29.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 355/16

1.

Il 20 luglio 2010 la Commissione ha adottato una comunicazione dal titolo «Panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia» (in prosieguo la «comunicazione») (3). La comunicazione è stata trasmessa al GEPD per consultazione.

2.

Il GEPD si compiace di essere stato consultato dalla Commissione. Già prima dell’adozione della comunicazione il GEPD aveva avuto la possibilità di formulare osservazioni informali, molte delle quali sono state prese in considerazione nella versione definitiva del documento.

3.

Il GEPD accoglie con favore l’obiettivo della comunicazione, volto a illustrare per la prima volta «tutte le misure dell’UE, vigenti o in fase di attuazione o di esame, che disciplinano la raccolta, la conservazione o lo scambio transfrontaliero di informazioni personali a fini di contrasto o di gestione dell’immigrazione» (4). Obiettivo del documento è inoltre fornire ai cittadini una panoramica del tipo di dati personali raccolti, conservati o scambiati e del fine per cui vengono effettuate queste operazioni, e da chi. La Commissione ritiene altresì che la comunicazione debba anche fungere da strumento di riferimento trasparente per tutti quanti intendano partecipare al dibattito sulla direzione che dovrà prendere in futuro la politica dell’UE in questo settore, contribuendo in tal modo a un dialogo politico informato con tutte le parti interessate.

4.

Concretamente, la comunicazione riferisce di essere volta a chiarire, per ciascuno strumento, lo scopo principale, la struttura, il tipo di dati personali che tratta, «l’elenco delle autorità che hanno accesso a tali dati» (5) e le disposizioni in materia di protezione e conservazione. L’allegato I, inoltre, contiene qualche esempio del modo in cui tali strumenti funzionano nella pratica.

5.

Il documento espone altresì i principi generali («principi sostanziali» e «principi orientati al processo») cui la Commissione intende attenersi nello sviluppo futuro degli strumenti di raccolta, conservazione e scambio di dati. Tra i «principi sostanziali» elencati nella comunicazione figurano principi quali la salvaguardia dei diritti fondamentali, in particolare del diritto al rispetto della vita privata e alla protezione dei dati, la necessità, la sussidiarietà e l’attenta gestione del rischio. Nei «principi orientati al processo» rientrano l’efficacia economica, l’elaborazione delle politiche «dal basso», la ripartizione chiara delle responsabilità nonché le clausole di revisione e caducità.

6.

Secondo la comunicazione, tali principi varranno altresì per la valutazione degli strumenti esistenti. La Commissione ritiene che, applicando un approccio di elaborazione e valutazione delle politiche basato su principi, aumenteranno la coerenza e l’efficacia degli strumenti attuali e futuri nel pieno rispetto dei diritti fondamentali dei cittadini.

7.

Il GEPD osserva che la comunicazione è un documento importante che fornisce una panoramica completa degli strumenti esistenti e che saranno (eventualmente) adottati in futuro per lo scambio di informazioni nello spazio di libertà, sicurezza e giustizia. Contiene un’elaborazione dei capitoli 4.2.2 (Gestione del flusso di informazioni) e 5.1 (Gestione integrata delle frontiere esterne) del programma di Stoccolma (6). Svolgerà un ruolo essenziale nello sviluppo futuro di questo spazio e, di conseguenza, il GEPD ritiene utile formulare osservazioni sui vari elementi della comunicazione, indipendentemente dal fatto che il testo del documento in sé resterà invariato.

8.

Il GEPD intende illustrare alcuni concetti aggiuntivi che a suo parere devono essere presi in considerazione nell’ulteriore sviluppo dello spazio di libertà, sicurezza e giustizia. Il presente documento precisa vari concetti precedentemente espressi nel parere del GEPD del 10 luglio 2009 sulla comunicazione della Commissione al Parlamento europeo e al Consiglio dal titolo «Uno spazio di libertà, sicurezza e giustizia al servizio dei cittadini» (7), nonché in una serie di altri pareri e osservazioni, approfondendo altresì le considerazioni formulate in occasioni passate. In tale contesto occorre fare riferimento anche alla relazione sul futuro della privacy, adottata dal gruppo di lavoro «articolo 29» e dal gruppo di lavoro «polizia e giustizia» il 1o dicembre 2009. Tale relazione, che costituisce un contributo congiunto alla consultazione della Commissione europea sul quadro giuridico relativo al diritto fondamentale alla protezione dei dati personali, ed è stata sostenuta dal GEPD, ha fornito orientamenti importanti sul futuro della protezione dei dati, applicabili anche allo scambio di informazioni nel settore della cooperazione di polizia e giudiziaria in materia penale.

