1.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 101/14

1.

L’11 ottobre 2010 la Commissione europea ha adottato una proposta modificata di regolamento del Parlamento europeo e del Consiglio che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione del regolamento (CE) n. (…/…) (che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide) (in prosieguo: «la proposta») (3). La proposta adottata dalla Commissione è stata trasmessa al GEPD lo stesso giorno ai fini della consultazione ai sensi dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001. Il GEPD si compiace di essere stato consultato dalla Commissione e chiede che un riferimento a tale consultazione sia inserito nei considerando della proposta.

2.

L’Eurodac è stato istituito in forza del regolamento (CE) n. 2725/2000 che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione della convenzione di Dublino (4). Nel dicembre 2008 la Commissione ha adottato una proposta di rifusione diretta a modificare tale regolamento (in prosieguo: «la proposta del dicembre 2008») (5). Il GEPD ha commentato tale proposta in un proprio parere del febbraio 2009 (6).

3.

Scopo della proposta del dicembre 2008 era garantire un più efficiente sostegno all’applicazione del regolamento di Dublino e affrontare adeguatamente le questioni della protezione dei dati. La proposta ha inoltre armonizzato il quadro di gestione dei sistemi di tecnologia dell’informazione con quello dei regolamenti SIS II e VIS laddove stabilisce che i compiti correlati alla gestione operativa dell’Eurodac saranno assunti dalla costituenda Agenzia per la gestione operativa dei sistemi di tecnologia dell’informazione su larga scala del settore della libertà, della sicurezza e della giustizia (7) (in prosieguo: «l’Agenzia IT») (8).

4.

Successivamente, nel settembre 2009, la Commissione ha adottato una proposta modificata che contempla la possibilità per le autorità di contrasto degli Stati membri e l’Europol di accedere alla banca dati centrale Eurodac a fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi.

5.

In particolare, la proposta contiene una clausola passerella per consentire l’accesso a fini di contrasto, nonché le necessarie disposizioni accompagnatorie, e modifica la proposta del dicembre 2008. La proposta è stata presentata contemporaneamente alla proposta di decisione del Consiglio sulle richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto (9) (in prosieguo: «la decisione del Consiglio»), che fissa le modalità esatte di tale accesso. Il GEPD ha adottato un parere su questa proposta nel dicembre 2009 (10).

6.

Con l’entrata in vigore del trattato di Lisbona e l’abolizione del sistema a pilastri, la proposta di decisione del Consiglio è decaduta; si è reso necessario ritirarla formalmente e sostituirla con una nuova proposta per tenere conto del nuovo quadro del TFUE.

7.

Nella relazione alla proposta si afferma che, al fine di far progredire i negoziati sul «pacchetto asilo» (11) e di agevolare la conclusione di un accordo sul regolamento Eurodac, la Commissione ha ritenuto opportuno ritirare da quest’ultimo le disposizioni concernenti l’accesso a fini di contrasto.

8.

La Commissione ritiene altresì che il ritiro di quella parte (alquanto controversa) della proposta e, conseguentemente, la più rapida adozione del nuovo regolamento Eurodac faciliteranno anche la tempestiva istituzione dell’Agenzia per la gestione operativa dei sistemi di tecnologia dell’informazione su larga scala del settore della libertà, della sicurezza e della giustizia, considerato che l’Agenzia sarà responsabile anche della gestione dell’Eurodac.

9.

Ne deriva che l’attuale proposta modificata, pur introducendo due disposizioni tecniche, ha come finalità principale quella di modificare la proposta precedente (del settembre 2009) eliminando dal suo disposto la norma che consente l’accesso a fini di contrasto. Pertanto, non si è ritenuto necessario eseguire una nuova, specifica valutazione d’impatto per l’attuale proposta.

10.

Come sopra indicato, il GEPD ha già adottato numerosi pareri su questo tema. Con il presente parere, il GEPD intende raccomandare miglioramenti della proposta. Tali raccomandazioni si fondano o su elementi nuovi o su raccomandazioni fatte in precedenza ma non ancora prese in considerazione riguardo a situazioni nelle quali il GEPD ritiene che le proprie argomentazioni non siano state adeguatamente rispettate o che le proprie raccomandazioni siano ora supportate da nuove argomentazioni.

