23.9.2009   

IT

Gazzetta ufficiale dell'Unione europea

C 229/6

1.

La Proposta di regolamento del Parlamento europeo e del Consiglio che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione del regolamento (CE) n. […/…] [che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide], (di seguito «la proposta» o «la proposta della Commissione») è stata inviata dalla Commissione al GEPD per consultazione il 3 dicembre 2008, ai sensi dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001. Tale consultazione dovrebbe essere esplicitamente menzionata nel preambolo del regolamento.

2.

Come indicato nella relazione, il GEPD ha contribuito a questa proposta in una fase precedente, e molti dei punti che ha sollevato in maniera informale nel corso dei lavori di preparazione sono stati presi in considerazione dalla Commissione nel testo definitivo della stessa.

3.

Il regolamento (CE) n. 2725/2000 (3) del Consiglio, che istituisce l’«Eurodac» (di seguito «regolamento Eurodac») è entrato in vigore il 15 dicembre 2000. L'Eurodac è un sistema informatico su scala comunitaria creato al fine di facilitare l’applicazione della convenzione di Dublino intesa ad istituire un meccanismo chiaro e efficace per determinare lo Stato competente per le domande di asilo presentate in uno degli Stati membri. La convenzione di Dublino è stata successivamente sostituita da un atto legislativo comunitario, il regolamento (CE) n. 343/2003 del Consiglio, del 18 febbraio 2003, che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda d’asilo presentata in uno degli Stati membri da un cittadino di un paese terzo (4) (di seguito, «il regolamento di Dublino») (5). L’Eurodac è diventato operativo il 15 gennaio 2003.

4.

La proposta è una revisione del regolamento Eurodac e del suo regolamento di attuazione, il regolamento n. 407/2002/CE del Consiglio, e si prefigge tra l'altro di:

5.

Va inoltre sottolineato che uno degli obiettivi principali della proposta è assicurare un maggior rispetto dei diritti fondamentali, in particolare la protezione dei dati personali. Il presente parere analizzerà se le disposizioni della presente proposta siano adeguate per il conseguimento di tale obiettivo.

6.

La proposta tiene conto dei risultati della relazione della Commissione del giugno 2007 sulla valutazione del sistema di Dublino (di seguito «relazione di valutazione»), che traccia il bilancio del primo triennio di funzionamento dell'Eurodac (2003-2005).

7.

Pur riconoscendo che il sistema istituito nel regolamento è stato applicato negli Stati membri in modo soddisfacente nell’insieme, la relazione di valutazione della Commissione punta il dito su alcuni problemi connessi all’efficienza delle disposizioni in vigore e sottolinea quelli che occorre risolvere per migliorare il sistema Eurodace agevolare l'applicazione del regolamento di Dublino. In particolare, la relazione di valutazione rileva i continui ritardi nella trasmissione delle impronte digitali da parte di alcuni Stati membri. Il regolamento Eurodac prevede attualmente un termine molto vago per la trasmissione delle impronte, il che nella pratica può tradursi in lungaggini notevoli. Si tratta di un problema fondamentale per l'efficacia del sistema in quanto un ritardo nella trasmissione può produrre risultati contrari ai principi di responsabilità sanciti dal regolamento di Dublino.

8.

La relazione di valutazione individua inoltre in molti casi una gestione insufficiente della cancellazione dei dati dovuta all’assenza di un metodo efficiente che permetta agli Stati membri di scambiarsi le informazioni relative allo status del richiedente asilo. Gli Stati membri che inseriscono dati relativi a una determinata persona spesso non sanno che un altro Stato membro d’origine ha provveduto a cancellare dati riguardanti la stessa persona e quindi non si rendono conto che dovrebbero procedere anch’essi alla cancellazione. Ne consegue uno scarso rispetto del principio secondo cui i dati vanno conservati in modo tale da consentire l’identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti.

9.

Inoltre, in base all’analisi presentata nella relazione di valutazione, la mancanza di chiarezza nella designazione delle autorità nazionali che hanno accesso all’Eurodac ostacola il ruolo di controllo della Commissione e del garante europeo della protezione dei dati.

10.

Dato il suo attuale ruolo di autorità di controllo dell'Eurodac, il GEPD è particolarmente interessato alla proposta della Commissione e a un risultato positivo della revisione del sistema Eurodac nel suo complesso.

11.

