AUTORITA' DI CONTROLLO COMUNE SCHENGEN

Il parere 2004 SIS II

1. INTRODUZIONE

Nell'intento di garantire che il sistema informativo Schengen di seconda generazione — SIS II — rispettasse gli standard più elevati di protezione dei dati, l'Autorità Comune di Controllo (ACC) si è adoperata per incidere sullo sviluppo del sistema fin dall'inizio.

Nonostante che il Consiglio, nelle conclusioni raggiunte in data 5 e 6 giugno 2003, avesse previsto alcuni requisiti generali per il nuovo sistema, non si è pervenuti ad una decisione definitiva rispetto agli specifici contenuti ed alle funzionalità da includere nel sistema stesso né, elemento questo di essenziale importanza, in merito alle specifiche finalità di questo sistema di seconda generazione¹.

Il presente parere prende in esame l'evoluzione subita dalle finalità per le quali il SIS è stato inizialmente costituito, e passa in rassegna le varie proposte concernenti il SIS II analizzando quali possibili modifiche esse comportino rispetto alla natura del sistema. Infine, sono esposte le motivazioni per le quali l'ACC ritiene che sia necessario giungere quanto prima ad una decisione sui compiti che si intende attribuire al nuovo sistema.

L'ACC continuerà a seguire gli sviluppi del SIS II e fornirà indicazioni più puntuali non appena siano confermate proposte specifiche in merito al sistema.

2. IL SISTEMA INFORMATIVO SCHENGEN

Il SIS è stato costituito inizialmente quale una delle misure compensative previste al fine di consentire la libera circolazione delle persone. Il sistema in quanto tale offriva lo strumento per effettuare controlli alle frontiere ed altri controlli di polizia e doganali.

Poiché le competenti autorità dovevano avere la possibilità di effettuare rapidamente tali controlli, il sistema fu sviluppato secondo una configurazione hit/no-hit. In pratica, ciò significava che la ricerca effettuata nel SIS rispetto ad una determinata persona avrebbe indicato se tale persona era oggetto di una segnalazione e, in caso affermativo, le misure da adottare immediatamente. Si prevedeva che il SIS avrebbe trattato esclusivamente i dati necessari a tal fine, e che ogni ulteriore informazione dovesse essere ottenuta attraverso gli uffici SIRENE.

La Convenzione Schengen ha stabilito chi fosse responsabile del trattamento dei dati contenuti nel SIS, ed ha previsto una serie di garanzie per i diritti degli interessati. Secondo i dati più recenti, nel SIS sono contenute attualmente informazioni relative a circa un milione di individui.

Nel 2003, si leggeva quanto segue nelle conclusioni del Consiglio:

"Il SIS è un sistema a configurazione hit/no-hit che consente lo scambio di informazioni al fine di regolamentare la libera circolazione delle persone e mantenere la pubblica sicurezza, ed in particolare assistere autorità nazionali nella lotta contro la criminalità transnazionale, nel quadro dell'obiettivo fissato dall'UE di mantenere e sviluppare l'Unione come un'area di libertà, sicurezza e giustizia".

Si tratta di una definizione più ampia di quella prevista dall'Articolo 93 della Convenzione di Schengen, e ben segnala il contesto in cui il SIS è venuto a collocarsi dopo l'incorporazione dell'acquis di Schengen nella struttura giuridica e istituzionale dell'Unione europea.

Il potenziamento della cooperazione fra le autorità di polizia nazionali e la creazione di nuovi organismi, come Europol, hanno dato luogo ad una situazione in cui le informazioni detenute nel SIS sono considerate una preziosa risorsa nella lotta alla criminalità ed al terrorismo.

È stato proposto un nuovo Sistema informativo Schengen per fare fronte all'allargamento dell'UE, nella convinzione che tale nuovo sistema avrebbe potuto beneficiare delle nuove tecnologie tenendo conto, al contempo, di altri sviluppi nel settore della giustizia e degli affari interni. È in questo contesto, ed alla luce di questi obiettivi generali, che sono state messe a punto le proposte concernenti il SIS II.

3. SIS II

Si potrebbe affermare che lo sviluppo di un nuovo sistema del tipo descritto si svolge su tre fronti: il processo decisionale di natura politica, che dovrebbe definire quali siano le finalità previste per il sistema e le relative modalità di funzionamento; il quadro giuridico, che dovrebbe fornire la base giuridica specificando le finalità del sistema e stabilendo le norme relative all'accesso e ad altri elementi; lo sviluppo tecnico del sistema in quanto tale.

La previsione iniziale era che dal Consiglio del giugno 2003 sarebbero dovute emergere proposte ben definite sulle finalità e le funzionalità del SIS II; tuttavia, come sottolineato dal Parlamento europeo nella raccomandazione adottata sul punto, "il Consiglio non ha ancora adottato decisioni in merito a questioni concrete come le nuove categorie di oggetti o persone da inserire".²

Questa mancanza di indicazioni univoche ha generato una situazione tale da obbligare la Commissione a formulare una proposta in cui si chiede di garantire la massima flessibilità possibile al nuovo sistema. Pertanto, la messa a punto del sistema avviene sotto l'impulso delle mutevoli istanze provenienti dal settore giustizia e affari interni dell'UE, anziché sulla base di obiettivi espressi e definiti all'interno di un quadro giuridico preciso. Se questo stato di cose dovesse permanere, la natura del sistema potrebbe modificarsi in misura radicale trasformando il SIS II in uno strumento investigativo ed amministrativo multiscopo. Sarebbe un fatto preoccupante che lo sviluppo del SIS II proseguisse in questo modo frammentario, poiché la mancanza di trasparenza connaturata a tale approccio complica la valutazione delle modifiche che tutto ciò comporta rispetto alla natura del sistema stesso.

