13.12.2016   

IT

Gazzetta ufficiale dell'Unione europea

C 463/14

Sintesi del parere del Garante europeo della protezione dei dati sul secondo pacchetto frontiere intelligenti dell’UE

(Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD www.edps.europa.eu)

(2016/C 463/11)

SINTESI

L’istituzione di un sistema di ingressi/uscite (Entry/Exit System - EES) che registri gli ingressi e le uscite dei cittadini di paesi terzi nel territorio dell’Unione europea era prevista da tempo dal legislatore europeo. La Commissione aveva adottato tre proposte nel quadro del primo pacchetto frontiere intelligenti nel 2013; i colegislatori avevano espresso serie riserve e il pacchetto non aveva ottenuto un consenso. In risposta a tali preoccupazioni, la Commissione ha quindi intrapreso un esercizio di prova della validità concettuale, ed ha presentato quest’anno un secondo pacchetto frontiere intelligenti, attualmente composto da due proposte rivedute.

Il GEPD ha analizzato attentamente tali proposte e formula raccomandazioni al fine di assistere il legislatore nel garantire che il quadro giuridico applicabile al sistema EES sia pienamente conforme alla normativa dell’UE sulla vita privata e la protezione dei dati, in particolare agli articoli 7 e 8 della Carta dei diritti fondamentali dell’UE.

Il GEPD riconosce la necessità di sistemi d’informazione coerenti ed efficaci per la gestione delle frontiere e la sicurezza. Queste proposte giungono in un momento cruciale, in cui l’UE si trova ad affrontare sfide serie in questo settore. Tuttavia, il GEPD sottolinea la natura significativa e potenzialmente intrusiva del proposto trattamento dei dati personali nell’ambito dell’EES, che deve, pertanto, essere considerato ai sensi degli articoli 7 e 8 della Carta. La necessità e la proporzionalità del sistema EES devono essere valutate sia a livello globale, prendendo in considerazione i sistemi IT su larga scala già esistenti nell’UE, sia specifico, nel particolare caso dei cittadini di paesi terzi che sono visitatori legali nell’Unione europea. Il GEPD osserva che i dati EES saranno trattati per due finalità diverse, da un lato a fini di gestione delle frontiere e di facilitazione, e dall’altro a fini di contrasto. Il GEPD raccomanda vivamente di introdurre in modo chiaro la differenza tra tali obiettivi in tutta la proposta EES 2016, dal momento che tali finalità comportano un impatto diverso sui diritti alla vita privata e alla protezione dei dati.

Pur compiacendosi dell’attenzione prestata alle preoccupazioni precedentemente espresse con riferimento alla vita privata e alla protezione dei dati, il GEPD solleva serie preoccupazioni per quanto riguarda diversi aspetti della proposta EES, che dovrebbero essere meglio giustificati o addirittura riconsiderati dal legislatore, in particolare:

il periodo di cinque anni per la conservazione dei dati EES. Il GEPD rileva che la necessità di conservare per cinque anni i dati dei soggiornanti fuori termine dovrebbe essere meglio dimostrata, e che un periodo di conservazione di cinque anni per tutti i dati personali conservati nell’EES appare sproporzionato,

la raccolta dell’immagine del volto dei viaggiatori con obbligo del visto, la cui immagine del volto sia già registrata nel VIS,

la necessità da parte delle autorità di contrasto di accedere ai dati EES, che non è suffragata da prove convincenti,

il prerequisito che un soggetto interessato fornisca le sue impronte digitali quando esercita i suoi diritti di accesso, rettifica e/o cancellazione dei suoi dati personali, che potrebbe costituire un importante ostacolo all’effettivo esercizio di tali diritti.

Il parere fornisce inoltre ulteriori raccomandazioni in termini di protezione dei dati e della vita privata, che dovrebbero essere tenute in considerazione nel processo legislativo, compresa la sicurezza del sistema.

I.   INTRODUZIONE E CONTESTO

1.

