Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 52022XX0609(01)

Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di regolamento sullo scambio automatizzato di dati per la cooperazione di polizia («Prüm II») (Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD www.edps.europa.eu) 2022/C 225/04

GU C 225 del 9.6.2022, p. 6–9 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

9.6.2022   

IT

Gazzetta ufficiale dell’Unione europea

C 225/6

Sintesi del parere del Garante europeo della protezione dei dati sulla proposta di regolamento sullo scambio automatizzato di dati per la cooperazione di polizia («Prüm II»)

(Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD www.edps.europa.eu)

(2022/C 225/04)

L’8 dicembre 2021 la Commissione europea ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio sullo scambio automatizzato di dati per la cooperazione di polizia («Prüm II»), che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (le cosiddette «decisioni Prüm»). La proposta fa parte di un pacchetto legislativo più ampio, denominato «codice di cooperazione di polizia dell’UE», che comprende anche una proposta di direttiva del Parlamento europeo e del Consiglio relativa allo scambio di informazioni tra le autorità di contrasto degli Stati membri (oggetto di un parere distinto del GEPD) e una proposta di raccomandazione del Consiglio sulla cooperazione operativa di polizia.

L’obiettivo della proposta è rafforzare la cooperazione nell’attività di contrasto e, in particolare, lo scambio di informazioni tra le autorità responsabili della prevenzione, dell’indagine e dell’accertamento di reati, definendo le condizioni e le procedure per la consultazione automatizzata di profili DNA, dati dattiloscopici (impronte digitali), immagini del volto, estratti del casellario giudiziale e determinati dati di immatricolazione dei veicoli, nonché lo scambio di dati a seguito di una corrispondenza.

Pur comprendendo la necessità che le autorità di contrasto beneficino dei migliori strumenti giuridici e tecnici possibili per individuare, indagare e prevenire i reati, il GEPD osserva che il nuovo quadro Prüm proposto non definisce chiaramente elementi essenziali dello scambio di dati, quali i tipi di reati idonei a giustificare un’interrogazione, e non è sufficientemente esplicito in merito alle categorie di interessati oggetto dello scambio automatico di dati, non avendo indicato, per esempio, se le banche dati oggetto di un’interrogazione contengano esclusivamente dati di persone indiziate e/o condannate o anche dati di altri interessati, quali vittime o testimoni.

Il GEPD ritiene in particolare che la consultazione automatizzata dei profili DNA e delle immagini del volto debba essere possibile soltanto nel contesto di singole indagini su reati gravi anziché su qualsiasi reato, come previsto nella proposta. Il GEPD considera inoltre necessario introdurre nella proposta condizioni e requisiti comuni riguardanti i dati presenti nelle banche dati nazionali che vengono resi accessibili ai fini di consultazioni automatizzate, tenendo debitamente conto dell’obbligo, ai sensi dell’articolo 6 della direttiva 2016/680 sulla protezione dei dati nelle attività di polizia e giudiziarie (LED), di operare una distinzione tra diverse categorie di interessati (condannati, indiziati, vittime, ecc.).

Il GEPD teme altresì le conseguenze per i diritti fondamentali delle persone interessate della proposta di introdurre la consultazione automatizzata e lo scambio di estratti dei casellari giudiziari, ritenendo che la necessità di detta proposta non sia sufficientemente comprovata. Qualora tale misura venisse nondimeno adottata, anche su base volontaria, occorrerebbero solide garanzie supplementari per rispettare il principio di proporzionalità. Nello specifico, considerando le criticità relative alla qualità dei dati, il futuro regolamento dovrebbe, inter alia, definire esplicitamente i tipi e/o la gravità dei reati che possono giustificare un’interrogazione automatizzata dei casellari giudiziali nazionali.

Per quanto riguarda l’inclusione di Europol nell’ambito del quadro Prüm, il GEPD ritiene che le proprie osservazioni e raccomandazioni di cui al parere 4/2021 sulla proposta di modifica del regolamento Europol rimangano pienamente valide nel contesto della cooperazione Prüm, specialmente quelle relative alla cosiddetta «sfida dei big data», ossia il trattamento di serie di dati ampie e complesse da parte dell’Agenzia. Il GEPD vorrebbe ricordare due dei messaggi principali contenuti nel parere su Europol: il conferimento di maggiori poteri dovrebbe sempre comportare un controllo più rigoroso e, cosa altrettanto importante, non si dovrebbe permettere che le eccezioni applicabili sotto forma di deroghe diventino la norma.

La proposta prevede un’architettura complessa per la consultazione e lo scambio automatizzati di dati nell’ambito del quadro Prüm, con tre soluzioni tecniche distinte, sviluppate e gestite da tre entità diverse. Il GEPD ritiene che la proposta debba essere più esplicita per quanto riguarda la responsabilità per il trattamento di dati personali, soprattutto nell’ambito di EUCARIS, che non si basa sul diritto dell’UE e ha carattere intergovernativo. Inoltre, il GEPD è del parere che, considerando l’entità e la sensibilità del trattamento dei dati personali, il modello di governance orizzontale del quadro Prüm proposto non sia adeguato e debba essere ulteriormente rafforzato, per esempio attribuendo un ruolo centrale di coordinamento a un organismo dell’UE, come la Commissione.

