La gestione dei dati personali in Europol

Alessandro Leonardi (*)


1. Premessa

La previsione in seno al Trattato di Maastricht di una specifica norma sulla cooperazione di polizia tra gli Stati membri dell’Unione Europea segnò l’inizio di un articolato cammino che giunge alla meta di un assetto parzialmente definitivo con la novella di Amsterdam; fra i due grandi momenti della codificazione della nuova Unione Europea si inseriscono i fondamentali capitoli dell’Azione comune 95/73/GAI(1), istitutiva dell’Unità Europea Antidroga, e la stipula di un atto destinato a porsi come il caposaldo della moderna cooperazione tra le law enforcement agencies degli Stati membri dell’Unione, la Convenzione del 1995 con cui si istituisce un Ufficio Europeo di polizia.Gli artt. 29 e 30 del Trattato di Amsterdam individuano quale scopo dell’Europol lo sviluppo della cooperazione di polizia mediante la prevenzione e la lotta al crimine organizzato, da attuarsi tramite la raccolta, la conservazione, l’elaborazione, l’analisi e lo scambio delle principali informazioni (2), comprese quelle, in possesso delle forze di polizia, concernenti le transazioni finanziarie sospette, nel rispetto delle norme sulla protezione sui dati personali, e già nel preambolo della stessa Convenzione il mezzo con cui raggiungere l’obiettivo dello sviluppo della cooperazione di polizia viene individuato nel costante, confidenziale ed intensivo scambio di informazioni.L’art. 2 par. 1 della Convenzione individua poi l’obiettivo dell’Europol nel miglioramento dell’efficacia dei servizi competenti degli Stati membri e della loro cooperazione, al fine di prevenire e combattere il terrorismo, il traffico illecito di stupefacenti ed altre forme gravi di criminalità internazionale.Questi i dati normativi da cui viene configurata la struttura dell’attività di Europol secondo i caratteri di attività di intelligence.Con questo termine, derivante dalla cultura anglosassone, vengono intesi sia il processo logico attraverso il quale è possibile ottenere, interpretare, elaborare, assemblare un complesso di informazioni al fine di attribuire loro un significato unitario, sia il complesso di informazioni e di dati finali in sé considerati.Originariamente utilizzato per le informazioni di carattere militare, il termine passò ad indicare in modo particolare l’attività di spionaggio, Il complesso delle informazioni ottenute tramite attività di intelligence tuttavia è per definizione caratterizzato dalla destinazione esclusiva ai fini di polizia (si pensi alla “confidenzialità” delle informazioni, richiesta dal preambolo della Convenzione), e per questa caratteristica si distingue e si contrappone ad un secondo modello operativo delle funzioni di polizia, denominato evidence e volto al conseguimento di prove in senso pieno, con ciò avvicinandosi di più e talora identificandosi con l’attività di Polizia Giudiziaria(3).Un così coinvolgente impegno normativo comune denuncia l’esigenza di una forte sinergia tra i protagonisti operativi dell’attività investigativa, specificamente mirata alla prevenzione di una criminalità organizzata sempre più articolata e penetrante: nonostante l’altissimo livello di qualità professionale dei soggetti nazionali deputati a svolgere compiti di investigazione, la pura cooperazione internazionale tra singole forze di polizia correva il pericolo di non riuscire più a fronteggiare in maniera apprezzabile, in assenza di una struttura stabile di raccordo fra le stesse, una fenomenologia criminale che per il conseguimento dei propri fini illeciti fa leva su una ramificazione capillarizzata all’interno di più Stati; da cui la necessità di dotare di strumenti di alta efficacia l’opera di contrasto alle attività criminali transnazionali, che tuttavia tenesse conto delle peculiarità storiche e sociologiche dei fenomeni criminali collegati ad una precisa area geografica, l’Europa.


2. Struttura generale

La gestione dei dati ottenuti tramite attività di intelligence rappresenta uno degli aspetti centrali del sistema Europol, sia per il regime di conservazione, cui la Convenzione dedica i titoli II e III, sia per il trattamento e l’utilizzo delle informazioni, cui è dedicato l’ampio titolo IV. A ciò si aggiunge il Regolamento interno.
L’art. 6 Conv. in prima definizione delinea la struttura del sistema informatizzato, per cui questo si sviluppa su:un sistema di informazioni, che viene regolato dal successivo art. 7 e si caratterizza per il contenuto limitato e definito con precisione e la cui finalità consiste nel rapido accertamento del livello di informazioni a disposizione dell’Europol e degli Stati membri;gli archivi di lavoro previsti dall’art. 10, disciplinati da un apposito regolamento interno, che estende a questi archivi il sistema di tutela dei dati denominato 4x4, ed istituiti per una durata variabile. Le informazioni contenute in questi archivi sono quelle specificamente utilizzate per l’analisi criminale, e sono accessibili unicamente all’Europol ed agli Stati membri coinvolti in un progetto di analisi.il sistema di indice, correlato agli archivi di lavoro ed accessibile a tutti gli Stati membri.Il par. 2 dell’articolo in esame dispone tassativamente che il sistema informatizzato di raccolta di informazioni di cui si avvale Europol e da esso formato, non deve in alcun caso essere collegato ad altri sistemi di trattamento automatizzato, eccezion fatta per quelli delle Unità nazionali Europol, previste e regolate dall’art. 4 Conv. Al più, nel rispetto di particolari condizioni richieste dall’art. 18, i dati di carattere personale contenuti nell’archivio di lavoro di cui all’art. 10 possono essere trasmessi a Stati ed Organismi terzi.Il sistema informatizzato di Europol si va così ad aggiungere alle precedenti esperienze di settore, come il sistema telematico di tipo X-400 utilizzato dall’OIPC-INTERPOL ed il Sistema Informatico Schengen, differenziandosi però da entrambi non solo per la destinazione esclusiva ai fini di polizia delle informazioni in esso contenute, ma soprattutto per il livello di tutela assoluta del diritto alla riservatezza dei soggetti cui si riferiscono i dati che lo compongono, secondo rigide disposizioni che esamineremo.La costruzione del sistema informatizzato è iniziata già nel 1995, e i Ministri della Giustizia e degli Affari Interni hanno deciso di procedere ad attivare entro il 1999 un sistema interinale, in attesa del sistema definitivo che sarebbe dovuto entrare in funzione entro il 2000: attualmente i sistemi di indice e gli archivi di analisi sono strutture operative, mentre entro il 2001 è previsto l’inizio dell’operatività del sistema di informazione.


3. Il sistema di informazione

Il sistema informatizzato di informazione è accessibile per la consultazione solo ai soggetti elencati dall’art. 7: Ufficiali di collegamento, Agenti Europol, Direttore e Vicedirettori. Le Unità nazionali possono accedere direttamente, solo per ottenere informazioni sugli elementi di identità di soggetti che presumibilmente stiano per compiere reati di competenza dell’Europol; o indirettamente, tramite gli ufficiali di collegamento per le esigenze correlate ad un’indagine determinata.Il sistema è alimentato da due flussi di informazioni: il primo proviene direttamente dagli Stati membri, per il tramite di ELOs ed UU.NN.E., mentre il secondo, comprensivo sia di dati comunicati da Stati od organismi terzi sia dei dati prodotti dall’attività di analisi dello staff Europol, proviene dalle strutture interne dell’Ufficio.Il contenuto del sistema si suddivide in relazione alla previsione di due categorie di soggetti (targets) considerati di rilievo nel testo della Convenzione, segnatamente coloro che hanno già commesso reati di competenza dell’Europol o che sono sospettati di averne commessi, e coloro per i quali invece si può presumere, secondo la loro legislazione nazionale ed in seguito a determinati fatti gravi, che ne commetteranno in futuro.I dati relativi alle summenzionate categorie di persone possono riguardare tassativamente alcuni aspetti anagrafici delle stesse, nonché alcuni elementi relativi al modus operandi; nell’ipotesi in cui il procedimento penale interno contro l’interessato venga definitivamente archiviato o quest’ultimo sia assolto, i dati che lo riguardano dovranno essere cancellati dal sistema. Europol vigila sulle disposizioni sulla cooperazione e sulla gestione del sistema, e ne è responsabile per il corretto funzionamento e per la manutenzione tecnica.Elemento caratterizzante l’intero sistema è che, salve le esposte competenze e responsabilità di Europol, esclusivo gestore delle informazioni trasmesse rimane il cosiddetto Ente originatore: questi, secondo il par. 2 dell’art. 9 in materia di diritto di accesso al sistema di informazione, è autorizzato a modificare, rettificare, cancellare i dati introdotti, anche su segnalazione di altre unità che riscontrassero delle imprecisioni nei dati. Libero, invece, rimane il regime di ampliamento dei dati considerati dal par. 3, per cui ogni unità può introdurre nuove informazioni che riguardano uno dei soggetti considerati dall’art. 8 che sia già stato segnalato da un’altra unità, per ciò che riguarda elementi di fatto e circostanze diverse dalle informazioni di natura anagrafica.In ogni caso, l’unità che richiama, introduce, modifica dati nel sistema di informazione è responsabile della legittimità di tali operazioni, e deve sempre poter essere individuata(4).