La Commissione ha annunciato per la prima volta nel 2008 l’intenzione di creare un sistema europeo di ingressi/uscite, finalizzato a controllare gli ingressi e le uscite dei cittadini di paesi terzi nel territorio dell’Unione europea (1). All’epoca il GEPD aveva inizialmente formulato alcune osservazioni preliminari (2) in merito all’idea, evidenziando poi alcune problematiche specifiche in un parere del luglio 2011 (3). La Commissione ha ulteriormente elaborato la sua posizione in una comunicazione dell’ottobre 2011 (4), intitolata «Frontiere intelligenti - opzioni e prospettive», sulla quale si è espresso il gruppo di lavoro ex articolo 29 (5). Il GEPD ha inoltre contribuito ad una tavola rotonda congiunta con varie parti interessate (6).

2.

Nel febbraio 2013, la Commissione ha adottato tre proposte nel quadro del primo pacchetto frontiere intelligenti: una proposta relativa all’istituzione di un sistema di ingressi/uscite (7) (in appresso: la «proposta EES 2013»), una proposta relativa all’istituzione di un programma per viaggiatori registrati (8) (in appresso: la «proposta RTP [Registered Traveller Programme] 2013») e una proposta di modifica del codice frontiere Schengen (9), al fine di introdurre tali modifiche di conseguenza. Il pacchetto è stato immediatamente oggetto di critiche da parte di entrambi i colegislatori, in ragione di preoccupazioni di ordine tecnico, operativo e di costi, e di importanti perplessità connesse alla protezione dei dati. Nel corso dello stesso anno, il GEPD ha fornito, sotto forma di parere, le sue prime raccomandazioni concrete sulle tre proposte (10). Anche il gruppo di lavoro ex articolo 29 ha emesso un parere (11), al quale il GEPD ha contribuito, nel quale ha messo in discussione la necessità del sistema di ingressi/uscite in quanto tale.

3.

All’inizio del 2014, in risposta a tali preoccupazioni, la Commissione ha annunciato l’avvio di un esercizio di prova della validità concettuale costituito da due fasi: prima uno studio tecnico (12) e uno studio sui costi (13), per identificare le opzioni e le soluzioni più idonee alla realizzazione delle frontiere intelligenti, seguito nel corso del 2015 da un progetto pilota (14) condotto dall’Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (in appresso «eu-LISA»), al fine di valutare le diverse opzioni individuate. In parallelo, la Commissione ha avviato una consultazione pubblica di tre mesi (15) nel luglio 2015, per raccogliere pareri e opinioni da cittadini e organizzazioni, alla quale ha contribuito anche il GEPD (16).

4.

Il 6 aprile 2016, la Commissione ha presentato un secondo pacchetto frontiere intelligenti (17). Questa volta, viene proposto un solo sistema: il sistema di ingressi/uscite (in appresso: «EES»). La Commissione ha deciso di rivedere la sua proposta EES 2013 e la proposta di modifica del codice frontiere Schengen 2013, ma di ritirare la sua proposta RTP 2013. L’odierno pacchetto frontiere intelligenti è composto da:

una comunicazione concernente «Sistemi d’informazione più solidi e intelligenti per le frontiere e la sicurezza» (18),

una proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un sistema di ingressi/uscite per la registrazione dei dati di ingresso e di uscita e dei dati relativi al respingimento dei cittadini di paesi terzi che attraversano le frontiere esterne degli Stati membri dell’Unione europea e che determina le condizioni di accesso al sistema di ingressi/uscite a fini di contrasto e che modifica il regolamento (CE) n. 767/2008 e il regolamento (UE) n. 1077/2011 (19) (in appresso: la «proposta EES 2016»), e

una proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (UE) 399/2016 (20) per quanto riguarda l’uso del sistema di ingressi/uscite (21) (in appresso: la «proposta di modifica del codice frontiere Schengen 2016»).

5.

Inoltre, le due proposte sono accompagnate da una valutazione d’impatto dettagliata (22).

6.

Il pacchetto frontiere intelligenti ha acquisito nuovo slancio a seguito dell’attuale crisi migratoria e dei recenti attacchi terroristici in Europa. La presidenza neerlandese e la presidenza slovacca hanno annunciato la loro intenzione di lavorare intensamente al pacchetto, al fine di raggiungere un accordo politico entro la fine del 2016 (23).

