Parere del Garante europeo della protezione dei dati sulla comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle regioni sulla migrazione

Parere del Garante europeo della protezione dei dati sullacomunicazione della Commissione al Parlamento europeo, al Consiglio, alComitato economico e sociale e al Comitato delle regioni sulla migrazione

(Pubblicato sulla GUUE n. C 34 del 8.2.2012)

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI,

visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16,

vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati, in particolare l'articolo 41 ⁽²⁾,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 4 maggio 2011 la Commissione haadottato una comunicazione sulla migrazione ⁽³⁾ (in appresso ´la comunicazioneª). Conformemente all'articolo 41del regolamento (CE) n. 45/2001, il GEPD presenta il presente parere di propriainiziativa.

2. Il GEPD non è stato consultatoprima dell'adozione della comunicazione. Ciò è deplorevole, in quanto leosservazioni espresse in una fase precedente avrebbero potuto contribuire adaffrontare alcune delle questioni delineate nel presente parere.

Obiettivi e ambito dellacomunicazione

3. La comunicazione mira a inserirele proposte politiche recenti e future in un quadro che tenga conto di tuttigli aspetti rilevanti della migrazione e a evitare ´un approccio a brevetermine, che si limiti al controllo frontaliero senza tener conto di questionia più lungo termineª ⁽⁴⁾. Il documento rispondeprincipalmente agli avvenimenti in corso in Nord Africa, in particolare ilconflitto in Libia.

4. A tal fine, la comunicazioneesamina gli aiuti umanitari, la gestione delle frontiere, i visti, l'asilo, lanecessità economica di immigrazione e l'integrazione. Fa riferimento a unaserie di proposte legislative, alcune delle quali sono nuove, mentre altre sonogià state presentate. Molte di queste proposte riguardano la gestione dellefrontiere, che costituisce una parte importante della comunicazione. Alcune diesse comporterebbero il trattamento di dati personali su vasta scala.

5. La comunicazione è solo la primadi una serie di comunicazioni e di proposte che saranno pubblicate nel prossimofuturo, ciascuna riguardante aspetti specifici in essa menzionati. In questocontesto, le conclusioni del Consiglio europeo del 23 e 24 giugno 2011 ⁽⁵⁾ indicano quanto segue: ´Questi sforzi saranno inoltreintensificati grazie all'accelerazione dei lavori in materia di "frontiereintelligenti", al fine di garantire che per rispondere alle sfide dei controllidi frontiera ci si avvalga delle nuove tecnologie. In particolare, dovrebbeessere introdotto un sistema ingressi/uscite e un programma per viaggiatoriregistrati. Il Consiglio europeo si compiace dell'accordo raggiuntosull'agenzia per la gestione operativa dei sistemi di tecnologia dell'informazionesu larga scala nello spazio di libertà, sicurezza e giustiziaª.

Scopo del parere del GEPD

6. Seppure le questioni relative allaprotezione dei dati non siano al centro della comunicazione, questa menzionacomunque diverse iniziative e proposte nel settore della gestione dellefrontiere, come il sistema di ingresso-uscita e il programma per viaggiatoriregistrati, destinate ad avere un impatto significativo sul dirittofondamentale alla protezione dei dati. In questo contesto, la comunicazionesottolinea che il controllo delle frontiere fornisce un importante contributoalla lotta contro la criminalità e fa riferimento alla strategia di sicurezzainterna presentata dalla Commissione nel 2010 ⁽⁶⁾.

7. Molte delle proposte e delleiniziative citate saranno elaborate in modo più particolareggiato in futuro; suqueste iniziative la comunicazione offre quindi la possibilità di esprimersi inuna fase precoce. Per le iniziative che invece sono già state presentate, comead esempio la proposta di regolamento che modifica il regolamento Frontex ⁽⁷⁾, essa offre un'occasione per ribadire alcune delle osservazionipiù essenziali espresse in precedenti occasioni, in attesa dell'adozione finaleda parte del Consiglio e del Parlamento europeo.

8. Lo scopo del presente parere non èquello di analizzare tutti gli ambiti delle politiche e tutte le propostemenzionate nella comunicazione, ma piuttosto:

— esaminare vari principi enozioni connessi alla protezione dei dati, come la limitazione delle finalità,la necessità, la proporzionalità e la ´privacy by designª, di cui si dovrebbetenere conto nel mettere in pratica l'approccio delineato nella comunicazione,

— discutere le misurespecifiche proposte nella comunicazione dal punto di vista della protezione deidati e fornire già in questa fase consigli su come garantire il rispetto deidiritti fondamentali, in particolare il diritto alla protezione dei datipersonali.

9. A tal fine, il parere è diviso indue parti principali. La prima parte contiene osservazioni sull'approcciogenerale adottato nella comunicazione e considerazioni trasversali suquest'ultima, come la necessità di valutazione e le implicazioni dei dirittifondamentali per la progettazione di sistemi informatici. La seconda partecontiene osservazioni mirate su specifiche proposte e iniziative ⁽⁸⁾.

II. OSSERVAZIONIGENERALI

L'approccio della comunicazione

10. Il GEPD accoglie favorevolmentel'obiettivo della comunicazione di evitare ´un approccio a breve termine, chesi limiti al controllo frontaliero senza tener conto di questioni a più lungotermineª ⁽⁹⁾. Un approccio globale edefficace alla migrazione non può consistere solo nel controllo delle frontiere,ma deve anche integrare altri aspetti.

