Dir. 4 ottobre 2023, n. 2023/2123/UE (1). DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO che modifica la decisione 2005/671/GAI del Consiglio per allinearla alle norme dell'Unione sulla protezione dei dati personali.

 

 Dir. 4 ottobre 2023, n. 2023/2123/UE (1).

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO che modifica la decisione 2005/671/GAI del Consiglio per allinearla alle norme dell'Unione sulla protezione dei dati personali.

(1) Pubblicata nella G.U.U.E. 11 ottobre 2023, L.

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16, paragrafo 2,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

deliberando secondo la procedura legislativa ordinaria (2),

considerando quanto segue:

(1) La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (3) stabilisce norme armonizzate per la protezione e la libera circolazione dei dati personali trattati a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica. In conformità di tale direttiva gli Stati membri dovrebbero trattare i dati personali in modo da garantirne l'adeguata sicurezza. Tale direttiva fa inoltre obbligo alla Commissione di riesaminare altri atti giuridici pertinenti adottati dall'Unione al fine di valutare la necessità di allinearli alla direttiva stessa e formulare, ove opportuno, le proposte necessarie per modificarli in modo da garantire un approccio coerente alla protezione dei dati personali nell'ambito della direttiva.

(2) La decisione 2005/671/GAI del Consiglio (4) stabilisce norme specifiche concernenti lo scambio di informazioni e la cooperazione in materia di reati terroristici. Al fine di garantire un approccio coerente alla protezione dei dati personali nell'Unione, è opportuno modificare tale decisione al fine di allinearla alla direttiva (UE) 2016/680. Tale decisione dovrebbe in particolare specificare, in modo coerente con la direttiva (UE) 2016/680, la finalità del trattamento dei dati personali e indicare le categorie di dati personali che possono essere scambiate, in linea con il disposto dell'articolo 8, paragrafo 2, della direttiva (UE) 2016/680, tenuto conto delle necessità operative delle autorità interessate.

(3) A fini di chiarezza, i riferimenti contenuti nella decisione 2005/671/GAI agli strumenti giuridici che disciplinano il funzionamento dell'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) dovrebbero essere aggiornati.

(4) L'applicazione della decisione 2005/671/GAI, che riguarda il trattamento di informazioni in materia di reati terroristici, ivi compresi lo scambio e il successivo uso di tali informazioni, comporta il trattamento di dati personali. Ai fini della coerenza e dell'efficace protezione di tali dati personali, è importante che il trattamento dei dati personali effettuato in virtù della decisione 2005/671/GAI sia conforme al diritto dell'Unione, comprese le norme di cui alla direttiva (UE) 2016/680, nonché ai requisiti di sicurezza, alle salvaguardie e alle garanzie in materia di protezione dei dati previsti da altri strumenti del diritto dell'Unione che contengono disposizioni in materia di protezione dei dati, tra cui i regolamenti (UE) 2016/794 (5) e (UE) 2018/1725 (6) del Parlamento europeo e del Consiglio, come pure dal diritto nazionale.

(5) A norma dell'articolo 6 bis del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al trattato sull'Unione europea (TUE) e al trattato sul funzionamento dell'Unione europea (TFUE), l'Irlanda non è vincolata dalle nome stabilite nella presente direttiva che riguardano il trattamento dei dati personali da parte degli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione della parte terza, titolo V, capi 4 o 5, TFUE laddove l'Irlanda non sia vincolata da norme che disciplinano forme di cooperazione giudiziaria in materia penale o di cooperazione di polizia nell'ambito delle quali devono essere rispettate le disposizioni stabilite in base all'articolo 16 TFUE.

(6) A norma degli articoli 2 e 2 bis del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non è vincolata dalle norme stabilite nella presente direttiva che riguardano il trattamento dei dati personali da parte degli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione della parte terza, titolo V, capi 4 o 5, TFUE né è soggetta alla loro applicazione.

(7) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 25 gennaio 2022,

HANNO ADOTTATO LA PRESENTE DIRETTIVA:

(2) Posizione del Parlamento europeo del 12 luglio 2023(non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 18 settembre 2023.

(3) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

(4) Decisione 2005/671/GAI del Consiglio, del 20 settembre 2005, concernente lo scambio di informazioni e la cooperazione in materia di reati terroristici (GU L 253 del 29.9.2005, pag. 22).

(5) Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI (GU L 135 del 24.5.2016, pag. 53).

(6) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

Articolo 1

In vigore dal 31 ottobre 2023

La decisione 2005/671/GAI è così modificata:

1) l'articolo 1 è così modificato:

a) la lettera b) è soppressa;

b) la lettera d) è sostituita dalla seguente:

«d) "gruppo o entità": un gruppo terroristico quale definito all'articolo 2, punto 3), della direttiva (UE) 2017/541 e i gruppi ed entità figuranti nell'elenco allegato alla posizione comune 2001/931/PESC del Consiglio (*).

(*) Posizione comune 2001/931/PESC del Consiglio, del 27 dicembre 2001, relativa all'applicazione di misure specifiche per la lotta al terrorismo (GU L 344 del 28.12.2001, pag. 93).»;

2) l'articolo 2 è così modificato:

a) il titolo è sostituito dal seguente:

«Trasmissione di informazioni relative ai reati terroristici all'Europol e agli Stati membri»;

b) è aggiunto il paragrafo seguente:

«3 bis. Ciascuno Stato membro garantisce che i dati personali siano trattati ai sensi del paragrafo 3 del presente articolo solo ai fini di prevenzione, indagine, accertamento o azione penale in relazione a reati di terrorismo e ad altri reati di competenza di Europol, quali elencati nell'allegato I del regolamento (UE) 2016/794. Tale trattamento lascia impregiudicate le limitazioni applicabili al trattamento dei dati a norma del regolamento (UE) 2016/794.»;

c) al paragrafo 4 è aggiunto il comma seguente:

«Le categorie di dati personali da trasmettere all'Europol per le finalità di cui al paragrafo 3 bis restano limitate a quelle di cui all'allegato II, sezione B, punto 2, del regolamento (UE) 2016/794.»;

d) al paragrafo 6 è aggiunto il comma seguente:

«Le categorie di dati personali che possono essere scambiati fra gli Stati membri per le finalità di cui al primo comma restano limitate a quelle indicate all'allegato II, sezione B, punto 2, del regolamento (UE) 2016/794.».

Articolo 2

In vigore dal 31 ottobre 2023

1. Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva entro il 1° novembre 2025. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.

Le disposizioni adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono corredate di tale riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono stabilite dagli Stati membri.

2. Gli Stati membri comunicano alla Commissione il testo delle disposizioni principali di diritto interno che adottano nel settore disciplinato dalla presente direttiva.

Articolo 3

In vigore dal 31 ottobre 2023

La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Articolo 4

In vigore dal 31 ottobre 2023

Gli Stati membri sono destinatari della presente direttiva conformemente ai trattati.

Fatto a Strasburgo, il 4 ottobre 2023

Per il Parlamento europeo

La presidente

R. METSOLA

Per il Consiglio

Il presidente

J. M. ALBARES BUENO