9.

Il GEPD accoglie con favore la comunicazione quale risposta all’invito del Consiglio europeo (8) a sviluppare strumenti di gestione delle informazioni a livello UE in conformità della strategia di gestione delle informazioni dell’UE e a riflettere sulla necessità di adottare un modello europeo di scambio delle informazioni.

10.

Il GEPD osserva inoltre che la comunicazione deve essere interpretata anche come una risposta al programma di Stoccolma, precedentemente citato, che invita a sviluppare lo scambio di informazioni nell’ambito della sicurezza interna dell’UE all’insegna della coerenza e del consolidamento. Più precisamente, il capitolo 4.2.2 del programma di Stoccolma invita la Commissione europea a valutare ciò che occorre per sviluppare un modello europeo di scambio delle informazioni basato sulla valutazione degli strumenti attuali, tra cui il quadro di Prüm e la cosiddetta «decisione quadro svedese». Tali valutazioni permetteranno di stabilire se questi strumenti funzionano come si intendeva all’origine e se soddisfano gli obiettivi della strategia di gestione delle informazioni.

11.

In tale contesto è utile sottolineare il fatto che il programma di Stoccolma fa riferimento a una solida disciplina della protezione dei dati quale prerequisito principale per la strategia di gestione delle informazioni dell’UE. Il forte rilievo accordato alla protezione dei dati è pienamente in linea con il trattato di Lisbona, che, come prima indicato, contiene una disposizione generale sulla protezione dei dati la quale conferisce a chiunque, cittadini di paesi terzi compresi, un diritto alla protezione dei dati opponibile dinanzi a un giudice, e obbliga Consiglio e Parlamento europeo a istituire un quadro globale in materia di protezione dei dati.

12.

Il GEPD sostiene altresì il requisito della strategia di gestione delle informazioni che prevede che tutte le nuove misure legislative volte ad agevolare la conservazione e lo scambio di dati personali vengano proposte solo qualora la loro necessità sia suffragata da prove concrete. Il GEPD ha sostenuto tale approccio in vari pareri su proposte legislative riguardanti lo spazio di libertà, sicurezza e giustizia, ad esempio sul SIS di seconda generazione (9), sull’accesso delle autorità di contrasto all’Eurodac (10), sulla revisione dei regolamenti Eurodac e Dublino (11), sulla comunicazione della Commissione sul programma di Stoccolma (12) e sul codice di prenotazione (PNR) (13).

13.

Di fatto, la necessità di valutare tutti gli strumenti esistenti sullo scambio di informazioni prima di proporne di nuovi è di rilevanza fondamentale. Ciò è tanto più importante se si considera che il quadro attuale è un mosaico complesso di strumenti e sistemi differenti, alcuni dei quali sono stati attuati solo di recente e pertanto non è ancora stato possibile valutarne l’efficacia, altri sono in fase di attuazione e alcuni dei nuovi sono tuttora oggetto di attività legislativa.

14.

Il GEPD rileva pertanto con soddisfazione che la comunicazione stabilisce un chiaro collegamento con altre iniziative avviate dalla Commissione al fine di fare il punto sullo scambio di informazioni nello spazio di libertà, sicurezza e giustizia e valutare la situazione in questo settore, dando seguito al programma di Stoccolma.

15.

In tale contesto, il GEPD si compiace in particolare della «mappatura delle informazioni» lanciata dalla Commissione nel gennaio 2010 ed effettuata in stretta collaborazione con un gruppo ad hoc composto da rappresentanti degli Stati membri dell’UE e dell’EFTA, di Europol, Eurojust, Frontex e del GEPD (14). Come indicato nella comunicazione, la Commissione intende riferire al Consiglio e al Parlamento europeo in merito alla «mappatura delle informazioni» ancora nel 2010. Come passo successivo, la Commissione intende altresì presentare una comunicazione sul modello europeo di scambio delle informazioni.

16.