11. Tale approccio globale deverispettare i diritti fondamentali dei migranti e dei rifugiati, compreso illoro diritto alla protezione dei dati. Ciò è tanto più importante in quantoquesti gruppi si trovano spesso in posizioni vulnerabili.

12. In questo contesto, lacomunicazione afferma che il duplice obiettivo dell'Unione deve essere quellodi mantenere un livello elevato di sicurezza e semplificare nel contempol'attraversamento delle frontiere da parte di ´coloro che dovrebbero essereammessi, nel pieno rispetto dei loro diritti fondamentaliª ⁽¹⁰⁾. Questa formulazione potrebbe dare l'impressione che non sianecessario rispettare i diritti fondamentali delle persone che — per varimotivi — non dovrebbero essere ammesse. Secondo il GEPD, è ovvio che idiritti di queste ultime non includono necessariamente il diritto di stabilirsinel territorio dell'Unione europea, nel qual caso dovrebbero essere preseadeguate contromisure, quali operazioni di rimpatrio, comunque sempre nelrispetto dei diritti fondamentali.

13. Si osserva che in termini digestione delle frontiere, la comunicazione raccomanda un approccio fortementebasato sull'uso della tecnologia. Tra l'altro, è favorevole a una maggioresorveglianza alle frontiere (v. il previsto sistema europeo di sorveglianzadelle frontiere Eurosur) ⁽¹¹⁾. Essa prevede altresì che saràvalutata la possibilità di istituire nuovi sistemi informatici di ampia portataper il trattamento dei dati sui viaggiatori (sistema di ingresso-uscita eprogramma per viaggiatori registrati) ⁽¹²⁾. Infine, sostiene l'espansione dei sistemi esistenti a nuoviutenti (cioè per Eurodac) ⁽¹³⁾. Questa attenzione rivoltaalla tecnologia riflette una tendenza generale registrata negli ultimi anni.

Valutazione degli strumenti esistenti prima di proporne di nuovie verifica della necessità

14. Il GEPD ha più volte sottolineatoche occorre valutare gli strumenti esistenti prima di proporne altri nuovi ⁽¹⁴⁾. In questo contesto, richiamando la giurisprudenza della Corteeuropea dei diritti dell'uomo ⁽¹⁵⁾ e della Corte di giustiziadell'Unione europea ⁽¹⁶⁾, il GEPD sottolinea che leingerenze nell'esercizio del diritto alla vita privata devono soddisfare lacaratteristica di essere ´necessarie in una società democraticaª e rispettareil principio di proporzionalità. La nozione di necessità implica un onere dellaprova più rigoroso rispetto alla semplice ´utilitàª ⁽¹⁷⁾. Ciò implica che qualsiasi proposta in materia deve essere accompagnatada una chiara dimostrazione della sua necessità e proporzionalità.

15. Tale dimostrazione deve esserefornita mediante una valutazione d'impatto sulla privacy ⁽¹⁸⁾ basata su prove sufficienti ⁽¹⁹⁾. Un uso selettivo di dati statistici e stime non è sufficiente.Il GEPD è consapevole della difficoltà che comporta la raccolta di datiattendibili su fenomeni quali l'immigrazione irregolare, ma queste valutazionid'impatto dovrebbero anche prendere in considerazione soluzioni alternative aiproblemi incontrati al fine di ridurre al minimo l'impatto sui dirittifondamentali ⁽²⁰⁾. Il semplice fatto che lesoluzioni tecnologiche sono possibili non significa che siano necessarie eproporzionate.

16. Se a seguito di una valutazionerisulta che sono necessari nuovi sistemi informatici di ampia portata, questidovrebbero essere progettati tenendo conto del concetto di ´privacy by designª.I controllori dovrebbero essere in grado di dimostrare che sono state adottateadeguate misure per garantire che nella progettazione dei loro sistemi sonostati rispettati i requisiti di riservatezza. Ciò potrebbe limitare l'impattonegativo di nuove misure in materia di privacy (o migliorarne l'impatto positivo).Questo approccio è stato approvato dalla Commissione ⁽²¹⁾. Applicare il concetto di ´privacy by designª nel contesto disistemi come il sistema di entrata-uscita menzionato nella comunicazione sitradurrebbe nel limitare al minimo necessario la raccolta di dati personali e iperiodi di conservazione e nel rendere il trattamento dei dati rispettoso dellaprivacy e trasparente per gli interessati.

17. Inoltre, deve essere rispettatoanche il principio della limitazione delle finalità. Devono essere impeditiutilizzi deviati (´function creepª). Per esempio, la comunicazione prevede lareintroduzione dell'iniziativa volta ad autorizzare l'accesso a Eurodac a finidi contrasto ⁽²²⁾, cosa che sembra confermare latendenza a concedere alle autorità di contrasto l'accesso ai sistemi su largascala dell'Unione europea e solleva la questione dell'estensione dello scopooriginario del sistema. La concessione dell'accesso alle banche dati ad altreautorità è una questione che potrebbe avere un serio impatto: una banca daticonsiderata proporzionata quando usata per uno scopo specifico può diventaresproporzionata quando l'utilizzo è esteso successivamente ad altri scopi ⁽²³⁾.

