[pic] | COMMISSIONE DELLE COMUNITÀ EUROPEE | Bruxelles, 10.9.2009 COM(2009) 344 definitivo 2009/0130 (CNS) Proposta di DECISIONE DEL CONSIGLIO sulle richieste di confronto con i dati EURODAC presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto {COM(2009) 342 definitivo}{SEC(2009) 936}{SEC(2009) 937} RELAZIONE 1. Contesto della proposta | Motivazione e obiettivi Le informazioni sui cittadini degli Stati membri e sui cittadini di paesi terzi di cui dispongono gli Stati membri e le istituzioni europee sono conservate in diverse forme e molteplici sistemi. Nello svolgimento delle loro legittime funzioni le autorità di contrasto possono accedere a queste informazioni secondo le regole e alle condizioni stabilite da appositi strumenti nazionali ed europei. I dati relativi alle impronte digitali sono informazioni particolarmente utili a fini di contrasto poiché costituiscono un elemento importante per la determinazione dell’identità esatta delle persone. In più occasioni è stata riconosciuta l’utilità delle banche di dati dattiloscopici nella lotta contro la criminalità. I dati dattiloscopici dei richiedenti asilo sono raccolti e conservati nello Stato membro in cui è presentata la domanda di asilo e nell’EURODAC. In tutti gli Stati membri che hanno risposto al questionario della Commissione, le autorità di contrasto risultano disporre di un accesso diretto o indiretto alle rispettive banche dati nazionali che contengono le impronte digitali dei richiedenti asilo nell’ambito della lotta contro la criminalità. Dalla consultazione degli esperti è emerso chiaramente che le autorità nazionali di contrasto che consultano le banche dati nazionali contenenti le impronte digitali dei richiedenti asilo nel corso delle indagini penali considerano significativo il tasso di risposte pertinenti. Tuttavia, mentre gli Stati membri possono accedere senza difficoltà alle impronte digitali dei richiedenti asilo a livello nazionale, la consultazione delle stesse banche dati di altri Stati membri risulta più problematica. Ciò è dovuto ad una carenza strutturale in termini di informazione e verifica non esistendo attualmente un sistema unico accessibile alle autorità di contrasto che consenta di determinare quale Stato membro sia in possesso di informazioni su un richiedente asilo. Se interrogando un sistema nazionale automatizzato d’identificazione dattiloscopica (AFIS), ai sensi della decisione 2008/615/GAI sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera (decisione Prüm) – che gli Stati membri attueranno entro giugno 2011 – non si ottiene una risposta pertinente, ciò non significa che non esistano informazioni in un altro Stato membro. Di conseguenza, le autorità di contrasto non sapranno né se esistono informazioni ed eventualmente in quale Stato membro, né addirittura in molti casi se l’informazione si riferisce alla stessa persona, ma saranno informate dell’esistenza di informazioni nella banca dati di un altro Stato membro soltanto se le loro autorità giudiziarie faranno richiesta di assistenza giudiziaria chiedendo all’altro Stato membro di consultare le sue banche dati e di inviare le informazioni pertinenti. | Contesto generale Il programma dell’Aia stabilisce che occorre migliorare lo scambio di informazioni per rafforzare la sicurezza. Una delle idee contenute nel programma è quella di sfruttare appieno le nuove tecnologie, tra l’altro - se del caso – attraverso l’accesso diretto (on-line) delle autorità di contrasto, compreso Europol, alle banche dati centrali dell’UE già esistenti. Secondo il comitato misto del Consiglio GAI del 12-13 giugno 2007, per conseguire pienamente l'obiettivo di migliorare la sicurezza e per intensificare la lotta al terrorismo, occorre permettere ai servizi di polizia e di contrasto degli Stati membri e all'Europol di avere accesso a determinate condizioni all'Eurodac a fini di consultazione nel quadro dell'esercizio delle loro competenze nel settore della prevenzione, dell'individuazione e dell'investigazione di reati terroristici e di altri reati gravi. La Commissione è stata pertanto invitata a presentare, quanto prima, le proposte necessarie al conseguimento di tale obiettivo. A segnalare come lacuna tale impossibilità per le autorità di contrasto di accedere all’EURODAC per lottare contro il terrorismo e altre forme gravi di criminalità è anche la comunicazione della Commissione al Consiglio e al Parlamento europeo concernente il miglioramento dell’efficienza e l'incremento dell'interoperabilità e delle sinergie tra le banche dati europee nel settore della giustizia e degli affari interni del 24 novembre 2005. Gli attuali strumenti per lo scambio di informazioni a fini di contrasto non consentono di determinare tempestivamente e con sufficiente certezza se uno Stato membro è effettivamente in possesso dei dati dattiloscopici di un richiedente asilo. In altri termini, senza un’azione a livello dell’UE le autorità di contrasto continueranno a non sapere se esistono informazioni su una data impronta digitale, quale Stato membro ne sia in possesso e se le eventuali informazioni si riferiscono alla stessa persona. Senza un modo efficace e affidabile per stabilire se un altro Stato membro disponga o meno di informazioni, l’azione delle autorità pubbliche è destinata ad avere costi proibitivi o a compromettere seriamente l’applicazione della legge poiché non può essere presa nessun’altra iniziativa efficace e ragionevole per identificare un soggetto. | Disposizioni vigenti nel settore della proposta Il regolamento (CE) n. 2725/2000 del Consiglio, dell'11 dicembre 2000, ha istituito l’“Eurodac” per il confronto delle impronte digitali per l'efficace applicazione della convenzione di Dublino (regolamento EURODAC). Il 3 dicembre 2008 la Commissione ha adottato una proposta per modificare il regolamento EURODAC con l’intento di migliorare l’efficacia del sistema. Esistono attualmente alcuni strumenti UE che permettono ad uno Stato membro di consultare le impronte digitali e altri dati utili a fini di contrasto in possesso di un altro Stato membro. Il primo strumento utilizzabile