Il GEPD accoglie molto favorevolmente l’istituzione di un chiaro collegamento tra la comunicazione e la «mappatura delle informazioni» poiché esiste una evidente interconnessione tra loro. Ovviamente è ancora prematuro valutare quale sarà l’esito di tali iniziative e, più in generale, delle discussioni sul modello europeo di scambio delle informazioni (ad oggi la Commissione ha presentato la «mappatura delle informazioni» solo come un «esercizio di valutazione»). Il GEPD continuerà a seguire questo lavoro. Inoltre, già in questa fase, richiama l’attenzione sulla necessità di operare sinergicamente ed evitare conclusioni divergenti tra tutte le iniziative intraprese dalla Commissione nell’ambito delle discussioni sul modello europeo di scambio delle informazioni.

17.

Il GEPD desidera altresì fare riferimento alla revisione del quadro per la protezione dei dati, attualmente in corso e, più in particolare, all’intenzione della Commissione di presentare un quadro globale per la protezione dei dati, compresa la cooperazione di polizia e giudiziaria in materia penale.

18.

A tale proposito il GEPD rileva che, in riferimento alla «salvaguardia dei diritti fondamentali, in particolare del diritto al rispetto della vita privata e alla protezione dei dati», la comunicazione cita l’articolo 16 del trattato sul funzionamento dell’Unione europea (TFUE) quale base giuridica del lavoro sul quadro globale per la protezione dei dati. In tale contesto il GEPD osserva inoltre che la comunicazione non analizza specifiche disposizioni di protezione dei dati contenute negli strumenti esaminati, in quanto la Commissione, in virtù del summenzionato articolo 16, sta attualmente lavorando a un nuovo quadro globale per la protezione dei dati personali nell’UE. Il GEPD auspica che in tale contesto venga fornito un quadro completo dei regimi esistenti, ed eventualmente divergenti, in materia di protezione dei dati e che la Commissione basi l’ulteriore processo decisionale su tale quadro.

19.

Ultima ma non meno importante considerazione, pur accogliendo con favore gli obiettivi e il contenuto principale della comunicazione, il GEPD richiama altresì l’attenzione sul fatto che questo documento deve essere considerato solo come un primo passo nel processo di valutazione e che deve essere seguito da ulteriori misure concrete da cui deve scaturire una politica UE globale, integrata e strutturata in materia di scambio e gestione delle informazioni.

20.

Nel testo della comunicazione la Commissione definisce il principio di limitazione delle finalità come «un aspetto fondamentale di quasi tutti gli strumenti esaminati nella presente comunicazione».

21.

Il GEPD accoglie con favore il rilievo accordato dalla comunicazione al principio di limitazione delle finalità, che prevede la necessità di precisare chiaramente le finalità della raccolta dei dati personali al momento della stessa nonché di trattare tali dati in modo non incompatibile con le finalità iniziali. Qualsiasi deviazione dal principio di limitazione delle finalità costituisce una deroga e può essere attuata solo nel rispetto di condizioni rigorose e con le necessarie garanzie giuridiche, tecniche e di altro tipo.

22.

Il GEPD si rammarica tuttavia che la comunicazione descriva questo principio essenziale della protezione dei dati come un aspetto fondamentale solo «di quasi tutti gli strumenti esaminati nella presente comunicazione». A pagina 22, inoltre, la comunicazione si riferisce al SIS, al SIS II e al VIS affermando che «ad eccezione di questi sistemi di informazione centralizzati, la limitazione delle finalità risulta essere un fattore primario nel predisporre le misure di gestione delle informazioni a livello UE».

23.

Tale formulazione potrebbe essere interpretata nel senso che questo principio non è stato considerato come un aspetto fondamentale in tutti i casi e per tutti i sistemi e gli strumenti connessi allo scambio di informazioni nell’UE. A tale proposito il GEPD osserva che, conformemente a quanto stabilito dall’articolo 13 della direttiva 95/46/CE e dall’articolo 3, paragrafo 2, della decisione quadro 2008/977/GAI (15), le deroghe e le restrizioni a questo principio sono possibili e possono risultare necessarie. È tuttavia obbligatorio garantire che vengano proposti e adottati eventuali nuovi strumenti relativi allo scambio di informazioni nell’UE solo qualora sia stata riservata la debita considerazione al principio di limitazione delle finalità e laddove eventuali deroghe e restrizioni a questo principio siano state decise caso per caso e siano state oggetto di una seria valutazione. Tali considerazioni valgono anche per il SIS, il SIS II e il VIS.

