6.8.2008   

RO

Jurnalul Oficial al Uniunii Europene

C 200/1

1.

La 18 octombrie 2007, Comisia Europeană a înaintat Parlamentului European și Consiliului o propunere de regulament (denumită în continuare „propunerea”) care vizează modificarea Regulamentului (CE) nr. 2252/2004 (1). Autoritatea Europeană pentru Protecția Datelor (AEPD) nu a fost consultată cu privire la această propunere, deși, în temeiul articolului 28 alineatul (2) din Regulamentul (CE) nr. 45/2001, Comisia consultă AEPD, în cazul în care adoptă o propunere legislativă referitoare la protecția drepturilor și libertăților persoanelor în ceea ce privește prelucrarea datelor cu caracter personal.

2.

AEPD regretă nerespectarea de către Comisie a obligației sale juridice de a o consulta și se așteaptă să fie consultată pe viitor cu privire la toate propunerile care intră în domeniul de aplicare a articolului 28 alineatul (2). AEPD a hotărât să adopte un aviz din proprie inițiativă. Având în vedere caracterul obligatoriu al articolului 28 alineatul (2), prezentul aviz ar trebui menționat în preambulul textului.

3.

Contextul propunerii este următorul. La 13 decembrie 2004, Consiliul a adoptat Regulamentul (CE) nr. 2252/2004 privind standardele pentru elementele de securitate și elementele biometrice integrate în pașapoarte și în documente de călătorie emise de statele membre pentru a introduce date biometrice în pașapoarte. Alături de elementele de securitate, datele biometrice vizează să consolideze corelația dintre pașaport și titularul acestui document. La 28 februarie 2005, Comisia a adoptat prima parte a specificațiilor tehnice (2) privind stocarea fotografiei faciale pe un cip fără contact. La 28 iunie 2006, Comisia a adoptat o a doua decizie (3) privind stocarea suplimentară a două amprente pe cipul integrat în pașaport.

4.

În vederea armonizării excepțiilor privind pașaportul biometric, în propunere au fost adăugate următoarele măsuri: copiii sub vârsta de șase ani sunt exceptați de la obligația de furnizare a amprentelor, iar persoanele pentru care prelevarea amprentelor digitale este fizic imposibilă ar trebuie exceptate, de asemenea, de la această obligație.

5.

În plus, propunerea introduce obligația „un pașaport — o persoană”, care este descrisă ca o măsură de securitate suplimentară și de protecție suplimentară pentru copii.

6.

AEPD salută luarea în considerație de către Comisie a chestiunii privind procedurile alternative, afirmată în avizele sale precedente, astfel cum figura în expunerea de motive a propunerii.

7.

AEPD regretă faptul că nu a fost efectuat un studiu de impact de către Comisie cu privire la această propunere. Prin urmare, nu este clar în ce mod Comisia a fost în măsură să evalueze în mod corect necesitatea și proporționalitatea propunerii cu privire la chestiunile privind protecția datelor fără ajutorul unui studiu de impact riguros. O astfel de analiză nu ar trebui să se limiteze la costurile declanșate de noile măsuri și ar putea utiliza experiența privind unele chestiuni similare ridicate deja în contextul altor propuneri precum aceea privind revizuirea Instrucțiunilor Consulare Comune (4). Lipsa unui studiu de impact subliniază de asemenea necesitatea de a revizuire a limitei de vârstă indicată în propunere, astfel cum este explicat în partea 2.1 a prezentului aviz.

8.

AEPD a recunoscut în mai multe ocazii avantajele pe care le prezintă utilizarea datelor biometrice, dar a subliniat, de asemenea, că aceste avantaje ar depinde de aplicarea unor măsuri de securitate stricte. În avizul său referitor la SIS II (5), AEPD a propus o listă neexhaustivă a obligațiilor comune sau a cerințelor care trebuie să fie respectate atunci când datele biometrice sunt utilizate într-un sistem. Aceste elemente vor contribui la evitarea plătirii de către titularul pașaportului a imperfecțiunilor sistemului, precum impactul identificării greșite sau a incapacității de a înregistra datele.