per le consultazioni relative alle impronte digitali è la decisione Prüm. Conformemente alla decisione del Consiglio gli Stati membri si accordano reciprocamente, tra le altre cose, l’accesso automatizzato agli AFIS nazionali sulla base di un sistema “hit/no hit”. Se una ricerca sulla base della decisione Prüm produce una risposta positiva (hit), è possibile ottenere informazioni supplementari, inclusi i dati personali, nello Stato membro che ha registrato l’impronta digitale nel suo AFIS nazionale conformemente al diritto nazionale, comprese le norme sull’assistenza giudiziaria reciproca. Questa procedura potrebbe rivelarsi efficace per gli Stati membri che conservano nell’AFIS nazionale sia le impronte digitali dei richiedenti asilo che quelle rilevate dalle autorità di contrasto, ma non per gli Stati membri che conservano nei rispettivi AFIS soltanto le impronte dei richiedenti asilo connesse a un reato. Un altro strumento utilizzabile per le consultazioni relative alle impronte digitali è la decisione quadro 2006/960/GAI relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorità incaricate dell'applicazione della legge (decisione quadro 2006/960). Questo strumento facilita lo scambio di informazioni (impronte digitali e informazioni supplementari) in possesso o a disposizione delle autorità di contrasto degli Stati membri ed è operativo dal 18 dicembre 2008. Infine, un altro strumento a disposizione degli Stati membri è l’assistenza giudiziaria reciproca in virtù della quale le autorità giudiziarie degli Stati membri possono chiedere l’accesso alle banche di dati dattiloscopici raccolti a fini penali e non penali, inclusi quelli sui richiedenti asilo, sulla base della convenzione relativa all'assistenza giudiziaria in materia penale. Il ricorso agli ultimi due strumenti non è possibile quando non è noto lo Stato membro in possesso dei dati. Attualmente nessun sistema permette di risalire a tale Stato membro. | Coerenza con altri obiettivi e politiche dell'Unione La proposta è del tutto coerente con l'obiettivo generale di creare uno spazio europeo di libertà, sicurezza e giustizia. In particolare, la proposta è stata oggetto di un esame approfondito diretto a garantirne la piena compatibilità con i diritti fondamentali, in special modo il diritto di asilo e il diritto alla protezione dei dati personali sanciti all’articolo 8 (protezione dei dati personali) e all’articolo 18 (diritto di asilo) della Carta dei diritti fondamentali dell’Unione europea, come risulta dall’allegata valutazione d’impatto. Con riguardo alla situazione particolare dei richiedenti protezione internazionale, si è posto il problema che i dati estratti dall’EURODAC a fini di contrasto possano cadere nelle mani degli stessi paesi da cui il richiedente è fuggito o di cui teme la persecuzione. Gli effetti sul richiedente, sui suoi familiari e amici potrebbero essere nefasti, il che rischia anzitutto di demotivare i rifugiati dal presentare domanda ufficiale di protezione internazionale. Di conseguenza, nella proposta è contemplato il divieto specifico di trasmettere a paesi terzi, organizzazioni o enti i dati ottenuti ai sensi della stessa. È altresì previsto un vasto meccanismo di monitoraggio e valutazione della proposta, il cui obiettivo sarà anche stabilire se l’applicazione della decisione avrà portato alla stigmatizzazione dei richiedenti protezione internazionale. Inoltre, per mantenere su un piano di legittimità e proporzionalità l’ingerenza nel diritto alla protezione della vita privata, la proposta fissa condizioni di accesso ferree che escludono anche la consultazione sistematica delle impronte contenute nell’EURODAC. La proposta è inoltre del tutto coerente con i principi di protezione dei dati poiché ad essa si applica la decisione quadro 2008/977/GAI del Consiglio sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale. Tale decisione quadro stabilisce i principi che gli Stati membri devono osservare quando trattano i dati provenienti da una banca dati UE, come l’EURODAC, e li obbliga a imporre sanzioni efficaci in caso di violazione dei principi di protezione dei dati. | 2. Consultazione delle parti interessate e valutazione d'impatto | Consultazione delle parti interessate | Metodi di consultazione, principali settori interessati e profilo generale di quanti hanno risposto La Commissione ha consultato gli Stati che applicano l’acquis di Dublino, vale a dire gli Stati membri, l’Islanda, la Norvegia e la Svizzera, così come Europol, con due questionari e una riunione di esperti svoltasi a Bruxelles il 25-26 settembre 2007, durante la quale gli esperti hanno potuto chiarire le risposte al questionario ed esprimersi ulteriormente. In seguito, in una riunione tenutasi a Bruxelles l’8 ottobre 2007, la Commissione ha consultato organizzazioni intergovernative e non governative e altri esperti attivi nei settori dell’asilo (normativa e politica), dei diritti fondamentali e della protezione dei dati personali. Hanno partecipato alla stessa riunione anche i membri del Parlamento europeo Cavada, Klamt e Ludford. Infine, la Commissione ha consultato i rappresentanti delle autorità nazionali di protezione dei dati degli Stati che attuano l’acquis di Dublino, l'autorità di controllo comune di Europol e il garante europeo della protezione dei dati nell’ambito di una riunione tenutasi a Bruxelles l'11 ottobre 2007. | Sintesi delle risposte e modo in cui sono state prese in considerazione Il processo di consultazione ha influenzato molto l'elaborazione della proposta legislativa, più in particolare la scelta dell’opzione legislativa e i suoi vari parametri. Dalle consultazioni è emerso che gli Stati membri sono del tutto favorevoli alla possibilità di confrontare le impronte digitali con i dati EURODAC a fini di contrasto; molto meno favorevoli risultano invece le ONG attive nei settori delle libertà civili e dell’asilo. La proposta si presenta equilibrata rispetto alle posizioni dei vari gruppi interessati in quanto prevede una serie di garanzie e fissa dei limiti. | Ricorso al parere di esperti | Non è stato necessario