7.

Il GEPD accoglie con favore il fatto che la Commissione lo abbia consultato in modo informale prima dell’adozione delle nuove proposte. Il GEPD accoglie favorevolmente anche la buona cooperazione (24) tra la DG Migrazione e affari interni e il GEPD durante tutto il processo di revisione del primo pacchetto frontiere intelligenti.

IV.   CONCLUSIONE

90.

Il GEPD accoglie con favore il lavoro svolto dalla Commissione nella proposta EES 2016 per affrontare le preoccupazioni in materia di protezione dei dati, sollevate dal pacchetto frontiere intelligenti 2013. Alcune delle raccomandazioni e osservazioni del GEPD nel suo precedente parere sul pacchetto sono state debitamente prese in considerazione, per esempio, per quanto riguarda l’introduzione di procedure sostitutive in caso di impossibilità tecnica di inserire i dati o di guasto del sistema.

91.

Il GEPD, pur accogliendo con favore gli sforzi compiuti dalla Commissione per giustificare la necessità di istituire il sistema EES, formula tuttavia alcune principali raccomandazioni direttamente legate alla sua proporzionalità, al fine di garantire la piena conformità dell’EES con il prerequisito essenziale dell’articolo 52, paragrafo 1, della Carta, che richiede che sia al tempo stesso necessario e proporzionato. Il GEPD sottolinea che la necessità e la proporzionalità del sistema EES devono essere valutate sia a livello globale, prendendo in considerazione i sistemi IT su larga scala già esistenti nell’UE, sia specifico, nel particolare caso dei cittadini di paesi terzi che sono visitatori legali nell’Unione europea. Il GEPD ritiene che un periodo di conservazione di cinque anni per tutti i dati personali conservati nell’EES debba essere pienamente giustificato. Il GEPD sottolinea inoltre che i seguenti aspetti della proposta EES 2016 dovrebbero essere meglio giustificati e suffragati da prove convincenti: la raccolta dell’immagine del volto dei viaggiatori con obbligo del visto, il periodo di conservazione di cinque anni per i soggiornanti fuori termine e la necessità da parte delle autorità di contrasto di accedere ai dati EES. Quod non, questi aspetti dovrebbero essere riesaminati dal legislatore dell’UE.

92.

Inoltre, considerando l’ampia interferenza con i diritti fondamentali alla vita privata e alla protezione dei dati dei cittadini di paesi terzi, il GEPD ritiene che l’EES dovrebbe rimanere uno strumento di gestione delle frontiere progettato esclusivamente a tale scopo. Pertanto, la differenza tra gli obiettivi dichiarati dell’EES, vale a dire gli obiettivi primari di gestione delle frontiere e facilitazione, e l’obiettivo secondario di applicazione della legge, dovrebbe essere introdotta chiaramente e riflettersi in tutta la proposta EES 2016, in particolare con riferimento agli articoli 1 e 5.

93.

Inoltre, il GEPD nutre preoccupazioni per quanto riguarda l’obbligo per tutti gli interessati di fornire in ogni caso le impronte digitali per presentare una richiesta di accesso, rettifica e cancellazione dei propri dati personali. Questo potrebbe creare un importante ostacolo per l’effettivo esercizio del diritto di accesso, un’importante garanzia per l’interessato, inclusa nell’articolo 8, paragrafo 2, della Carta dei diritti fondamentali dell’UE.

94.

Altre raccomandazioni del GEPD nel presente parere, riguardano i seguenti aspetti e articoli:

l’articolo 14 dovrebbe precisare che, nei casi in cui le immagini del volto dei cittadini di paesi terzi vengono rilevate sul posto, esse devono essere caratterizzate da un livello minimo di qualità, e l’articolo 33 dovrebbe specificare che la Commissione fornirà informazioni dettagliate su come raggiungere il necessario livello di qualità per le immagini facciali rilevate sul posto,

l’articolo 15, paragrafo 3, dovrebbe essere modificato in modo da specificare quali informazioni possono essere raccolte, archiviate e utilizzate dalle autorità di frontiera, quando chiedono ulteriori chiarimenti dei motivi dell’impossibilità temporanea di rilevamento delle impronte digitali,

