Sintesi del parere del Garante europeo della protezione dei dati sulla proposta modificata di regolamento del Parlamento europeo e del Consiglio che istituisce "EURODAC" per il confronto delle impronte digitali per l'efficace applicazione del regolamento (UE) n. [.../...] (rifusione)

Sintesi del parere del Garante europeodella protezione dei dati sulla proposta modificata di regolamento delParlamento europeo e del Consiglio che istituisce "EURODAC" per il confrontodelle impronte digitali per l'efficace applicazione del regolamento (UE) n.[.../...] (rifusione)

(Il testo completo del presente parere èreperibile in EN, fR e DE sul sito web del GEPD http://www.edps.europa.eu)

(2013/C 28/03 - Pubblicato sullaGUUE n. C 28 del 30.1.2013)

1. Introduzione

1.1. Consultazione del GEPD

1. Il 30 maggio 2012 la Commissione ha adottato una propostaconcernente il rimaneggiamento di un regolamento del Parlamento europeo e delConsiglio che istituisce l'"EURODAC" per il confronto delle impronte digitaliper l'efficace applicazione del regolamento (UE) n. [.../...] (che stabilisce icriteri e i meccanismi di determinazione dello Stato membro competente perl'esame di una domanda di protezione internazionale presentata in uno degliStati membri da un cittadino di un paese terzo o da un apolide) e per lerichieste di confronto con i dati EURODAC presentate dalle autorità dicontrasto degli Stati membri e da Europol a fini di contrasto e recantemodifica del regolamento (UE) n. 1077/2011 che istituisce un'agenzia europeaper la gestione operativa dei sistemi IT su larga scala nello spazio dilibertà, sicurezza e giustizia (in appresso: "la proposta") ⁽¹⁾.

2. La proposta è stata inviata dalla Commissione al GEPDper consultazione il 5 giugno 2012, ai sensi dell'articolo 28, paragrafo 2, delregolamento (CE) n. 45/2001. Il GEPD raccomanda di fare riferimento alla presenteconsultazione nel preambolo della proposta.

3.Il GEPD si rammarica del fatto che il servizi della Commissione non abbiano chiesto ad esso di fornire alla Commissione osservazioni informali prima dell'adozione della proposta,secondo la procedura concordata in relazione ai documenti dellaCommissione in materia di trattamento dei dati personali ⁽²⁾.

4. La proposta è stata presentata ai ministri degliInterni presso il Consiglio "Giustizia e affari interni" del 7-8 giugno 2012 edè attualmente in discussione in seno al Consiglio e al Parlamentoeuropeo, al fine di adottare un regolamento secondo la procedura legislativaordinaria entro la fine del 2012. Il presente parere del GEPD intende fornireun contributo a tale procedura.

7. Conclusioni

87. Il GEPD rileva che negli ultimi anni la necessitàdi accedere ai dati EURODAC a fini di contrasto è stata ampiamente discussain seno alla Commissione, al Consiglio e al Parlamento europeo. Comprendeinoltre che la disponibilità di una base dati con le impronte digitalipossa costituire un ulteriore strumento utile nella lotta allacriminalità. Il GEPD rammenta tuttavia anche che l'accesso al sistemaEURODAC ha un grave impatto sulla protezione dei dati personali di coloro i cuidati sono memorizzati nel sistema in questione. Per essere valida, lanecessità di tale accesso deve poggiare su elementi chiari e inconfutabilie la proporzionalità del trattamento deve essere dimostrata, a maggiorragione in caso d'ingerenza nei diritti d'individui che appartengono a ungruppo vulnerabile bisognoso di protezione, come previsto nella proposta.

88. Secondo il GEPD, le prove fornite fino ad oggi —anche tenendo conto del contesto specifico di cui sopra — non sonosufficienti e aggiornate per dimostrare la necessità e laproporzionalità dell'accesso a EURODAC a fini di contrasto. Esistonogià alcuni strumenti giuridici che permettono a uno Stato membro diconsultare i dati dattiloscopici e ulteriori dati a fini di contrastoconservati da un altro Stato membro. È necessaria una giustificazionemigliore quale presupposto per l'accesso a fini di contrasto.

89. In questo contesto, il GEPD raccomanda alla Commissionedi fornire una nuova valutazione d'impatto che prenda in considerazionetutte le opzioni politiche pertinenti, fornisca prove concrete e statisticheattendibili e comprenda una valutazione orientata ai diritti fondamentali.

90. Il GEPD ha individuato varie altre problematiche, in particolare:

Normativa applicabile in materia di protezione dei dati

91. Il GEPD sottolinea la necessità di chiarezza sullemodalità con cui le disposizioni della proposta, che specificano alcunidiritti e doveri in merito alla protezione dei dati, rimandano alla decisionequadro 2008/977/GAI del Consiglio, nonché alla decisione 2009/371/GAI delConsiglio (cfr. paragrafo 4).