consultare esperti esterni. | Valutazione d'impatto La valutazione d’impatto prende in considerazione tre opzioni e una serie di subopzioni. Le tre opzioni sono: il non intervento, un’opzione legislativa che prevede la possibilità di chiedere il confronto con i dati EURODAC a fini di contrasto e un’opzione legislativa che, oltre a prevedere la possibilità di chiedere il confronto con i dati EURODAC a fini di contrasto, disciplina lo scambio di informazioni supplementari in caso di risposta pertinente. Inizialmente era stata considerata una quarta opzione poi esclusa per i costi eccessivi che avrebbe comportato. Rispetto al non intervento, l’opzione di proposta legislativa presenta un netto vantaggio. L’unico modo tempestivo, sicuro, accurato e efficiente in termini di costi per stabilire se ed eventualmente dove esistano dati sui richiedenti asilo negli Stati membri è permettere l’accesso delle autorità di contrasto all'EURODAC. Se l'obiettivo è stabilire o verificare l'esatta identità di un richiedente asilo non esistono alternative altrettanto ragionevoli e efficienti all’EURODAC che permettano alle autorità di contrasto di raggiungerlo. L’identificazione univoca è essenziale per le autorità di contrasto al fine di prevenire e combattere il terrorismo e le forme gravi di criminalità in cui sono coinvolti cittadini di paesi terzi e proteggere le vittime di questi reati. L’accesso all’EURODAC non può ritenersi una soluzione sproporzionata rispetto agli obiettivi da conseguire. Quanto alle due opzioni che comportano un intervento legislativo, hanno entrambe eguale impatto sui diritti fondamentali. La terza opzione prevede che gli Stati membri possano scambiarsi informazioni supplementari sui richiedenti asilo tramite una procedura speciale ove necessario, mentre la seconda punta ad agevolare l’accesso a tali informazioni usando gli strumenti esistenti. Anche se la terza opzione permetterebbe di realizzare più efficacemente gli obiettivi, si ritiene che i costi di attuazione sarebbero più elevati rispetto a quelli della seconda opzione. Inoltre, attualmente non c’è ragione di credere che gli strumenti esistenti per lo scambio di informazioni a fini di contrasto non siano sufficienti per lo scambio di dati supplementari. | La Commissione ha effettuato la valutazione d'impatto prevista dal programma di lavoro SEC(2009) 936. | 3. Elementi giuridici della proposta | Sintesi delle misure proposte La misura proposta stabilisce la base del diritto degli Stati membri e di Europol di chiedere il confronto con i dati EURODAC di dati dattiloscopici o immagini latenti. Il confronto sarà fruttuoso se ne risulterà una risposta pertinente che sarà accompagnata da tutti i dati sull’impronta digitale conservati nell’EURODAC. Le richieste di informazioni supplementari a seguito di una risposta pertinente non sarebbero disciplinate nella proposta di decisione del Consiglio ma dagli strumenti vigenti nel settore dello scambio di informazioni a fini di contrasto. L’ambito di applicazione della proposta sarà la lotta ai reati di terrorismo e ad altri reati gravi, come la tratta degli esseri umani e il traffico di droga. Anche se attualmente l’EURODAC non prevede la possibilità di interrogare la banca dati sulla base di un’immagine latente, questa funzione di ricerca può essere aggiunta nel sistema EURODAC nell’ambito del progetto del sistema di confronto biometrico (BMS). Tale funzione è molto importante dal punto di vista dell’azione di contrasto, poiché nella maggior parte dei casi le immagini latenti sono rilevabili soltanto sul luogo del reato durante le indagini. | Base giuridica Trattato sull'Unione europea, in particolare l’articolo 30, paragrafo 1, lettera b) e l’articolo 34, paragrafo 2, lettera c). | Principio di sussidiarietà Il principio di sussidiarietà si applica in quanto la proposta non rientra tra le materie di competenza esclusiva della Comunità. | Gli obiettivi della proposta non possono essere sufficientemente realizzati dagli Stati membri per i motivi seguenti. | Le azioni proposte richiedono una modifica del regolamento EURODAC per integrarvi una finalità secondaria, cioè l’uso dei dati EURODAC nella lotta contro il terrorismo e la criminalità. Soltanto la Commissione può proporre tale modifica, senza la quale gli Stati membri non hanno alcun diritto di agire. | Qualsiasi iniziativa individuale degli Stati membri potrebbe risultare troppo costosa e sproporzionata. | Un'azione comunitaria realizzerà meglio gli obiettivi della proposta per i motivi seguenti. | Il diritto di consultare la banca dati EURODAC è il modo più semplice, proporzionato ed economico per colmare la lacuna in materia di informazione. | Le misure proposte si limitano a autorizzare le richieste di confronto con i dati EURODAC. La cooperazione ulteriore e il successivo scambio di informazioni sono lasciati agli strumenti vigenti e agli Stati membri. | La proposta rispetta pertanto il principio di sussidiarietà. | Principio di proporzionalità La proposta è conforme al principio di proporzionalità per i seguenti motivi. | L’unico modo tempestivo, sicuro, accurato e efficiente in termini di costi per stabilire se ed eventualmente dove esistano dati sui richiedenti asilo negli Stati membri è permettere l’accesso delle autorità di contrasto all'EURODAC. Se l'obiettivo è stabilire o verificare l'esatta identità di un richiedente asilo non esistono alternative altrettanto ragionevoli e efficienti all’EURODAC che permettano alle autorità di contrasto di raggiungerlo. Le misure proposte si focalizzano sugli elementi essenziali del diritto di consultazione, limitandosi a quanto necessario per il conseguimento dell’obiettivo. | L’azione proposta è quella che comporta i costi inferiori per la Comunità e gli Stati membri, poiché si basa sulle banche dati e sulle strutture per lo scambio di informazioni già esistenti senza voler creare nuovi strumenti di questo tipo. | Scelta degli strumenti | Strumenti proposti: altro. | Altri strumenti non sarebbero adeguati per il seguente motivo. Essendo in gioco la protezione dei diritti fondamentali, non sarebbe