l’articolo 39 dovrebbe prevedere la forte esigenza di coordinamento tra l’ue-LISA e gli Stati membri con riferimento alla garanzia della sicurezza dell’EES,

le responsabilità per la sicurezza dovrebbero essere chiarite nella proposta in caso di interconnessione dei programmi di facilitazione nazionali tra gli Stati membri e l’EES; il nuovo articolo 8 sexies del codice frontiere Schengen dovrebbe specificare che la sicurezza deve essere garantita a seguito di un’adeguata valutazione del rischio ai fini della sicurezza delle informazioni e descrivere le misure di sicurezza necessarie,

la proposta dovrebbe specificare chiaramente che eu-LISA è responsabile della sicurezza del servizio web, della sicurezza dei dati personali in esso contenuti e del processo per trasmettere i dati personali dal sistema centrale al servizio web,

l’articolo 44, paragrafo 1 dovrebbe essere modificato al fine di includere nelle informazioni comunicate agli interessati: il periodo di conservazione applicabile ai loro dati, il diritto dei soggiornanti fuori termine di chiedere la cancellazione dei loro dati personali nel caso in cui forniscano prova del fatto che hanno superato la durata del soggiorno autorizzato a causa di circostanze eccezionali ed imprevedibili e una spiegazione del fatto che i dati EES saranno accessibili a fini di gestione delle frontiere e di facilitazione,

l’articolo 46, paragrafo 1, dovrebbe fissare un termine armonizzato rigoroso non superiore ad un paio di mesi per rispondere alle richieste di accesso,

l’articolo 9, paragrafo 2, dovrebbe essere modificato con una chiara descrizione delle garanzie tese ad assicurare che si presti la debita attenzione ai dati relativi a minori, anziani e persone con disabilità,

l’articolo 57 dovrebbe essere modificato e prevedere da parte di eu-LISA lo sviluppo di funzionalità che permetterebbero a Stati membri, Commissione, eu-LISA e Frontex di estrarre in modo automatico le statistiche necessarie, direttamente dal sistema centrale EES senza che sia necessario un archivio supplementare,

la proposta dovrebbe fornire al GEPD le informazioni e le risorse adeguate, affinché possa esercitare in modo efficace ed efficiente le sue nuove responsabilità quale garante del futuro EES,

l’articolo 28, paragrafo 2, dovrebbe fornire un termine rigoroso per la verifica a posteriori, da parte delle autorità di verifica, delle condizioni di accesso ai dati EES a fini di contrasto in caso di emergenza,

l’articolo 28, paragrafo 3 dovrebbe essere modificato in modo da imporre che le autorità designate e l’autorità di verifica non facciano parte della stessa organizzazione.

95.

Il GEPD insiste sulla necessità di affrontare questi problemi in una prospettiva globale. Il GEPD incoraggia il legislatore a continuare il suo esercizio di mappatura delle diverse banche dati nel contesto delle frontiere e della migrazione, e a meglio coordinare ed evitare sovrapposizioni tra i diversi sistemi, nel pieno rispetto delle norme sulla protezione dei dati, e nelle sue relazioni con i paesi terzi.

Fatto a Bruxelles, il 21 settembre 2016

Giovanni BUTTARELLI

Garante europeo della protezione dei dati

(1)  Comunicazione della Commissione del 13 febbraio 2008, «Preparare le prossime fasi della gestione delle frontiere nell’Unione europea», COM(2008) 69 final.

(2)  Osservazioni preliminari del GEPD del 3 marzo 2008 relative a tre comunicazioni sulla gestione delle frontiere

(3)  Parere del GEPD del 7 luglio 2011 riguardante la comunicazione sulla migrazione.

(4)  Comunicazione della Commissione del 25 ottobre 2011: «Frontiere intelligenti - opzioni e prospettive», COM(2011) 680 final.

(5)  Il gruppo di lavoro ex articolo 29 si è espresso in merito alla comunicazione della commissione sulle frontiere intelligenti, in una lettera del 12 giugno 2012 indirizzata al commissario Malmström.