11.

Il presente parere si incentra sui punti seguenti:

12.

Il GEPD valuta positivamente il fatto che dall’attuale proposta sia stata esclusa la possibilità di concedere alle autorità di contrasto l’accesso all’Eurodac. Infatti, pur non contestando l’esigenza dei governi di disporre di idonei strumenti per garantire la sicurezza dei cittadini, il GEPD aveva espresso forti perplessità circa la legittimità di questa proposta, alla luce delle seguenti considerazioni.

13.

Le misure di contrasto dei reati di terrorismo e altri reati gravi possono costituire un motivo valido per consentire il trattamento di dati personali — anche se incompatibile con gli scopi per i quali i dati sono stati originariamente raccolti — purché la necessità di tale intrusione sia giustificata da elementi certi e indiscutibili e sia dimostrata la proporzionalità del trattamento. Ciò è tanto più necessario in quanto le proposte riguardano una categoria di persone vulnerabili e bisognose di maggiore protezione perché in fuga da persecuzioni. Di tale loro precaria condizione si deve tener conto in sede di valutazione della necessità e proporzionalità dell’azione proposta. Il GEPD ha sottolineato, più concretamente, che la necessità deve essere dimostrata fornendo prove convincenti dell’esistenza di un legame tra i richiedenti asilo e reati di terrorismo e/o altri reati gravi. Così non è stato fatto nelle proposte.

14.

In termini più generali, il GEPD ha sostenuto in numerosi pareri e commenti e, con particolare enfasi, nei recenti pareri «Panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia» (12) e «La politica antiterrorismo dell’UE: principali risultati e sfide future» (13), la necessità di valutare tutti gli strumenti esistenti per lo scambio di informazioni prima di proporne di nuovi.

15.

Infatti, la determinazione dell’efficacia delle misure vigenti in sede di valutazione dell’impatto sulla privacy di nuove misure allo studio è cruciale e dovrebbe svolgere un ruolo importante nell’azione dell’Unione europea a tale riguardo, in linea con l’approccio indicato dal programma di Stoccolma. In questo caso, un’attenzione speciale va riservata, per esempio, all’attuazione dello scambio di dati nell’ambito del meccanismo di Prüm. Essendo lo scambio di impronte digitali già previsto in quel contesto, occorre dimostrare che detto meccanismo presenta carenze gravi, tali da giustificare l’accesso a una banca dati come Eurodac.

16.

Infine, nei pareri citati, come in molti altri precedenti, il GEPD raccomanda un’attenzione speciale per le proposte che comportano la raccolta di dati personali di ampie categorie di cittadini, piuttosto che di semplici persone sospette. È altresì necessario tenere in specifica considerazione e giustificare i casi nei quali il trattamento dei dati personali è previsto a fini diversi da quelli per cui i dati sono stati raccolti originariamente, come nel caso dell’Eurodac.

17.

In conclusione, il GEPD valuta positivamente la cancellazione di questo elemento dall’attuale proposta.

18.

La raccolta e l’ulteriore trattamento delle impronte digitali ha ovviamente un ruolo centrale nel sistema Eurodac. Va sottolineato che il trattamento di dati biometrici comporta problematiche specifiche e rischi che devono essere affrontati. Nel contesto della proposta, il GEPD vuole segnalare in special modo il problema del cosiddetto «fallimento della registrazione», ossia la situazione in cui si trova una persona quando, per qualche motivo, le sue impronte digitali non sono utilizzabili.

19.

Il fallimento della registrazione può verificarsi quando una persona ha polpastrelli o mani temporaneamente o permanentemente danneggiati a causa di vari fattori, quali malattia, disabilità, ferite e ustioni. In taluni casi, la causa può dipendere anche dall’appartenenza etnica o dall’attività lavorativa della persona; in particolare, sembra che un numero non indifferente di lavoratori agricoli ed edili abbiano impronte digitali talmente danneggiate da risultare non rilevabili. In altri casi, la cui frequenza è di difficile valutazione, può succedere che i rifugiati si automutilino per sottrarsi al rilevamento delle impronte digitali.

