti Stati membri. Il Consiglio prende atto delle conclusioni dell'EDPB sul modo in cui le risorse sono assegnate alle autorità di controllo competenti per la protezione dei dati per lo svolgimento di compiti e l'assunzione di responsabilità⁴. Il Consiglio invita gli Stati membri ad assegnare sufficienti risorse umane, tecniche e finanziarie alle autorità di controllo competenti per la protezione dei dati.

4 Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities (Panoramica delle risorse rese disponibili dagli Stati membri alle autorità competenti per la protezione dei dati e delle azioni coercitive intraprese da tali autorità), 5 agosto 2021, https://edpb.europa.eu/our-work- tools/our-documents/other-guidance/overview-resources-made-available-member-states- data_en

13. Il Consiglio rileva che, nel settore dei trasferimenti internazionali di dati, è stata adottata finora una sola decisione di adeguatezza a norma della direttiva, riguardante il Regno Unito⁵. In tutti i casi diversi dal Regno Unito, le autorità competenti devono ricorrere a "garanzie adeguate" o alle deroghe di cui all'articolo 38 della direttiva. Il Consiglio ricorda che le decisioni di adeguatezza a norma dell'articolo 36 costituiscono uno strumento essenziale per agevolare i trasferimenti internazionali di dati in sicurezza e incoraggia la Commissione a compiere attivamente ulteriori passi per promuovere tale strumento presso i paesi terzi e le organizzazioni internazionali. Nel contempo, il Consiglio rileva i progressi relativi ai negoziati di importanti accordi internazionali nel settore della cooperazione ai fini

dell'applicazione del diritto penale, quali il secondo protocollo addizionale alla convenzione di Budapest, un accordo bilaterale UE-USA sull'accesso alle prove elettroniche e l'accordo quadro, che comprende e integra anche ogni eventuale accordo degli Stati membri in materia di trasferimenti con gli Stati Uniti. Gli Stati membri e la Commissione sono incoraggiati, per esempio, a esaminare in che modo sia possibile fornire maggiori informazioni e chiarimenti per garantire che tali strumenti alternativi di cui al capo V della direttiva siano applicati in modo efficace.

14. Inoltre, il Consiglio ritiene che, in questioni specifiche, possano essere d'aiuto ulteriori orientamenti forniti dalle autorità di controllo competenti per la protezione dei dati e dall'EDPB ai titolari del trattamento e ai responsabili del trattamento. Anche la prossima relazione di valutazione della Commissione potrebbe risultare utile per evidenziare l'esigenza di specifici orientamenti pratici e gli altri mezzi adeguati a soddisfare tale esigenza.

5 Decisione di esecuzione della Commissione, del 28 giugno 2021, a norma della

direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio sull'adeguata protezione dei dati personali da parte del Regno Unito (C(2021) 4801 final).

DIRITTI DEGLI INTERESSATI

15. Il Consiglio ha concluso che, sebbene numerose misure nazionali di recepimento della direttiva si basino su leggi nazionali preesistenti alla stessa, la direttiva ha rafforzato ulteriormente il livello complessivo di tutela dei cittadini. La direttiva ha sensibilizzato gli interessati in merito ai loro diritti e ha fornito un quadro comune per il loro esercizio, come dimostra, per esempio, l'aumento del numero di richieste degli interessati. A sua volta, l'esercizio dei diritti degli interessati ha contribuito anche a sensibilizzare maggiormente le autorità competenti. L'esperienza pratica mostra che gli interessati fanno ricorso

principalmente ai diritti di accesso e cancellazione, in particolare in relazione ai dati di identificazione.

16. Inoltre, il Consiglio prende atto del fatto che le autorità di controllo competenti per la protezione dei dati hanno anche il compito di sensibilizzare le autorità competenti in merito all'applicazione della direttiva. In tale contesto, il Consiglio accoglie con favore gli scambi tra le autorità competenti e le autorità di controllo competenti per la protezione dei dati intesi a migliorare ulteriormente il livello di protezione dei dati, in particolare per quanto concerne i diritti degli interessati.