18. Di conseguenza, il GEPD chiedeche qualsiasi proposta (attuale e futura) che comporti restrizioni al dirittofondamentale alla protezione dei dati sia accompagnata da una chiara provadella sua necessità ⁽²⁴⁾. Inoltre, qualora ritenutinecessari, i sistemi informatici di ampia portata dovrebbero essere progettatitenendo conto del principio di ´privacy by designª. Le misure attuatedovrebbero altresì essere sottoposte a regolari valutazioni per stabilire sesiano ancora necessarie.

III. OSSERVAZIONISPECIFICHE

Eurodac

19. La comunicazione fa riferimentoall'accesso a Eurodac a fini di contrasto, affermando che tale banca dati devecontinuare a sostenere l'efficienza del regolamento Dublino, ´rispondendo alcontempo ad altre esigenze delle autorità di contrastoª ⁽²⁵⁾.

20. La proposta del dicembre 2008 peruna riforma del regolamento Eurodac ⁽²⁶⁾ non conteneva disposizioni per l'accesso delle autorità di contrasto.Queste sono state incluse in una proposta presentata dalla Commissione nelsettembre 2009 ⁽²⁷⁾. Nell'ottobre 2010 laCommissione ha adottato una proposta modificata ⁽²⁸⁾, simile alla proposta originaria, che non includeva piùdisposizioni per l'accesso a fini di contrasto.

21. Nel suo parere del 15 dicembre 2010su Eurodac, il GEPD ha valutato positivamente l'esclusione dell'accesso a finidi contrasto ⁽²⁹⁾, ricordando che tale uso deidati per uno scopo diverso deve essere basato su prove convincenti di un legametra i richiedenti asilo e reati di terrorismo e/o altri reati gravi. Inoltre,si deve tener conto della precaria condizione dei richiedenti asilo in sede divalutazione della necessità e proporzionalità di tale accesso.

22. La riforma del regolamento Eurodacè parte della creazione di un sistema europeo di asilo, che secondo ilprogramma di Stoccolma dovrebbe essere attuato entro il 2012 ⁽³⁰⁾. Uno dei motivi addotti dalla Commissione per l'esclusionedell'accesso a fini di contrasto nella proposta dell'ottobre 2010 era che nonincludere questa controversa misura poteva facilitare una tempestiva adozionedel pacchetto asilo ⁽³¹⁾. Questo si collega ancheall'istituzione dell'Agenzia per la gestione operativa dei sistemi di tecnologiadell'informazione su larga scala del settore della libertà, della sicurezza edella giustizia ⁽³²⁾.

23. In questo contesto e alla lucedelle precedenti osservazioni, il GEPD ritiene che ad oggi non siano stateprodotte sufficienti prove chiare e affidabili della necessità di reintrodurrel'accesso a Eurodac a fini di contrasto. Tale reintroduzione potrebbe esserecontemplata solo dopo una nuova valutazione d'impatto, che tenga conto dellequestioni in materia di privacy. Inoltre, includere l'accesso per le autoritàdi contrasto richiederebbe modifiche significative alla banca dati Eurodac perrendere tale accesso sicuro. Si dovrebbero altresì esaminare le implicazionitecniche e finanziarie di tutto questo in una nuova valutazione d'impatto ⁽³³⁾.

24. Inoltre, la reintroduzione dellaproposta potrebbe avere un impatto significativo sui tempi del pacchetto asilonel suo complesso. La Commissione non menziona una data in cui potrebbe esserepresentata una possibile nuova proposta, né indica se una tale proposta sarebbeaccompagnata da una nuova valutazione d'impatto.

Sistema di ingresso-uscita

25. La comunicazione annuncia ancheuna comunicazione sulle frontiere intelligenti che sarà pubblicata nelsettembre 2011 e che dovrebbe elaborare iniziative per un sistema diingresso-uscita e un programma per i viaggiatori registrati. La Commissionericonosce che questi progetti richiederebbero ´considerevoli investimentiª alfine di ´garantire standard di alto livello per la protezione dei datipersonaliª ⁽³⁴⁾.

26. Per quanto riguarda il sistema diingresso-uscita, la Commissione giustifica questa iniziativa affermando che le´situazioni di soggiorno oltre la scadenza del vistoª sono ´le principali causedell'immigrazione irregolare nell'UEª ⁽³⁵⁾. A parte ciò, la comunicazione non spiega lo scopo di talesistema.

27. Ridurre il numero di ´soggiornantioltre la scadenza del vistoª può certamente avere effetti positivi. Il GEPDcomprende che un sistema di ingresso-uscita potrebbe scoraggiare i cittadini dipaesi terzi dal soggiornare oltre la scadenza del visto, sapendo che possonoessere identificati automaticamente alla scadenza del visto. Tuttavia, alcuniinterrogativi rimangono.

28. A oggi non esiste una politicacoerente relativa al fenomeno del soggiorno negli Stati membri oltre lascadenza del visto. Il concetto di ´soggiorno oltre la scadenza del vistoª ingenerale non è ben definito; giungere a una definizione comune del terminesarebbe un primo passo necessario verso una chiara comprensione del problema ⁽³⁶⁾.

29. Inoltre, le cifre disponibilifino ad ora sono stime ⁽³⁷⁾. Occorrerebbe chiarire ledimensioni del problema quale condizione preliminare per una valutazionemotivata sulla necessità.