Condizioni per l'accesso dei servizi di contrasto

Come affermato in precedenza, occorre in primo luogodimostrare che l'accesso dei servizi di contrasto a EURODAC in quanto taleè necessario e proporzionato. Devono essere prese in considerazione leosservazioni che seguono.

92. Il GEPD raccomanda di:

- chiarireche il trasferimento di dati EURODAC a paesi terzi è vietato anche incaso di utilizzo dei dati EURODAC a fini di contrasto (cfr. punti 43-44);

- aggiungerele finalità di contrasto alle informazioni comunicate alla personainteressata (cfr. punto 45);

- garantirein modo inequivocabile che l'accesso ai dati EURODAC da parte delleautorità designate sia limitato alle attività di contrasto (cfr.punto 49);

- sottoporrel'accesso ai dati EURODAC a fini di contrasto a una previa autorizzazionegiudiziaria o, come minimo, assicurare che l'autorità di verificaeserciti le sue funzioni e i suoi compiti in piena autonomia, senza ricevereistruzioni in merito allo svolgimento delle attività di verifica (cfr.punti 50-51);

- aggiungereil criterio relativo alla "necessità di evitare un pericolo imminenteassociato a reati di terrorismo o altri reati gravi" quale caso eccezionale chegiustifica la consultazione dei dati EURODAC senza una verifica preventiva daparte dell'autorità competente e introdurre un limite di tempo per laconcreta verifica ex post (cfr. punti 53-54);

- perquanto riguarda le condizioni di accesso, aggiungere le seguenti condizioni: i)una consultazione preventiva del sistema d'informazione visti, ii) un "fondatosospetto che l'autore di un reato terroristico o altri reati gravi abbiachiesto asilo" e iii) il contributo "sostanziale" a fini di contrasto,specificando cosa si intende per "motivi ragionevoli" (cfr. punti 56-57);

- descriverein un considerando il tipo di situazioni che giustificano un accesso direttoda parte di Europol all'unità centrale EURODAC e prevedere che lerigorose condizioni di accesso applicabili alle autorità nazionalidesignate siano applicate anche a Europol (cfr. punti 58-59);

- garantireche il confronto delle impronte digitali a fini di contrasto sia soggetto in ognicaso almeno alle stesse garanzie previste ai fini dell'applicazione delregolamento Dublino (cfr. punto 62);

- specificarepiù chiaramente le norme in materia di conservazione o cancellazione deidati (cfr. punto 64);

- chiarirequali informazioni aggiuntive in caso di risposta positiva ("hit") sarannocomunicate a Europol, se del caso (cfr. punti 65-66);

- specificareil fine o i fini precisi della richiesta da parte del consiglio diamministrazione dell'Agenzia di un confronto con i dati EURODAC delle autoritàdi contrasto dello Stato membro e l'anonimizzazione dei dati da parte delleautorità di contrasto prima della relativa trasmissione al consiglio diammini strazione, nonché ripristinare le norme in materia di segretoprofessionale (cfr. punti 67-68);

- prevederel'accesso dell'autorità di controllo di Europol e del GEPD ai registriconservati rispettivamente dall'Agenzia e da Europol, nonché prevederel'obbligo di archiviare i registri anche per effettuare il regolareautocontrollo di EURODAC (cfr. punti 79 e 85);

- fornirechiarimenti in merito al controllo delle attività di trattamento dei datidi Europol (cfr. punto 81).

Ulteriori disposizioni

93. Il GEPD raccomanda di:

- sostituireil sistema di continuità operativa con un piano di continuità operativae fornire una base giuridica per attuare misure contenenti le modalità ditale piano (cfr. punto 72);

- garantireche l'impossibilità temporanea o permanente di fornire impronte digitaliutilizzabili non pregiudichi la situazione giuridica del singolo e in ogni casonon costituisca un motivo sufficiente per rifiutare di esaminare o respingereuna domanda d'asilo (cfr. punto 73);

- garantirela coerenza tra gli obblighi dell'Agenzia, degli Stati membri e di Europol diconservare i registri e la documentazione delle attività di trattamentodei dati (cfr. punto 77);

- migliorarele disposizioni in materia di sicurezza dei dati (cfr. punto 82);

- coinvolgereil GEPD nella presentazione della relazione annuale dell'Agenzia (cfr. punto83);

- aggiungere,nell'articolo 43, l'obbligo per gli Stati membri ed Europol di aggiornarecostantemente le informazioni fornite alla Commissione e prevedere che laCommissione metta tali informazioni a disposizione degli Stati membri, diEuropol e del pubblico "attraverso una pubblicazione elettronica costantementeaggiornata" (cfr. punto 86).

fatto a Bruxelles, il 5 settembre 2012

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

(1) COM(2012) 254 definitivo.

(2) Il GEPD è stato consultato informalmente dalla Commissione inmerito a una modifica del regolamento EURODAC per l'ultima volta nel 2008.