4. Archivi di lavoro per i fini di analisi

Contengono tutti i dati utili che non debbano essere destinati al sistema di informazione e che verranno utilizzati per l’analisi strategica od operativa dei fenomeni criminali, con accesso limitato all’Europol ed agli altri Stati membri che siano coinvolti in un progetto di analisi; per “analisi”, il par. 2 dell’art. 10 Conv. definisce la raccolta, il trattamento o l’utilizzazione di dati con lo scopo di venire in aiuto all’indagine criminale. Tali dati, per l’art. 1 par. a) del Reg., consistono in qualsiasi informazione concernente una persona fisica(5) che sia identificata, o quantomeno identificabile, direttamente od indirettamente, mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici sull’identità fisica, fisiologica, psichica, economica, culturale o sociale. È evidente che questi archivi, poiché costituiscono la base dell’analisi di intelligence che riassume l’essenza dell’attività di Europol, rappresentano il nucleo fondamentale di tutto il sistema informatizzato, il cuore dell’Ufficio, e devono essere considerati come una delle innovazioni più rilevanti della moderna cooperazione di polizia, concorrendo in maniera determinante a formare il valore aggiunto del sistema Europol in generale.a) Costituzione degli archiviLa procedura di decisione di costituzione si apre con una proposta dell’Europol, in persona del suo direttore, o formulata su iniziativa degli Stati membri, che, ai sensi dell’art. 12 Conv., deve indicare:denominazione dell’archivio;scopo dell’archivio;categorie di persone su cui si archiviano i dati;tipo dei dati da memorizzare, tenuto conto della Convenzione del Consiglio d’Europa del 1981;i vari tipi di dati di carattere personale che servono per accedere all’archivio nel suo insieme ed altri elementi necessari alla trasmissione ed ai controlli relativi ai dati.
La proposta viene indirizzata al consiglio di amministrazione che decide se rendere o meno la propria approvazione.Contemporaneamente, deve essere avvertita della proposta l’Autorità comune di controllo che, entro due mesi dalla ricezione della stessa, formula i propri rilievi al consiglio di amministrazione; rappresentanti dell’Autorità possono essere invitati dal consiglio a partecipare al dibattito relativo alle decisioni costitutive degli archivi.Tale procedura, che si conclude con la decisione costitutiva dell’archivio approvata a maggioranza dei due terzi del consiglio, deve essere seguita anche nel caso di modifiche ad un archivio precedentemente costituito.La conservazione dei dati di carattere personale è soggetta a revisione annuale ed in ogni caso tali dati non possono essere detenuti per più di tre anni dal momento dell’immissione: tale termine decorre ogni volta che viene introdotto un determinato dato, ragion per cui se, per il nuovo decorso del termine, i dati personali sono conservati per più di cinque anni l’autorità di controllo comune ne viene informata e può così esprimere i propri rilievi, sottoponendo la questione al direttore, nel caso in cui ravvisi una violazione delle norme regolamentari comportante obbligo di cancellazione del dato considerato.L’art. 15 del Regolamento interno stabilisce che i dati personali e i risultati dell’attività di analisi trasmessi da questi archivi possono essere utilizzati solo in relazione allo scopo di quel determinato file o per contrastare altre forme di criminalità di particolare entità, nel rispetto di tutte le restrizioni presenti nel testo della Convenzione e relative all’utilizzo dei dati; i risultati di un archivio di lavoro per fini di analisi possono essere conservati nel sistema informatizzato, in un archivio separato, per un periodo massimo di tre anni dalla chiusura dell’archivio stesso: decorso tale termine, i dati possono ancora essere conservati, ma in forma di dossier cartaceo (art. 15 reg.).Ogni progetto di analisi comporta la costituzione di un gruppo di analisi cui partecipano, ognuno per le proprie funzioni e competenze, gli analisti e gli agenti Europol, nonché gli ufficiali di collegamento insieme agli esperti degli Stati membri che hanno emanato le informazioni o che sono interessati all’analisi. All’interno di questi gruppi, solo gli analisti sono autorizzati a introdurre e a ricercare i dati nell’archivio considerato.Circa la gestione dei flussi informativi, va rilevato che i dati provenienti da uno Stato membro giungono ad Europol per il tramite esclusivo dell’unità nazionale e degli ufficiali di collegamento da essa dipendenti; ciò in base ad una richiesta formulata dall’ufficio o per iniziativa autonoma dei suddetti Stati, che trasmettono i dati soltanto qualora la loro legislazione nazionale ne permetta il trattamento(6) a scopo di prevenzione o analisi dei reati, oppure di lotta contro gli stessi, e le unità nazionali di riferimento, una volta che sia stato già costituito un determinato gruppo di analisi, possono inviare direttamente a quest’ultimo i dati, anche senza il tramite degli ufficiali di collegamento, utilizzando i mezzi più idonei(7) secondo il grado di sensibilità delle informazioni. Europol conserva la facoltà di promuovere il completamento delle informazioni depositate nei suoi archivi tramite richieste rivolte a soggetti diversi dagli Stati membri, secondo modalità che sono state deliberate dal Consiglio U.E.(8).Europol potrà interpellare la Comunità Europea e gli organismi di diritto pubblico istituiti in base ai Trattati costitutivi della C.E., gli altri organismi di diritto pubblico istituiti nell’ambito U.E., gli organismi esistenti in base ad accordi tra più Stati membri dell’U.E. (si pensi al S.I.S. degli Accordi di Schengen), gli Stati terzi, le organizzazioni internazionali e, naturalmente, l’Interpol. Tutti questi soggetti possono autonomamente decidere di instaurare un dialogo con Europol, ed anche in questo caso l’Ufficio potrà accettare informazioni provenienti da essi, alle stesse condizioni ed attraverso i medesimi canali.Una particolare ipotesi è poi prevista dall’art. 16 Reg.: nel caso in cui risulti evidente che le informazioni contenute in un archivio possono essere importanti anche per altri archivi, si potrà avviare una procedura di associazione degli archivi, con due diversi sviluppi a seconda che si decida di procedere all’interconnessione degli archivi (i precedenti archivi vengono fusi in un nuovo e diverso archivio) o al semplice trasferimento dei dati da un archivio ad un altro.b) Procedura d’urgenzaL’art. 12 Reg. disciplina la procedura d’urgenza per la costituzione di archivi.