30. Le segnalazioni ai sensi dell'articolo96 della convenzione di applicazione dell'accordo di Schengen costituiscono unamisura esistente per impedire a specifiche persone di entrare nel territorioSchengen. Tali segnalazioni possono essere utilizzate per impedire a´soggiornanti oltre la scadenza del vistoª noti di rientrare ⁽³⁸⁾. In una recente comunicazione, la Commissione ha invitato gliStati membri ad avvalersi di questa possibilità nella massima misura possibile ⁽³⁹⁾. Ciò implica che la misura non è attualmente utilizzata appieno.

31. Il sistema di ingresso-uscita siavvarrebbe probabilmente anche della biometria. Il GEPD, pur riconoscendo da unlato i possibili benefici dell'utilizzo della biometria, dall'altro è anchecostretto a sottolinearne le debolezze. Qualsiasi utilizzo di dati biometricideve essere accompagnato da garanzie rigorose e dovrebbe tenere conto delrischio di errore ⁽⁴⁰⁾. In questo contesto, il GEPDincoraggia l'introduzione di una serie di criteri minimi relativi all'uso deidati biometrici, come l'affidabilità della biometria, una valutazione d'impattomirata sulla biometria, la precisione e una procedura di ripiego ⁽⁴¹⁾. Inoltre, una certa parte della popolazione interessata non haimpronte digitali leggibili da un tale sistema ⁽⁴²⁾. Il sistema di ingresso-uscita, se dovrà includere i datibiometrici, dovrebbe prevedere procedure di ripiego per questi viaggiatori ⁽⁴³⁾.

32. Il GEPD vorrebbe inoltrerichiamare l'attenzione sulle esperienze relative al sistema US-VISIT (UnitedStates Visitor and Immigrant Status Indicator Technology), un sistema simileesistente negli Stati Uniti. Nel quadro di US-VISIT, la maggior parte deicittadini di paesi terzi è obbligata a fornire dati biometrici al momentodell'ingresso nel territorio degli Stati Uniti. La parte di questo sistemarelativa all'´uscitaª è ancora in corso di sviluppo. Nel 2009 sono statieffettuati due test pilota sulla raccolta di dati biometrici per questa partedel sistema ⁽⁴⁴⁾. Il Dipartimento dellaSicurezza interna degli Stati Uniti ha riconosciuto che i risultati di questitest sono stati ´sovrastimati a causa di limiti del sistema relativi a casi incui i dati ADIS (sistema di gestione automatica degli arrivi e delle partenze)non rispecchiavano lo status aggiornato dei viaggiatori a causa di recenticambiamenti o estensioni di statusª ⁽⁴⁵⁾. I test controllavano i passeggeri anche rispetto a varie listedi controllo; tuttavia, ´nessuno dei dati riscontrati [...] avrebbe impedito lapartenzaª ⁽⁴⁶⁾. In totale, il dipartimentodella Sicurezza interna ha speso circa 1,3 miliardi di USD per sviluppare la componentedi ingresso del sistema US-VISIT ⁽⁴⁷⁾. Ciò solleva la questione se il sistema di ingresso e uscitasia una soluzione economicamente efficiente per ridurre il ´soggiorno oltre lascadenza del vistoª.

33. In breve, non è sufficientementechiaro né lo scopo di un tale sistema, né il modo in cui sarebbe costruito eattuato. Per quanto riguarda la necessità di intervento, non esiste unadefinizione chiara del concetto centrale di ´soggiorno oltre la scadenza delvistoª; di conseguenza, non esistono statistiche affidabili sulla dimensionedel problema. Per quanto riguarda le azioni da intraprendere, gli strumentiesistenti per impedire ai ´soggiornanti oltre la scadenza del vistoª noti dirientrare non sono probabilmente utilizzati quanto dovrebbero; inoltre, la componentebiometrica del sistema di ingresso-uscita solleva interrogativi. Per quantoriguarda la fattibilità e i costi di tale sistema, le esperienze provenientidagli Stati Uniti indicano che l'attuazione di un sistema di ingresso-uscitacomporterà costi considerevoli. Questi punti suscitano dubbi in merito allanecessità e all'economicità di un sistema di ingresso-uscita.

Programma per viaggiatori registrati

34. La comunicazione cita anchel'introduzione di un programma per viaggiatori registrati. Non è del tuttochiaro quale sia il valore aggiunto di questo sistema, rispetto per esempioall'uso di visti per ingressi multipli con un lungo periodo di validità. I gruppidestinatari sarebbero gli stessi (i viaggiatori frequenti). Il fatto che vi siatuttora ´resistenzaª ⁽⁴⁸⁾ al rilascio di tali visti nonpuò di per sé giustificare la proposta di nuove misure, quando quelle attualmenteesistenti — se pienamente utilizzate — permetterebbero diraggiungere gli stessi obiettivi. Alla luce di quanto sopra, il GEPD non èpienamente convinto che il sistema sia realmente necessario.

