[doc. web n. 1624697]

Accordo Italia-Usa: cooperazione per la prevenzione e lotta alle forme gravi di criminalità - 28 maggio 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

Vista la richiesta di parere del Ministero degli affari esteri;

Visto lo schema di Accordo fra il Governo della Repubblica Italiana e il Governo degli Stati Uniti d´America, sul rafforzamento della cooperazione nella prevenzione e lotta alle forme gravi di criminalità;

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

Esprime il seguente:

PARERE

1. Osservazioni di carattere metodologico.
Preliminarmente, si prende atto che – come confermato anche dal Ministero dell´Interno per le vie brevi - nonostante la mancata menzione, all´articolo 24, del deposito degli strumenti di ratifica o dell´espletamento delle procedure interne di ratifica, quale condizione per l´entrata in vigore dell´Accordo, esso è comunque soggetto, ai sensi dell´articolo 80 della Costituzione, alla procedura ordinaria di adattamento, comprensiva della legge recante autorizzazione alla ratifica e ordine di esecuzione.

Per quanto riguarda la conformità dell´Accordo alla legislazione nazionale in materia di protezione dei dati personali, si ravvisa la necessità di trasporre all´interno dell´articolato la clausola di conformità prevista nell´ultimo capoverso del Preambolo, al fine di renderla pienamente vincolante.

In assenza di tale precisazione, infatti, tutte le disposizioni dell´Accordo che – a differenza di altre – non recano tale clausola di conformità, rischiano, per quanto di specifico interesse di questa Autorità, di potersi ritenere idonee a derogare alla normativa a tutela dei dati personali.

In questa prospettiva, sarebbe auspicabile conformare la definizione di "dati personali" di cui all´articolo 1, comma 2, a quella prevista dal Codice in materia di protezione dei dati personali; in ogni caso è necessario chiarire che anche i "dati di riferimento" di cui all´articolo 1, comma 4, sono inclusi nella definizione di "dati personali".

In linea generale, al fine di evitare possibili controversie interpretative, appare opportuno eliminare ogni divergenza – talora ricorrente- tra il testo inglese e quello italiano.

In particolare, in merito alle procedure di interrogazione automatizzata degli archivi, si prende atto che, in relazione ai dati dattiloscopici, l´articolo 4 – il cui testo, nella traduzione italiana, reca talune differenze rispetto alla versione inglese – prevede un sistema di accesso diretto, diverso da quello (che appare invece preferibile) dell´accesso mediato dal punto di contatto nazionale, delineato dall´articolo 7 in riferimento ai profili del DNA. Appare comunque opportuno prevedere, pur nell´ambito delle procedure delineate dall´articolo 4, un sistema di notifica preventiva o almeno contestuale, al punto di contatto nazionale interrogato, dell´accesso da parte del richiedente, anche al fine di consentire al punto di contatto nazionale di verificare che le interrogazioni sono effettuate "solo caso per caso e nel rispetto della legislazione nazionale".

Inoltre, sarebbe opportuno conformare pienamente al testo inglese l´articolo 4, comma 1 – nella parte in cui si riferisce a "sistemi automatizzati di identificazione all´uopo creati" – chiarendo che la norma non comporta necessariamente l´istituzione di nuove banche dati, come è auspicabile e come pare potersi evincere dalla versione inglese dell´Accordo.

2. Legge di ratifica.
La legge recante autorizzazione alla ratifica costituisce uno strumento importante per elevare lo standard di garanzie, correlate al trattamento dei dati personali per le finalità di cooperazione investigativa perseguite dall´Accordo.

In tal senso, si auspica fin d´ora che nella legge di ratifica siano inserite specifiche garanzie di conformità dei trattamenti di dati previsti dall´Accordo, rispetto alla legislazione in materia di protezione dei dati personali, sulla scorta di quanto previsto, ad esempio, dall´articolo 20 del disegno di legge per l´adesione al Trattato di Prüm (AS 586-B e abbinati).