20.

Il GEPD riconosce che può essere difficile distinguere i cittadini di paesi terzi che si sono volontariamente danneggiati i polpastrelli per impedire l’identificazione da coloro le cui impronte digitali non sono rilevabili per cause legittime.

21.

Tuttavia è estremamente importante garantire che il «fallimento della registrazione» di per sé non comporti la negazione dei diritti dei richiedenti asilo. Sarebbe infatti inaccettabile, per esempio, se il mancato rilevamento venisse interpretato sistematicamente come un tentativo fraudolento e portasse così al rifiuto di esaminare una domanda di asilo o al ritiro dell’assistenza al richiedente asilo. Se così fosse, la possibilità di far rilevare le proprie impronte digitali diventerebbe uno dei criteri per il riconoscimento dello status di richiedente asilo. Lo scopo dell’Eurodac è quello di facilitare l’applicazione della convenzione di Dublino, non di aggiungere un ulteriore criterio («avere impronte digitali utilizzabili») per la concessione dello status di richiedente asilo, perché in tal caso si violerebbero il principio della limitazione delle finalità e, quanto meno, lo spirito del diritto di asilo.

22.

Infine, il GEPD insiste anche sulla necessità che l’attuale proposta sia conforme alle altre direttive pertinenti. In particolare, la «direttiva qualifiche» sottolinea che ogni domanda sarà esaminata su base individuale e certamente non menziona il fallimento della registrazione come uno dei criteri di valutazione delle domande di asilo (14).

23.

Nell’articolo 6, paragrafi 1 e 2, l’attuale proposta prevede già in parte il fallimento della registrazione (15).

24.

Tuttavia, queste norme contemplano soltanto l’ipotesi di un’impossibilità di rilevamento temporanea, mentre in un numero significativo di casi essa è permanente. L’articolo 1 del regolamento che modifica l’istruzione consolare comune (16) prevede casi del genere laddove stabilisce che: (…) Gli Stati membri provvedono affinché siano predisposte procedure idonee a garanzia della dignità del richiedente in caso di difficoltà nel rilevamento. L’impossibilità fisica di rilevare le impronte digitali non influisce sulla concessione o sul rifiuto del visto.

25.

Al fine di tenere conto di questi casi nel contesto dell’Eurodac, il GEPD raccomanda che all’articolo 6 sia aggiunta una disposizione sulla seguente falsariga: «L’impossibilità temporanea o permanente di fornire impronte digitali utilizzabili non compromette lo status giuridico dell’interessato e in ogni caso non è un motivo valido per negare l’esame di una domanda di asilo o respingerla».

26.

Il GEPD rileva che l’efficace applicazione del diritto all’informazione è essenziale per il corretto funzionamento dell’Eurodac. In particolare, è essenziale al fine di garantire che le informazioni siano fornite in maniera tale da consentire al richiedente asilo di comprendere appieno la sua condizione e la portata dei suoi diritti, compresi i passi che può compiere sotto il profilo procedurale per dare seguito alle decisioni amministrative adottate nel suo caso. Il GEPD ricorda altresì che il diritto di accesso è un pilastro fondamentale della protezione dei dati, come sancito in particolare dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea.

27.

Il GEPD aveva già evidenziato questo punto nel suo precedente parere sull’Eurodac. Poiché la proposta modificata non è stata accolta, il GEPD vuole sottolineare l’importanza di tale questione.

28.

L’articolo 24 della proposta così recita:

Lo Stato membro d’origine provvede a informare la persona soggetta al presente regolamento per iscritto e se del caso oralmente, in una lingua a lei comprensibile o che si può ragionevolmente supporre tale:

(…)

29.