35. Inoltre, la comunicazione fariferimento al concetto di viaggiatori in buona fede (pagina 11), per lo più inrelazione al programma per viaggiatori registrati. Implicitamente, questaespressione potrebbe essere interpretata nel senso che si crea una categoria diviaggiatori in mala fede. Sarebbero considerati in buona fede solo iviaggiatori che adottano misure supplementari, che si iscrivono al programma diviaggiatori registrati e forniscono ulteriori dati personali. L'assunto dipartenza non sarebbe più che i viaggiatori, in generale, fanno ingressonell'Unione in buona fede, salvo nel caso in cui prove specifiche causinosospetti, ma che spetterebbe ai viaggiatori scagionare se stessi fornendoinformazioni aggiuntive, anche in assenza di prove. Ciò implica che, considerandoin buona fede solo alcuni viaggiatori, quelli che non sono disposti a fornireinformazioni aggiuntive sono di fatto etichettati come ´in mala fedeª, anche setale rifiuto di fornire informazioni aggiuntive può essere motivato dalegittime ragioni, per esempio il fatto di non viaggiare di frequente ⁽⁴⁹⁾.

Frontex e cooperazione interservizi

36. La comunicazione invita a ´unastretta cooperazione interserviziª tra Europol, Frontex, dogane nazionali eautorità di polizia, che è ritenuta ´fondamentaleª, soprattutto fra il corpodelle guardie di frontiera e le autorità doganali ⁽⁵⁰⁾. Questa cooperazione sarà supportata da proposte sulle miglioriprassi che saranno presentate nel corso del 2012. La Commissione annunciainoltre la presentazione di una proposta legislativa nel corso del 2011 perconsentire alle autorità degli Stati membri che effettuano attività disorveglianza delle frontiere di ´scambiarsi informazioni operative ecollaborare tra loro e con Frontexª ⁽⁵¹⁾. Infine, la proposta di aggiornamento del quadro normativo diFrontex al fine di rendere l'agenzia ´più efficiente in termini di capacitàoperativaª è attualmente in discussione in seno al Consiglio e al Parlamentoeuropeo ⁽⁵²⁾.

37. Al fine di assicurare la coerenzae di creare un valore aggiunto dal punto di vista della protezione dei dati, lerispettive disposizioni nelle basi giuridiche per la conclusione di possibiliaccordi di cooperazione e lo scambio di dati personali tra Frontex e le agenziecon cui coopera dovrebbero essere coerenti e coordinate per garantire la pienacooperazione tra gli organismi in materia di norme sulla protezione dei dati.

38. Il GEPD ribadisce inoltre i puntisollevati nel suo parere sulla proposta di riforma del regolamento Frontex ⁽⁵³⁾, in particolare la necessità di una chiara base giuridica peril trattamento dei dati personali. Se a Frontex è affidato un mandato per loscambio di dati personali, questo dovrebbe includere disposizioni forti echiare sui diritti degli interessati, nonché altre garanzie. Qualsiasidisposizione che consenta a Frontex il trattamento e/o lo scambio di dati personalideve essere precisa e chiaramente delineata.

Eurosur

39. La Commissione annuncia inoltreper dicembre 2011 una proposta legislativa per definire il campo diapplicazione, lo scopo e il quadro tecnico e operativo del sistema europeo disorveglianza delle frontiere (Eurosur) ⁽⁵⁴⁾. Questa proposta dovrebbe garantire ´un maggior uso delletecnologie moderne alle frontiere terrestri e marittimeª ⁽⁵⁵⁾ nonché lo scambio di informazioni operative su eventualiincidenti ⁽⁵⁶⁾. Questo è riferito anche a Frontex,poiché la Commissione prevede di presentare un'altra proposta per consentirealle autorità degli Stati membri che effettuano attività di sorveglianza dellefrontiere di scambiarsi informazioni operative e collaborare tra loro e conFrontex ⁽⁵⁷⁾.

40 Non è chiaro se e in che misuraciò includa il trattamento dei dati personali ⁽⁵⁸⁾. Il GEPD incoraggia la Commissione a chiarire tali questioninelle prossime proposte.

Sistema europeo di guardie difrontiera

41. La comunicazione indica chedovrebbe essere esaminata la fattibilità di un sistema europeo di guardie difrontiera. Non è chiaro dal testo quali potrebbero essere le caratteristiche diquesto sistema. Secondo il testo, non implicherebbe ´necessariamenteª ⁽⁵⁹⁾ un'amministrazione europea centralizzata, lasciando comunqueaperta questa possibilità. Se anche non fosse prevista un'amministrazionecentralizzata, la Commissione indica che dovranno essere migliorati — tral'altro — ´capacità e standard condivisiª e la ´cooperazione praticaª ⁽⁶⁰⁾.

42. Non è chiaro se questo abbia loscopo di perseguire una migliore attuazione delle misure esistenti o se sialluda a nuove proposte, non ancora annunciate. Dato che la ´cooperazionepraticaª comprenderebbe probabilmente lo scambio di dati personali, chedovrebbe necessariamente avere una base giuridica, questa dovrà esserespecificata nelle future proposte, se s'intende procedere con tale progetto.

IV. CONCLUSIONI ERACCOMANDAZIONI

43. In linea con la giurisprudenzaconsolidata della Corte di giustizia dell'Unione europea e della Corte europeadei diritti dell'uomo, il GEPD ricorda il requisito di necessità eproporzionalità per tutte le proposte (attuali e future) che violano i dirittifondamentali alla privacy e alla protezione dei dati. Per ciascuna proposta occorredimostrare la necessità mediante una valutazione d'impatto sulla privacy.