opportuno scegliere uno strumento normativo diverso dalla decisione basata sul titolo VI TUE. | 4. Incidenza sul bilancio | La proposta prevede una modifica tecnica dell’EURODAC che introduca la possibilità di effettuare confronti sulla base di un’immagine latente. | 5. Informazioni supplementari | Riesame/revisione/cessazione dell’efficacia | La proposta include una clausola di riesame. | 2009/0130 (CNS) Proposta di DECISIONE DEL CONSIGLIO sulle richieste di confronto con i dati EURODAC presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto IL CONSIGLIO DELL'UNIONE EUROPEA, visto il trattato sull’Unione europea, in particolare l’articolo 30, paragrafo 1, lettera b), e l’articolo 34, paragrafo 2, lettera c), vista la proposta della Commissione, visto il parere del Parlamento europeo[1], considerando quanto segue: (1) Il programma dell’Aia per il rafforzamento della libertà, della sicurezza e della giustizia nell’Unione europea, adottato dal Consiglio europeo il 4 novembre 2004, sollecita il miglioramento dello scambio transfrontaliero di informazioni, anche estendendo l’accesso agli archivi di dati dell’Unione europea. (2) È essenziale che nella lotta al terrorismo e ad altri reati gravi le autorità di contrasto dispongano, per poter svolgere i loro compiti, delle informazioni più complete e aggiornate possibili. Le informazioni contenute nell’EURODAC, istituito con regolamento (CE) n. .../... [ nuovo regolamento EURODAC ][2], sono necessarie ai fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi. È pertanto necessario che i dati EURODAC siano messi a disposizione delle autorità designate degli Stati membri e di Europol, per confronto, nel rispetto delle condizioni previste dalla presente decisione. (3) Nella sua comunicazione al Consiglio e al Parlamento europeo concernente il miglioramento dell’efficienza e l'incremento dell'interoperabilità e delle sinergie tra le banche dati europee nel settore della giustizia e degli affari interni[3], del 24 novembre 2005, la Commissione ritiene che le autorità incaricate della sicurezza interna potrebbero accedere all’EURODAC in casi ben definiti, qualora vi sia il fondato sospetto che l’autore di un reato di terrorismo o altro reato grave abbia presentato domanda d’asilo. Nella comunicazione la Commissione dichiara inoltre che, ai fini del rispetto del principio della proporzionalità, occorre che l’EURODAC sia interrogato a tali scopi unicamente quando prevalga l’interesse della sicurezza pubblica, ossia qualora il reato o l’atto commesso sia così riprovevole da giustificare l’interrogazione di una banca dati contenente dati relativi a persone con la fedina penale pulita e giunge alla conclusione che i limiti che le autorità responsabili della sicurezza interna devono rispettare per potere consultare l’EURODAC devono pertanto essere sempre molto più elevati rispetto a quelli fissati per l’interrogazione di banche dati giudiziarie. (4) Inoltre Europol svolge un ruolo fondamentale nell’ambito della cooperazione tra le autorità degli Stati membri nel settore dell’investigazione di reati transfrontalieri contribuendo alla prevenzione, all’analisi e all’investigazione di attività criminali su scala europea. Pertanto, anche Europol dovrebbe aver accesso anche ai dati EURODAC nell’ambito dell’espletamento delle sue funzioni e in conformità della decisione 2009/371/GAI del Consiglio che istituisce l’Ufficio europeo di polizia (Europol)[4]. (5) La presente decisione integra il regolamento (CE) n. [.../...] [ nuovo regolamento EURODAC ] nella misura in cui fornisce la base giuridica, a norma del titolo VI del trattato sull’Unione europea, che autorizza le autorità degli Stati membri e Europol a presentare richieste di confronto con i dati EURODAC. (6) Poiché l’EURODAC è stata istituito per agevolare l’applicazione del regolamento Dublino, l’accesso alla banca dati ai fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi costituisce una nuova finalità rispetto a quella iniziale nonché un’ingerenza nel diritto al rispetto della vita privata di coloro i cui dati personali sono elaborati nell’EURODAC. Un’ingerenza di questo tipo deve essere prevista dalla legge, che deve essere formulata con precisione sufficiente a consentire all’individuo di adeguare il proprio comportamento, e deve tutelare dall’arbitrarietà e indicare con sufficiente chiarezza il potere discrezionale conferito alle autorità competenti e il modo in cui tale potere è esercitato. In una società democratica qualunque ingerenza deve essere necessaria per conseguire un interesse legittimo e proporzionato e deve essere commisurata all’obiettivo legittimo che intende perseguire. (7) La finalità per la quale è stato istituito l’EURODAC non necessitava che fosse possibile chiedere confronti con la banca dati sulla base di un’immagine latente, che è la traccia dattiloscopica rilevabile su un luogo di reato; tale possibilità è tuttavia fondamentale nel settore della cooperazione di polizia. La possibilità di confrontare un’immagine latente con i dati relativi alle impronte digitali conservati nell’EURODAC rappresenterà, per le autorità designate degli Stati membri, uno strumento utilissimo di prevenzione, individuazione e investigazione dei reati di terrorismo e di altri reati gravi, quando per esempio l’unica prova disponibile sono le immagini latenti presenti sul luogo del reato. (8) La presente decisione stabilisce le condizioni alle quali dovrebbero essere autorizzate le richieste di confronto dei dati relativi alle impronte digitali con i dati EURODAC ai fini della prevenzione, dell’individuazione o dell’investigazione di reati di terrorismo e altri reati gravi, e le necessarie garanzie per assicurare la tutela del diritto fondamentale al rispetto della vita privata di coloro i cui dati personali sono elaborati nell’EURODAC. (9) È necessario designare le autorità competenti degli Stati membri e il punto di accesso centrale nazionale attraverso i quali sono inoltrate le richieste di confronto con i dati EURODAC, e conservare un elenco delle unità operative in seno alle autorità designate autorizzate