Sistema Informativo doganale e protezione dei Dati: modifica alla Decisione GAI

19.03.24 - Antonio Mazzuca

Con REGOLAMENTO (UE) 2024/868 del 13 marzo 2024, il Consiglio europeo allinea la Decisione GAI (del Consiglio “Giustizia e affari interni“) che regola il sistema informativo doganale, alle norme europee in materia di protezione dei dati (ovvero la direttiva (UE) 2016/680)

Che cos’è la Decisione GAI e a cosa serve il Sistema informativo doganale (SID)? In cosa consiste l’allineamento con le norme europee sulla privacy?

Nell'articolo

Cos’è la Decisione GAI

La decisione 2009/917/GAI del Consiglio istituisce il Sistema informativo doganale (SID), che mira a facilitare la prevenzione, la ricerca e il perseguimento di gravi infrazioni alle leggi nazionali rendendo più rapidamente disponibili i dati e quindi più efficaci le amministrazioni doganali degli Stati membri.

Che cos’è il SID?

Il SID o Sistema informativo doganale, consiste in una banca dati centrale che conserva dati personali, quali cognomi e nomi, indirizzi, numeri dei documenti di identità relativi a merci, mezzi di trasporto, imprese o persone e articoli e denaro contante bloccati, sequestrati o confiscati.

Chi ha accesso al SID?

La banca dati centrale è gestita dalla Commissione, che non ha accesso ai dati personali in essa contenuti.

Le autorità designate dagli Stati membri hanno il diritto di accedere alla banca dati centrale e possono inserire e consultare le informazioni in essa contenuti.
L’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol)
l’Agenzia dell’Unione europea per la cooperazione giudiziaria penale (Eurojust) hanno, nei limiti dei rispettivi mandati e ai fini dell’adempimento dei loro compiti, il diritto di accedere ai dati inseriti nella banca dati centrale dalle autorità designate dagli Stati membri e di consultarli.

Regolamento 2024/868: GAI e protezione dei dati personali, le modifiche

Il Regolamento allinea la decisione 2009/917/GAI alla direttiva (UE) 2016/680 (con modifiche dirette sul testo della Decisione) richiedendo che le norme in materia di protezione dei dati personali contenute nella Decisione GAI siano:

limitate a categorie specifiche di interessati e di dati personali;
rispettino i requisiti di sicurezza dei dati;
includano una protezione supplementare per categorie particolari di dati personali;
rispettino le condizioni per il successivo trattamento.

Quanto al SID, il Sistema informativo Doganale istituito dalla Decisione GAI, le modifiche del Regolamento implicano un maggiore controllo da parte del Garante europeo della protezione dei dati e delle autorità nazionali di controllo.

Decisione GAI: i dati sui “reati” da conservare nel SID

Il Regolamento incide anche su alcuni termini utilizzati nella Decisione GAI: ad esempio sostituisce l’espressione «gravi infrazioni» con il termine «reati» di cui nella direttiva (UE) 2016/680, tenendo presente il fatto che, quando una particolare condotta è vietata dal diritto penale di uno Stato membro, ciò implica di per sé un certo grado di gravità dell’infrazione.

Il Consiglio ricorda anche che non tutti i reati previsti dalle leggi nazionali sono oggetto della decisione 2009/917/GAI (ad esempio, i reati di traffico illecito di stupefacenti, traffico illecito di armi e riciclaggio di denaro sono contemplati dalla decisione 2009/917/GAI) ed ogni Stato deve stilare un elenco di reati ai sensi delle rispettive leggi nazionali che soddisfano determinate condizioni ai fini dell’archivio di identificazione dei fascicoli a fini doganali.

Trattamento dati personali nella Decisione GAI: cosa cambia per Autorità di Controllo e Garante

Il Regolamento apporta modifiche alla Decisione GAI richiedendo che le autorità nazionali di controllo responsabili di garantire il controllo e l’applicazione della direttiva (UE) 2016/680 in ciascuno Stato membro dovrebbero essere competenti per il controllo e l’applicazione delle disposizioni relative alla protezione dei dati personali presenti nella decisione 2009/917/GAI da parte delle autorità competenti di ciascuno Stato membro.

Il Garante europeo della protezione dei dati dovrebbe avere il compito di controllare e garantire l’applicazione delle disposizioni relative alla protezione dei dati personali di cui nella decisione 2009/917/GAI da parte della Commissione, di Europol e di Eurojust.

Conservazione dei Dati nel SID

Un’altra questione tratta dal Regolamento è il trattamento dei dati personali nel quadro della decisione 2009/917/GAI: dovrebbe essere conforme al diritto dell’Unione e nazionale in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la protezione dalle minacce alla sicurezza pubblica e la prevenzione delle stesse.

Il Regolamento mira quindi a semplificare la procedura che disciplina la conservazione dei dati personali nel SID eliminando l’obbligo di riesaminare annualmente la necessità di conservare i dati personali e fissando un periodo massimo di conservazione di cinque anni che può essere prolungato di un ulteriore periodo di due anni, se giustificato.

Il periodo di conservazione, spiega il Regolamento, è necessario e proporzionato alla luce della durata tipica dei procedimenti penali e della necessità dei dati per lo svolgimento di operazioni doganali e di indagini congiunte.

Normativa In risalto In primo piano News approfondimenti Prodotti & tecnologie Sentenze Quesito Dispositivi di Protezione individuale - DPI INAIL membership Covid-19 norme tecniche Safety Expo Testo Unico di Sicurezza - D.Lgs. 81/2008

Il principio di Accountability secondo il Regolamento Privacy

UNI 12000:2025, contro il cyberbullismo nello sport e nel tempo libero

Privacy by Default: la protezione dei dati come impostazione predefinita

“Finalmente un po’ di privacy”: campagna del Garante per proteggere i minori online

Sistema Informativo doganale e protezione dei Dati: modifica alla Decisione GAI