12.1.2017

Gazzetta ufficiale dell'Unione europea

C 9/3

Sintesi del parere del Garante europeo della protezione dei dati relativo al primo pacchetto di riforme sul sistema europeo comune di asilo (regolamenti Eurodac, EASO e Dublino)

(Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD www.edps.europa.eu)

(2017/C 9/04)

Da diversi anni, l’Europa si trova ad affrontare una crisi migratoria pressante, diventata ancora più acuta nel 2015. Di conseguenza, la Commissione ha proposto una riforma del regolamento Dublino, al fine di adattarlo al contesto attuale. Tale riforma è associata alla proposta di istituire un’Agenzia dell’Unione europea per l’asilo, per assistere gli Stati membri nell’assolvimento delle loro funzioni in materia di asilo.

Dalla sua istituzione, Eurodac ha conseguito l’obiettivo di fornire prove dattiloscopiche allo scopo di stabilire lo Stato membro competente in materia di esame della domanda d’asilo presentata nell’Unione.

La Commissione ha inoltre proposto una rifusione del regolamento Eurodac. La principale modifica a tale regolamento riguarda l’estensione dell’ambito di applicazione di Eurodac per quanto concerne la registrazione dei cittadini di paesi terzi illegalmente presenti in uno Stato membro o fermati in relazione all’attraversamento irregolare di una frontiera di uno Stato membro con un paese terzo.

Il GEPD riconosce la necessità di una gestione più efficace della migrazione e dell’asilo nell’UE. Tuttavia, raccomanda importanti miglioramenti per meglio considerare i diritti e gli interessi legittimi delle persone interessate sulle quali potrebbe incidere il trattamento dei dati personali; in particolare i gruppi vulnerabili di persone che necessitano di protezione specifica, come i migranti e i rifugiati.

Nel suo parere, il GEPD raccomanda, tra l’altro, i seguenti punti principali:

—	la menzione, nel regolamento Dublino, del fatto che l’introduzione dell’uso di un identificatore unico nella banca dati di Dublino non può, in ogni caso, perseguire fini diversi da quelli descritti nel regolamento Dublino;

—	lo svolgimento di una valutazione approfondita dell’impatto sulla protezione dei dati e della vita privata nella rifusione Eurodac 2016, al fine di misurare l’impatto sulla vita privata del nuovo testo proposto e dell’estensione dell’ambito di applicazione della banca dati Eurodac;

—

l’elaborazione di una valutazione della necessità di raccogliere e utilizzare le immagini del volto delle persone appartenenti alle categorie interessate dalla rifusione Eurodac 2016 e della proporzionalità della loro raccolta, sulla scorta di uno studio coerente o di un approccio basato su elementi concreti;

—

la conduzione di una valutazione dettagliata della situazione dei minori e di una valutazione che metta sul piatto della bilancia i rischi e i danni derivanti dalla procedura di rilevamento delle impronte digitali dei minori e i vantaggi di cui possono beneficiare, oltre all’elaborazione di una relazione.

Il parere definisce inoltre altre carenze delle diverse proposte e individua ulteriori raccomandazioni in termini di protezione dei dati e della vita privata, che dovrebbero essere tenute in considerazione nel processo legislativo.

I. INTRODUZIONE E CONTESTO

Nell’aprile 2016 la Commissione ha adottato una comunicazione intitolata «Riformare il sistema europeo comune di asilo e potenziare le vie legali di accesso all’Europa» (1), che definisce le priorità per migliorare il sistema europeo comune di asilo (CEAS). In tale contesto, il 4 maggio 2016 la Commissione ha presentato tre proposte facenti parte di un primo pacchetto di riforme del CEAS:

—

una proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di paese terzo o da un apolide (in appresso la «proposta Dublino») (2);

—	una proposta di regolamento del Parlamento europeo e del Consiglio relativo all’Agenzia dell’Unione europea per l’asilo e che abroga il regolamento (UE) n. 439/2010 (in appresso la «proposta che istituisce un’Agenzia dell’Unione europea per l’asilo») (3); e

—

una proposta di regolamento del Parlamento europeo e del Consiglio che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione del regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di paese terzo o da un apolide, per l’identificazione di cittadini di paesi terzi o apolidi il cui soggiorno è irregolare e per le richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto (rifusione 2016) (in appresso la «proposta di rifusione Eurodac 2016») (4).