Inoltre, sarà opportuno che nella legge di ratifica sia previsto un sistema di monitoraggio in ordine all´attuazione dell´Accordo, al fine di valutare, anche con riferimento alla protezione dei dati personali, eventuali esigenze di aggiornamento o modifica, che dovessero sopravvenire.

Infine, si ritiene opportuno che la legge di ratifica preveda l´acquisizione del parere del Garante nel procedimento di definizione degli accordi e delle intese previsti per l´attuazione dell´Accordo (articoli 5, 8 e 15), per le parti di specifica competenza in merito alla protezione dei dati personali.

3. Specifici aspetti critici.
Anche al fine di conformare le disposizioni dell´Accordo a quelle del Trattato di Prüm, peraltro espressamente richiamato dal Preambolo, sarebbe auspicabile precisare, in conformità a quanto previsto da tale Trattato, la tipologia delle "gravi forme di criminalità" il cui contrasto legittima lo scambio informativo dei dati, anche in considerazione della rilevante difformità dei sistemi penali italiano e statunitense, nonché delle relative qualificazioni giuridiche e delle comminatorie edittali. Tale precisazione potrebbe in particolare essere  contenuta nelle "intese di attuazione" richiamate dagli articoli 5, comma 2  e  8, comma 2.

Inoltre, sempre in un´ottica di armonizzazione dell´Accordo al Trattato di Prüm e nel rispetto dei principi di proporzionalità e ragionevolezza, sarebbe auspicabile circoscrivere ulteriormente la sfera di applicazione dell´articolo 10 (che si riferisce invece, tra l´altro, a chi abbia commesso un "reato grave"), prevedendo presupposti più rigorosi, anche in considerazione del fatto che la norma disciplina scambi informativi non richiesti, dunque effettuati spontaneamente e anche in assenza di esigenze investigative attuali. Sempre con riferimento a questa fattispecie, appare opportuno rendere maggiormente tassativa la disposizione di cui all´articolo 10, comma 2 - il cui dettato appare eccessivamente generico - individuando puntualmente i dati personali che possono essere trasmessi nell´ambito di questa forma di cooperazione e sopprimendo, di conseguenza, l´avverbio "anche" attualmente posto all´inizio dell´elencazione.

Per quanto concerne l´articolo 11, comma 1, non sembra che tale norma preveda una "clausola del Paese più virtuoso", limitandosi anzi a "riconoscere" come ogni Parte garantisca un analogo livello di protezione dei dati personali. Pertanto, ove si intenda mantenere fermo il principio del "riconoscimento", occorre sostituire, in tema di livello di protezione dei dati personali, il termine "analogo" con "equivalente".

Riguardo ai "limiti al trattamento ai fini della protezione dei dati personali e di altre informazioni" (articolo 12), si segnala l´opportunità di sopprimere la lettera c) del comma 1, la cui eccessiva genericità rischia di legittimare il trattamento di dati personali per finalità del tutto estranee all´Accordo e per le quali i dati sono stati acquisiti. Per le medesime ragioni, appare opportuno sostituire la lettera d) del comma 1 con la seguente: "d) per  qualsiasi altro scopo compatibile con le finalità di cui all´articolo 2, soltanto con il previo consenso della Parte che ha trasmesso i dati, reso conformemente alla propria legislazione nazionale".

All´articolo 14, comma 2, lett. a), deve essere precisato che la registrazione della trasmissione e del ricevimento dei dati comunicati all´altra Parte, prevista per finalità di controllo, comprende non già il dato trasmesso, ma le sole informazioni ad esso relative.

Infine, all´articolo 16, che disciplina l´accesso dell´interessato ai dati personali che lo riguardano, appare opportuno perfezionare la lettera a) del comma 2 -la cui formulazione eccessivamente generica rischia di comprimere eccessivamente il diritto dell´interessato al controllo sul trattamento dei propri dati personali- nei termini seguenti: "a) le specifiche finalità per le quali i dati sono stati richiesti e ottenuti".

Roma, 28 maggio 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Patroni Griffi