9.

Prin urmare, AEPD sprijină ferm propunerea Comisiei de a introduce exceptări de la prelevarea amprentelor digitale bazate pe vârsta persoanei sau pe incapacitatea sa fizică de a furniza amprentele digitale. Aceste exceptări se înscriu în procedurile alternative care ar trebui puse în aplicare. AEPD salută de asemenea efortul Comisiei de a adopta o abordare coerentă în cadrul diverselor instrumente care abordează chestiuni similare; o propunere privind exceptările a fost de asemenea introdusă în propunerea privind revizuirea Instrucțiunilor consulare comune.

10.

Cu toate acestea, AEPD consideră în continuare aceste exceptări drept nesatisfăcătoare, întrucât ele nu abordează toate eventualele chestiuni relevante declanșate de imperfecțiunile inerente ale sistemelor biometrice, și mai ales acelea referitoare la copii și la persoanele în vârstă.

11.

În expunerea de motive a propunerii, Comisia face trimitere la proiectele pilot ale unor state membre în cadrul cărora s-a subliniat că amprentele digitale ale „copiilor sub vârsta de șase ani păreau a avea o calitate insuficientă pentru verificarea identității pe baza unei comparații între două seturi de amprente”. Cu toate acestea, cu privire la aceste proiecte pilot și la circumstanțele în care au fost efectuate, există puține informații sau nu există deloc; până în prezent sintagma „calitate suficientă” nu a fost explicată sau definită.

12.

AEPD consideră că, în cazul copiilor, limita vârstă pentru furnizarea amprentelor digitale ar trebui definită printr-un studiu documentat și aprofundat care să identifice în mod corect acuratețea sistemelor obținute în condiții reale și care să reflecte diversitatea datelor prelucrate. Proiectele pilot ca atare nu furnizează informații suficiente cu privire la alegerile fundamentale pe care se poate baza legislatorul comunitar.

13.

În avizul său (6) privind propunerea de regulament de modificare a Instrucțiunilor consulare comune, AEPD a subliniat deja necesitatea întocmirii unui astfel de studiu înainte de a se stabili orice limită de vârstă. Nici literatura științifică disponibilă și nici studiul de impact anterior, condus de către Comisie în cadrul propunerii privind Sistemul de Informații privind Vizele (7), nu au prezentat dovezi concludente cu privire la o limită de vârstă bine întemeiată în cazul copiilor.

14.

Prin urmare, AEPD recomandă ca limita de vârstă indicată în propunere să fie considerată provizorie. După o perioadă de trei ani, limita de vârstă ar trebui revizuită și susținută de un studiu la scară largă și aprofundat. Având în vedere caracterul sensibil al datelor biometrice, precum și dimensiunea concurențială a sistemelor biometrice, AEPD sugerează ca acest studiu să beneficieze de gestionarea unei singure instituții europene care dispune de expertiză clară și de facilități de testare în acest domeniu (8). Toți factorii interesați, de la aceia din domeniul industriei până la autoritățile statelor membre, ar trebui invitați să contribuie la acest studiu.

15.

Înaintea stabilirii clare a limitei de vârstă în cadrul acestui studiu și pentru a se evita o punere în aplicare deficitară, AEPD recomandă ca limita aplicată să corespundă cu acelea adoptate deja în privința a unor populații mari în Regulamentul privind sistemul Eurodac (9) referitor la solicitanții de azil (limita de vârstă pentru colectarea amprentelor în cazul copiilor este de 14 ani) sau programul privind vizitele al Statelor Unite, „US Visit programme” (10), (limita de vârstă fiind, de asemenea, de 14 ani). Aceste limite ar putea fi chiar puțin mai mici, deoarece utilizarea datelor biometrice se limitează strict la un proces de verificare (comparare pe baza unui raport de unu la unu) în conformitate cu articolul 4 alineatul (3) din Regulamentul (CE) nr. 2252/2004. Într-adevăr, în cadrul unui astfel de proces survine un număr mai mic de erori, în comparație cu procesul de identificare (comparare pe baza unui raport de 1 la n) care prezintă un grad de eroare mai ridicat.