Ogni singolo archivio per finalità di analisi deve essere costituito con l’approvazione del Consiglio di Amministrazione dell’Ufficio, salvo che particolari ragioni di urgenza non consentano di attendere le decisioni di quest’Organo.In quest’ultima ipotesi, il Direttore potrà senz’altro procedere alla costituzione dell’archivio, dandone tuttavia tempestivo avviso al Consiglio di Amministrazione e motivandone per iscritto l’urgenza. In tale comunicazione il Direttore deve inoltre indicare la denominazione dell’archivio, l’oggetto e gli obiettivi. Va rilevato che tuttavia occorre comunque avviare la procedura ordinaria di costituzione ex art. 12, e l’attività di analisi conseguente alla costituzione dell’archivio potrà essere validamente intrapresa soltanto dopo l’avvio di tale procedura, mentre i risultati finali dell’analisi potranno essere trasmessi solo quando il consiglio di amministrazione, sempre nell’ambito della parallela procedura ordinaria intanto in corso, ha dato la sua approvazione alla decisione costitutiva(9). Se il consiglio di amministrazione nega l’approvazione, i dati già raccolti vengono immediatamente cancellati (art. 12 par. 3 Reg.). c) Contenuto degli archiviPer gli archivi destinati ad analisi operative, quindi per casi specifici, il par. 1 dell’art. 10 Reg. fissa le categorie di persone in relazione alle quali possono essere memorizzati i dati. Esse sono:a. Persone di cui all’art. 8 par. 1
L’art. 8, nel definire il contenuto del sistema di informazione, individua due precise categorie di soggetti i cui dati possono essere memorizzati: specificamente, si tratta di soggetti che:sono sospettati, in base alla legislazione nazionale dello Stato membro originatore dell’informazione, di aver commesso un reato o di avervi partecipato, o che sono stati condannati per un tale reato se l’Europol è competente;di cui, in base alla legislazione nazionale, si può presumere, in seguito a determinati fatti gravi, che commetteranno reati di competenza Europol. A differenza del contenuto limitato del sistema di informazione, per ognuno di questi soggetti gli archivi di analisi, in base all’art. 6 par. 2 Reg., possono contenere fino a più di 70 diverse categorie di dati di carattere personale, oltre ai dati amministrativi correlati.b. Persone che potrebbero intervenire come testi
Oltre ai diretti autori dei reati considerati nel mandato Europol, gli archivi possono contenere informazioni relative a soggetti diversi, ma sempre collegati all’ambito complessivo di un’indagine. Le persone contemplate dal punto 2 dell’art. 10 par. 1 Conv. vengono indicate dal par. 5 art. 6 Reg. come i potenziali testimoni che possono intervenire sia nel corso delle indagini sui reati considerati, sia nei procedimenti penali conseguenti. I relativi dati che possono essere inseriti negli archivi, oltre quelli anagrafici, fisici, identificativi, riguardano le informazioni che gli stessi forniscono, la necessità di garantirne l’anonimato, la protezione loro garantita, l’eventuale nuova identità, la possibilità di partecipare alle udienze in tribunale. In caso di necessità, possono essere memorizzate altre categorie di dati, sempre entro i limiti complessivi previsti per i dati che riguardano gli autori del reato.c. Persone già vittime di reati o che potrebbero esserlo
Si tratta di un’importante specificazione sul piano soggettivo di quella categoria generale di obiettivi sensibili verso cui Europol appresta dei piani di difesa tramite attività di analisi: anche per questa particolare categoria di soggetti possono essere memorizzati dati anagrafici, fisici, identificativi, e in aggiunta dati relativi al motivo della vittimizzazione, ai danni, di qualunque natura essi siano, alla necessità di garantirne l’anonimato, alla possibilità per gli stessi di partecipare alle udienze in tribunale, alle informazioni fornite dagli stessi o per loro tramite in merito al reato.d. Persone di contatto o di accompagnamento
L’art. 10 par. 1, punto 4, considera anche persone diverse dai potenziali colpevoli dei reati di competenza Europol: si tratta delle cosiddette persone di contatto o accompagnamento, che l’art. 6 par. 3 Reg. definisce come coloro che hanno contatti non occasionali con le persone direttamente prese in considerazione dall’art. 10 Conv., qualora vi sia motivo di supporre che le informazioni che si riferiscono a tali persone e che sono considerate importanti ai fini dell’analisi possano essere ottenute per loro tramite. Poiché si tratta di soggetti sui quali non ricade direttamente l’attività di analisi, la memorizzazione dei loro dati deve essere giustificata da ragioni di strettissima necessità e, a tali fini, l’Ufficio dovrà seguire criteri di celerità nel chiarire i rapporti che intercorrono tra i soggetti principali e i soggetti connessi e nel cancellare i dati relativi a questi ultimi qualora la supposta necessità di tali dati per l’analisi dovesse rivelarsi infondata. Nessun rilievo hanno invece i soggetti a propria volta collegati a persone di contatto o di accompagnamento, e i dati ad essi relativi non potranno in alcun caso essere rilevati.e. Persone che possono fornire informazioni sui reati considerati
Si tratta in linea di massima degli informatori di polizia, o soggetti che hanno concluso la propria esperienza deviante ponendosi in contrapposizione con l’organizzazione criminale di cui prima facevano parte, o soggetti che, pur continuando a far parte di un’organizzazione criminale, decidono di collaborare fattivamente con le Autorità giudiziaria e di pubblica sicurezza: che si tratti di tale categoria di soggetti, specificamente considerata, si può dedurre dai tipi di dati che possono essere immessi negli archivi, laddove la lettera H del par. 6 fa riferimento alle ricompense, siano essi contributi finanziari o favori personali di cui le persone in questione hanno goduto per i loro servizi, quale peculiare tipo di informazione che può essere archiviata in relazione ad essi. Più oscuro è il significato da attribuire ad un’altra categoria di dati considerati dal par. 6, le esperienze negative (lett. G): nel silenzio della norma, infatti, possono darsi almeno due interpretazioni di segno opposto, potendosi intendere come esperienza negativa sia quella dello stesso soggetto considerato(10), sia quella delle stesse autorità di polizia(11) che avessero già avuto contatti con il soggetto stesso. In entrambi i casi, tuttavia, appare chiara la ratio della valutazione, diretta o indiretta, dell’attendibilità della fonte.