a chiedere tale confronto ai fini specifici della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo di cui alla decisione quadro 2002/475/GAI del Consiglio, del 13 giugno 2002, sulla lotta contro il terrorismo[5] e di altri reati gravi di cui alla decisione quadro 2002/584/GAI del Consiglio, del 13 giugno 2002, relativa al mandato d'arresto europeo e alle procedure di consegna tra Stati membri[6]. (10) Le richieste di confronto con i dati conservati nella banca dati centrale EURODAC dovrebbero essere presentate dalle unità operative in seno alle autorità designate al punto di accesso nazionale attraverso l’autorità di verifica, e devono essere motivate. Le autorità di verifica dovrebbero assicurare l’assoluta conformità alle condizioni di accesso previste nella presente decisione per poi trasmettere la richiesta di confronto al sistema centrale EURODAC attraverso il punto di accesso nazionale, previa verifica del rispetto di tutte le condizioni di accesso. In caso eccezionale d’urgenza, le autorità di verifica dovrebbero trattare le richieste immediatamente ed effettuare la verifica a posteriori. (11) Ai fini della protezione dei dati personali, in particolare per escludere i confronti di massa che dovrebbero essere vietati, il trattamento dei dati EURODAC dovrebbe avvenire solo in casi specifici e quando necessario ai fini della prevenzione, dell'individuazione e dell'investigazione di reati di terrorismo e altri reati gravi. Inoltre, l’accesso dovrebbe essere consentito soltanto quando il confronto con i dati conservati nella banca dati nazionale e l’accesso ai sistemi nazionali automatizzati d’identificazione dattiloscopica degli altri Stati membri ai sensi della decisione 2008/615/GAI del Consiglio, del 23 giugno 2008, sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera[7] (decisione Prüm) danno esiti negativi . È un caso specifico quello in cui la richiesta di confronto è connessa con un evento specifico e concreto o con un pericolo specifico e concreto associato a un atto di terrorismo o a un altro reato grave, ovvero con una o più persone specifiche nei cui confronti sussistano fondati motivi di ritenere che commetteranno o abbiano commesso reati di terrorismo o altri reati gravi. È ugualmente un caso specifico quello in cui la richiesta di confronto è connessa con una persona che è vittima di un atto di terrorismo o altro reato grave. Le autorità designate e Europol dovrebbero pertanto chiedere un confronto con i dati EURODAC soltanto quando hanno fondati motivi per ritenere che tale consultazione fornirà informazioni che contribuiranno in modo sostanziale alla prevenzione, all'individuazione o all'investigazione di reati di terrorismo o altri reati gravi. (12) La decisione quadro 2008/977/GAI, del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale[8] si applica al trattamento dei dati personali effettuato ai sensi della presente decisione. (13) Occorre vietare il trasferimento dei dati ottenuti ai sensi della presente decisione a paesi terzi, a organizzazioni internazionali o a soggetti di diritto privato onde garantire il diritto di asilo e tutelare i richiedenti protezione internazionale dalla divulgazione dei loro dati a paesi terzi. Questo divieto non pregiudica il diritto degli Stati membri di trasferire tali dati a paesi terzi cui si applica il regolamento Dublino, in modo che gli Stati membri possano cooperare con quei paesi terzi ai fini della presente decisione. (14) Le autorità nazionali incaricate del controllo del trattamento dei dati personali dovrebbero vigilare sulla legittimità del trattamento dei dati personali effettuato dagli Stati membri, mentre l'autorità di controllo comune di Europol, istituita dalla decisione Europol, dovrebbe vigilare sulla legittimità delle attività di trattamento dati eseguite da Europol. (15) Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati[9], in particolare gli articoli 21 e 22 sulla riservatezza e sulla sicurezza del trattamento, si applica al trattamento dei dati personali effettuato dalle istituzioni e dagli organismi comunitari nell’esercizio dei loro compiti di gestione operativa dell’EURODAC, nella misura in cui detto trattamento avviene nell'esercizio di attività che rientrano in tutto o in parte nel campo di applicazione del diritto comunitario. (16) L'effettiva applicazione della presente decisione dovrebbe formare oggetto di periodiche valutazioni. (17) Poiché gli obiettivi della presente decisione, vale a dire la definizione di condizioni per le richieste di confronto con i dati conservati nella banca dati centrale EURODAC da parte delle autorità designate degli Stati membri e di Europol, non possono essere realizzati in misura sufficiente dagli Stati membri e possono dunque, a causa delle dimensioni e degli effetti dell’intervento, essere realizzati meglio a livello di Unione europea, il Consiglio può adottare misure in base al principio di sussidiarietà di cui all’articolo 2 del trattato sull’Unione europea e sancito dall’articolo 5 del trattato che istituisce la Comunità europea. La presente decisione si limita a quanto è necessario per conseguire tali scopi in ottemperanza al principio di proporzionalità enunciato negli stessi articoli. (18) Conformemente all’articolo 47 del trattato sull’Unione europea, la presente decisione non pregiudica le competenze della Comunità europea, in particolare nell’ambito del regolamento (CE) n. [.../...] [nuovo regolamento EURODAC] [10] e della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, sulla protezione delle persone fisiche in relazione al trattamento dei dati personali e alla libera circolazione di tali dati[11]. (19) La presente decisione rispetta i diritti fondamentali e osserva i principi sanciti segnatamente dalla Carta dei diritti fondamentali dell’Unione europea, soprattutto il diritto alla protezione dei dati personali e il diritto di asilo. La presente decisione deve essere applicata conformemente a tali diritti e principi, HA ADOTTATO LA PRESENTE DECISIONE: CAPO I DISPOSIZIONI GENERALI Articolo 1 Oggetto e ambito di applicazione La presente decisione