16.

Imperfecțiunile sistemelor privind amprentele digitale nu privesc numai copiii mai mici, dar și persoanele în vârstă. Într-adevăr, s-a demonstrat că acuratețea și operabilitatea amprentelor digitale scad o dată cu îmbătrânirea persoanelor (11) și că aspectele privind facilitarea și ergonomia sunt, de asemenea, relevante. Urmând același raționament ca și în cazul limitei de vârstă în cazul copiilor, AEPD recomandă introducerea unei limite de vârstă, ca o exceptare suplimentară, în cazul persoanelor în vârstă, care se poate baza pe experiențe similare deja existente (În cadrul Programului „US Visit”, limita de vârstă este de 79 de ani). Calitatea amprentelor digitale ale persoanelor în vârstă în cadrul proceselor de înregistrare și de corelare va trebui, de asemenea, inclusă în studiul menționat anterior.

17.

În sfârșit, AEPD reamintește că aceste exceptări nu ar trebui să stigmatizeze sau să discrimineze în niciun fel acele persoane care vor fi exceptate din motive de vârstă ca principiu al precauției sau deoarece prezintă amprente digitale care sunt în mod evident ilizibile.

18.

Astfel cum este explicat pe site-ul web al Organizației Aviației Civile Internaționale (ICAO), recomandarea privind conceptul „un pașaport — o persoană” (12) a fost formulată în special ca o soluție posibilă la rezolvarea lipsei de standardizare care există cu privire la pașapoartele familiale și la apariția pașapoartelor citite automat. AEPD recunoaște că acest concept ar putea, ca un avantaj suplimentar, să contribuie la lupta împotriva traficului de copii. Cu toate acestea, obiectivul principal al unui pașaport este acela de a facilita călătoritul în cazul cetățenilor europeni și nu acela de a lupta împotriva răpirilor de copii în privința cărora sunt elaborate măsuri concrete și eficiente, suplimentare.

19.

Conform unui studiu recent (13), marea parte a riscurilor privind traficul sau răpirile de copii vizează minorii care călătoresc neînsoțiți. Este evident că, în ceea ce privește această categorie, deținerea unui document de călătorie personal reprezintă o protecție suplimentară. Cu toate acestea, trebuie subliniat faptul că Asociația de Transport Aerian Internațional (IATA) consideră că nu li se permite copiilor sub vârsta de șase ani să călătorească fără persoana care deține autoritatea parentală.

20.

În expunerea de motive a propunerii, Comisia ilustrează necesitatea acestei măsuri de securitate prin exemplul unui părinte și al unor copii înregistrați în același pașaport; datele biometrice ale părintelui sunt stocate pe cipul integrat în pașaport, dar acelea ale copiilor nu. Trebuie subliniat că, în cazul copiilor aflați sub limita de vârstă propusă de către Comisie, datele biometrice ale acestora nu vor fi în niciun caz stocate în pașaport. În acest caz, sarcina costurilor și a procedurilor suplimentare care le revine părinților, precum și colectarea suplimentară a datelor cu caracter personal referitoare la copii par excesive luându-se în considerare valoarea adăugată posibilă pe care o oferă acest principiu.

21.

De asemenea, trebuie subliniat faptul că facilitarea din punct de vedere tehnic a accesului la date sau a înregistrării datelor (prin furnizarea unui pașaport biometric copiilor care sunt exceptați), devine, în multe cazuri, un factor puternic pentru accesarea sau colectarea de facto de astfel de date. Este ușor de presupus că mijloace tehnice vor fi utilizate, odată ce vor fi disponibile; cu alte cuvinte, câteodată, mijloacele justifică scopul și nu invers. Acest lucru poate duce la cereri ulterioare privind cerințe legale mai puțin stricte (și o limită de vârstă mai mică) pentru a facilita utilizarea acestor disponibilități tehnice. Astfel, modificările juridice nu ar putea decât să confirme practicile deja existente.