5. La classificazione di fonti ed informazioni

Occorre brevemente illustrare le modalità con cui diviene possibile assemblare una banca dati altamente specializzata come quella degli archivi di lavoro a fini di analisi.
Le fonti di base da cui vengono tratte le informazioni destinate a confluire nel sistema informatizzato degli archivi di analisi, nell’attività di intelligence vengono tradizionalmente tripartite tra fonti aperte, fonti chiuse, informazioni classificate(12).Fonti aperte. Si tratta, come da definizione, di fonti di informazione legalmente accessibili a chiunque e sono caratterizzate dall’essere consultabili senza particolari ostacoli, giuridici o di fatto. A titolo di esempio si possono citare radio, televisione, agenzie giornalistiche, pubblicazioni scientifiche, mappe, biblioteche, letteratura, nonché la cosiddetta grey literature, un’area di fonti di informazioni non classificabili, che consiste in documenti mai pubblicati ufficialmente né tuttavia coperti da alcun tipo di limitazione nella consultazione: queste fonti possono essere rappresentate da rapporti di ricerca, tecnici, economici, di viaggio, in documenti governativi non ufficiali, in dissertazioni e relazioni et similia.Fonti chiuse. Consistono in data bases contenenti informazioni assemblate per uno scopo specifico e caratterizzate da accesso e distribuzione limitati. Nell’ambito che qui interessa, in genere si tratta di informazioni di natura personale raccolte dalle forze di polizia in occasione di specifiche operazioni (informazioni ad accesso fortemente limitato) oppure di informazioni contenute in archivi nazionali con accesso limitato esclusivamente al personale delle forze di polizia (ad es. dati relativi a fenomeni criminali o dati specifici contenuti in registri automobilistici).Informazione classificata. È un’informazione assunta in regime di assoluta segretezza, da fonte umana (confidenti di polizia, persone informate sui fatti) o da fonte tecnologica. A fronte della difficoltà e del rischio che accompagnano il conseguimento di questo tipo di informazione, si pone la caratteristica di un alto grado di affidabilità relativa, nel senso che questo tipo di informazione giova generalmente come preziosa “chiave di lettura” di informazioni provenienti da fonte aperta o da fonte chiusa e come strumento di collegamento tra queste ultime.Il quadro va completato con la previsione normativa del Regolamento interno, il cui Capitolo II stabilisce le modalità di classificazione dei tipi di archivi e di valutazione della fonte e dell’informazione.Con riguardo al primo aspetto, si può immediatamente rilevare che la suddivisione teorica tra analisi operativa ed analisi strategica viene traslata ed applicata alla struttura di gestione dei dati quale criterio distintivo di altrettanti tipi di archivio, sia per effetto dell’art. 10 Reg., sia in base alla previsione del par. 6 art. 10 della Convenzione, per cui l’archivio sarà considerato:generale o strategico, quando l’obiettivo è quello di trattare informazioni relative ad un problema particolare (art. 10 Reg.); in questo caso, è prevista la piena associazione di tutti gli Stati membri, oltre che all’analisi vera e propria, ai risultati dei lavori, secondo un meccanismo procedurale analogo a quello previsto per il ruolo della Commissione nell’ambito generale della Giustizia ed Affari Interni, associazione che consiste nel diritto ad ottenere comunicazione delle relazioni compilate dall’Ufficio e che si realizza tramite la partecipazione di Ufficiali di collegamento affiancati, se del caso, da esperti (art. 10 par. 6 Conv.);operativo, quando la finalità è quella di ottenere informazioni su una o alcune delle attività criminali oggetto del mandato Europol e riguardanti un caso, una persona, un’organizzazione, al fine di avviare, migliorare o concludere indagini bilaterali o multilaterali di portata internazionale (art. 10 Reg.); alle analisi che precedono la costituzione di questo tipo di archivio partecipano i rappresentanti degli Stati membri coinvolti, secondo tre precise modalità:
. partecipazione degli Stati membri da cui provengono le informazioni in base alle quali è stato deciso di costituire un archivio di analisi o che sono direttamente interessati da tali informazioni;
. partecipazione degli Stati membri che il gruppo d’analisi invita in un secondo tempo ad associarsi affinché diventino anch’essi interessati;
. partecipazione degli Stati membri che, consultato il sistema di indice, ravvisano la necessità di essere messi al corrente, necessità fatta valere con motivazione scritta dagli Ufficiali di collegamento.Con riguardo a quest’ultimo punto, occorre rilevare ancora una volta che, per propria natura, un’analisi operativa coinvolge solo i diretti interessati: questa caratteristica può comportare l’insorgere di conflitti tra soggetti coinvolti e soggetti esclusi dal progetto di lavoro comune: per quest’evenienza, la Convenzione ha previsto un meccanismo di risoluzione di tali conflitti, realizzato attraverso la procedura di conciliazione regolata dal par. 7 art. 10, per cui, se sono sollevate obiezioni in seno al gruppo di analisi, l’associazione a pieno titolo degli ELOs viene differita per la durata della procedura in questione, che può articolarsi in tre fasi successive:entro 8 giorni si può raggiungere un accordo con l’ELO o gli ELOs interessati;nel caso in cui il disaccordo persista, i capi delle Unità nazionali interessate si riuniscono entro 3 giorni, con la partecipazione del Direttore dell’Europol o di un suo rappresentante;infine, nell’ulteriore resistenza dell’obiezione, a riunirsi saranno i rappresentanti degli Stati membri coinvolti in seno al Consiglio di Amministrazione dell’Ufficio, entro altri 8 giorni: esperita invano quest’ultima fase, lo Stato che ha fatto valere la necessità di essere messo al corrente sarà senz’altro ammesso a partecipare, indipendentemente dall’obiezione mossa contro la presenza del suo ELO.Quanto al sistema di valutazione della fonte e dell’informazione, il successivo art. 11 del Regolamento pone l’importante principio del doppio criterio di valutazione, generalmente inteso come sistema 4x4: si tratta di un sistema di classificazione, destinato a divenire comune a tutti gli Stati membri, che si sviluppa in quattro gradi per la fonte di informazione ed in quattro gradi per l’informazione stessa.
Più specificamente:Codici delle fontiFonte esente da ogni dubbio su autenticità, credibilità, competenza, oppure informazione proveniente da soggetto che in passato ha dimostrato di essere credibile in ogni circostanza.Fonte che in passato ha dimostrato di essere affidabile nella maggior parte dei casi.Fonte che in passato ha dimostrato di non essere affidabile nella maggior parte dei casi.X o D. - Fonte mai esaminata in passato o per cui esistono dubbi su autenticità, credibilità, competenza.Codici delle informazioniInformazione riconosciuta come vera senza alcuna riserva;Informazione conosciuta personalmente dalla fonte ma non dall’ufficiale che la trasmette;Informazione non conosciuta personalmente dalla fonte ma corroborata da riscontri;Informazione non conosciuta personalmente dalla fonte e non riscontrabile in nessuna maniera.L’art. 11 Reg., nel disciplinare la stima delle fonti e delle informazioni, stabilisce che queste ultime dovranno essere catalogate già dallo Stato membro originatore secondo il menzionato sistema 4x4, e nel caso in cui l’Ufficio giungesse alla conclusione che la stima compiuta dallo Stato è errata, occorrerà che lo stesso Stato corregga la sua valutazione, non potendo Europol esercitare poteri sostitutivi dello stesso in mancanza di uno specifico accordo. Se la stima poi mancasse del tutto, solo in quel caso l’Ufficio, sulla base di altri dati a sua disposizione, potrà procedere ad una propria stima sull’attendibilità di fonte o informazione, in accordo con lo Stato originatore; nel caso specifico in cui l’accordo non venisse raggiunto, o non ne fosse stato previsto uno in termini generali, Europol potrà senz’altro procedere motu proprio alla valutazione secondo il sistema 4x4.Nel caso in cui il dato da inserire negli archivi sia a propria volta frutto di una precedente attività di analisi dell’Ufficio, anche allora Europol dovrà preventivamente classificare fonte ed informazione secondo lo stesso sistema, di concerto con gli Stati membri che hanno partecipato all’analisi.Tutti i dati che confluiscono negli archivi, quindi, quale che ne sia la fonte, devono essere preventivamente classificati.


6. Il sistema di indice

Strettamente collegato agli archivi di lavoro per finalità di analisi, il sistema di indice previsto dall’art. 11 Conv. ne costituisce una “guida”, fruibile da Direttore, Vicedirettori, agenti Europol debitamente autorizzati ed Ufficiali di collegamento. In particolare a quest’ultima categoria di soggetti sono riservate le previsioni dell’articolo in questione, in base alle quali è richiesto che il sistema debba essere strutturato in maniera da permettere loro di comprendere se gli archivi contengano o meno dati riguardanti lo Stato membro d’origine. Più specificamente, l’accesso degli ELOs deve essere concepito in modo che questi siano in grado di determinare esclusivamente se una data informazione è memorizzata, con totale esclusione di qualsiasi collegamento o deduzione sul contenuto degli archivi, la cui consultazione è riservata tassativamente agli analisti dell’Analysis Unit, giusto il disposto dell’art. 10, par. 2, pt. 1 Conv.: il sistema di indice costituisce quindi l’unica forma di collegamento tra lo staff Europol non appartenente all’Unità citata e gli archivi di analisi, altro aspetto sotto cui si manifesta il carattere di assoluta riservatezza che assiste i dati contenuti nell’intero sistema informatizzato.