44. Al momento di proporre eprogettare nuovi sistemi informatici di ampia portata devono essere rispettatii principi di ´privacy by designª e di limitazione delle finalità.

45. Il GEPD chiede che qualsiasi usodi dati biometrici sia accompagnato da garanzie rigorose e procedure di ripiegoper coloro che non possono partecipare. In termini più generali, dovrebberoessere stabilite condizioni minime per l'utilizzo dei dati biometrici.

46. Inoltre, il GEPD invita laCommissione a chiarire la portata e il contenuto delle sue proposte menzionatenel presente parere. Ciò vale per le annunciate proposte legislative connesseal sistema di ingressouscita, al programma per viaggiatori registrati, Eurosur,Frontex e la cooperazione interservizi, nonché per la comunicazione sullefrontiere intelligenti e lo studio su un sistema europeo di guardie difrontiera.

47. Egli invita inoltre laCommissione a non reintrodurre la proposta sull'accesso a Eurodac a fini dicontrasto, a meno che una nuova valutazione d'impatto dimostri chiaramente lanecessità della proposta comprese le implicazioni tecniche e finanziarie per ilsistema.

48. Il GEPD seguirà da vicino questisviluppi e rilascerà ulteriori osservazioni, se del caso. » disponibile per ulterioriconsultazioni, in uno spirito di positiva cooperazione.

Fatto a Bruxelles, il 7 luglio 2011

Peter HUSTINX

Garante europeo della protezione deidati

NOTE

(1) GU L 281del 23.11.1995, pag. 31.

(2) GU L 8 del12.1.2001, pag. 1.

(3) COM(2011)248 definitivo.

(4)Comunicazione, pag. 3.

(5) Conclusionidel Consiglio europeo del 23 e 24 giugno 2011, EUCO 23/11.

(6)Comunicazione della Commissione sulla strategia di sicurezza interna dell'UE inazione: cinque tappe verso un'Europa più sicura, COM(2010) 673.

(7) Proposta diregolamento del Parlamento europeo e del Consiglio recante modifica delregolamento (CE) n. 2007/2004 del Consiglio che istituisce un'Agenzia europeaper la gestione della cooperazione operativa alle frontiere esterne degli Statimembri dell'Unione europea (Frontex), COM(2010) 61.

(8) Il presenteparere riprende e completa, in particolare, il parere del GEPD del 17 dicembre2010 sulla comunicazione ´La strategia di sicurezza interna dell'UE in azioneª(´parere del GEPD del 17 dicembre 2010ª) (GU C 101 dell'1.4.2011, pag. 6); ilparere del GEPD del 15 dicembre 2010 sulla proposta modificata di regolamentodel Parlamento europeo e del Consiglio che istituisce l'´Eurodacª (´parere delGEPD del 15 dicembre 2010ª) (GU C 101 dell'1.4.2011, pag. 14); il parere delGEPD del 30 settembre 2010 sulla comunicazione ´Panorama generale dellagestione delle informazioni nello spazio di libertà, sicurezza e giustiziaª(´parere del GEPD del 30 settembre 2010ª) (GU C 355 del 29.12.2010, pag. 16); ele osservazioni preliminari del GEPD del 3 marzo 2008 sul pacchetto frontiere(´osservazioni preliminari del GEPD del 3 marzo 2008ª), disponibili sul sitoweb del GEPD.

(9)Comunicazione, pag. 3.

(10) Comunicazione, pag. 7.

(11) Comunicazione, pag. 7-8. V. anche punti 42-44 del presenteparere.

(12) Comunicazione, pag. 10.

(13) Comunicazione, pag. 14.

(14) V. parere del GEPD del 30 settembre 2010, citato supra;cfr. anche le osservazioni preliminari del GEPD sul pacchetto frontiere, citatesupra. A tale riguardo, il GEPD accoglie con favore il lavoro svolto dal Teamper il progetto di mappatura delle informazioni nel contesto del lavoro sulmodello europeo di scambio delle informazioni. Tuttavia, la portata di questoesercizio dovrebbe essere estesa e il futuro lavoro in questo settore deveadottare una prospettiva più ampia.

(15) Cfr., per esempio, sentenza della Corte europea deidiritti dell'uomo, S. and Marper v. United Kingdom, nn. 30562/04 e 30566/04,selezionata per la pubblicazione in Reports of Judgments and Decisions.

(16) Per esempio, sentenza 9 novembre 2010, cause riuniteC-92/09 e C-93/09, Volker und Markus Schecke e Hartmut Eifert, non ancorapubblicata nella Raccolta (´Scheckeª).

(17) Numerose sentenze a partire da quella della Corte europeadei diritti dell'uomo Handyside v. United Kingdom, n. 5493/72, serie A numero24, ß48.

(18) Questa potrebbe assumere la forma di una valutazioned'impatto distinta in materia di privacy e protezione dei dati o essereintegrata nella valutazione d'impatto generale. Gli attuali orientamenti per levalutazioni d'impatto [Orientamenti della Commissione europea per lavalutazione d'impatto, SEC(2009) 92] non prevedono una valutazione distinta perl'impatto sui diritti fondamentali, quale la protezione dei dati; questiaspetti devono essere integrati nella valutazione d'impatto generale. Inseguito alla comunicazione della Commissione sulla strategia per un'attuazioneeffettiva della Carta dei diritti fondamentali dell'Unione europea [COM(2010)573], sono stati elaborati ulteriori orientamenti nella forma di un documentodi lavoro dei servizi della Commissione su orientamenti operativi per la presain considerazione dei diritti fondamentali nelle valutazioni d'impatto dellaCommissione [SEC(2011) 567].