22.

AEPD recomandă ca principiul „un pașaport — o persoană” să fie aplicat numai copiilor care au atins limita de vârstă propusă de către Comisie sau acea limită care va fi revizuită și confirmată de studiul menționat anterior.

23.

Eliberarea pașapoartelor în statele membre ale UE este efectuată în conformitate cu legislația națională a respectivelor state membre. Conform legislației naționale, este obligatorie prezentarea de diverse documente, precum certificatul de naștere, certificatul de cetățenie, livretul de familie, autorizația parentală, carnetul de șofer, facturile pentru utilități, etc. Aceste documente sunt în general numite documente „subsidiare” („breeder”), deoarece pașapoartele derivă din ele.

24.

Există diferențe mari între legislațiile statelor membre în această privință. Modul în care documentele „subsidiare” sunt realizate în statele membre, precum și documentele necesare pentru eliberarea unui pașaport demonstrează o mare diversitate a situațiilor și a procedurilor, care riscă să diminueze calitatea datelor înscrise în pașaport și chiar să sporească riscul de furt de identitate.

25.

În general, dispunând de un număr mai redus de caracteristici de securitate, documentele „subsidiare” prezintă un risc mai ridicat de a face obiectul falsificării și a contrafacerii, spre deosebire de un pașaport ameliorat care utilizează datele biometrice protejate de sistemele PKI.

26.

Deși AEPD salută obiectivul Comisiei de a spori măsurile de securitate privind pașapoartele, aceasta ar dori să sublinieze că pașaportul reprezintă numai o verigă din lanțul de securitate care începe cu aceste documente „subsidiare” și care se încheie cu punctele de trecere a frontierei; și că acest lanț va fi la fel de sigur ca și veriga sa cea mai slabă. Prin urmare, AEPD recomandă Comisiei să propună măsuri suplimentare pentru a armoniza modul în care documentele „subsidiare” sunt realizate și care dintre acestea sunt necesare pentru eliberarea unui pașaport.

27.

Conform unui sondaj (14) detaliat efectuat de către Grupul de lucru „articolul 29” pentru protecția datelor la solicitarea Comisiei pentru libertăți civile, justiție și afaceri interne a Parlamentului European și consacrat practicilor de punere în aplicare în ceea ce privește Regulamentul (CE) nr. 2252/2004, mai multe state membre au anticipat punerea în aplicare a unei baze centrale de date pentru stocarea datelor biometrice ale pașapoartelor. Deși este posibil pentru statele membre să pună în aplicare numai o procedură de verificare a datelor biometrice cu ajutorul unei baze de date centralizate, astfel cum este strict limitat în cadrul regulamentului, această opțiune prezintă riscuri suplimentare cu privire la protecția datelor cu caracter personal, precum crearea unor scopuri neprevăzute în regulament, sau chiar căutări în baza de date care vor fi greu de atenuat (15).

28.

AEPD recomandă Comisiei să propună măsuri suplimentare de armonizare în vederea punerii în aplicare numai a utilizării stocării descentralizate (în cipul fără fir integrat în pașaport) în privința datelor biometrice colectate pentru pașapoartele statelor membre ale UE.

29.

Decizia Comisiei (16) din 28 iunie 2006, C(2006) 2909, a stabilit numai formatul și calitatea imaginilor amprentelor digitale care ar trebui prelucrate, precum și modul în care acestea trebuie să fie protejate (control extins al accesului). Nu există nicio indicație în propunere nici cu privire la posibila rată de imposibilitate de înregistrare (Failure to Enrol Rate) (FER), nici cu privire la procesul de corelare. Propunerea a prevăzut într-adevăr proceduri alternative în cazul copiilor mai mici (limita de vârstă), dar rata care indică când amprentele digitale nu sunt satisfăcătoare pentru a fi înregistrate nu a fost stabilită.