In aggiunta, nell’interesse della certezza del diritto, il GEPD ritiene che occorra chiarire esplicitamente il rapporto tra le norme di protezione dei dati contenute nella proposta e il quadro giuridico esistente in materia di protezione dei dati nell’UE, in particolare la direttiva LED e il regolamento (UE) 2018/1725 (EUDPR).

Inoltre, il parere analizza e formula raccomandazioni su una serie di altri aspetti specifici, quale il legame tra il quadro Prüm e quello di interoperabilità, il trasferimento di dati a paesi terzi e organizzazioni internazionali o la supervisione delle operazioni di trattamento ai fini della cooperazione Prüm.

1.   INTRODUZIONE E CONTESTO

1.

 L’8 dicembre 2021 la Commissione europea ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio sullo scambio automatizzato di dati per la cooperazione di polizia («Prüm II»), che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (la « proposta») (1).

2.

 La proposta fa parte di un pacchetto legislativo più ampio, denominato «codice di cooperazione di polizia dell’UE», che comprende anche:

una proposta di direttiva del Parlamento europeo e del Consiglio relativa allo scambio di informazioni tra le autorità di contrasto degli Stati membri, che abroga la decisione quadro 2006/960/GAI del Consiglio (2), e

una proposta di raccomandazione del Consiglio sulla cooperazione operativa di polizia (3).

3.

 L’obiettivo del codice di cooperazione di polizia dell’UE, come dichiarato dalla Commissione, è quello di rafforzare la cooperazione tra gli Stati membri nell’attività di contrasto e, in particolare, lo scambio di informazioni tra le autorità competenti (4). A questo riguardo, la proposta definisce le condizioni e le procedure per la consultazione automatizzata di profili DNA, dati dattiloscopici (impronte digitali), immagini del volto, estratti del casellario giudiziale e determinati dati di immatricolazione dei veicoli, nonché lo scambio di dati tra le autorità responsabili della prevenzione, dell’indagine e dell’accertamento di reati a seguito di una corrispondenza.

4.

 La proposta e, più in generale, il codice di cooperazione di polizia dell’UE sono correlati agli obiettivi politici di diversi documenti strategici dell’UE nel settore della giustizia e degli affari interni, in particolare la strategia dell’UE per l’Unione della sicurezza (5), la strategia dell’UE per la lotta alla criminalità organizzata 2021-2025 (6) e la strategia del 2021 per lo spazio Schengen (7). Inoltre, le proposte che istituiscono il codice di cooperazione di polizia dovrebbero essere esaminate alla luce della riforma di Europol in corso e del ruolo crescente dell’Agenzia come nodo centrale dell’Unione per lo scambio di informazioni sulla criminalità che raccoglie e tratta quantità sempre maggiori di dati (8).

5.

 Il 5 gennaio 2022 la Commissione ha consultato il GEPD in merito alla proposta di regolamento Prüm II, a norma dell’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725. Le osservazioni e le raccomandazioni di cui al presente parere si limitano alle disposizioni della proposta che sono più pertinenti in termini di protezione dei dati.

4.   CONCLUSIONI

73.

 Il nuovo quadro Prüm proposto non definisce chiaramente elementi essenziali dello scambio di dati, per esempio i tipi di reati idonei a giustificare un’interrogazione (consultazione), in particolare dei profili DNA, ossia qualsiasi illecito penale o solo i reati più gravi. Inoltre, la proposta non è sufficientemente esplicita in merito alle categorie di interessati oggetto dello scambio automatico di dati, non avendo indicato se le banche dati oggetto di un’interrogazione contengano esclusivamente dati di persone indiziate e/o condannate o anche dati di altri interessati, quali vittime o testimoni.

74.

 Al fine di garantire la necessità e la proporzionalità dell’ingerenza nel diritto fondamentale alla protezione dei dati personali, alla luce dell’articolo 52, paragrafo 1, della Carta, è essenziale chiarire l’ambito di applicazione ratione personae e ratione materiae delle misure, ossia le categorie di soggetti che saranno direttamente interessati, e le condizioni oggettive idonee a giustificare un’interrogazione automatizzata della rispettiva banca dati di altri Stati membri o di Europol.

75.

 Il GEPD ritiene in particolare che la consultazione automatizzata dei profili DNA e delle immagini del volto debba essere possibile soltanto nel contesto di singole indagini su reati gravi e non su qualsiasi reato, come previsto nella proposta. Inoltre, in linea con l’obbligo di cui all’articolo 6 della direttiva LED di operare una distinzione tra diverse categorie di interessati, la proposta dovrebbe prevedere una limitazione relativa alle categorie di interessati i cui profili DNA e le cui immagini del volto, conservati nelle banche dati nazionali, dovrebbero essere resi accessibili ai fini di consultazioni automatizzate, considerando nello specifico la limitazione intrinseca delle finalità per dati riguardanti categorie diverse dalle persone condannate o indiziate.