definisce le condizioni per le richieste di confronto dei dati relativi alle impronte digitali con i dati conservati nella banca dati centrale EURODAC, presentate dalle autorità designate degli Stati membri e dall’Ufficio europeo di polizia (Europol) ai fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi. Articolo 2 Definizioni 1. Ai fini della presente decisione si intende per: a) “EURODAC”: la banca dati istituita con regolamento (CE) n. […/…] [nuovo regolamento EURODAC]; b) “Europol”: l’Ufficio europeo di polizia istituito con decisione […/…./GAI] del Consiglio; c) “dati EURODAC”: tutti i dati relativi alle impronte digitali conservati nella banca dati centrale conformemente all’articolo 9 e all’articolo 14, paragrafo 2, del [nuovo regolamento EURODAC]; d) “reati di terrorismo”: i reati che, ai sensi della legislazione nazionale, corrispondono o sono equivalenti ai reati di cui agli articoli da 1 a 4 della decisione quadro 2002/475/GAI del Consiglio; e) “reati gravi”: le forme di reato che corrispondono o sono equivalenti a quelle di cui all’articolo 2, paragrafo 2, della decisione quadro 2002/584/GAI, se punibili con una pena detentiva o una misura di sicurezza privativa della libertà personale per un periodo massimo di almeno tre anni conformemente al diritto nazionale; f) “dati relativi alle impronte digitali”: i dati sulle impronte di tutte le dita o almeno degli indici e, qualora queste ultime non fossero disponibili, sulle impronte di tutte le altre dita, oppure un'immagine latente; g) “punto di accesso nazionale”: il sistema nazionale designato per comunicare con il sistema centrale di cui all’articolo 4, paragrafo 2 del [nuovo regolamento EURODAC] ; h) “Autorità di gestione”: l’organo responsabile della gestione operativa dell’EURODAC di cui all’articolo 5 del [nuovo regolamento EURODAC]. 2. Si applicano altresì le definizioni del regolamento (CE) n. […/…] [ nuovo regolamento EURODAC] . Articolo 3 Autorità designate 1. Gli Stati membri designano le autorità autorizzate ad accedere ai dati EURODAC a norma della presente decisione. Le autorità designate sono le autorità degli Stati membri responsabili della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi. Non comprendono i servizi o le unità che si occupano specificamente di questioni connesse alla sicurezza nazionale. 2. Ciascuno Stato membro conserva un elenco delle autorità designate . 3. A livello nazionale, ciascuno Stato membro conserva un elenco delle unità operative in seno alle autorità designate che possono chiedere il confronto con i dati EURODAC attraverso il punto di accesso nazionale. Articolo 4 Autorità di verifica 1. Ciascuno Stato membro designa un organismo nazionale unico affinché eserciti le funzioni di autorità di verifica. L’autorità di verifica è l’autorità dello Stato membro responsabile della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi. Non comprende i servizi o le unità che si occupano specificamente di questioni connesse alla sicurezza nazionale. 2. Compete all’autorità di verifica garantire il rispetto delle condizioni per la richiesta di confronto delle impronte digitali con i dati EURODAC. 3. Soltanto l’autorità di verifica è autorizzata a trasmettere le richieste di confronto delle impronte digitali al punto di accesso nazionale che comunica con il sistema centrale. Articolo 5 Europol 1. Europol designa un’unità specializzata composta di funzionari autorizzati a agire in qualità di autorità di verifica e, di concerto con ciascuno Stato membro, il punto di accesso nazionale di quello Stato membro che comunica al sistema centrale le sue richieste di confronto dei dati relativi alle impronte digitali. 2. Europol designa un’unità operativa autorizzata a chiedere il confronto con i dati EURODAC attraverso il suo punto di accesso nazionale. CAPO II PROCEDURA PER IL CONFRONTO E LA TRASMISSIONE DEI DATI Articolo 6 Procedura per il confronto con i dati EURODAC dei dati relativi alle impronte digitali 1 . Le autorità designate di cui all’articolo 3, paragrafo 1, e Europol possono presentare all’autorità di verifica una richiesta motivata in formato elettronico di trasmissione, a fini di confronto, di dati relativi alle impronte digitali al sistema centrale EURODAC attraverso il punto di accesso nazionale. Ricevuta tale richiesta, l’autorità di verifica controlla se ricorrono le condizioni per richiedere un confronto di cui all’articolo 7 o all’articolo 8, a seconda dei casi. 2. Se ricorrono tutte le condizioni per richiedere un confronto, l’autorità di verifica trasmette la richiesta al punto di accesso nazionale che la trasmette al sistema centrale EURODAC per il confronto con tutti i dati EURODAC. 3. In casi eccezionali d’urgenza, l’autorità di verifica può trasmettere al punto di accesso nazionale i dati relativi alle impronte digitali per un confronto immediato appena ricevuta la richiesta da un’autorità designata e verificare solo a posteriori se tutte le condizioni di cui all’articolo 7 o all’articolo 8 siano rispettate, compresa l’effettiva sussistenza di un caso eccezionale d’urgenza. La verifica a posteriori ha luogo senza indebiti ritardi previo trattamento della richiesta. 4. Se con la verifica a posteriori si accerta che l’accesso non era giustificato, le autorità che hanno avuto accesso ai dati comunicati dall’EURODAC li distruggono e ne informano l’autorità di verifica. Articolo 7 Condizioni per l’accesso delle autorità designate ai dati EURODAC 1. Le autorità designate possono chiedere il confronto di dati relativi alle impronte digitali con i dati conservati nella banca dati centrale EURODAC nei limiti delle loro competenze soltanto se il confronto con le banche nazionali dei dati dattiloscopici e l’accesso ai sistemi nazionali automatizzati d’identificazione dattiloscopica degli altri Stati membri ai sensi della decisione 2008/615/GAI[12] danno esiti negativi, e se: a) il confronto è necessario ai fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo o altri reati gravi; b) il confronto è necessario in un caso specifico; c) esistono fondati motivi per ritenere che il confronto con i dati EURODAC contribuisca in misura sostanziale alla prevenzione, all’individuazione o all’investigazione di uno qualsiasi dei reati in questione. 