30.

În ceea ce privește procesul de corelare, propunerea nu definește de asemenea ce rată de respingere falsă (False Rejection Rate) (FRR) trebuie să se aplice la frontieră și cum să se procedeze cu persoanele care au fost aparent respinse în mod eronat. Această lipsă de rate uniforme ar putea avea drept consecință procese diferite ale datelor biometrice ale cetățenilor UE în funcție de frontiera aleasă de o persoană pentru a intra în spațiul Schengen și ar putea duce la o lipsă de tratament egal a cetățenilor UE în ceea ce privește riscul rezidual al sistemelor biometrice. Deoarece procesul este unul de verificare de la unu la unu, AEPD recunoaște că FRR vor fi mai mici decât acelea aplicate în cadrul procesului de identificare și că, prin urmare, vor fi mai puține cazuri de abordat. Cu toate acestea, procedurile alternative trebuie, de asemenea, să fie stabilite într-un mod armonizat și satisfăcător pentru respectivele persoane.

31.

AEPD recomandă Comisiei să propună, împreună cu statele membre, rate comune pentru procesele de înregistrare și de corelare, completate de proceduri alternative.

32.

Modificările propuse în privința normelor actuale privind standardele pentru elementele de securitate și elementele biometrice integrate în pașapoarte și în documente de călătorie emise de statele membre ridică chestiuni similare celor ridicate în cadrul avizelor precedente, deși AEPD salută luarea în considerare în prezent a procedurilor alternative.

33.

AEPD salută, de asemenea, introducerea exceptărilor pe criterii de vârstă sau de incapacitatea fizică a unei persoane de a furniza amprentele sale digitale, precum și efortul în vederea adoptării unei abordări coerente în cadrul diverselor instrumente care abordează chestiuni similare.

34.

Cu toate acestea, AEPD consideră aceste exceptări nesatisfăcătoare, deoarece nu abordează toate chestiunile posibile și relevante declanșate de imperfecțiunile inerente ale sistemelor biometrice, în special pe cele referitoare la copii și la persoanele în vârstă.

35.

Limita de vârstă pentru copii ar trebui stabilită printr-un studiu solid și aprofundat care să identifice în mod corect acuratețea sistemelor obținute în condiții reale și să reflecte diversitatea datelor prelucrate. Acest studiu ar trebui efectuat de către o instituție europeană care dispune de o expertiză clară și de facilități adecvate în acest domeniu.

36.

Înainte ca limita de vârstă să fie stabilită prin acest studiu și pentru a se evita o punere în aplicare deficitară, limita de vârstă provizorie ar trebui să corespundă acelora deja adoptate în cazul unor populații mai mari, fie în cadrul sistemului Eurodac sau al programului „US Visit” (vârsta de 14 ani), sau să fie puțin mai mică deoarece contextul este acela al unui proces de verificare.

37.

O limită de vârstă pentru persoanele în vârstă, care se poate baza pe experiențe similare (programul „US Visit”: vârsta de 79 ani) ar trebui introdusă ca o exceptare suplimentară.Astfel de exceptări nu ar trebui în nici un caz să stigmatizeze sau să discrimineze persoanele în cauză.

38.

Principiul „un pașaport-o persoană” ar trebui aplicat numai copiilor a căror vârstă este superioară limitei de vârstă pertinente.

39.

Având în vedere diversitatea actuală dintre legislațiile naționale în privința documentelor necesare pentru eliberarea pașapoartelor, Comisia ar trebui să propună măsuri suplimentare pentru a armoniza realizarea și utilizarea a astfel de documente „subsidiare”.

40.

Comisia ar trebui, de asemenea, să propună măsuri pentru o armonizare sporită, pentru a se pune în aplicare numai stocarea descentralizată a datelor biometrice pentru pașapoartele statelor membre.

41.

În cele din urmă, Comisia ar trebui să propună, împreună cu statele membre, rate comune pentru procesele de înregistrare și de corelare, completate de proceduri alternative.