Il GEPD propone di riformulare il testo dell’articolo 24 per specificare meglio i diritti riconosciuti al richiedente. La formulazione proposta non è chiara perché può essere interpretata nel senso che «il diritto di ottenere informazioni sulle procedure da seguire per esercitare tali diritti (…)» è distinto dal diritto di accesso ai dati e/o dal diritto di chiedere la rettifica dei dati inesatti (…). Inoltre, secondo l’attuale formulazione della succitata disposizione, gli Stati membri devono informare la persona soggetta al regolamento non del contenuto dei diritti bensì della loro «esistenza». Poiché quest’ultimo termine sembra rispondere esclusivamente a considerazioni di carattere stilistico-linguistico, il GEPD propone di riformulare l’articolo 24 come segue: «Lo Stato membro d’origine provvede a informare la persona soggetta al presente regolamento (…)(g) del diritto di accesso ai dati che la riguardano e del diritto di chiedere che i dati inesatti che la riguardano siano rettificati o che i dati che la riguardano trattati illecitamente siano cancellati».

30.

L’articolo 4, paragrafo 1, della proposta prevede quanto segue: «Dopo un periodo transitorio, un organo di gestione (“Autorità di gestione”) finanziato dal bilancio generale dell’Unione europea è responsabile della gestione operativa dell’Eurodac. In cooperazione con gli Stati membri, l’Autorità di gestione provvede a che in qualsiasi momento siano utilizzate, previa analisi costi/benefici, le migliori tecnologie disponibili per il sistema centrale». Pur valutando positivamente il requisito di cui all’articolo 4, paragrafo 1, il GEPD desidera rilevare che l’espressione «migliori tecnologie disponibili» riportata nella norma succitata dovrebbe essere sostituita dalla formulazione «migliori tecniche disponibili», che comprende sia la tecnologia impiegata sia il modo in cui il dispositivo è progettato, costruito, mantenuto e azionato.

31.

Tale riformulazione è rilevante perché il concetto di «migliori tecniche disponibili» è più ampio e comprende vari aspetti che contribuiscono all’applicazione del concetto di «tutela della vita privata fin dalla progettazione», che, nella revisione del quadro giuridico della protezione dei dati nell’Unione europea, è considerato un principio chiave. Esso sottolinea che la protezione dei dati può essere realizzata con mezzi diversi, non necessariamente di tipo tecnologico. Ed è infatti importante valutare non soltanto la tecnologia ma anche il modo in cui essa è utilizzata in quanto strumento atto a conseguire lo scopo del trattamento dei dati disponibili. I processi aziendali devono orientarsi al raggiungimento di questo obiettivo, che si traduce in procedure e strutture organizzative.

32.

A tale proposito e in termini più generali, il GEPD desidera ribadire quanto ha già raccomandato in pareri precedenti (17) riguardo alla necessità che la Commissione stabilisca e promuova, insieme con esponenti dell’imprenditoria, «migliori tecniche disponibili» (MTD) secondo la medesima procedura adottata dalla Commissione in campo ambientale (18). Per «migliori tecniche disponibili» s’intende il livello più efficace e avanzato di sviluppo della tecnologia e dei metodi operativi che denotano l’idoneità di particolari tecniche a fornire concretamente, nel rispetto della privacy e del quadro comunitario di protezione dei dati, una soglia definita di individuazione. Queste MTD saranno progettate in modo tale da prevenire e, ove ciò non sia possibile, ridurre a un livello adeguato i rischi per la sicurezza correlati a tale trattamento dei dati, onde limitare al massimo l’impatto sulla privacy.

33.

Da questo processo dovrebbero derivare, inoltre, documenti di riferimento sulle «migliori tecniche disponibili» che potrebbero fungere da utile guida per la gestione di altri sistemi UE di tecnologia dell’informazione su larga scala. Il processo promuoverà altresì l’armonizzazione di tali misure in tutta l’Unione europea. Ultima ma non meno importante considerazione: la definizione di MTD rispettose della privacy e della sicurezza faciliterà i compiti di controllo delle autorità di protezione dei dati mettendo a loro disposizione riferimenti tecnici conformi alla privacy e alla protezione dei dati adottati dai responsabili del trattamento dei dati.

34.