(19) A tale riguardo, cfr. anche il parere del GEPD del 25marzo 2011 sulla proposta di direttiva del Parlamento europeo e del Consigliosull'uso dei dati del codice di prenotazione (Passenger Name Record, PNR) afini di prevenzione, accertamento, indagine e azione penale nei confronti deireati di terrorismo e dei reati gravi (´parere del GEPD del 25 marzo 2011ª), GUC 181 del 22.6.2011, in particolare punto 25.

(20) Sullanecessità di esaminare soluzioni alternative, cfr. anche la sentenza dellaCorte di giustizia nella causa Schecke, citata supra.

(21)Comunicazione della Commissione su un approccio globale alla protezione deidati personali nell'Unione europea, COM(2010) 609, pag. 12. Cfr. anche ilparere del GEPD del 14 gennaio 2011 sulla comunicazione della Commissione alParlamento europeo, al Consiglio, al Comitato economico e sociale europeo e alComitato delle regioni — ´Un approccio globale alla protezione dei datipersonali nell'Unione europeaª (GU C 181 del 22.6.2011, pag. 1), punti 108-115.

(22)Comunicazione, pag. 14.

(23) Cfr.osservazioni preliminari del GEPD sul pacchetto frontiere, citate supra, pag.3.

(24) Cfr. ancheil parere del GEPD del 31 maggio 2011 sulla relazione di valutazione relativaall'applicazione della direttiva sulla conservazione di dati (direttiva2006/24/CE) presentata dalla Commissione al Consiglio e al Parlamento europeo,GU C 279 del 23.9.2011, nonché il parere del GEPD del 25 marzo 2011.

(25)Comunicazione, pag. 14.

(26) Proposta diregolamento del Parlamento europeo e del Consiglio che istituisce l'´Eurodacªper il confronto delle impronte digitali per l'efficace applicazione delregolamento (CE) n. (.../...) (che stabilisce i criteri e i meccanismi dideterminazione dello Stato membro competente per l'esame di una domanda diprotezione internazionale presentata in uno degli Stati membri da un cittadinodi un paese terzo o da un apolide) (rifusione), COM(2008) 825.

(27) Propostamodificata di regolamento del Parlamento europeo e del Consiglio che istituiscel'´Eurodacª per il confronto delle impronte digitali per l'efficaceapplicazione del regolamento (CE) n. (.../...) (che stabilisce i criteri e imeccanismi di determinazione dello Stato membro competente per l'esame di unadomanda di protezione internazionale presentata in uno degli Stati membri da uncittadino di un paese terzo o da un apolide) (rifusione), COM(2009) 342. IlGEPD ha emesso un parere su questa proposta; v. parere del GEPD del 7 ottobre 2009per il confronto delle impronte digitali per l'efficace applicazione delregolamento (CE) n. (.../...) (che stabilisce i criteri e i meccanismi dideterminazione dello Stato membro competente per l'esame di una domanda diprotezione internazionale presentata in uno degli Stati membri da un cittadinodi un paese terzo o da un apolide) e sulla proposta di decisione del Consigliosulle richieste di confronto con i dati Eurodac presentate dalle autorità dicontrasto degli Stati membri e da Europol a fini di contrasto (´parere del GEPDdel 7 ottobre 2009ª) (GU C 92 del 10.4.2010, pag. 1).

(28) Propostamodificata di regolamento del Parlamento europeo e del Consiglio che istituiscel'´Eurodacª per il confronto delle impronte digitali per l'efficaceapplicazione del regolamento (CE) n. (.../...) (che stabilisce i criteri e imeccanismi di determinazione dello Stato membro competente per l'esame di unadomanda di protezione internazionale presentata in uno degli Stati membri da uncittadino di un paese terzo o da un apolide) (rifusione), COM(2010) 555[´COM(2010) 555ª]. Il GEPD ha emesso un parere su questa proposta; v. pareredel GEPD del 15 dicembre 2010, citato supra, in particolare punti 18-22, 28-33,51-57.

(29) Parere delGEPD del 15 dicembre 2010, in particolare punti 12-17.

(30) Consiglioeuropeo: Programma di Stoccolma — Un'Europa aperta e sicura al servizio ea tutela dei cittadini, pag. 5 (GU C 115 del 4.5.2010, pag. 1).

(31) COM(2010) 555,citata supra, pag. 3.

(32) Ibid.

(33) La proposta diottobre 2010 non era accompagnata da una valutazione d'impatto. La Commissionefaceva piuttosto riferimento alla valutazione d'impatto condotta per laproposta del 2009; cfr. documento di lavoro dei servizi della Commissione— Documento di accompagnamento della proposta modificata di regolamentodel Parlamento europeo e del Consiglio che istituisce l'´Eurodacª per ilconfronto delle impronte digitali per l'efficace applicazione del regolamento(CE) n. (.../...) (che stabilisce i criteri e i meccanismi di determinazionedello Stato membro competente per l'esame di una domanda di protezioneinternazionale presentata in uno degli Stati membri da un cittadino di un paeseterzo o da un apolide) (rifusione) e della proposta di decisione del Consigliosulle richieste di confronto con i dati Eurodac presentate dalle autorità dicontrasto degli Stati membri e da Europol a fini di contrasto —Valutazione d'impatto, SEC(2009) 936. Cfr. anche COM(2010) 555, citata supra,pag. 3.