7. Trattamento, protezione, sicurezza dei dati

Il problema del regime di trattamento dei dati all’interno di una struttura di polizia presenta aspetti di estrema delicatezza e complessità, poiché si tratta di attività che nel loro complesso, in quanto rivolte alla prevenzione e repressione dei reati e al mantenimento dell’ordine pubblico, spesso si ispirano a criteri di effettività non sempre contemperati da un’adeguata tutela dei diritti dell’individuo. Ne è conferma la ricorrente presenza di clausole di esclusione e di salvaguardia all’interno delle legislazioni nazionali che regolano la materia del diritto alla riservatezza dell’individuo: prevale in via generale la tutela dell’interesse collettivo al mantenimento della sicurezza e dell’ordine pubblico rispetto alla tutela del diritto del singolo, per cui, frequentemente, le attività di polizia vengono espressamente sottratte all’ambito di applicazione di tali legislazioni, rendendosi necessaria un’apposita disciplina speciale. Va tuttavia rilevato che le suddette discipline speciali prevedono, in un delicato sistema di checks and balances, degli Organi amministrativi di controllo, sovraordinati ed indipendenti, su tali attività.In relazione ai dati di carattere personale destinati agli archivi Europol, la Convenzione individua un preciso obbligo a carico di ciascuno Stato membro circa l’adozione delle disposizioni di diritto interno necessarie ad assicurare un livello di protezione dei dati suddetti che sia pari a quello derivante dall’applicazione dei principi della Convenzione del Consiglio d’Europa(13) sulla protezione delle persone riguardo al trattamento automatizzato dei dati personali, del 28 gennaio 1981, cui anche l’art. 14 Conv. Europol opera un rinvio, tenendo conto della Raccomandazione 87/15 relativa all’uso dei dati di carattere personale da parte delle autorità di polizia(14); ai medesimi principi dovrà ispirarsi anche lo stesso Europol nel rilevamento, trattamento ed uso di quei dati, e ciò anche per i dati non automatizzati detenuti in forma di archivi(15). La Convenzione citata in verità si presta ad un utilizzo più ampio di quello espressamente richiesto dalla Convenzione Europol, e ciò per il particolare valore del livello di tutela del singolo soggetto che essa è destinata a conseguire; di particolare pregio appare il sistema di definizione di alcuni termini-chiave apprestato dall’art. 2(16), sistema che potrebbe essere senza dubbio utilizzato come criterio di interpretazione delle norme rivolte a questo specifico aspetto dalla Convenzione Europol. La Raccomandazione 87/15, adottata dal Consiglio dei Ministri degli Stati membri del Consiglio d’Europa, si caratterizza rispetto alla Convenzione del 1981 per la specificità dell’oggetto, essendo espressamente rivolta la gestione dei dati personali ad uso di polizia: i principi ivi enunciati ed accolti si applicano infatti alle attività di raccolta, memorizzazione, utilizzazione e trasmissione, ad uso di polizia, dei dati a carattere personale che costituiscono l’oggetto di un trattamento informatizzato, e il principio ribadisce espressamente l’esclusiva destinazione ai fini di polizia dei dati raccolti in quella sede, prevenendo così qualsiasi pregiudizio che potrebbe derivare all’individuo dalla diffusione di quei dati, secondo un criterio di riservatezza che ispirerà anche la struttura complessiva dell’Europol.Il 3 novembre 1998 il Consiglio U.E. ha adottato le norme sulla protezione del segreto delle informazioni dell’Europol, norme in base alle quali vengono stabilite le misure di sicurezza che devono essere applicate a tutte le informazioni elaborate dall’Ufficio, sia all’interno della sua struttura, sia mediante la sua organizzazione(17).Viene configurato così un sistema di classificazione interna dei livelli di protezione che si suddivide in livello di protezione minimo e livelli di sicurezza “Europol”(18).A tutte le informazioni trattate dall’Ufficio o mediante esso, salvo quelle cui è stata espressamente apposta l’indicazione distintiva di informazioni pubbliche o palesemente riconoscibili come tali, è attribuito un livello di protezione minimo, che esclude l’applicazione di livelli di sicurezza Europol, benché tali informazioni siano comunque considerate informazioni Europol.Alle informazioni che richiedano ulteriori misure di sicurezza è attribuito uno dei tre livelli di sicurezza Europol, con la relativa indicazione distintiva specifica e tale livello di sicurezza è attribuito soltanto se ciò è indispensabile e per il tempo necessario: ad ogni livello di sicurezza corrisponde un pacchetto di sicurezza che offre un determinato grado di protezione, a seconda del contenuto delle informazioni e del danno che l’accesso, la diffusione, o l’uso non autorizzati di tali informazioni potrebbero arrecare agli interessi degli Stati membri o dell’Europol.Sono inoltre previste rigorose limitazioni personali per l’accesso e l’autorizzazione di sicurezza: in particolare, l’accesso alle informazioni e il loro possesso è limitato all’interno dell’Europol alle persone che devono conoscerle o elaborarle nello svolgimento delle proprie funzioni, e le persone addette al trattamento delle informazioni, dopo essere state sottoposte alle necessarie indagini di sicurezza, ricevono una formazione specifica, anche considerato che il consiglio di amministrazione, previa consultazione del comitato di sicurezza, adotterà uno specifico manuale di sicurezza concernente in maniera specifica l’applicazione delle norme sulla protezione del segreto.Punto nodale di tutta la tematica della protezione dei dati sono le disposizioni dell’art. 15 Conv. in materia di responsabilità per trattamento illecito dei dati; detta responsabilità sorge per illegittimità del rilevamento e della trasmissione dei dati, nonché per l’introduzione, l’esattezza e l’aggiornamento degli stessi, ed infine per il controllo dei tempi di archiviazione.I soggetti considerati responsabili sono individuati nello Stato membro che ha introdotto o trasmesso i dati illegittimi e, alternativamente, nell’Europol per i dati che gli sono stati trasmessi da Stati o organismi terzi o che rappresentano il risultato dell’attività di analisi; in quest’ultimo caso in linea teorica potrebbe anche profilarsi, nella presenza degli estremi, una concorrenza di responsabilità con lo Stato membro originatore dell’informazione.Analoghe esigenze di garanzia informano sia le modalità di utilizzazione diretta dei dati, sia le modalità della loro trasmissione a Stati ed organismi terzi.Per la prima ipotesi sono state disposte le condizioni dell’art. 17, secondo cui ogni consultazione degli archivi è strettamente limitata ai servizi competenti degli Stati membri ed all’Europol per lo svolgimento delle sue funzioni di cui all’art. 3 Conv. Altro aspetto sotto cui si manifesta l’esigenza garantistica di protezione dei dati è rappresentato dal par. 2 art. 17, che fissa l’importante principio dell’ultraterritorialità delle norme di origine interna che dispongono particolari restrizioni per l’utilizzazione di singoli dati(19), con l’importante eccezione dell’ipotesi in cui la legislazione interna disponga l’obbligo di derogare alle restrizioni a favore dell’Autorità Giudiziaria, delle Istituzioni legislative o di qualsiasi altro organismo(20) indipendente istituito per legge e incaricato del controllo sui servizi competenti, con ciò intendendosi tutti gli organismi pubblici esistenti negli Stati membri e preposti alla prevenzione ed alla lotta contro la criminalità.La seconda ipotesi è contemplata dall’art. 18 che consente all’Europol di trasmettere dati di carattere personale a Stati ed organismi terzi nella ricorrenza contestuale di quattro presupposti specifici:

  1. necessità in singoli casi per la prevenzione o la lotta contro i reati di competenza Europol;
  2. garanzia di un adeguato livello di protezione dei dati in tale Stato od organismo;
  3. ammissibilità secondo un sistema di norme generali che dovrà essere adottato all’unanimità dal Consiglio;
  4. accordo dello Stato membro, se soggetto originatore dell’informazione è quest’ultimo(21).

Un’ipotesi particolare si configura quando Europol abbia ricevuto da parte di uno Stato terzo una richiesta di trasmissione di dati a loro volta provenienti da un altro Stato terzo: l’Ufficio si troverà impegnato a tutelare gli interessi degli Stati membri, poiché procederà alla trasmissione solo quando avrà la certezza che questa non costituisca un ostacolo per il regolare svolgimento delle funzioni interne di uno Stato membro, e che non costituisca una minaccia per la sicurezza e l’ordine pubblico dello stesso, e se le informazioni richieste sono in regime di segretezza, la relativa trasmissione potrà avvenire solo se tra Europol e lo Stato terzo esisterà un accordo sulla protezione del segreto. In tutte le ipotesi di trasmissione a Stati ed organismi terzi, Europol rimane l’unico ente responsabile per la legittimità dell’operazione.