Il GEPD rileva che la proposta non affronta la questione del subappalto a un’altra organizzazione o un altro organismo (ad esempio, una società privata) di parte dei compiti della Commissione (19). Eppure, il subappalto è una pratica comunemente utilizzata dalla Commissione per lo sviluppo e la gestione sia del sistema che delle infrastrutture di comunicazione. Mentre il subappalto di attività non è, di per sé, in contrasto con i requisiti della protezione dei dati, è invece opportuno adottare rilevanti misure di salvaguardia per garantire che l’applicazione del regolamento (CE) n. 45/2001, compreso il controllo della protezione dei dati da parte del GEPD, non sia in alcun modo inficiata dal subappalto. È altresì opportuno adottare ulteriori misure di salvaguardia di carattere più prettamente tecnico.

35.

A tale riguardo, il GEPD suggerisce l’adozione, mutatis mutandis, nel quadro della revisione del regolamento Eurodac, di misure di tutela giuridica simili a quelle previste dagli strumenti giuridici del SIS II, con la specificazione che, anche quando la Commissione subappalta una parte dei propri compiti a un altro organismo o un’altra organizzazione, deve garantire che il GEPD abbia il diritto e sia in grado di esercitare pienamente i propri compiti, compresa l’esecuzione di sopralluoghi, e di esercitare ogni altro potere a lui conferito a norma dell’articolo 47 del regolamento (CE) n. 45/2001.

36.

Il GEPD si compiace di essere stato consultato dalla Commissione e chiede che un riferimento a tale consultazione sia inserito nei considerando della proposta.

37.

Il GEPD si compiace del fatto che l’attuale proposta non prevede la possibilità di concedere alle autorità di contrasto l’accesso all’Eurodac.

38.

La raccolta e l’ulteriore trattamento delle impronte digitali hanno un ruolo centrale nel sistema Eurodac. Il GEDP sottolinea che il trattamento dei dati biometrici, come le impronte digitali, comporta problematiche specifiche e rischi che devono essere affrontati. In particolare, il GEPD tiene a evidenziare il problema del cosiddetto «fallimento della registrazione», ossia la situazione che si verifica quando le impronte digitali di una persona, per qualche motivo, non sono utilizzabili. La mancata registrazione non deve di per sé determinare la negazione dei diritti dei richiedenti asilo.

39.

Il GEPD raccomanda che all’articolo 6, lettera a), della proposta sia aggiunta una disposizione sulla seguente falsariga: «L’impossibilità temporanea o permanente di fornire impronte digitali utilizzabili non compromette lo status giuridico dell’interessato e in ogni caso non costituisce un motivo valido per negare l’esame di una domanda di asilo o respingerla».

40.

Il GEPD rileva che l’efficace applicazione del diritto all’informazione è essenziale per il corretto funzionamento dell’Eurodac, al fine di garantire che le informazioni siano fornite in maniera tale da consentire al richiedente asilo di comprendere appieno la sua condizione, come pure la portata dei suoi diritti, compresi i passi che può compiere sotto il profilo procedurale per dare seguito alle decisioni amministrative adottate nel suo caso. Il GEPD suggerisce di riformulare l’articolo 24 della proposta per precisare meglio i diritti da riconoscere al richiedente asilo.

41.

Il GEPD raccomanda di modificare l’articolo 4, paragrafo 1, della proposta utilizzando l’espressione «migliori tecniche disponibili» in luogo di «migliori tecnologie disponibili» in quanto l’espressione raccomandata comprende sia la tecnologia usata sia il modo in cui il dispositivo è progettato, costruito, mantenuto e azionato.

42.

Riguardo alla questione del subappalto a un’altra organizzazione o un altro organismo (ad esempio, una società privata) di una parte dei compiti della Commissione, il GEPD raccomanda l’adozione di misure di salvaguardia per garantire che l’applicazione del regolamento (CE) n. 45/2001, compreso il controllo della protezione dei dati da parte del GEPD, non sia in alcun modo inficiata dal subappalto di attività. È altresì opportuno adottare ulteriori misure di salvaguardia di carattere più prettamente tecnico.