Il GEPD era stato consultato in via informale prima della pubblicazione della proposta di rifusione Eurodac e della proposta che istituisce un’Agenzia dell’Unione europea per l’asilo e aveva trasmesso alla Commissione osservazioni informali su entrambi i testi.

Il GEPD comprende la necessità per l’UE di affrontare le sfide della crisi migratoria e dei rifugiati dal 2015 nonché la necessità di una politica dell’UE efficace e armonizzata, per contrastare l’immigrazione irregolare all’interno dell’UE e verso l’UE. Nel pieno rispetto del ruolo del legislatore nella valutazione della necessità e della proporzionalità delle misure proposte, nel presente parere il GEPD fornisce, nel suo ruolo consultivo, alcune raccomandazioni in termini di protezione dei dati e della vita privata, al fine di aiutare il legislatore a soddisfare i requisiti di cui agli articoli 7 e 8 della Carta dei diritti fondamentali, riguardanti i diritti alla vita privata e alla protezione dei dati, e all’articolo 16 del trattato sul funzionamento dell’UE.

Il GEPD esaminerà, in primo luogo, le principali raccomandazioni concernenti le tre proposte. Le principali raccomandazioni rappresentano le questioni più importanti osservate dal GEPD e che dovrebbero in ogni caso essere affrontate nel processo legislativo. Ulteriori raccomandazioni sono i punti con riferimento ai quali il GEPD ritiene necessari chiarimenti, ulteriori informazioni o modifiche minori. Questa distinzione dovrebbe aiutare il legislatore a privilegiare le principali questioni esaminate nel presente parere.

IV. CONCLUSIONE

68.

Il GEPD apprezza gli sforzi in termini di protezione dei dati nei diversi testi. Prende atto che la cultura della protezione dei dati sta diventando parte del processo legislativo e ciò emerge anche nell’elaborazione delle proposte.

69.

Nel pieno rispetto del ruolo del legislatore nella valutazione della necessità e della proporzionalità delle misure proposte, nel presente parere il GEPD fornisce, compatibilmente con il suo ruolo consultivo, alcune raccomandazioni in termini di protezione dei dati e della vita privata, per quanto riguarda le tre proposte esaminate.

70.

Per quanto concerne la proposta Dublino, il GEPD esprime preoccupazione per il fatto che l’identificatore univoco possa essere utilizzato per altri scopi, ad esempio per identificare le persone in altre banche dati, rendendo facile e semplice il confronto delle banche dati. Il GEPD raccomanda che venga specificato il divieto di utilizzare l’identificatore per altri fini..

71.

In relazione alla proposta di rifusione Eurodac, il GEPD ritiene che l’estensione dell’ambito di applicazione di Eurodac sollevi preoccupazioni relativamente al rispetto del principio della limitazione delle finalità sancito dall’articolo 7 della Carta dei diritti fondamentali dell’UE. Il GEPD raccomanda inoltre di precisare ulteriormente i tipi di misure, diverse da quelle di allontanamento e rimpatrio, che potrebbero essere adottate dagli Stati membri sulla base dei dati Eurodac. Il GEPD raccomanda che la Commissione metta a disposizione una valutazione approfondita dell’impatto sulla protezione dei dati e della vita privata della rifusione Eurodac 2016, onde misurare l’impatto sulla vita privata del testo proposto.

72.

Il GEPD esprime inoltre la sua preoccupazione in merito all’inserimento di immagini del volto: il regolamento non fa riferimento ad alcuna valutazione della necessità di raccogliere e utilizzare le immagini del volto delle categorie di persone interessate dalla proposta di rifusione Eurodac. Inoltre, il GEPD ritiene che la proposta debba chiarire i casi in cui espletare un confronto delle impronte digitali e/o delle immagini del volto, dal momento che la stesura della proposta di rifusione sembra implicare un confronto sistematico.

73.

Il GEPD raccomanda inoltre che sia resa disponibile una valutazione dettagliata per quanto concerne la situazione dei minori, l’equilibrio tra i rischi e i danni di tale procedura per i minori e i vantaggi che ne possono trarre, oltre alla relazione. Nel caso di specie, il regolamento dovrebbe definire ulteriormente (vale a dire in un considerando) il significato di rilevare le impronte digitali dei minori con modalità consone alla loro età.

74.