24.

Qualsiasi altro approccio è incompatibile con l’articolo 8 della Carta dei diritti fondamentali dell’Unione e con la legislazione dell’UE sulla protezione dei dati [ad esempio la direttiva 95/46/CE, il regolamento (CE) n. 45/2001 e la decisione quadro 2008/977/GAI] nonché con la giurisprudenza della Corte europea dei diritti dell’uomo. Il mancato rispetto del principio di limitazione delle finalità potrebbe inoltre provocare il cosiddetto «slittamento della funzione» di questi sistemi (16).

25.

La comunicazione (a pagina 25) fa riferimento alle condizioni stabilite dalla giurisprudenza della Corte europea dei diritti dell’uomo riguardo al «criterio di proporzionalità» e dichiara che «in tutte le proposte future, la Commissione valuterà l’impatto stimato dell’iniziativa sul diritto di ciascuno al rispetto della vita privata e alla protezione dei dati personali e preciserà perché tale impatto è necessario e per quale motivo la soluzione proposta è proporzionata all’obiettivo legittimo del mantenimento della sicurezza interna nell’Unione europea, della prevenzione dei reati o della gestione dell’immigrazione».

26.

Il GEPD accoglie con favore dette dichiarazioni, avendo a sua volta insistito sul fatto che il rispetto della proporzionalità e della necessità deve essere predominante nell’adozione di qualsivoglia decisione su sistemi, nuovi o già esistenti, che prevedono la raccolta e lo scambio di dati personali. In prospettiva, si tratta di una condizione essenziale anche per l’attuale riflessione sulla configurazione che dovrebbero assumere la strategia di gestione delle informazioni dell’UE e il modello europeo di scambio delle informazioni.

27.

In tale contesto, il GEPD accoglie con favore il fatto che, diversamente dalla formulazione utilizzata dalla Commissione in riferimento al principio di limitazione delle finalità (cfr. i paragrafi 20-22 del presente parere), per quanto riguarda il principio di necessità la Commissione si impegna a valutare l’impatto sul diritto di ciascuno al rispetto della vita privata e alla protezione dei dati personali di tutte le proposte future.

28.

Ciò detto, il GEPD richiama l’attenzione sul fatto che tutte queste condizioni di proporzionalità e necessità derivano dall’attuale legislazione dell’UE (in particolare dalla Carta dei diritti fondamentali, ora integrata nel diritto primario dell’Unione europea) e dalla giurisprudenza consolidata della Corte europea dei diritti dell’uomo. In altre parole, la comunicazione non introduce alcun nuovo elemento. Anzi, a parere del GEPD, la comunicazione non dovrebbe limitarsi a ribadire tali condizioni, ma dovrebbe prevedere misure e meccanismi concreti volti a garantire il rispetto dei principi sia di necessità che di proporzionalità nonché la loro applicazione pratica in tutte le proposte che incidono sui diritti delle persone. La valutazione d’impatto sulla tutela della vita privata, discussa ai paragrafi 38-41, potrebbe rappresentare un valido strumento per la realizzazione di questo obiettivo. Inoltre, di questa valutazione non dovrebbero essere oggetto solo le nuove proposte, ma anche i sistemi e i meccanismi esistenti.

29.

Il GEPD coglie inoltre questa opportunità per sottolineare che, nel prendere in considerazione i principi di proporzionalità e necessità nella strategia di gestione delle informazioni dell’UE, occorre insistere sulla necessità di un giusto equilibrio tra la protezione dei dati da una parte e l’applicazione della legge dall’altra. Il conseguimento di questo equilibrio non significa che la protezione dei dati rappresenterà un ostacolo all’utilizzo delle informazioni necessarie alla soluzione di un reato. È possibile utilizzare tutte le informazioni necessarie a tal fine, nel rispetto della normativa sulla protezione dei dati (17).

30.

Il programma di Stoccolma prevede la realizzazione di una valutazione oggettiva ed esauriente di tutti gli strumenti e i sistemi riguardanti lo scambio di informazioni nell’Unione europea. Ovviamente il GEPD sostiene appieno tale approccio.

31.