2. Le richieste di confronto con i dati EURODAC sono limitate alla ricerca dei dati relativi alle impronte digitali. Articolo 8 Condizioni per l’accesso di Europol ai dati EURODAC 1. Europol presenta le richieste di confronto con i dati EURODAC entro i limiti delle sue competenze e ove ciò sia necessario per l’adempimento delle sue funzioni ai sensi della decisione Europol e ai fini di un’analisi specifica o di analisi generali di tipo strategico. 2. Le richieste di confronto con i dati EURODAC sono limitate al confronto dei dati relativi alle impronte digitali. 3. Il trattamento delle informazioni ottenute da Europol mediante il confronto con i dati EURODAC è soggetto all’autorizzazione dello Stato membro d’origine. Tale autorizzazione è ottenuta attraverso l’unità nazionale Europol dello Stato membro. Articolo 9 Comunicazione tra le autorità di verifica e i punti di accesso nazionali 1. Le autorità di verifica degli Stati membri e Europol si avvalgono dell’infrastruttura di comunicazione dell’EURODAC per trasmettere i dati ai punti di accesso nazionali, e viceversa. Tutte le comunicazioni avvengono per via elettronica. 2. Le impronte digitali vengono digitalizzate dagli Stati membri e trasmesse nel formato dei dati indicato nell’allegato I del regolamento (CE) n. […/…] [nuovo regolamento EURODAC] , in modo che i dati possano essere confrontati dal sistema informatizzato per il riconoscimento delle impronte digitali. CAPO III PROTEZIONE DEI DATI PERSONALI Articolo 10 Protezione dei dati personali 1. Al trattamento dei dati personali effettuato ai sensi della presente decisione si applica la decisione quadro 2008/977/GAI. 2. Il trattamento dei dati personali da parte di Europol ai sensi della presente decisione è effettuato conformemente alla decisione […/…/GAI] [Europol] e alle disposizioni adottate in applicazione della stessa, ed è soggetto al controllo dell’autorità di controllo comune indipendente istituita all’articolo 34 di quella decisione. 3. I dati personali ottenuti da EURODAC in virtù della presente decisione sono trattati soltanto allo scopo di prevenire, individuare e indagare reati di terrorismo o altri reati gravi. 4. I dati personali che uno Stato membro o Europol hanno ottenuto dall’EURODAC in virtù della presente decisione sono cancellati dagli archivi nazionali dopo un mese, salvo se necessari ai fini di specifiche indagini penali svolte da quello Stato membro o da Europol. 5. L’autorità nazionale competente designata a norma della decisione quadro 2008/977/GAI controlla la legittimità del trattamento dei dati personali effettuato ai sensi della presente decisione dallo Stato membro in questione, nonché il loro trasferimento all’EURODAC e viceversa. Articolo 11 Sicurezza dei dati 1. Lo Stato membro competente garantisce la sicurezza dei dati durante la trasmissione ai sensi della presente decisione alle autorità designate e all’atto della ricezione da parte di queste. 2. Ciascuno Stato membro, in relazione al proprio sistema nazionale, adotta le misure necessarie, compreso un piano di sicurezza, al fine di: a) proteggere fisicamente i dati, tra l’altro mediante l’elaborazione di piani d’emergenza per la protezione delle infrastrutture critiche; b) negare alle persone non autorizzate l’accesso alle strutture nazionali nelle quali lo Stato membro effettua operazioni ai fini dell’EURODAC (controlli all’ingresso delle strutture); c) impedire che supporti di dati possano essere letti, copiati, modificati o cancellati senza autorizzazione (controllo dei supporti di dati); d) impedire che siano inseriti dati senza autorizzazione e che sia presa visione, senza autorizzazione, di dati personali memorizzati o che essi siano modificati o cancellati senza autorizzazione (controllo della conservazione); e) impedire che i dati siano trattati nell’EURODAC senza autorizzazione e che i dati trattati nell’EURODAC siano modificati o cancellati senza autorizzazione (controllo dell’inserimento dei dati); f) garantire che le persone autorizzate ad accedere all’EURODAC abbiano accesso solo ai dati previsti dalla loro autorizzazione di accesso, tramite identità di utente individuali e uniche ed esclusivamente con modalità di accesso riservato (controllo dell’accesso ai dati); g) garantire che tutte le autorità con diritto di chiedere un confronto con i dati EURODAC creino profili che descrivano le funzioni e le responsabilità delle persone autorizzate ad accedere, inserire, aggiornare, cancellare e consultare i dati e mettano senza indugio tali profili a disposizione delle autorità nazionali di controllo designate ai sensi dell’articolo 25 della decisione quadro 2008/977/GAI, su richiesta di queste ultime (profili personali); h) garantire la possibilità di verificare e stabilire a quali organismi possono essere trasmessi dati personali mediante apparecchiature di comunicazione dei dati (controllo della comunicazione); i) garantire che sia possibile verificare e stabilire quali dati siano stati trattati nell’EURODAC, quando, da chi e per quale scopo (controllo della registrazione dei dati); j) impedire, in particolare mediante tecniche appropriate di cifratura, che, all’atto della trasmissione di dati personali dall’EURODAC o verso il medesimo ovvero durante il trasporto dei supporti di dati, tali dati personali possano essere letti, copiati, modificati o cancellati senza autorizzazione (controllo del trasporto); k) controllare l’efficacia delle misure di sicurezza di cui al presente paragrafo e adottare le necessarie misure di carattere organizzativo relative al controllo interno per garantire l’osservanza della presente decisione (autocontrollo). Articolo 12 Divieto di trasferire i dati a paesi terzi, a organizzazioni internazionali o a soggetti di diritto privato Non sono trasferiti a paesi terzi, a organizzazioni internazionali o a soggetti di diritto privato stabiliti all’interno o all’esterno dell’Unione europea, né sono messi a loro disposizione, i dati personali provenienti dalla banca dati centrale EURODAC trasmessi a uno Stato membro o a Europol ai sensi della presente decisione. Questo divieto non pregiudica il diritto degli Stati membri di trasferire tali dati a paesi terzi cui si applica il regolamento Dublino, purché siano rispettate le condizioni di cui all’articolo 13 della decisione quadro 2008/977/GAI. Articolo 13 Registrazione e documentazione 1. Gli Stati membri e Europol provvedono affinché tutte le operazioni di trattamento dei dati derivanti dalle richieste di confronto con i dati EURODAC a norma della presente decisione siano registrate o documentate per verificare l'ammissibilità della richiesta, per controllare la legittimità del trattamento dei dati, l’integrità e la sicurezza dei dati, e ai fini dell'autocontrollo. 