Per quanto riguarda il periodo di conservazione, che sarà in linea di massima di cinque anni, il GEPD raccomanda di fornire maggiori dettagli e spiegazioni sul motivo per cui in questo contesto, per conseguire le nuove finalità della banca dati Eurodac, si è rivelato necessario prevedere un periodo di conservazione dei dati della durata di cinque anni. Inoltre, il GEPD raccomanda di ridurre il periodo di conservazione alla durata effettiva del divieto di ingresso nei confronti di una persona specifica. Infine, il GEPD raccomanda di specificare nella proposta che la data di decorrenza del periodo di conservazione sarà la data del primo rilevamento dell’impronta digitale trattato da uno Stato membro.

75.

Infine, il GEPD raccomanda di bloccare tutti i dati a fini di contrasto dopo tre anni e di cessare di trattare in maniera diversa sotto questo aspetto le differenti categorie di persone non appartenenti all’UE.

76.

Oltre alle suindicate lacune principali, le raccomandazioni del GEPD nel presente parere riguardano gli aspetti riportati in appresso.

—

Per quanto concerne la proposta di rifusione Eurodac,

—	il GEPD raccomanda che, nel testo della proposta, sia chiarito che la responsabilità finale del trattamento dei dati personali è degli Stati membri, i quali sono considerati i titolari responsabili del trattamento ai sensi della direttiva 95/46/CE.

—	L’articolo 37 dovrebbe essere riformulato per chiarire in quale caso sia consentito o vietato un trasferimento internazionale, in particolare per quanto riguarda il trasferimento al paese d’origine del richiedente.

—	L’articolo 38, paragrafo 1, dovrebbe specificare che sono trasferibili dagli Stati membri solo i dati strettamente necessari a fini di rimpatrio.

—	Il rilevamento coatto delle impronte digitali delle persone non dovrebbe essere consentito. Nel regolamento Eurodac occorre specificare tale aspetto.

—	Nella fattispecie, il GEPD raccomanda di chiarire che la detenzione non sia considerata una sanzione per il mancato adempimento dell’obbligo di fornire le impronte digitali.

—

L’utilizzo di dati reali da parte di eu-LISA a fini sperimentali solleva un problema serio e non dovrebbe essere consentito dal regolamento Eurodac. Il legislatore dovrebbe considerare e valutare quale alternativa l’uso di dati non reali, tenendo in considerazione il rischio per la vita privata delle persone interessate. In ogni caso, il testo non dovrebbe prevedere la possibilità di rendere anonimi i dati biometrici, dal momento che faranno sempre riferimento ad una persona e saranno, pertanto, considerati dati personali.

—	Per quanto riguarda il trattamento delle informazioni da parte di eu-LISA, il GEPD raccomanda di indicare che siano poste in essere adeguate garanzie per l’accesso ai dati da parte di contraenti esterni.

—

Infine, il GEPD accoglie con favore l’impegno teso ad assicurare che l’accesso da parte delle autorità di contrasto sia valutato da un organo indipendente. Tuttavia, le autorità designate e di verifica non dovrebbero appartenere alla stessa organizzazione, al fine di preservare l’indipendenza dell’autorità di verifica.

—

Per quanto attiene alla proposta che istituisce un’Agenzia dell’Unione europea per l’asilo,

—	Il GEPD raccomanda di specificare che agli esperti dell’agenzia sia consentito di accedere alle banche dati in conformità degli atti giuridici che disciplinano tali banche dati e delle norme sulla protezione dei dati.

—	Il GEPD raccomanda inoltre di chiarire cosa si intende per scopi amministrativi di cui all’articolo 30, paragrafo 3, dal momento che qualsiasi scopo perseguito da un’amministrazione potrebbe rientrare in questo termine.

—

Il GEPD raccomanda di precisare le responsabilità di garantire la sicurezza delle attrezzature utilizzate dall’agenzia, che dovrebbero essere definite in tutte le fasi del ciclo di vita delle attrezzature, vale a dire dalla loro acquisizione, conservazione e al loro utilizzo, fino al loro smaltimento.

Bruxelles, 21 settembre 2016

Giovanni BUTTARELLI

Garante europeo della protezione dei dati

(1) COM(2016) 197 final.

(2) COM(2016) 270 final.

(3) COM(2016) 271 final.

(4) COM(2016) 272 final.