8. Le Authorities

Uno dei grandi pregi della Convenzione va ravvisato nell’efficace sistema di controllo e di tutela del singolo, apprestato con la previsione di due tipi di Autorità di controllo sul trattamento dei dati, che si integrano in un quadro di competenze ripartite in maniera esclusiva a seconda che venga esaminata la responsabilità dello Stato membro o dell’Europol.Già nella Raccomandazione 87/15 si trova il riferimento ad un’Autorità di Controllo: il principio 1, in materia di controllo e notificazione, dispone che ogni Stato membro dovrà disporre di un’autorità di controllo indipendente ed esterna alle strutture di polizia, anche con natura di organo consultivo, incaricata di vegliare sul rispetto dei principi enunciati nella Raccomandazione stessa, e ad essa dovranno essere comunicate la formazione, l’esistenza, i dati essenziali relativi agli archivi informatici, permanenti o ad hoc. Il principio 6 par. 1, inoltre, prevede che tale Autorità dovrà prendere dei provvedimenti affinché gli interessati siano informati sull’esistenza di tali archivi, tenuto ovviamente conto della necessità di evitare pregiudizi gravi alle attività di polizia.Riteniamo che, nella persistenza della situazione lacunosa che condiziona il controllo giurisdizionale da parte della Corte di Giustizia, questo controllo di natura amministrativa costituisca un ottimo strumento di tutela ed una valida risposta, anche se limitata alla tematica del trattamento dei dati, alle legittime preoccupazioni di chi paventa la totale scopertura dei diritti del singolo nell’ambito non comunitarizzato della Giustizia ed Affari Interni, e ciò anche alla luce delle positive esperienze e dei risultati conseguiti in quegli ordinamenti interni in cui tale sistema di controllo è previsto.a) Autorità di Controllo NazionaleAl pari della previsione circa la costituzione di un’apposità Unità Nazionale Europol, la Convenzione configura anche qui un preciso obbligo a carico degli Stati membri di designare un apposito ufficio deputato ad accertare che la trasmissione, l’introduzione e la consultazione di dati di carattere personale presso Europol avvengano in modo lecito e che non siano lesi i diritti delle persone. L’Autorithy dispone di un ampio raggio d’azione nei confronti delle strutture Europol direttamente ed indirettamente dipendenti dallo Stato di appartenenza; così essa ha accesso ai dati introdotti dai servizi competenti dello Stato presso le Unità nazionali, nonché agli uffici ed ai dossier dei rispettivi Ufficiali di collegamento, ed ha potere di controllo sull’attività stessa delle UU.NN.E. e degli ELOs, nei limiti in cui queste attività concernano la protezione dei dati personali.b) Autorità di Controllo ComuneL’Autorità centrale, costituita presso Europol, vigila sulla legittimità della memorizzazione, trattamento ed utilizzazione dei dati in seno ai dipartimenti dell’Ufficio e della trasmissione di dati da questo provenienti. Inoltre, l’Autorità è competente per l’esame delle difficoltà di interpretazione ed applicazione delle norme convenzionali sul trattamento dei dati di carattere personale; per l’esame di problemi che possono sorgere all’atto del controllo da parte delle Autorità nazionali o nell’esercizio del diritto di accesso; per l’elaborazione di proposte armonizzate in vista di soluzioni comuni ai problemi che si presentano. Come per l’Autorità nazionale, i membri dell’Autorità comune devono presentare i necessari requisiti di indipendenza ed imparzialità richiesti dalla delicata natura dell’incarico; sono scelti dagli Stati membri tra gli appartenenti alle Autorità nazionali, in numero massimo di due per ciascuna di esse, ed ognuna di queste delegazioni dispone di un voto deliberativo. La loro durata in carica è stabilita in cinque anni, e, nello svolgimento delle loro mansioni, non ricevono istruzioni da nessuna autorità.Qualora l’Autorità constati violazioni sui settori di sua competenza, essa attiva un procedimento nel corso del quale invia al Direttore dell’Europol le osservazioni che ritiene necessarie e fissa un termine perentorio per la risposta di quest’ultimo.Nei confronti dell’Autorità, l’Europol è tenuto a fornire le informazioni richieste ed a permettere l’accesso a tutti i documenti e dossier; a permettere l’accesso ai suoi locali; ad eseguire le decisioni dei ricorsi da essa accolti in materia di diritto di accesso e di rettifica e cancellazione dei dati. Particolari disposizioni sono inoltre previste in tema di relazioni dell’attività dell’Autorità, di potestà regolamentare interna, di istituzione di commissioni e di parere sul bilancio per la parte che la riguarda.In realtà, l’istituzione di un apposito organo che svolge funzioni di natura amministrativa volte alla salvaguardia dei diritti fondamentali si pone sulla scia di una concezione garantistica che aveva già trovato fondamentale espressione nella citata Convenzione del Consiglio d’Europa del 1981 che, al Capitolo V, prevedeva un apposito Comitato Consultivo, cui l’art. 19 attribuiva precise funzioni in ordine alla formulazione di proposte dirette agli Stati firmatari in vista della facilitazione dell’applicazione della Convenzione stessa, di emendamenti, di interpretazione; tuttavia, quest’organo differisce dalle autorità di controllo poiché, a differenza di queste ultime, ammette la legittimazione dei soli Stati, ancora una volta quindi considerati i soli soggetti giuridicamente rilevanti della Comunità internazionale, mentre le autorità previste dalla Convenzione Europol si reggono sul fondamentale ed innovativo principio della rilevanza della tutela della posizione giuridica dell’individuo in sede internazionale e, a differenza del Comitato Consultivo, esercita poteri autoritativi a salvaguardia di tale posizione. In sintesi, le autorità di controllo si allineano effettivamente con il significato, il senso ed il fondamento dell’art. 8 della Convenzione Europea dei Diritti dell’Uomo, laddove questo garantisce il rispetto della vita privata e familiare, del domicilio e della corrispondenza di ogni persona, e ne costituiscono una delle attuazioni più profonde ed efficaci.


9. La tutela dei singoli

L’esigenza di garantire il corretto trattamento dei dati si è spinta ben oltre la previsione di un sistema di controllo indipendente ed imparziale: la previsione di un collegamento diretto fra il singolo soggetto interessato e l’Ufficio rappresenta uno dei principi accolti nella Convenzione che più spiccano per carattere innovativo e progressista, anche perché recepisce in sede di cooperazione internazionale i criteri ispiratori delle legislazioni nazionali accolti nel principio 6 della Racc. 87/15, che prevede il regime di pubblicità, diritto d’accesso agli archivi di polizia, diritto di rettificazione e diritto di ricorso in materia di trattamento di dati ad uso di polizia.L’art. 19 configura un vero e proprio diritto di accesso del singolo ai dati che lo riguardano memorizzati nel sistema informatizzato, volto ad ottenerne una comunicazione o una verifica, e disciplina per questo un apposito procedimento di natura amministrativa, nonché un procedimento eventuale nel caso di ricorso all’Autorità di controllo.Preliminarmente occorre esaminare il dato terminologico che individua la categoria di soggetti legittimati. Invero, l’articolo in esame dispone che l’accesso sia consentito a “chiunque”, nei confronti di dati che lo riguardano; riteniamo tuttavia che si possa e si debba configurare la necessità dell’ulteriore requisito dell’interesse specifico e qualificato, e ciò per analogia juris con gli omologhi procedimenti di natura amministrativa previsti dalle legislazioni interne, dovendosi in ultima analisi negare tale accesso solo ed unicamente al quisque de populo sprovvisto di un effettivo interesse concreto ed attuale.L’atto di impulso del procedimento consiste in una domanda che l’interessato può presentare a titolo gratuito presso l’Autorità nazionale di controllo di qualsiasi Stato membro. Quest’atto produce il triplice effetto immediato di creare a carico dell’Autorità un dovere di trasmettere la richiesta all’Europol; a carico dell’Europol un dovere di procedere ad un trattamento completo entro tre mesi dal ricevimento della richiesta; a favore del richiedente il diritto a ricevere una risposta direttamente dall’Europol.Più in dettaglio, il diritto di accesso si esercita nel rispetto della legislazione dello Stato membro presso cui si è presentata la domanda; la richiesta potrà essere rifiutata se ciò sarà ritenuto necessario per il corretto svolgimento delle funzioni dell’Europol, per la protezione della sicurezza degli Stati membri e dell’ordine pubblico o per la lotta contro i crimini, per la protezione dei diritti e delle libertà di terzi e, pertanto, le esigenze delle persone interessate alla comunicazione dovranno passare in subordine. Anche la Racc. 87/15 richiede tali condizioni, nel regolare il diritto d’accesso agli archivi della polizia: il principio 6.4 impone che il diritto d’accesso non sia limitato se non nella misura necessaria al corretto ed efficace svolgimento delle operazioni investigative, alla sicurezza dello stesso interessato o ai diritti di libertà di terzi.Una volta risolta con esito positivo questa prima delibazione, il diritto di accesso si modifica concettualmente e testualmente in diritto alla comunicazione, che si esercita secondo tre procedure, ognuna delle quali legata ad un’ipotesi specifica:per i dati contenuti nel Sistema di informazione di cui all’art. 8, occorre coinvolgere lo Stato originatore: la comunicazione può avvenire solo se lo Stato originatore insieme allo Stato interessato dalla comunicazione in precedenza hanno avuto la possibilità di rendere nota la loro posizione, che potrebbe anche consistere in un rifiuto della comunicazione;lo stesso è richiesto per i dati introdotti dall’Europol in quel sistema;per i dati introdotti negli archivi di lavoro per fini di analisi di cui all’art. 10, la comunicazione è subordinata ad un assenso dell’Europol, degli Stati membri che partecipano all’analisi e di quelli direttamente interessati dalla comunicazione.Abbiamo detto che Europol ha il comunque il dovere di rispondere: se qualcuno tra gli Stati membri ha manifestato la propria contrarietà alla comunicazione, l’Ufficio notificherà al richiedente che le verifiche sono state effettuate, senza fornire indicazioni che possano rivelargli se abbia o meno informazioni sul suo conto.Il singolo può anche richiedere una semplice verifica dei dati che lo riguardano, senza che questa sia seguita dalla comunicazione dei relativi dati: anche in questo caso l’Ufficio si limiterà a notificare il compimento della verifica, senza fornire altre informazioni. Va aggiunto che nelle ipotesi in cui la legislazione nazionale applicabile non consenta la comunicazione dei dati personali o uno degli Stati membri non abbia prestato il proprio assenso a detta comunicazione, la richiesta di comunicazione si converte automaticamente in richiesta di verifica.Il richiedente non soddisfatto può ricorrere avverso la decisione dell’Europol innanzi all’Autorità di controllo comune, che istruisce un procedimento di secondo grado nelle ipotesi di:Diniego di comunicazione di dati introdotti da uno Stato membro.
L’Autorità decide in conformità della legislazione nazionale dello Stato presso il quale è stata depositata la domanda, dopo aver consultato in via preliminare l’Autorità di controllo nazionale o la giurisdizione competente dello Stato membro da cui proviene il dato. Diniego di comunicazione di dati introdotti da Europol.
L’Autorità, in caso di persistente opposizione dell’Ufficio o di uno Stato membro, può, previo parere di questi soggetti, superare autoritativamente l’opposizione con deliberazione adottata a maggioranza dei due terzi dei suoi componenti: se il quorum non viene raggiunto, l’Autorità procede alla notifica di effettuata verifica nelle forme che già conosciamo.Questioni sulla verifica dei dati.
A seconda che il ricorso riguardi la verifica di dati introdotti da uno Stato membro (nel Sistema di informazione) o da Europol (nel Sistema di informazione o negli archivi di lavoro a fini di analisi), l’Autorità si accerta che la verifica sia stata correttamente effettuata, nel primo caso in stretto contatto con l’Autorità di controllo nazionale dello Stato membro che ha introdotto i dati, autonomamente nel secondo caso. Conclude il procedimento la notifica al richiedente circa l’effettuata verifica.