TRASFERIMENTI INTERNAZIONALI DI DATI

17. Il Consiglio ritiene che le decisioni di adeguatezza siano uno strumento essenziale affinché i titolari del trattamento possano trasferire in sicurezza dati personali a paesi terzi e

organizzazioni internazionali. A tale proposito il Consiglio ritiene essenziale anche che tali decisioni di adeguatezza si basino sul rispetto di tutte le condizioni stabilite per tali decisioni, anche per quanto riguarda i trasferimenti successivi. Le decisioni di adeguatezza devono altresì essere oggetto di monitoraggio costante e riesame periodico, secondo quanto previsto dal diritto dell'Unione, cosa essenziale per garantire l'effettiva protezione dei diritti degli interessati.

18. Il Consiglio incoraggia la Commissione a compiere attivamente ulteriori passi verso l'adozione di decisioni di adeguatezza per i paesi terzi/le organizzazioni internazionali che soddisfano i criteri. Sebbene in passato abbia sottolineato che un esame del livello di protezione dei dati in un paese terzo o in un'organizzazione internazionale sarà effettuato soltanto su richiesta di tale paese terzo/organizzazione internazionale, la Commissione dovrebbe chiedere l'avvio di consultazioni sulle decisioni di adeguatezza ai sensi dell'articolo 36, paragrafo 3, della direttiva con paesi terzi/organizzazioni internazionali potenzialmente ammissibili, specialmente con importanti partner internazionali dell'Unione nel settore della cooperazione giudiziaria e di polizia, tenendo conto della portata e del tipo di trasferimenti di dati ai fini dell'applicazione del diritto penale e della probabilità che siano soddisfatte le condizioni per l'adozione di una decisione di adeguatezza. Il Consiglio invita la Commissione a mantenere uno stretto dialogo con il Consiglio sui possibili paesi prioritari per avviare un confronto sull'adeguatezza e a informare periodicamente il Consiglio in merito agli eventuali progressi, una volta che la Commissione avrà avviato tale confronto.

19. Il Consiglio ricorda la "Presidency report on the Exchange of police data with third countries – Experiences in the application of Article 37 of Law Enforcement Directive" (relazione della presidenza sullo scambio di dati di polizia con i paesi terzi e sulle esperienze nell'applicazione dell'articolo 37 della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie), del dicembre 2020. A tale riguardo, il Consiglio ritiene che gli orientamenti sulle garanzie minime siano di particolare importanza allorché uno Stato membro negozia un trattato

bilaterale di cooperazione di polizia o un trattato di mutua assistenza giudiziaria con un paese terzo o al momento dello svolgimento della valutazione ai sensi dell'articolo 37, paragrafo 1, lettera b), della direttiva.

20. A tal fine, il Consiglio ritiene che ulteriori informazioni e orientamenti possano facilitare l'uso efficace degli strumenti alternativi di cui al capo V. All'EDPB e alle autorità di controllo negli Stati membri, nella loro funzione di consulenti delle autorità competenti, spetta in tale

contesto un ruolo fondamentale. Si compiace del fatto che l'EDPB abbia incluso tale questione nella sua strategia per il periodo 2021-23 e abbia annunciato che elaborerà

orientamenti per promuovere l'uso di strumenti di trasferimento che garantiscono un livello di protezione sostanzialmente equivalente⁶. Si compiace altresì del fatto che l'EDPB abbia annunciato⁷ che includerà le conclusioni della relazione della presidenza, oltre ad altre informazioni e osservazioni degli Stati membri, nei suoi sforzi intesi a elaborare orientamenti in merito all'articolo 37 della direttiva. Invita l'EDPB a tenere conto, a tale riguardo, delle condizioni e delle esigenze pratiche legate ai trasferimenti di dati verso paesi

terzi/organizzazioni internazionali nel settore della cooperazione giudiziaria e di polizia.

SENSIBILIZZARE E RAFFORZARE LE COMPETENZE IN MATERIA DI PROTEZIONE DEI DATI

21. L'introduzione della direttiva ha prodotto e continua a produrre un impatto notevole sulla sensibilizzazione delle autorità competenti in merito all'importanza della protezione dei dati.