Il GEPD rileva che la proposta comporta vari aspetti relativi ai diritti fondamentali dei richiedenti asilo, quali il diritto di asilo, il diritto alle informazioni in senso lato e il diritto alla protezione dei dati personali. Tuttavia, data la missione del GEPD, il presente parere si concentrerà principalmente sulle questioni relative alla protezione dei dati affrontate dal regolamento riveduto. A questo proposito, il GEPD si compiace della notevole attenzione che la proposta dedica al rispetto e alla protezione dei dati personali. Coglie questa opportunità per sottolineare che assicurare un alto livello di protezione dei dati personali nonché metterla in pratica in modo più efficiente dovrebbe essere considerato un presupposto fondamentale per migliorare il funzionamento dell'Eurodac.

12.

Il presente parere si occupa principalmente delle seguenti modifiche del testo in quanto sono le più rilevanti dal punto di vista della protezione dei dati personali:

13.

Il GEPD si compiace che la proposta cerchi di rimanere coerente con altri strumenti giuridici che disciplinano l'istituzione e/o l'utilizzo di altri sistemi informatici su larga scala. In particolare, la condivisione di responsabilità per quanto riguarda la base di dati nonché il modo in cui è stato formulato nella proposta il modello di controllo sono coerenti con gli strumenti giuridici che istituiscono il sistema di informazione Schengen (SIS II) e il sistema di informazione visti (VIS).

14.

Il GEPD rileva la coerenza della proposta con la direttiva 95/46/CE e con il regolamento (CE) n. 45/2001. A questo proposito, il GEPD apprezza in particolare i nuovi considerando 17, 18 e 19, i quali stabiliscono che la direttiva 95/46/CE e il regolamento(CE) n. 45/2001 si applicano al trattamento dei dati personali effettuato in applicazione del regolamento proposto rispettivamente da parte degli Stati membri e da parte delle istituzioni e degli organismi comunitari interessati.

15.

Infine, il GEPD richiama l'attenzione sulla necessità di assicurare piena coerenza anche tra l'Eurodac e i regolamenti di Dublino e coglie l'opportunità del presente parere per fornire indicazioni più precise per quanto riguarda tale coerenza. Rileva tuttavia che in alcuni aspetti la questione è già stata affrontata nella proposta, ad esempio nella relazione, la quale indica che «la coerenza con il regolamento Dublino (anche per quanto riguarda le preoccupazioni connesse alla protezione dei dati, segnatamente il principio di proporzionalità) verrà garantita allineando il periodo di conservazione dei dati riguardanti cittadini di paesi terzi o apolidi cui sono state rilevate le impronte digitali in relazione all’attraversamento irregolare della frontiera esterna con il periodo durante il quale l’articolo 14, paragrafo 1, del regolamento Dublino attribuisce la competenza in base alle suddette informazioni (un anno).»

16.

Il GEPD si compiace del modello di controllo stabilito nella proposta nonché dei compiti specifici ad esso affidati in virtù degli articoli 25 e 26 della proposta. L'articolo 25 affida al GEPD due compiti di controllo:

L'articolo 26 tratta la questione della cooperazione tra le autorità nazionali di controllo e il GEPD.

17.

Il GEPD rileva inoltre che la proposta presenta un approccio analogo a quello impiegato nel SIS II e nel VIS: un sistema di controllo a vari livelli in cui le autorità per la protezione dei dati e il GEPD controllano rispettivamente il livello nazionale e quello comunitario, con un sistema di cooperazione istituito tra i due livelli. Il modello di cooperazione previsto nella proposta riflette inoltre la prassi attuale, che si è dimostrata efficiente ed ha incoraggiato una stretta collaborazione tra il GEPD e le autorità per la protezione dei dati. Pertanto, il GEPD si compiace che sia stato formalizzato nella proposta nonché del fatto che, pur disciplinando in tal senso, il legislatore abbia assicurato la coerenza con i sistemi di controllo di altri sistemi informatici su larga scala.

18.

Il GEPD rileva che la proposta non affronta la questione del subappalto di una parte dei compiti della Commissione ad un altro organismo o entità (quale un'impresa privata). Tuttavia il subappalto è comunemente utilizzato dalla Commissione nella gestione e nello sviluppo sia del sistema che delle infrastrutture di comunicazione. Anche se il subappalto non è di per sé in contrasto con i requisiti della protezione dei dati, si dovrebbero prevedere importanti garanzie al fine di assicurare che le attività di subappalto non si ripercuotano negativamente sull'applicabilità del regolamento (CE) n. 45/2001, ivi compreso il controllo della protezione dei dati da parte del GEPD. Inoltre, dovrebbero essere adottate garanzie di carattere maggiormente tecnico.