2. Il registro o la documentazione indicano in ogni caso: a) lo scopo esatto della richiesta di confronto, compresa la forma di reato di terrorismo o altro reato grave in questione e, per Europol, lo scopo esatto della richiesta di confronto; b) il riferimento relativo al rispettivo fascicolo nazionale; c) la data e l’ora esatta della richiesta di confronto inviata al sistema centrale EURODAC dal punto di accesso nazionale; d) l’autorità che ha chiesto l’accesso per il confronto e il responsabile che ha presentato la richiesta e elaborato i dati; e) se è stata esperita la procedura d’urgenza di cui all’articolo 6, paragrafo 3, e la decisione presa in merito alla verifica a posteriori; f) i dati usati per il confronto; g) conformemente alle disposizioni nazionali o alle disposizioni della decisione Europol, l'identificazione del funzionario che ha effettuato la consultazione e del funzionario che ha ordinato di consultare i dati o di fornirli. 3. Le registrazioni o i documenti sono usati solo ai fini del controllo della legittimità del trattamento dei dati e per garantire la sicurezza dei dati. Soltanto le registrazioni che non contengono dati personali possono essere usate ai fini del controllo e della valutazione di cui all’articolo 17. Le autorità nazionali di controllo competenti a verificare l'ammissibilità della richiesta e controllare la legittimità del trattamento dei dati, l’integrità e la sicurezza dei dati hanno accesso a tali registrazioni, su richiesta, per l’adempimento delle loro funzioni. CAPO IV DISPOSIZIONI FINALI Articolo 14 Spese Gli Stati membri e Europol istituiscono e mantengono a loro spese l’infrastruttura tecnica necessaria all’attuazione della presente decisione, e si fanno carico degli oneri derivanti dalle richieste di confronto con i dati EURODAC ai fini della presente decisione. Articolo 15 Sanzioni Gli Stati membri e Europol adottano le misure necessarie per garantire che ogni uso dei dati EURODAC contrario alle disposizioni della presente decisione sia passibile di sanzioni, anche a carattere amministrativo e/o penale, che siano effettive, proporzionate e dissuasive. Articolo 16 Notifica delle autorità designate e delle autorità di verifica 1. Al più tardi entro [tre mesi dalla data di entrata in vigore della presente decisione] gli Stati membri comunicano alla Commissione e al segretariato generale del Consiglio le autorità designate e notificano senza indugio le eventuali modifiche. 2. Al più tardi entro [tre mesi dalla data di entrata in vigore della presente decisione] gli Stati membri comunicano alla Commissione e al segretariato generale del Consiglio l’autorità di verifica e notificano senza indugio le eventuali modifiche. 3. Al più tardi entro [tre mesi dalla data di entrata in vigore della presente decisione] Europol comunica alla Commissione e al segretariato generale del Consiglio la sua autorità di verifica e il punto di accesso nazionale designato, e notifica senza indugio le eventuali modifiche. 4. La Commissione pubblica annualmente le informazioni di cui ai paragrafi 1, 2 e 3 nella Gazzetta ufficiale dell ’ Unione europea . Articolo 17 Controllo e valutazione 1. Gli Stati membri e Europol predispongono ciascuno una relazione annuale sull’efficacia del confronto dei dati relativi alle impronte digitali con i dati EURODAC, in cui figurino informazioni e statistiche sulla finalità precisa del confronto, compreso il tipo di reato di terrorismo o altro reato grave, il numero di richieste di confronto, il numero e il tipo di casi in cui si è giunti a un’identificazione, e sulla necessità di trattare casi eccezionali d’urgenza, sui casi d’urgenza effettivamente trattati e sui casi di cui l’autorità di verifica non ha confermato l’urgenza dopo la verifica a posteriori. La relazione annuale è trasmessa alla Commissione. 2. Tre anni dopo l’entrata in vigore della presente decisione, e successivamente ogni quattro anni, la Commissione presenta una valutazione globale nella quale analizza i risultati conseguiti rispetto agli obiettivi, valuta se i principi di base permangono validi e formula, se del caso, le raccomandazioni necessarie. La Commissione trasmette la relazione di valutazione al Parlamento europeo e al Consiglio. 3. L'Autorità di gestione, gli Stati membri e Europol forniscono alla Commissione le informazioni necessarie per redigere le relazioni di valutazione di cui al paragrafo 2. Tali informazioni non mettono a repentaglio i metodi di lavoro e non comprendono informazioni su fonti, membri del personale o indagini delle autorità designate. Articolo 18 Entrata in vigore e decorrenza dell’applicazione 1. La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell ’ Unione europea . 2. La presente decisione si applica a decorrere dalla data di cui all’articolo 33, paragrafo 2 del regolamento […] [ nuovo regolamento EURODAC ] Fatto a Bruxelles, Per il Consiglio Il Presidente [1] GU C … del …, pag. . [2] GU L … del …, pag. ... [3] COM(2005) 597 del 24.11.2005. [4] GU L 121 del 15.5.2009, pag. 37. [5] GU L 164 del 22.6.2002, pag. 3. [6] GU L 190 del 18.7.2002, pag. 1. [7] GU L 210 del 6.8.2008, pag. 1. [8] GU L 350 del 30.12.2008, pag. 60. [9] GU L 8 del 12.1.2001, pag. 1. [10] ............................ [11] GU L 281 del 23.11.1995, pag. 31. [12] GU L 210 del 6.8.2008, pag. 1.