La comunicazione, tuttavia, al momento non sembra completamente equilibrata. Sembra accordare priorità, almeno in merito a cifre e statistiche, a quegli strumenti che si sono rivelati efficaci nel corso degli anni e che vengono considerati esempi virtuosi, quali il numero di «hit» (segnalazioni positive) individuati nei sistemi SIS ed Eurodac. Il GEPD non mette in discussione il successo globale di questi sistemi. A titolo di esempio, tuttavia, il GEPD ricorda che dalle relazioni di attività dell’Autorità di controllo comune per il SIS (18) emerge che in un non esiguo numero di casi le segnalazioni nel SIS erano obsolete, compitate male o errate, carenze che hanno comportato (o avrebbero potuto comportare) conseguenze negative per gli interessati. Nella comunicazione tali informazioni non vengono riportate.

32.

Il GEPD raccomanda alla Commissione di riconsiderare l’approccio adottato nella comunicazione. Suggerisce che, al fine di garantire un giusto equilibrio, nel lavoro futuro sulla gestione delle informazioni vengano indicate anche le disfunzioni e le lacune del sistema, quali ad esempio il numero di persone che sono state arrestate erroneamente o che hanno subito disagi di sorta a seguito di una falsa risposta pertinente nel sistema.

33.

Ad esempio, il GEPD suggerisce di integrare i dati sugli «hit» del sistema SIS/Sirene (Allegato I) con un riferimento al lavoro svolto dall’ACC sull’affidabilità e l’accuratezza delle segnalazioni.

34.

Tra i «principi orientati al processo» elencati alle pagine 26-27, la comunicazione fa riferimento alla «ripartizione chiara delle responsabilità», in particolare riguardo alla questione della configurazione iniziale delle strutture di governance. In tale contesto la comunicazione indica i problemi riscontrati in merito al progetto SIS II e le future responsabilità dell’agenzia IT.

35.

Il GEPD desidera cogliere questa occasione per sottolineare l’importanza del principio di «responsabilità», che deve essere attuato anche nel settore della cooperazione giudiziaria e di polizia in materia penale e svolgere un ruolo importante nell’elaborazione della nuova e più evoluta politica dell’UE in materia di scambio di dati e gestione delle informazioni. Il principio di responsabilità è attualmente oggetto di discussione nel contesto del futuro del quadro europeo per la protezione dei dati quale strumento volto a esortare ulteriormente i responsabili del trattamento dei dati a ridurre il rischio di non conformità attuando meccanismi adeguati a un’efficace protezione dei dati. In base a tale principio, i responsabili del trattamento dei dati sono tenuti ad attuare sistemi di controllo e meccanismi interni volti a garantire la conformità e a fornire prove concrete — quali relazioni di audit — della stessa alle parti interessate esterne, autorità di controllo comprese (19). Il GEPD ha sottolineato la necessità di adottare tali misure anche nei pareri formulati sul VIS e sul SIS II nel 2005.

36.

La Commissione cita il concetto di «privacy by design» (tutela della vita privata fin dalla progettazione) a pagina 25 della comunicazione (in riferimento alla «salvaguardia dei diritti fondamentali, in particolare del diritto al rispetto della vita privata e alla protezione dei dati», che figura tra i principi sostanziali) dichiarando che «nello sviluppare nuovi strumenti basati sull’uso delle tecnologie dell’informazione, la Commissione si impegnerà a seguire l’approccio privacy by design (tutela della vita privata fin dalla progettazione)».

37.

Il GEPD accoglie con favore il riferimento a questo concetto (20), che viene attualmente sviluppato a livello sia privato che pubblico in generale e deve svolgere un ruolo importante anche nei settori della polizia e della giustizia (21).

38.

Il GEPD è convinto che questa comunicazione costituisca una buona occasione per riflettere in maniera più approfondita su cosa si intenda per una effettiva «valutazione d’impatto sulla tutela della vita privata e la protezione dei dati».

39.

Il GEPD rileva che né gli orientamenti generali descritti nella comunicazione né gli orientamenti per la valutazione d’impatto della Commissione (22) specificano questo aspetto e lo traducono in un requisito politico.

40.