(6)  Tavola rotonda del GEPD sul pacchetto frontiere intelligenti e sulle implicazioni per la protezione dei dati, Bruxelles, 10 aprile 2013, cfr. sintesi all’indirizzo: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Events/2013/13-04-10_Summary_smart_borders_final_EN.pdf

(7)  Proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un sistema di ingressi/uscite (EES) per la registrazione dei dati di ingresso e uscita dei cittadini di paesi terzi che attraversano le frontiere esterne degli Stati membri dell’Unione europea, COM(2013) 95 final.

(8)  Proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un programma per viaggiatori registrati, COM(2013) 97 final.

(9)  Proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 562/2006 per quanto riguarda l’uso del sistema di ingressi/uscite (EES) e il programma per viaggiatori registrati (RTP), COM(2013) 96 final.

(10)  Parere del GEPD del 18 luglio 2013 sulle proposte di regolamento che istituisce un sistema di ingressi/uscite (EES) e di regolamento che istituisce un programma per viaggiatori registrati (RTP).

(11)  Parere 05/2013 del gruppo di lavoro ex articolo 29 del 6 giugno 2013 sulle Frontiere intelligenti.

(12)  Studio tecnico sulle frontiere intelligenti - relazione finale, ottobre 2014, disponibile all’indirizzo: http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/smart-borders/docs/smart_borders_technical_study_en.pdf

(13)  Studio tecnico sulle frontiere intelligenti - analisi dei costi, ottobre 2014, disponibile all’indirizzo: http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/smart-borders/docs/smart_borders_costs_study_en.pdf

(14)  Relazione finale ue-LISA sul progetto pilota frontiere intelligenti, dicembre 2015, disponibile all’indirizzo: http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/smart-borders/index_en.htm

(15)  Consultazione pubblica della Commissione sulle frontiere intelligenti, disponibile all’indirizzo: http://ec.europa.eu/dgs/home-affairs/what-is-new/public-consultation/2015/consulting_0030_en.htm

(16)  Osservazioni formali del GEPD del 3 novembre 2015 sulla consultazione pubblica della Commissione sulle frontiere intelligenti.

(17)  Cfr. il comunicato stampa disponibile all’indirizzo: http://http://europa.eu/rapid/press-release_IP-16-1247_it.htm

(18)  Comunicazione della Commissione del 6 aprile 2016: «Sistemi d’informazione più solidi e intelligenti per le frontiere e la sicurezza», COM(2016) 205 final.

(19)  COM(2016) 194 final.

(20)  Regolamento (UE) n. 2016/399 del Parlamento europeo e del Consiglio, del 9 marzo 2016, che istituisce un codice unionale relativo al regime di attraversamento delle frontiere da parte delle persone (codice frontiere Schengen) (codificazione) (GU L 77 del 23 marzo 2016, pag. 1).

(21)  COM(2016) 196 final.

(22)  Documento di lavoro dei servizi della Commissione del 6 aprile 2016: «Impact Assessment on the establishment of an EU Entry/Exit System accompanying the 2016 EES Proposal and the 2016 Proposal amending the Schengen Borders Code» [Valutazione d’impatto relativa all’istituzione di un sistema di ingressi/uscite che accompagna la proposta EES 2016 e la proposta di modifica del codice frontiere Schengen 2016], SWD(2016)115 final (in appresso: «valutazione d’impatto»).

(23)  http://data.consilium.europa.eu/doc/document/ST-8485-2016-INIT/en/pdf

(24)  Nel 2015 si sono tenuti due seminari tra DG Migrazione e affari interni e il GEPD, per esaminare alcuni aspetti di «frontiere intelligenti»: un seminario, tenutosi il 20 marzo, specificamente dedicato alla preparazione delle proposte frontiere intelligenti, e un seminario interattivo il 21 settembre 2015«Data Protection and Privacy Considerations in Policies on Migration and Home Affairs» [Osservazioni in merito alla protezione dei dati e alla vita privata nelle politiche in materia di migrazione e affari interni], nel corso del quale sono state esaminate anche le proposte frontiere intelligenti 2013; cfr. i verbali del seminario del 20 marzo 2015, nell’allegato 16 della valutazione d’impatto.