10. I diritti dei singoli

Una volta ottenute le comunicazioni richieste, in che maniera i singoli interessati possono intervenire sui dati che li riguardano?In primo luogo, assume rilievo la disposizione sulla rettifica e la cancellazione dei dati. L’art. 20 considera l’ipotesi che i dati trasmessi da Stati od organismi terzi o che risultano dalla sua attività di analisi siano errati o siano stati introdotti o memorizzati in contrasto con le disposizioni della Convenzione e prevede i meccanismi di rettifica e cancellazione dei dati medesimi; orbene, chiunque ha il diritto di richiedere all’Europol che i dati errati che lo riguardano siano cancellati o rettificati, e l’Europol è tenuto ad evadere la richiesta, dandone comunicazione al richiedente. Se la risposta dell’Ufficio non viene ritenuta soddisfacente, o non è giunta entro un periodo prestabilito dalla richiesta, l’interessato può senz’altro interpellare l’Autorità di controllo comune.Medesima disciplina è inoltre prevista per la rettifica e la conservazione di dati contenuti in dossier cartacei: l’art. 22 par. 3 dispone in particolare che qualsiasi persona oggetto di un dossier dispone nei confronti dell’Europol di un diritto di rettifica, distruzione del dossier o inserimento di un’indicazione, e rinvia al precedente articolo 21 per quanto riguarda la possibilità di ricorrere all’Autorità comune di controllo.Vi è, infine, la responsabilità extracontrattuale ex art. 38, alternativa o solidale, degli Stati membri e dell’Europol per qualsiasi danno causato ad una persona in ragione di dati contenenti errori di diritto o di fatto, memorizzati o trattati in sede di Europol.Unico legittimato passivo è lo Stato membro nel quale si è verificato il danno: questo potrà essere citato in giudizio dalla vittima innanzi alle competenti Autorità giurisdizionali, secondo le norme sostanziali e processuali interne e, corrisposto un adeguato risarcimento del danno, potrà agire in regresso contro gli altri Stati membri e/o l’Europol in proporzione al loro grado di responsabilità(22). A ciò naturalmente si aggiunge l’ordinaria responsabilità contrattuale dell’Ufficio e le altre ipotesi di responsabilità extracontrattuale differenti dall’illecito trattamento dei dati.Pur nel profondo rispetto per i principi ispiratori che hanno orientato la volontà dei Redattori della Convenzione nella costruzione di questo complesso meccanismo di impronta energicamente garantista, il nostro timore è che, di fatto, questo pregevole sistema possa trovare ben poche occasioni di funzionamento e che sia purtroppo destinato a rimanere lettera morta, ciò per una semplice considerazione: da quali circostanze dovrebbe sorgere l’esigenza di esercitare il diritto di accesso?Siamo in presenza di un sistema di polizia, per propria natura caratterizzato da un grado di segretezza ed inaccessibilità pressoché assoluto, e non si vede assolutamente come un qualsiasi soggetto nei confronti del quale non sia stato ancora iniziato un procedimento penale(23) possa minimamente immaginare che in una struttura addirittura sovranazionale si stiano gestendo dei dati che lo riguardano. In ipotesi, ciascuno dovrebbe inviare con cadenza periodica all’Autorità di controllo una domanda di accesso (ciò che presupporrebbe una conoscenza sociale piuttosto ampia dell’esistenza dell’Europol nonché dei suoi meccanismi), sempre ammesso che questa venga accolta, ma è evidente che si tratta di pura utopia.Né si potrebbe obiettare che il diritto di accesso è temporalmente illimitato, per cui sarebbe dato all’interessato di esercitarlo anche dopo avere avuto notizia in qualsiasi modo di un procedimento penale a suo carico, perché una volta coinvolta l’Autorità giudiziaria, per cui è già esistente una formale notitia criminis, ci troviamo in uno stadio ulteriore in ragione del quale l’interesse all’accesso ai dati personali appare ormai molto labile, essendosi per definizione esaurito il ruolo attivo dell’Ufficio.Riteniamo che il diritto di accesso, così come attualmente configurato, sia verosimilmente rivolto nei fatti solo a quanti già abbiano avuto precedente esperienza di archiviazione di dati negli archivi Europol, e fondino la propria iniziativa su ipotesi probabilistiche.Del resto, occorre prendere atto che il sistema configurato, considerata la natura e la struttura dell’Ufficio, è l’unico realmente ammissibile che permette un equo contemperamento di tutte le contrapposte esigenze.