Il GEPD raccomanda pertanto che per gli strumenti futuri venga effettuata una più specifica e rigorosa valutazione d’impatto sulla tutela della vita privata e la protezione dei dati, o come valutazione separata o nell’ambito della valutazione d’impatto generale sui diritti fondamentali. Occorre definire caratteristiche e indicatori specifici affinché tutte le proposte che incidono sulla tutela della vita privata e sulla protezione dei dati siano oggetto di un’analisi approfondita. Il GEPD propone inoltre che la questione venga affrontata nell’ambito del lavoro attualmente in corso sul quadro globale per la protezione dei dati.

41.

In tale contesto, inoltre, potrebbe essere utile fare riferimento all’articolo 4 della raccomandazione RFID (23), in cui la Commissione invitava gli Stati membri ad assicurarsi che l’industria, in cooperazione con le parti interessate della società civile, metta a punto un quadro per la realizzazione di valutazioni d’impatto sulla tutela della vita privata e la protezione dei dati. Anche la risoluzione di Madrid, adottata nel novembre 2009 dalla conferenza internazionale dei commissari in materia di protezione dei dati e della vita privata, incoraggiava a realizzare valutazioni d’impatto sulla tutela della vita privata e la protezione dei dati prima di attuare nuovi sistemi e tecnologie di informazione per il trattamento di dati personali o di apportare modifiche sostanziali a trattamenti esistenti.

42.

Il GEPD rileva che la comunicazione non prende specificamente in considerazione l’importante questione dei diritti degli interessati, che costituiscono un elemento fondamentale della protezione dei dati. È indispensabile che in tutti i vari sistemi e strumenti relativi allo scambio di informazioni vengano garantiti ai cittadini diritti analoghi riguardo al modo in cui vengono trattati i loro dati personali. Di fatto, molti dei sistemi citati nella comunicazione fissano norme specifiche sui diritti degli interessati, ma esistono differenze notevoli tra i diversi sistemi e strumenti, senza una valida giustificazione.

43.

Il GEPD invita pertanto la Commissione a esaminare più attentamente la questione dell’allineamento dei dati degli interessati nell’UE nel prossimo futuro.

44.

Pur facendo riferimento all’utilizzo dei dati biometrici (24), la Commissione non prende specificamente in considerazione l’attuale fenomeno del crescente utilizzo dei dati biometrici nel settore dello scambio di informazioni nell’UE, compresi i sistemi informatici europei su larga scala e altri strumenti per la gestione delle frontiere. La comunicazione non fornisce indicazioni concrete neanche riguardo al modo in cui la Commissione intende affrontare la questione in futuro né riferisce se stia lavorando a una politica globale riguardo a tale tendenza sempre più diffusa. Questo è deplorevole considerato che si tratta di una questione di grande importanza e sensibilità dal punto di vista della protezione dei dati.

45.

In tale contesto il GEPD desidera ricordare di avere evidenziato in molte occasioni, in varie sedi e in diversi pareri (25), i possibili rischi collegati al grande impatto che l’utilizzo dei dati biometrici ha sui diritti delle persone. In tali occasioni ha altresì suggerito di inserire rigorose garanzie per l’utilizzo di elementi biometrici in determinati strumenti e sistemi. Il GEPD ha richiamato inoltre l’attenzione su un problema dovuto alle inesattezze insite nella raccolta e nel confronto dei dati biometrici.

46.

Il GEPD coglie pertanto l’occasione per chiedere alla Commissione di elaborare una politica chiara e rigorosa sull’utilizzo dei dati biometrici nello spazio di libertà, sicurezza e giustizia sulla base di una valutazione seria e ponderando caso per caso la necessità di utilizzare elementi biometrici, nel pieno rispetto di principi fondamentali per la protezione dei dati quali la proporzionalità, la necessità e la limitazione delle finalità.

47.

In una precedente occasione (26) il GEPD aveva sollevato una serie di preoccupazioni riguardo al concetto di interoperabilità. Una delle conseguenze dell’interoperabilità dei sistemi è che potrebbe costituire un incentivo a proporre, per i sistemi IT su larga scala, nuovi obiettivi che esulano dalla loro finalità iniziale e/o a utilizzare i dati biometrici come chiave primaria in questo settore. Sono necessarie garanzie e condizioni specifiche per i vari tipi di interoperabilità. In tale contesto il GEPD ha altresì sottolineato che l’interoperabilità dei sistemi deve essere attuata tenendo nella debita considerazione i principi di protezione dei dati e in particolare il principio di limitazione delle finalità.

