Il 25 novembre 2013 la Commissione ha adottato una proposta di modifica del regolamento (CE) n. 515/97 del 13 marzo 1997 relativo alla mutua assistenza tra le autorità amministrative degli Stati membri e alla collaborazione tra queste e la Commissione per assicurare la corretta applicazione delle normative doganale e agricola. La proposta è stata trasmessa al Garante europeo della protezione dei datiper consultazione il 29 novembre 2013 per l’acquisizione del relativo parere.
Il regolamento (CE) n. 515/97 rappresenta uno dei più importanti strumenti giuridici di azione contro le violazioni della normativa doganale. L’obiettivo delle modifiche è quello di rendere più efficaci l’esecuzione e la cooperazione in questo settore del diritto dell’UE. In relazione al monitoraggio delle merci, introduce nuovi obblighi per i vettori di fornire alla Commissione informazioni relative ai movimenti dei container (i cosiddetti Container Status Messages – CSM), ma mira anche a semplificare le regole di organizzazione della banca dati centrale per i dati di importazione, esportazione e transito per migliorare l’analisi dei flussi di merci.
La proposta introduce altresì la possibilità per la Commissione di ottenere direttamente dagli operatori del settore privato i documenti giustificativi che accompagnano le dichiarazioni di importazione e di esportazione, con l’esplicito scopo di accelerare le indagini dell’OLAF. La proposta ha inoltre l’obiettivo dichiarato di semplificare e armonizzare le norme in materia di controllo delle disposizioni sulla protezione dei dati applicabili alle diverse banche dati istituite sulla base del regolamento. Essa introduce un periodo massimo di conservazione dei dati memorizzati nel sistema d’informazione doganale (SID) (3) e nelle altre banche dati.
Il Garante ha accolto con favore le modifiche che la Commissione ha apportato alla proposta al fine di migliorarne la conformità alla normativa in materia di protezione dei dati. Tuttavia, va notato che la proposta contiene anche alcune carenze piuttosto gravi che devono essere eliminate prima della sua adozione definitiva. Esso inoltre sottolinea che la Commissione avrebbe dovuto adottare un approccio più completo alla normativa in materia di assistenza reciproca nel settore doganale per adeguarla i cambiamenti introdotti dal trattato di Lisbona, in particolare decidendo di eliminare la duplice base regolamento/decisione e di sostituirla con uno strumento unico basato esclusivamente sul TFUE, al fine di garantire la certezza del diritto e un regime di protezione dei dati uniforme.
Per tali ragioni il garante in ogni caso raccomanda l’introduzione di un nuovo modello per il controllo di tutte le banche dati che implicano il trattamento di dati personali istituite sulla base del regolamento e della proposta (vale a dire il SID – compreso FIDE -, il repertorio di dati europeo e il repertorio dei dati relativi alle importazioni, alle esportazioni e al transito). Tale modello sarebbe basato sul controllo coordinato che ha una struttura a tre strati: autorità preposte alla protezione dei dati a livello nazionale, Garante privacy a livello centrale e coordinamento tra questi, la designazione del GEPD come segreteria di coordinamento del controllo ai sensi sia della decisione che del regolamento, l’introduzione di una disposizione generale nel testo della proposta per chiarire che il regolamento 45/2001 si applica al trattamento di dati personali effettuato dalle istituzioni dell’Unione e che le leggi nazionali di attuazione della direttiva 95/46/CE sono applicabili al trattamento effettuato dalle autorità competenti nei vari Stati membri,la sostituzione di varie disposizioni frammentate con prescrizioni uniformi che specificano per ogni banca dati (i) il ruolo della Commissione come responsabile del trattamento o, eventualmente, corresponsabile del trattamento con le autorità nazionali competenti; (ii) se necessario per motivi di chiarezza, il ruolo di controllo del Garante dove la Commissione è il responsabile del trattamento, in contrapposizione ai casi in cui il trattamento è soggetto al controllo delle autorità nazionali di protezione dei dati; (iii) le misure tecniche che saranno adottate dalla Commissione al fine di garantire la sicurezza del trattamento (eventualmente, le misure specifiche potrebbero essere inserite in un atto delegato, al fine di garantire un aggiornamento più flessibile); e (iv) la necessità di un controllo preventivo da parte del Garante ai sensi dell’articolo 27 del regolamento 45/2001, che i periodi di conservazione introdotti siano riconsiderati sulla base di una valutazione della necessità della durata per ogni caso specifico; inoltre, le disposizioni in materia di anonimizzazione dei dati devono essere modificate al fine di richiedere la cancellazione dei dati,per quanto riguarda la banca dati dei CSM, la proposta dovrebbe indicare un elenco completo dei dati da inserire. In alternativa, il testo della proposta dovrebbe esplicitamente vietare l’inserimento di dati personali in tale banca dati.
Allegati: 2014 – Garante Europeo Protezione Dati – Parere – 11072014