22. Il Consiglio apprezza il ruolo e la funzione dei responsabili della protezione dei dati (RPD), che hanno avuto un impatto positivo sulle autorità competenti per quanto riguarda la loro conformità alle norme in materia di protezione dei dati, da un lato, e la sensibilizzazione, dall'altro.

23. Riguardo alla sensibilizzazione, gli Stati membri hanno previsto lo svolgimento regolare di formazioni incentrate su temi connessi alla protezione dei dati personali, sia nel servizio amministrativo che in quello operativo; inoltre, alcuni Stati membri offrono la possibilità di formazioni online per tutti i membri del personale del servizio esecutivo e amministrativo attraverso una piattaforma di e-learning.

6 https://edpb.europa.eu/sites/default/files/files/file1/edpb_strategy2021-2023_en.pdf.

7 Lettera della presidente dell'EDPB alla rappresentanza permanente della Repubblica federale di Germania presso l'Unione europea, del 26 febbraio 2021. Cfr. il documento 6767/21.

24. Il Consiglio invita gli Stati membri a investire ulteriormente nel rafforzamento della capacità e nell'ampliamento del gruppo di esperti in cooperazione giudiziaria e di polizia specializzati nel settore della protezione dei dati, della sicurezza dei dati e della tecnologia, allo scopo di sviluppare ulteriormente la capacità delle autorità competenti di affrontare i rischi associati all'uso delle nuove tecnologie. A tale riguardo le istituzioni, le agenzie e gli organi

dell'Unione, quali la Commissione, l'ENISA, Europol, l'EDPB o il GEPD, dovrebbero sostenere gli Stati membri conformemente ai rispettivi mandati.

25. Il Consiglio incoraggia la Commissione e gli Stati membri a investire maggiormente per consolidare le competenze e le conoscenze nonché la fornitura di risorse umane, al fine di contribuire all'attuazione della direttiva nelle operazioni correnti delle autorità giudiziarie e di polizia competenti. A tale riguardo, dovrebbe essere rivolta particolare attenzione alle riunioni organizzate mediante la rete di esperti in materia di protezione dei dati di Europol (EDEN), alla diffusione delle buone prassi e allo scambio di opinioni su questioni relative alla protezione dei dati. Il Consiglio considera uno sviluppo positivo l'iniziativa della Commissione di istituire e agevolare dal punto di vista finanziario e logistico la rete dei responsabili della protezione dei dati delle autorità competenti, delle agenzie nel settore della giustizia e degli affari interni e della Procura europea. La rete è un'iniziativa permanente, che si riunisce almeno due volte l'anno e mira a uno scambio di informazioni e buone prassi sull'applicazione della direttiva tra gli RPD delle autorità competenti. I rappresentanti della rete dovrebbero garantire la complementarità del loro lavoro.

SICUREZZA DEL TRATTAMENTO

26. La direttiva contribuisce a garantire la sicurezza del trattamento dei dati personali, anche migliorando il livello di sicurezza dei dati nel settore dell'applicazione della legge, i piani di sicurezza, la modernizzazione dei sistemi informatici e delle misure organizzative, la valutazione d'impatto sulla protezione dei dati e la tenuta dei registri di sistema. Sebbene si tratti di un processo in corso e permangano sfide pratiche per le autorità competenti a tale riguardo, per esempio al momento di effettuare valutazioni d'impatto sulla protezione dei dati, il Consiglio riconosce i miglioramenti apportati dall'applicazione della direttiva sulla

sicurezza dei dati.

SVILUPPO DI NUOVE TECNOLOGIE

27. Il Consiglio sottolinea l'importanza della neutralità tecnologica della direttiva, che consente un continuo sviluppo tecnologico.

28. Il Consiglio invita la Commissione a tenere presente che nuove iniziative come quelle nel settore dell'intelligenza artificiale non devono provocare un disallineamento tra le nuove iniziative legislative e gli strumenti orizzontali di protezione dei dati. Il Consiglio è del parere che qualsiasi iniziativa legislativa e non legislativa nei pertinenti settori strategici e normativi dell'UE dovrebbe essere in linea con il quadro dell'UE in materia di protezione dei dati.