48.

In tale contesto il GEPD rileva che la comunicazione non fa espressamente riferimento alla questione dell’interoperabilità dei sistemi. Il GEPD invita pertanto la Commissione a elaborare una politica su questo aspetto essenziale dello scambio di informazioni nell’UE, che deve essere preso in considerazione nell’esercizio di valutazione.

49.

La comunicazione contiene un capitolo sulle proposte legislative che la Commissione presenterà in futuro. Tra le altre, il documento accenna a una proposta di programma per viaggiatori registrati e a una proposta relativa all’introduzione di un sistema di ingresso/uscita. Il GEPD desidera formulare alcune osservazioni su entrambe le proposte di cui sopra, riguardo alle quali, come suggerisce la comunicazione, la Commissione ha già adottato una decisione.

50.

Come evidenziato al punto 3 del presente parere, la comunicazione intende illustrare «tutte le misure dell’UE (…) che disciplinano la raccolta, la conservazione o lo scambio transfrontaliero di informazioni personali a fini di contrasto o di gestione dell’immigrazione».

51.

In tale contesto il GEPD si interroga sullo scopo effettivo del programma per viaggiatori registrati e si chiede in che modo questa proposta, attualmente all’esame della Commissione, possa essere attuata a fini di contrasto o di gestione dell’immigrazione. A pagina 20 la comunicazione afferma che grazie a questo programma «alcune categorie di persone che viaggiano di frequente da paesi terzi verso l’UE potrebbero usufruire (…) di verifiche di frontiera semplificate attraverso porte automatiche». Tali strumenti sembrano pertanto finalizzati ad agevolare gli spostamenti delle persone che viaggiano di frequente e, di conseguenza, non presentano alcun collegamento (diretto o chiaro) con le finalità di contrasto o di gestione dell’immigrazione.

52.

In riferimento al futuro sistema UE di ingresso/uscita, la comunicazione (pagina 20) accenna al problema dei soggiornanti «fuoritermine» (cosiddetti overstayer) e afferma che questa categoria di persone «rappresenta la principale categoria di immigrati irregolari nell’UE». Quest’ultima osservazione viene presentata come il motivo per cui la Commissione ha deciso di proporre l’introduzione di un sistema di ingresso/uscita per i cittadini di paesi terzi ammessi nell’UE per soggiorni di breve durata fino a tre mesi.

53.

La comunicazione riferisce inoltre che «questo sistema registrerebbe la data e il luogo d’ingresso, la durata del soggiorno autorizzato e segnalerebbe automaticamente alle autorità competenti i fuoritermine. Basato sulla verifica dei dati biometrici, userebbe lo stesso sistema di confronto biometrico e la stessa strumentazione operativa dei sistemi SIS II e VIS».

54.

Il GEPD ritiene che sia indispensabile specificare il gruppo destinatario di soggiornanti «fuoritermine» sulla base di una definizione giuridica esistente o giustificarne l’individuazione con dati o statistiche attendibili. Ciò è tanto più importante se si considera che tutti i calcoli relativi al numero di «fuoritermine» presenti nell’UE sono attualmente basati solo su stime teoriche. È inoltre necessario chiarire le misure che dovranno essere adottate nei confronti dei «fuoritermine» dopo l’individuazione degli stessi da parte del sistema, in quanto l’UE è priva di una politica chiara ed esauriente sulle persone che soggiornano oltre i termini nel territorio dell’UE.

55.

La formulazione della comunicazione, inoltre, suggerisce che la decisione di introdurre il sistema è già stata adottata dalla Commissione, ma al contempo la comunicazione indica che al momento la Commissione sta effettuando una valutazione d’impatto. Il GEPD sottolinea che la decisione di introdurre questo complesso sistema, invasivo della vita privata, deve essere adottata solo sulla base di una valutazione d’impatto specifica che fornisca informazioni e prove concrete atte a motivare la necessità di utilizzare tale sistema e l’impossibilità di prevedere soluzioni alternative basate sui sistemi esistenti.

56.

La Commissione, infine, sembra collegare questo futuro sistema al sistema di confronto biometrico e alla strumentazione operativa dei sistemi SIS II e VIS, senza tuttavia fare riferimento al fatto che né il SIS II né il VIS sono ancora operativi e che le date esatte della loro entrata in funzione al momento non sono note. In altre parole, il sistema di ingresso/uscita dipenderà in ampia misura da sistemi biometrici e operativi che non sono ancora entrati in funzione e, di conseguenza, le loro prestazioni e funzionalità non possono materialmente essere state oggetto di una valutazione adeguata.