19.

A tale riguardo, il GEPD suggerisce che nel quadro della revisione del regolamento Eurodac vengano contemplate garanzie giuridiche analoghe a quelle previste negli strumenti giuridici del SIS II, assicurando che anche quando la Commissione affida la gestione del sistema un'altra autorità, ciò «non si ripercuota negativamente sull'efficacia dei meccanismi di controllo previsti dal diritto comunitario, siano essi a cura della Corte di giustizia, della Corte dei conti o del garante europeo della protezione dei dati»(articolo 15, paragrafo 7, decisione e regolamento SIS II).

20.

Le disposizioni sono anche più precise nell'articolo 47 del regolamento SIS II, il quale stabilisce: «La Commissione, qualora (…) deleghi le sue competenze ad un altro organismo o ad altri organismi (…) provvede affinché il garante europeo della protezione dei dati abbia la facoltà e sia in grado di svolgere pienamente i suoi compiti, compresa l’effettuazione di controlli in loco o l’esercizio dei poteri attribuitigli dall’articolo 47 del regolamento (CE) n. 45/2001».

21.

Le disposizioni summenzionate prevedono la necessaria chiarezza per quanto riguarda le conseguenze del subappalto di parte dei compiti della Commissione ad altre autorità. Il GEPD propone pertanto che vengano aggiunte al testo della proposta della Commissione disposizioni volte ad ottenere gli stessi effetti.

22.

L'articolo 3, paragrafo 5 della proposta riguarda la procedura per il rilevamento delle impronte digitali. Tale disposizione stabilisce che la procedura «è stabilita e applicata in conformità delle prassi nazionali dello Stato membro interessato e in conformità delle salvaguardie previste dalla Carta dei diritti fondamentali dell’Unione europea, dalla Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali e dalla Convenzione delle Nazioni Unite sui diritti del fanciullo». L'articolo 6 della proposta prevede che il limite minimo di età per il rilevamento delle impronte digitali di un richiedente è di 14 anni e che il rilevamento viene effettuato entro 48 ore dalla data della domanda.

23.

Innanzitutto, per quanto riguarda il limite di età, il GEPD sottolinea la necessità di garantire la coerenza della proposta con il regolamento di Dublino: il sistema Eurodac è stato istituito per assicurarne l'efficace applicazione. Ciò implica che l'eventuale impatto dell'attuale revisione del regolamento di Dublino sulla sua applicazione ai richiedenti asilo minorenni dovrebbe trovare riscontro nel regolamento Eurodac (6).

24.

In secondo luogo, per quanto riguarda la determinazione dei limiti di età per il rilevamento delle impronte digitali in generale, il GEPD desidera far notare che la maggior parte della documentazione attualmente disponibile tende a indicare che l'accuratezza dell'identificazione in base alle impronte digitali diminuisce con l'avanzare dell'età. È consigliabile al riguardo seguire attentamente lo studio sulle impronte digitali effettuato nell'ambito dell'attuazione del VIS. Senza voler anticipare i risultati dello studio, il GEPD desidera sottolineare già in questa fase che in tutti i casi in cui rilevare le impronte risultasse impossibile o portasse a risultati inattendibili è importante fare riferimento a procedure di ripiego, che dovrebbero rispettare pienamente la dignità della persona.

25.

In terzo luogo il GEPD prende atto degli sforzi fatti dal legislatore per garantire che le disposizioni relative al rilevamento delle impronte digitali siano conformi agli obblighi internazionali ed europei in materia di diritti umani. Richiama tuttavia l'attenzione sulle difficoltà riscontrate in vari Stati membri per determinare l'età dei giovani richiedenti asilo. Molto spesso i richiedenti asilo o gli immigranti clandestini non hanno documenti d'identità e per stabilire se procedere al rilevamento delle impronte occorre determinarne l'età. I metodi utilizzati a tal fine sono oggetto di molti dibattiti in vari Stati membri.

26.

A questo proposito il GEPD richiama l'attenzione sul fatto che il Gruppo di coordinamento della supervisione di Eurodac (7) ha avviato su questo tema un esame coordinato i cui risultati — previsti per il primo semestre 2009 — dovrebbero facilitare la definizione di procedure comuni in materia.

27.

A titolo di osservazione conclusiva, il GEPD ravvisa la necessità di coordinare ed armonizzare meglio a livello UE, in tutta la misura possibile, le procedure per il rilevamento delle impronte.