76.

 Il GEPD ritiene che la necessità della proposta di introdurre la consultazione automatizzata e lo scambio di estratti dei casellari giudiziari non sia sufficientemente comprovata. Qualora tale misura venisse nondimeno adottata, anche su base volontaria, occorrerebbero solide garanzie supplementari per rispettare il principio di proporzionalità. Nello specifico, considerando le criticità relative alla qualità dei dati, che non si possono risolvere per mezzo di misure tecniche come la sola pseudonimizzazione, il futuro regolamento dovrebbe come minimo definire i tipi e/o la gravità dei reati che possono giustificare una consultazione automatizzata dei casellari giudiziali nazionali.

77.

 Per quanto riguarda l’inclusione di Europol nell’ambito del quadro Prüm, il GEPD ritiene che le proprie osservazioni e raccomandazioni di cui al parere 4/2021 sulla proposta di modifica del regolamento Europol rimangano pienamente valide nel contesto della cooperazione Prüm, specialmente quelle relative al trattamento di serie di dati ampie da parte dell’Agenzia. Inoltre, il GEPD raccomanda di chiarire l’ambito di applicazione ratione personae, ossia specificare le categorie di interessati oggetto di interrogazioni ai sensi degli articoli 49 e 50, nonché l’allineamento dei periodi di conservazione per i registri, al fine di garantire la coerenza con il regolamento Europol.

78.

 La proposta prevede un’architettura complessa per la consultazione e lo scambio automatizzati di dati nell’ambito del quadro Prüm, con tre soluzioni tecniche distinte, sviluppate e gestite da tre entità diverse. Inoltre, una di esse (EUCARIS) non si fonda su un atto giuridico dell’UE, ma ha carattere intergovernativo. Il GEPD ritiene pertanto che la proposta dovrebbe affrontare la questione della responsabilità per il trattamento dei dati personali nell’ambito di EUCARIS. Per giunta, il GEPD è dell’idea che, considerando l’entità e la sensibilità del trattamento dei dati personali, l’attuale modello di governance orizzontale del quadro Prüm non sia adeguato e debba essere ulteriormente rafforzato, per esempio attribuendo un ruolo centrale di coordinamento a un organismo dell’UE, come la Commissione.

79.

 Un altro elemento importante della proposta, che richiede un’analisi accurata delle relative conseguenze per i diritti fondamentali, è l’allineamento del quadro Prüm al quadro di interoperabilità dei sistemi di informazione dell’UE nel settore della giustizia e degli affari interni. Il GEPD invita il colegislatore a considerare l’esigenza di norme supplementari in proposito, per esempio all’interno di un atto delegato o di esecuzione, che dovrebbero affrontare criticità specifiche come la qualità e i risultati degli algoritmi di corrispondenza per le immagini del volto.

80.

 Considerando che la base giuridica della proposta include, inter alia, l’articolo 16 TFUE, nell’interesse della chiarezza e della certezza del diritto, il GEPD raccomanda di specificare nella proposta che le disposizioni in materia di protezione dei dati nel capo 6 non pregiudicano l’applicazione della direttiva LED e del regolamento EUDPR, per quanto concerne il trattamento dei dati personali nel contesto della cooperazione nell’attività di contrasto ai sensi del quadro Prüm.

81.

 Inoltre, il GEPD ritiene che il requisito della regolarità degli audit per le operazioni di trattamento dei dati personali ai fini del regolamento Prüm II debba essere esteso, comprendendo anche le operazioni di trattamento dei dati personali a livello nazionale. In tale contesto, il GEPD raccomanda che l’articolo 60, paragrafo 2, della proposta faccia riferimento in maniera generale ai poteri del GEPD, ai sensi dell’articolo 58 del regolamento EUDPR, e non solo ad alcuni di essi.

Bruxelles, 2 marzo 2022

Wojciech Rafał WIEWIÓROWSKI

(1)  COM(2021) 784 final.

(2)  COM(2021) 782 final.

(3)  COM(2021) 780 final.

(4)  https://ec.europa.eu/home-affairs/news/boosting-police-cooperation-across-borders-enhanced-security-2021-12-08_en

(5)  Comunicazione della Commissione sulla strategia dell’UE per l’Unione della sicurezza, COM(2020) 605 final.

(6)  Comunicazione della Commissione - Strategia dell’UE per la lotta alla criminalità organizzata 2021-2025, COM(2021) 170 final.

(7)  Comunicazione della Commissione - «Strategia per uno spazio Schengen senza controlli alle frontiere interne pienamente funzionante e resiliente», COM(2021) 277 final.

(8)  Per maggiori informazioni, cfr. il parere 4/2021 del GEPD, https://edps.europa.eu/system/files/2021-03/21-03-08_opinion_europol_reform_en.pdf

Top