57.

Nell’ambito delle iniziative per cui la Commissione deve realizzare studi — sulle quali la Commissione non ha pertanto adottato una decisione definitiva — la comunicazione, sulla base delle richieste formulate nel programma di Stoccolma, fa riferimento a tre iniziative: un sistema UE di controllo delle transazioni finanziarie dei terroristi (equivalente al TFTP statunitense), un sistema elettronico di autorizzazione di viaggio e un indice europeo dei casellari giudiziari (EPRIS).

58.

Il GEPD seguirà da vicino tutti gli sviluppi connessi a queste iniziative e, se del caso, formulerà osservazioni e suggerimenti.

59.

Il GEPD sostiene appieno la comunicazione che illustra tutti i sistemi di scambio di informazioni sia esistenti che previsti in futuro nell’UE. Il GEPD ha sottolineato la necessità di valutare tutti gli strumenti esistenti sullo scambio di informazioni prima di proporne di nuovi in molti pareri e osservazioni.

60.

Il GEPD accoglie inoltre con favore il riferimento della comunicazione al lavoro, attualmente in corso, sul quadro globale per la protezione dei dati, svolto sulla base dell’articolo 16 del TFUE, di cui si deve tenere conto anche nell’ambito del lavoro sul panorama della gestione delle informazioni nell’UE.

61.

Il GEPD considera questa comunicazione come un primo passo nel processo di valutazione, cui deve fare seguito un’analisi concreta dalla quale deve scaturire una politica UE globale, integrata e strutturata in materia di scambio e gestione delle informazioni. In tale contesto, il GEPD si compiace del collegamento istituito con altre iniziative avviate dalla Commissione in risposta al programma di Stoccolma, in particolare la «mappatura delle informazioni» effettuata dalla Commissione in stretta collaborazione con un gruppo ad hoc.

62.

Il GEPD suggerisce che nel lavoro futuro sulla gestione delle informazioni vengano indicate e prese in considerazione anche le carenze e le lacune dei sistemi, quali ad esempio il numero di persone che sono state arrestate erroneamente o hanno subito disagi di sorta a seguito di una falsa risposta pertinente nel sistema.

63.

Il principio di limitazione delle finalità deve essere ritenuto un aspetto fondamentale di tutti gli strumenti relativi allo scambio di informazioni nell’UE; possono essere proposti nuovi strumenti solo qualora durante la loro elaborazione il principio di limitazione delle finalità sia stato debitamente considerato e rispettato. La necessità di procedere in tal senso sussiste anche durante la loro attuazione.

64.

Il GEPD incoraggia inoltre la Commissione a garantire il rispetto dei principi sia di necessità che di proporzionalità, nonché la loro applicazione pratica in tutte le nuove proposte che incidono sui diritti delle persone, sviluppando misure e meccanismi concreti. È inoltre necessario valutare i sistemi esistenti riguardo a tale questione.

65.

Il GEPD è peraltro convinto che questa comunicazione costituisca un’ottima occasione per avviare un dibattito su cosa si intenda effettivamente per «valutazione d’impatto sulla tutela della vita privata e la protezione dei dati» nonché per precisare meglio tale concetto.

66.

Il GEPD invita inoltre la Commissione a elaborare una politica più coerente e omogenea sui prerequisiti per l’utilizzo dei dati biometrici, a sviluppare una politica sull’operabilità dei sistemi e a prevedere un maggiore allineamento a livello UE in termini di diritti degli interessati.

67.

Il GEPD accoglie inoltre con favore il riferimento al concetto di «privacy by design» (tutela della vita privata fin dalla progettazione), attualmente sviluppato a livello sia privato che pubblico in generale, e che deve pertanto svolgere un ruolo importante anche nei settori della polizia e della giustizia.

68.

Ultima ma non meno importante considerazione, il GEPD richiama l’attenzione sulle osservazioni e preoccupazioni espresse riguardo al capitolo intitolato «Proposte legislative che presenterà la Commissione» relativamente al sistema di ingresso/uscita e al programma per viaggiatori registrati.