28.

L'articolo 4, paragrafo 1 della proposta specifica: «Dopo un periodo transitorio, un organo di gestione (“Autorità di gestione”) finanziato dal bilancio generale dell’Unione europea è responsabile della gestione operativa dell’Eurodac. In cooperazione con gli Stati membri, l’Autorità di gestione provvede a che in qualsiasi momento siano utilizzate, previa analisi costi/benefici, le migliori tecnologie disponibili per il sistema centrale». Pur rallegrandosi della prescrizione prevista, il GEPD desidera rilevare che l'espressione «le migliori tecnologie disponibili» ivi contenuta dovrebbe essere sostituita con «le migliori tecniche disponibili», che include sia la tecnologia utilizzata che il modo in cui l'installazione è progettata, costruita, conservata e gestita.

29.

L'articolo 9, paragrafo 1 della proposta affronta l'aspetto della cancellazione anticipata dei dati. La disposizione obbliga lo Stato membro di origine a cancellare dal sistema centrale «i dati riguardanti le persone che hanno acquisito la cittadinanza di uno Stato membro prima della scadenza del periodo di cui all’articolo 8» non appena lo Stato membro d’origine viene a conoscenza che gli interessati hanno acquisito tale cittadinanza. Il GEPD accoglie favorevolmente l'obbligo della cancellazione dei dati poiché ben concorda con il principio della qualità dei dati. Il GEPD, inoltre, ritiene che la revisione di questa disposizione fornisca l'opportunità di incoraggiare gli Stati membri a istituire procedure che assicurino una cancellazione dei dati affidabile e tempestiva (possibilmente automatica) quando una persona abbia ottenuto la cittadinanza di uno degli Stati membri.

30.

Il GEPD desidera altresì sottolineare che l'articolo 9, paragrafo 2 riguardante la cancellazione anticipata dovrebbe essere riformulato in quanto il testo proposto non è chiaro. Da un punto di vista stilistico il GEPD suggerisce di sostituire «da quello» con «da quelli».

31.

L'articolo 12 della proposta riguarda la conservazione dei dati. Il GEPD desidera rilevare che fissare 1 anno come periodo di conservazione dei dati (invece dei 2 anni previsti nell'attuale testo del regolamento) è un esempio di buona applicazione del principio della qualità dei dati, secondo il quale i dati dovrebbero essere conservati soltanto per il tempo necessario a raggiungere lo scopo per il quale sono stati trattati. È un miglioramento del testo che viene apprezzato.

32.

La disposizione che prevede la pubblicazione da parte dell'Autorità di gestione dell'elenco delle autorità aventi accesso ai dati Eurodac è accolta favorevolmente. Contribuirà ad una maggiore trasparenza e a creare uno strumento pratico per un migliore controllo del sistema, ad es. da parte delle autorità per la protezione dei dati.

33.

L'articolo 21 della proposta riguarda la conservazione delle registrazioni di tutte le operazioni di trattamento dei dati avvenute nel sistema centrale. Il paragrafo 2 prevede che tali registrazioni dovrebbero essere utilizzate esclusivamente per controllare, a fini della protezione dei dati, l’ammissibilità del trattamento (…). A questo proposito si potrebbe precisare che sono incluse anche le misure di autocontrollo.

34.

L'articolo 23, paragrafo 1, lettera e) della proposta recita:

«Lo Stato membro d'origine provvede a informare la persona soggetta al presente regolamento (…):

35.

Il GEPD fa notare che l'attuazione efficace del diritto di informazione è fondamentale ai fini del buon funzionamento dell'Eurodac. È essenziale in particolare assicurare che le informazioni siano fornite in modo da consentire al richiedente asilo di capire perfettamente la sua situazione e la portata dei suoi diritti, tra cui le misure procedurali che può prendere per dar seguito alle decisioni amministrative adottate nel suo caso.

36.

Per quanto riguarda gli aspetti pratici dell'attuazione del diritto, il GEPD desidera sottolineare che, anche se le autorità per la protezione dei dati sono in realtà adite in materia di tutela dei dati personali, la formulazione della proposta non dovrebbe impedire al richiedente (interessato) di presentare una domanda in primo luogo al responsabile del trattamento dei dati. La disposizione di cui all'articolo 23, paragrafo 1, lettera e) nella formulazione attuale sembra indicare che il richiedente debba presentare la domanda — direttamente e in ogni caso — all'autorità per la protezione dei dati mentre, secondo la procedura abituale e la prassi seguita negli Stati membri, il richiedente presenta la domanda prima al responsabile del trattamento dati.

