30.1.2013

Gazzetta ufficiale dell'Unione europea

C 28/3

Sintesi del parere del Garante europeo della protezione dei dati sulla proposta modificata di regolamento del Parlamento europeo e del Consiglio che istituisce «EURODAC» per il confronto delle impronte digitali per l’efficace applicazione del regolamento (UE) n. […/…] (rifusione)

(Il testo completo del presente parere è reperibile in EN, FR e DE sul sito web del GEPD http://www.edps.europa.eu)

2013/C 28/03

1. Introduzione

1.1. Consultazione del GEPD

Il 30 maggio 2012 la Commissione ha adottato una proposta concernente il rimaneggiamento di un regolamento del Parlamento europeo e del Consiglio che istituisce l’«EURODAC» per il confronto delle impronte digitali per l’efficace applicazione del regolamento (UE) n. […/…] (che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide) e per le richieste di confronto con i dati EURODAC presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto e recante modifica del regolamento (UE) n. 1077/2011 che istituisce un’agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (in appresso: «la proposta») (1).

2.	La proposta è stata inviata dalla Commissione al GEPD per consultazione il 5 giugno 2012, ai sensi dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001. Il GEPD raccomanda di fare riferimento alla presente consultazione nel preambolo della proposta.

Il GEPD si rammarica del fatto che i servizi della Commissione non abbiano chiesto a esso di fornire alla Commissione osservazioni informali prima dell’adozione della proposta, secondo la procedura concordata in relazione ai documenti della Commissione in materia di trattamento dei dati personali (2).

La proposta è stata presentata ai ministri degli Interni presso il Consiglio «Giustizia e affari interni» del 7-8 giugno 2012 ed è attualmente in discussione in seno al Consiglio e al Parlamento europeo, al fine di adottare un regolamento secondo la procedura legislativa ordinaria entro la fine del 2012. Il presente parere del GEPD intende fornire un contributo a tale procedura.

7. Conclusioni

87.

Il GEPD rileva che negli ultimi anni la necessità di accedere ai dati EURODAC a fini di contrasto è stata ampiamente discussa in seno alla Commissione, al Consiglio e al Parlamento europeo. Comprende inoltre che la disponibilità di una base dati con le impronte digitali possa costituire un ulteriore strumento utile nella lotta alla criminalità. Il GEPD rammenta tuttavia anche che l’accesso al sistema EURODAC ha un grave impatto sulla protezione dei dati personali di coloro i cui dati sono memorizzati nel sistema in questione. Per essere valida, la necessità di tale accesso deve poggiare su elementi chiari e inconfutabili e la proporzionalità del trattamento deve essere dimostrata, a maggior ragione in caso d’ingerenza nei diritti d’individui che appartengono a un gruppo vulnerabile bisognoso di protezione, come previsto nella proposta.

88.

Secondo il GEPD, le prove fornite fino ad oggi — anche tenendo conto del contesto specifico di cui sopra — non sono sufficienti e aggiornate per dimostrare la necessità e la proporzionalità dell’accesso a EURODAC a fini di contrasto. Esistono già alcuni strumenti giuridici che permettono a uno Stato membro di consultare i dati dattiloscopici e ulteriori dati a fini di contrasto conservati da un altro Stato membro. È necessaria una giustificazione migliore quale presupposto per l’accesso a fini di contrasto.

89.	In questo contesto, il GEPD raccomanda alla Commissione di fornire una nuova valutazione d’impatto che prenda in considerazione tutte le opzioni politiche pertinenti, fornisca prove concrete e statistiche attendibili e comprenda una valutazione orientata ai diritti fondamentali.

90.	Il GEPD ha individuato varie altre problematiche, in particolare:

Normativa applicabile in materia di protezione dei dati

91.

Il GEPD sottolinea la necessità di chiarezza sulle modalità con cui le disposizioni della proposta, che specificano alcuni diritti e doveri in merito alla protezione dei dati, rimandano alla decisione quadro 2008/977/GAI del Consiglio, nonché alla decisione 2009/371/GAI del Consiglio (cfr. paragrafo 4).

Condizioni per l’accesso dei servizi di contrasto

Come affermato in precedenza, occorre in primo luogo dimostrare che l’accesso dei servizi di contrasto a EURODAC in quanto tale è necessario e proporzionato. Devono essere prese in considerazione le osservazioni che seguono.

92.