(34)Comunicazione, pag. 10.

(35)Comunicazione, pag. 10.

(36)Occorrerebbe altresì chiarire quali deroghe sarebbero applicabili — peresempio per ragioni mediche o umanitarie.

(37) Cfr. pareredel GEPD del 30 settembre 2010, citato supra, punti 52-56.

(38) Cfr.osservazioni preliminari del GEPD del 3 marzo 2008, citate supra, pag. 4.

(39)Comunicazione della Commissione: Relazione annuale sull'immigrazione e l'asilo,COM(2011) 291, pag. 9.

(40) Cfr., peresempio, parere del GEPD del 16 ottobre 2006 sulla proposta modificata di regolamentodel Consiglio che modifica il regolamento (CE) n. 1030/2002 che istituisce unmodello uniforme per i permessi di soggiorno rilasciati a cittadini di paesiterzi (GU C 320 del 28.12.2006, pag. 21); cfr. anche parere n. 3/2007 delGruppo di lavoro ex articolo 29 per la tutela dei dati personali sulla propostadi regolamento del Parlamento europeo e del Consiglio recante modificadell'Istruzione consolare comune diretta alle rappresentanze diplomatiche econsolari di prima categoria in relazione all'introduzione di elementibiometrici e comprendente norme sull'organizzazione del ricevimento e deltrattamento delle domande di visto [COM(2006) 269 definitivo], WP134, del 1o marzo 2007.

(41) Cfr. peres. parere del GEPD del 19 ottobre 2005 sulla proposta di decisione delConsiglio sull'istituzione, l'esercizio e l'uso del sistema di informazioneSchengen di seconda generazione (SIS II), sulla proposta di regolamento delParlamento europeo e del Consiglio sull'istituzione, l'esercizio e l'uso delsistema d'informazione Schengen di seconda generazione [...] (GU C 91 del19.4.2006, pag. 38); e a´Towards more comprehensive data protection in Europeincluding Biometrics — a European perspectiveª, 12 Conferenza —Biometrics Institute Australia, Sydney, 26 maggio 2011:http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Speeches/2011/11-05-26_Biometrics_Institute_EN.pdf

(42) Per esempio, acausa di malattie, disabilità, ferite e bruciature. Sembra, inoltre, che leimpronte digitali di persone che lavorano nel settore agricolo e nell'ediliziapotrebbero essere danneggiate, in un numero non trascurabile di casi, al puntoda essere illeggibili. Cfr. anche parere del GEPD del 15 dicembre 2010, citato supra,punto 19.

(43) Per osservazionianaloghe nel contesto di Eurodac, cfr. parere del GEPD del 15 dicembre 2010,punti 18-25.

(44) In uno degliaeroporti selezionati per il test sono stati spesi 393 410 USD in costi dimanodopera e spese per 35 giorni di operazioni relative al test, che hannocondotto al rilevamento di 90 casi di sospetto ´soggiorno oltre la scadenza delvistoª. In un secondo test condotto contemporaneamente sono stati rilevati 44sospetti casi, al costo di 77 501 USD. Tali cifre non comprendono i costisostenuti per lo sviluppo del sistema. Per una valutazione di questi test, cfr.:United States Government Accountability Office: US-VISIT Pilot EvaluationsOffer Limited Understanding of Air Exit Options, August 2010, GAO-10-860,disponibile all'indirizzo: http://www.gao.gov/new.items/d10860.pdf (´US GAO:US-VISIT Pilot Evaluationsª).

(45) Riportato inUS GAO: US-VISIT Pilot Evaluations, pag. 72.

(46) US GAO: US-VISITPilot Evaluations, pag. 72.

(47) Cfr.osservazioni preliminari del GEPD del 3 marzo 2008, citate supra, pag. 4.

(48) Comunicazione,pag. 11.

(49) Cfr. ancheosservazioni preliminari del GEPD del 3 marzo 2008, citate supra.

(50)Comunicazione, pag. 10.

(51)Comunicazione, pag. 8.

(52)Comunicazione, pag. 8.

(53) Parere delGEPD del 17 maggio 2010 sulla proposta di regolamento del Parlamento europeo edel Consiglio recante modifica del regolamento (CE) n. 2007/2004 del Consiglioche istituisce un'Agenzia europea per la gestione della cooperazione operativaalle frontiere esterne degli Stati membri dell'Unione europea (Frontex), GU C357 del 30.12.2010; cfr. anche parere del GEPD del 17 dicembre 2010, citatosupra, punti 48-51.

(54)Comunicazione, pag. 18.

(55)Comunicazione, pag. 7.

(56)Comunicazione, pag. 8.

(57)Comunicazione, pag. 8.

(58) Cfr. ancheparere del GEPD del 17 dicembre 2010, citato supra, punti 46-47, in cui è giàstata affrontata la questione. Questo parere affronta anche la questione ancorairrisolta della natura dei collegamenti previsti tra Frontex ed Eurosur.

(59)Comunicazione, pag. 7.

(60)Comunicazione, pag. 7.