(*) - Esperto in diritto delle Comunità europee.
(1) - Il 2 giugno 1993, nel corso della Conferenza dei Ministri degli Interni (“Trevi”) di Copenaghen, venivano individuate e fissate le linee guida dell’European Drugs Unit, poi ampliate, sviluppate e consolidate nell’Azione Comune 95/73/GAI del 10/3/1995, deliberata dal Consiglio su iniziativa della Germania. L’importanza dell’Azione 95/73/GAI si apprezza essenzialmente sia per la costituzione di un’Unità di cooperazione di polizia in cui sono già presenti le linee essenziali del costituendo Europol, sia per l’estensione del novero delle competenze investigative dell’Ufficio al traffico illecito di materie radioattive e sostanze nucleari, alle organizzazioni di immigrazione clandestina ed al traffico illecito di autoveicoli, che si aggiungono alle basilari competenze sul traffico di droga e sul terrorismo internazionale previste in via generale dall’art. K.1/9.
(2) - Art. 3 par. 1 Convenzione Europol: “Funzioni - Per conseguire l’obiettivo definito dall’art. 2 par. 1 l’ Europol svolge prioritariamente le seguenti funzioni:
1. Agevolare lo scambio di informazioni tra gli Stati membri;
2. Raccogliere, riunire ed analizzare le informazioni;
3. Comunicare senza indugio ai servizi competenti degli Stati membri, attraverso le unità nazionali definite all’articolo 4, le informazioni che li concernono e informarli immediatamente dei collegamenti constatati tra fatti delittuosi;
4. Facilitare le indagini negli Stati membri trasmettendo alle unità nazionali tutte le pertinenti informazioni a riguardo;
5. Gestire raccolte informatizzate di informazioni contenenti dati conformemente agli articoli 8, 9, 10.”
(3) - È stato correttamente rilevato che la finalità istituzionale della raccolta dei dati ad uso di polizia non osta a che quei dati, se bene elaborati, possano orientare anche attività di polizia giudiziaria.
(4) - La disposizione appare di particolare importanza, sol che si consideri il complesso meccanismo che permette di individuare l’unità responsabile per l’eventuale trattamento illecito o per qualsiasi atto di gestione dei dati descritto nel par. 2 dell’art. 9: si ipotizzi che l’unità A abbia aperto un file secondo la disposizione del par. 2 art. 8 (quindi un file di dati anagrafici, di cui rimane esclusivo gestore l’ente originatore) ed in seguito l’unità B abbia ampliato questo file introducendo informazioni ex par. 3 art. 8 (quindi riguardanti altri aspetti che non siano di natura anagrafica). Ora, l’unità A intende cancellare il file dal sistema, ma non ne ha più facoltà, dal momento che l’art. 9 dispone che la responsabilità per la protezione dei dati ed il diritto di modificare, rettificare, cancellare i dati spetta all’unità che subito dopo di essa ha introdotto dati di cui art. 8 par. 3 sulla medesima persona: spetterà all’unità B cancellare i dati, se lo riterrà, e l’unità A, ente originatore del file, potrà solo formulare una richiesta in tal senso.
(5 ) - Il preciso riferimento alla persona fisica esclude qualsiasi questione inerente la responsabilità penale delle persone giuridiche, responsabilità ammessa in alcuni ordinamenti penali, principalmente quello francese, ed esclusa in altri, e per questo base di numerose e profonde controversie dottrinali sorte nell’ambito della discussione comparatistica sull’evoluzione del cd. Diritto penale europeo. Ben altra ipotesi è invece quella prevista dall’art. 6 par. 2 lett. L del Regolamento, laddove esso fa riferimento all’introduzione negli archivi di informazioni relative alle “persone giuridiche” connesse con i dati di cui alle precedenti lettere E o J: si tratta, come appare palese dalla norma in esame, di soggetto strumentalmente connesso alle attività della persona fisica individuata od individuabile, e non di soggetto considerato quale titolare di un’autonoma considerazione all’interno degli archivi. A ciò va aggiunto anche il dato testuale, che, sia nel testo della Convenzione sia in quello del Regolamento, si risolve costantemente nel riferimento ai dati personali.
(6) - L’art. 10 mostra la cura che i Redattori hanno avuto nel prevedere un sistema di tutela del singolo verso le attribuzioni dell’Europol in merito al trattamento dei dati personali: nel testo dell’articolo in esame, oltre ai rinvii alle norme sulla responsabilità per trattamento illecito dei dati (art. 15 Conv.), è presente un ampio richiamo alla Convenzione del Consiglio d’Europa del 28 gennaio 1981 in materia di protezione delle persone, con riferimento al trattamento automatizzato dei dati di carattere personale. Del resto, va anche considerata l’impressionante mole di dati che possono essere destinati agli archivi di lavoro per fini di analisi: nell’art. 6 del Reg. si possono infatti contare più di 70 diverse categorie di dati riferibili ad una sola persona.
(7) - La trasmissione e lo scambio di tutte le informazioni nell’ambito del sistema Europol attualmente avviene in rete telematica tramite e-mails.
(8) - Atti del Consiglio 3 novembre 1998, 1999/C26/03 e 1999/C26/04.
(9) - In casi eccezionali il Direttore può autorizzare la trasmissione dei risultati prima di tale approvazione, quando egli, sulla base di una sua valutazione discrezionale, ne ravvisi l’assoluta necessità per la tutela degli interessi degli Stati membri o per sventare un pericolo grave ed imminente. In questi casi, il direttore redige l’autorizzazione in un documento che viene trasmesso sia al consiglio di amministrazione, sia all’Autorità di controllo comune.
(10) - Ad esempio, considerato il tipo di rapporto che legava il soggetto all’organizzazione criminale, si vogliono ricostruire i fatti che hanno portato ad una rottura traumatica e quindi, di riflesso, la gravità della decisione del soggetto e la sua motivazione, più o meno profonda, che sorregge la volontà di fornire informazioni alle Autorità di polizia. Tale argomentazione permette di ricostruire il senso della previsione normativa in termini di valutazione della serietà e della fondatezza delle intenzioni del soggetto.
(11) - In questo caso si può pensare ad una forma specifica di valutazione di attendibilità del soggetto-fonte secondo i criteri del sistema 4 x 4.
(12) - Definizioni tratte da Europol Analytical Guidelines. Di recente, Europol ha curato la redazione di questo breve manuale, destinato al training dei componenti dell’Unità di Analisi: esso costituisce un prezioso strumento di comprensione dell’attività di intelligence in Europol e più specificamente dell’attività di analisi, ed è dotato di un valore intrinseco che va ben oltre finalità meramente didattiche, dato che costituisce il primo nucleo di una trattazione organica a livello europeo in questa delicata materia, per ciò stesso quindi destinata a costituire una tappa fondamentale nel generale processo di armonizzazione delle tecniche e dei metodi di intelligence nonché dei processi di addestramento e di formazione degli investigatori di tutti i Paesi europei coinvolti, realmente unica via percorribile per dare una risposta efficace all’aggressione della grande criminalità organizzata che non conosce frontiere.
(13) - Art. 6 Conv.: “Categorie speciali di dati - I dati personali che rivelano origini razziali, opinioni politiche o religiose o altre convinzioni, così come i dati personali riguardanti la salute o la vita sessuale, non possono essere trattate in maniera automatizzata senza che la legislazione interna preveda adeguata tutela. Lo stesso deve intendersi per ciò che riguarda i dati personali relativi alla condizione criminale”.
(14) - È decisamente singolare che atti nati in seno ad un’organizzazione internazionale quale il Consiglio d’Europa e destinati agli Stati che ne fanno parte siano oggi ripresi all’interno di una struttura di cooperazione intergovernativa e di nuovo imposti agli Stati membri dell’U.E. e contemporaneamente parti del Consiglio, che in linea puramente teorica avrebbero dovuto già in passato dare corso alle prescrizioni contenute in quegli atti. La questione del mancato adeguamento delle normative interne agli standards europei in materia di polizia suscita problematiche inquietanti, ora nella vigenza della Convenzione Europol come in passato.
(15) - Per archivio si deve intendere “qualsiasi insieme strutturato di dati personali accessibile secondo criteri determinati” (art. 14 par. 3 Conv. Europol).
(16) - Questi i quattro termini-chiave:
- a) personal data, ogni informazione relativa ad un soggetto identificato od identificabile;
- b) automated data file, ogni gruppo di dati sottoposti ad un processo automatizzato;
- c) automatic processing, il complesso delle attività volte alla raccolta dei dati, al compimento di operazioni logiche o aritmetiche sugli stessi, alla loro cancellazione, modifica o trasmissione;
- d) controller of the file, la persona fisica o giuridica o qualsiasi altro soggetto competente secondo la legge nazionale a decidere quale dovrebbe essere la finalità dell’automated data file, quali categorie di dati personali dovrebbero essere immagazzinate ed infine quali operazioni si potrebbero compiere su di essi.
(17) - Le competenze in materia di sicurezza vengono così ripartite tra:
1. Comitato di sicurezza Europol: costituito da rappresentanti degli Stati membri e dell’Europol, svolge funzioni di consulenza per il consiglio di amministrazione e per il direttore su questioni inerenti la politica di sicurezza.
2. Coordinatore della sicurezza: ha competenza generale sulle questioni riguardanti la sicurezza e vigila sull’applicazione delle relative norme, comunica le violazioni delle stesse al direttore o al consiglio di amministrazione, in base alla loro gravità.
3. Responsabile della sicurezza: è competente per l’attuazione pratica di tutte le misure di sicurezza, e risponde al coordinatore della sicurezza: svolge numerose funzioni in materia di controllo e deve avere il livello di autorizzazione di sicurezza più elevato previsto dai regolamenti applicabili nello Stato membro di cui è cittadino.
(18) - Il livello di sicurezza è determinato dal grado del danno che Europol o gli Stati membri soffrirebbero dalla circolazione delle informazioni, così:
- Livello Europol 1 (danno grave);
- Livello Europol 2 ( danno molto grave);
- Livello Europol 3 (danno estremamente grave).
(19) - Basterà in tal senso una semplice dichiarazione dello Stato od Organismo terzo le cui norme prevedano la limitazione in questione.
(20) - L’adeguatezza del livello di protezione si desume:
- 1) Dal tipo di dati;
- 2) Dalla loro finalità;
- 3) Dalla durata del trattamento;
- 4) Dalle disposizioni generali o speciali applicabili agli Stati ed organismi terzi.
(21) - Il consenso, sempre revocabile, può essere generale o particolare, preventivo o contestuale. Non sembra essere prevista una forma di convalida o ratifica successiva.
(22) - Per il dettagliato esame dei criteri che permettono di individuare i vari soggetti responsabili, si rinvia all’approfondita formulazione dell’art. 38 Conv.
(23) - A propria volta, nel processo penale di tipo accusatorio, caratterizzato dal totale segreto della fase delle indagini preliminari e quindi ignoto al suo destinatario almeno fino al compimento di atti in cui sia necessaria la sua convocazione.