37.

Il GEPD propone inoltre che il testo dell'articolo 23, paragrafo 1, lettera e) sia riformulato per precisare i diritti da conferire al richiedente. La formulazione proposta non è chiara, dal momento che «il diritto di ottenere informazioni sulle procedure da seguire per esercitare tali diritti (…)» può essere inteso in quanto parte del diritto di accesso ai dati e/o del diritto di chiedere che i dati inesatti siano rettificati (…). Inoltre, secondo l'attuale formulazione della succitata disposizione, gli Stati membri sono tenuti a informare la persona soggetta al regolamento non tanto del contenuto bensì dell'«esistenza» dei diritti. Dal momento che sembra trattarsi di un problema di forma, il GEPD propone di riformulare come segue l'articolo 23, paragrafo 1, lettera e):

«Lo Stato membro d'origine provvede a informare la persona soggetta al presente regolamento (…):

38.

Con la stessa logica l'articolo 23, paragrafo 10 dovrebbe essere modificato come segue: «In ciascuno Stato membro l’autorità nazionale di controllo, se del caso (oppure: su richiesta dell'interessato), assiste gli interessati nell’esercizio dei loro diritti, ai sensi dell’articolo 28, paragrafo 4, della direttiva 95/46/CE». Il GEPD desidera nuovamente sottolineare che, in linea di principio, non dovrebbe essere necessario un intervento dell'autorità per la protezione dei dati, mentre si dovrebbe incoraggiare il responsabile del trattamento dei dati a rispondere adeguatamente alle domande degli interessati. Ciò vale anche quando è necessaria la cooperazione tra autorità di Stati membri diversi. I responsabili del trattamento dei dati dovrebbero essere i principali responsabili di esaminare le richieste e cooperare a tal fine.

39.

Quanto all'articolo 23, paragrafo 9, il GEPD si compiace non soltanto dello scopo stesso della disposizione (che prevede il controllo del ricorso alle «ricerche speciali» secondo quanto raccomandato dalle autorità per la protezione dei dati nella prima relazione sulle ispezioni coordinate), ma anche della procedura proposta per realizzarlo.

40.

Per quanto riguarda i metodi di comunicazione delle informazioni ai richiedenti, il GEPD fa presente i lavori intrapresi dal Gruppo di coordinamento della supervisione di Eurodac, che sta esaminando la questione nel quadro di Eurodac per proporre — non appena saranno noti ed elaborati i risultati delle indagini nazionali — gli orientamenti del caso.

41.

Il GEPD appoggia la proposta di regolamento del Parlamento europeo e del Consiglio che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione del regolamento (CE) n. […/…] che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide.

42.

Il GEPD accoglie favorevolmente il modello di controllo proposto nonché il ruolo e i compiti che gli sono stati affidati nel nuovo sistema. Il modello previsto riflette la prassi corrente, che si è rivelata efficace.

43.

Il GEPD rileva che la proposta cerca di rimanere coerente con altri strumenti giuridici che disciplinano l'istituzione e/o l'utilizzo di altri sistemi informatici su larga scala.

44.

Il GEPD si compiace della notevole attenzione accordata nella proposta al rispetto dei diritti fondamentali e in particolare alla protezione dei dati personali. Come già accennato nel parere sulla revisione del regolamento di Dublino, questo approccio, a suo avviso, è un presupposto fondamentale per il miglioramento delle procedure di asilo nell'Unione europea.

45.

Il GEPD richiama l'attenzione sulla necessità di garantire la piena coerenza del regolamento Eurodac con quello di Dublino.

46.

Il GEPD ravvisa la necessità di coordinare ed armonizzare meglio, a livello UE, le procedure per il rilevamento delle impronte digitali, a prescindere dal fatto che si tratti di richiedenti asilo o di qualsiasi altra persona soggetta alla procedura Eurodac. Richiama specialmente l'attenzione sulla questione dei limiti di età per il rilevamento delle impronte e, in particolare, sulle difficoltà riscontrate in vari Stati membri per determinare l'età dei giovani richiedenti asilo.

47.

Il GEPD insiste sull'opportunità di chiarire le disposizioni relative ai diritti degli interessati e sottolinea in particolare che spetta principalmente ai responsabili del trattamento dei dati garantire l'applicazione di tali diritti.