Il GEPD raccomanda di:

—	chiarire che il trasferimento di dati EURODAC a paesi terzi è vietato anche in caso di utilizzo dei dati EURODAC a fini di contrasto (cfr. punti 43-44);

—	aggiungere le finalità di contrasto alle informazioni comunicate alla persona interessata (cfr. punto 45);

—	garantire in modo inequivocabile che l’accesso ai dati EURODAC da parte delle autorità designate sia limitato alle attività di contrasto (cfr. punto 49);

—

sottoporre l’accesso ai dati EURODAC a fini di contrasto a una previa autorizzazione giudiziaria o, come minimo, assicurare che l’autorità di verifica eserciti le sue funzioni e i suoi compiti in piena autonomia, senza ricevere istruzioni in merito allo svolgimento delle attività di verifica (cfr. punti 50-51);

—

aggiungere il criterio relativo alla «necessità di evitare un pericolo imminente associato a reati di terrorismo o altri reati gravi» quale caso eccezionale che giustifica la consultazione dei dati EURODAC senza una verifica preventiva da parte dell’autorità competente e introdurre un limite di tempo per la concreta verifica ex post (cfr. punti 53-54);

—

per quanto riguarda le condizioni di accesso, aggiungere le seguenti condizioni: i) una consultazione preventiva del sistema d’informazione visti, ii) un «fondato sospetto che l’autore di un reato terroristico o altri reati gravi abbia chiesto asilo» e iii) il contributo «sostanziale» a fini di contrasto, specificando cosa si intende per «motivi ragionevoli» (cfr. punti 56-57);

—	descrivere in un considerando il tipo di situazioni che giustificano un accesso diretto da parte di Europol all’unità centrale EURODAC e prevedere che le rigorose condizioni di accesso applicabili alle autorità nazionali designate siano applicate anche a Europol (cfr. punti 58-59);

—	garantire che il confronto delle impronte digitali a fini di contrasto sia soggetto in ogni caso almeno alle stesse garanzie previste ai fini dell’applicazione del regolamento Dublino (cfr. punto 62);

—	specificare più chiaramente le norme in materia di conservazione o cancellazione dei dati (cfr. punto 64);

—	chiarire quali informazioni aggiuntive in caso di risposta positiva («hit») saranno comunicate a Europol, se del caso (cfr. punti 65-66);

—

specificare il fine o i fini precisi della richiesta da parte del consiglio di amministrazione dell’Agenzia di un confronto con i dati EURODAC delle autorità di contrasto dello Stato membro e l’anonimizzazione dei dati da parte delle autorità di contrasto prima della relativa trasmissione al consiglio di amministrazione, nonché ripristinare le norme in materia di segreto professionale (cfr. punti 67-68);

—	prevedere l’accesso dell’autorità di controllo di Europol e del GEPD ai registri conservati rispettivamente dall’Agenzia e da Europol, nonché prevedere l’obbligo di archiviare i registri anche per effettuare il regolare autocontrollo di EURODAC (cfr. punti 79 e 85);

—	fornire chiarimenti in merito al controllo delle attività di trattamento dei dati di Europol (cfr. punto 81).

Ulteriori disposizioni

93.

Il GEPD raccomanda di:

—	sostituire il sistema di continuità operativa con un piano di continuità operativa e fornire una base giuridica per attuare misure contenenti le modalità di tale piano (cfr. punto 72);

—	garantire che l’impossibilità temporanea o permanente di fornire impronte digitali utilizzabili non pregiudichi la situazione giuridica del singolo e in ogni caso non costituisca un motivo sufficiente per rifiutare di esaminare o respingere una domanda d’asilo (cfr. punto 73);

—	garantire la coerenza tra gli obblighi dell’Agenzia, degli Stati membri e di Europol di conservare i registri e la documentazione delle attività di trattamento dei dati (cfr. punto 77);

—	migliorare le disposizioni in materia di sicurezza dei dati (cfr. punto 82);

—	coinvolgere il GEPD nella presentazione della relazione annuale dell’Agenzia (cfr. punto 83);

—

aggiungere, nell’articolo 43, l’obbligo per gli Stati membri ed Europol di aggiornare costantemente le informazioni fornite alla Commissione e prevedere che la Commissione metta tali informazioni a disposizione degli Stati membri, di Europol e del pubblico «attraverso una pubblicazione elettronica costantemente aggiornata» (cfr. punto 86).

Fatto a Bruxelles, il 5 settembre 2012

Peter HUSTINX

Garante europeo della protezione dei dati

(1) COM(2012) 254 definitivo.

(2) Il GEPD è stato consultato informalmente dalla Commissione in merito a una modifica del regolamento EURODAC per l'ultima volta nel 2008.