"Fin dalle prime riflessioni sul SIS II è stato chiaro che il sistema dovrebbe essere uno strumento flessibile, … in grado di adattarsi al mutare delle circostanze e di rispondere, in tempi ragionevoli e senza eccessivi costi e sforzi aggiuntivi, alle richieste formulate dagli utenti durante il suo periodo di operatività".

Il brano sopra riportato è tratto dalle conclusioni del Consiglio del giugno 2003 ed evidenzia un elemento basilare nello sviluppo del SIS II. In effetti, nella sua più recente Comunicazione in merito, la Commissione ha indicato la "flessibilità" fra i requisiti essenziali del nuovo sistema, affermando che "Il SIS II dovrebbe avere le potenzialità per trattare un numero di dati molto più grande e per essere inoltre in grado, una volta che il sistema sarà operativo, di gestire nuovi tipi di informazioni, nuovi oggetti e nuove funzioni, di cui si sta discutendo all'interno del Consiglio".³

Il requisito di configurare un sistema flessibile di natura indefinita comporta vari problemi.

In primo luogo, esiste la preoccupazione che un sistema flessibile si presti più facilmente ad una "deriva funzionale", nel senso che le richieste provenienti da un'ampia gamma di organismi ed enti potrebbero dare luogo ad una situazione per cui le informazioni detenute nel sistema verrebbero utilizzate per scopi diversi da quelli inizialmente previsti.

In secondo luogo, è difficile comprendere come sia possibile valutare adeguatamente le implicazioni potenziali del SIS II se il suo sviluppo deve essere flessibile al punto da non fare luce sulla configurazione finale del sistema. La creazione di un sistema caratterizzato da un tale margine di flessibilità in assenza di limitazioni di alcun genere non può che rendere più difficile per chi sta lavorando alla sua messa a punto tenere conto del principio di proporzionalità, che dovrebbe essere uno dei cardini nella definizione di qualsiasi progetto di tale natura.

Man mano che procede lo sviluppo del sistema, ed aumentano gli utenti e le categorie di dati, anche la cornice giuridica dovrà subire un'evoluzione conseguente — non da ultimo perché le garanzie attualmente in vigore per tutelare i diritti degli interessati sono state progettate soltanto in rapporto al SIS nella sua configurazione originale. A parere dell'ACC, il primo passo da compiere al riguardo dovrebbe consistere in una valutazione dell'impattoprivacy per stabilire in quali termini il SIS II e le sue nuove e molteplici funzionalità potrebbero incidere sui diritti degli interessati. Le risultanze di tale valutazione potrebbero successivamente fungere da base per la definizione di una nuova cornice giuridica.

4. SIS II — LE PROPOSTE DI MODIFICA DEL SISTEMA

Le istanze avanzate nei confronti del SIS durante gli ultimi anni riflettono gli sviluppi intervenuti nell'UE per quanto riguarda la lotta alla criminalità ed al terrorismo. Vi è stata, ad esempio, un'iniziativa del Regno di Spagna finalizzata a consentire ad Europol ed Eurojust di accedere al SIS.⁴ Permettere a tali soggetti di accedere al sistema comporterà alcune conseguenze sulla natura del SIS II, essendo maggiormente probabile che i dati ricavati dal sistema siano utilizzati operativamente dai due soggetti in questione, ad esempio per quanto riguarda le Squadre Investigative Comuni in ambito Europol. L'ACC resta dell'opinione che le attività in rapporto alle quali si consente l'accesso debbano essere conformi agli articoli della Convenzione Schengen che regolamentano l'accesso a e l'utilizzazione delle informazioni contenute nel sistema.

Consentire che soggetti esterni accedano al SIS può persino modificare radicalmente le finalità per le quali si utilizzano le informazioni presenti nel sistema. In un recente parere su una proposta della Commissione che mirava a concedere l'accesso al SIS alle autorità responsabili dell'immatricolazione dei veicoli, l'ACC ha rilevato che una scelta del genere avrebbe costituito una deviazione rispetto alle finalità originali del sistema in quanto, dando corso alla proposta, il SIS sarebbe stato utilizzato a sostegno della politica comune dell'UE in materia di trasporti.

Ciononostante, la tendenza a consentire ad un numero crescente di soggetti di accedere al SIS sembra destinata a continuare. Il Consiglio ha concluso che altre autorità devono avere la possibilità di accedere al SIS, anche se ciò dovesse comportare la possibilità di "un accesso parziale o per scopi diversi da quelli inizialmente previsti dalla segnalazione".

L'ACC è consapevole dell'essenzialità di un potenziamento della cooperazione fra autorità giudiziarie e di polizia per migliorare la sicurezza in Europa e, in tal senso, potrebbe risultare opportuno consentire ad altri soggetti, in determinati casi, di accedere ai dati presenti nel SIS. Tuttavia, si dovrebbe permettere l'accesso al sistema soltanto se ciò risulti necessario e proporzionato, e non semplicemente perché ne è data la possibilità. È per tale motivo che l'ACC ritiene necessario che si chiariscano le specifiche finalità per le quali Europol ed Eurojust — e qualsiasi altro ente — chiedono di accedere al SIS II. L'adeguamento normativo che dovrebbe accompagnare la messa a punto del nuovo sistema sembra offrire l'occasione ideale per garantire che le finalità ed i rapporti in questione siano fissati nell'ambito di una chiara cornice giuridica.

Tale cornice giuridica dovrebbe prevedere una serie di limiti all'utilizzabilità dei dati ricavati dal sistema, ed è importante garantire che i soggetti abilitati ad accedere al SIS siano tenuti a rispettare gli stessi standard di protezione dei dati previsti nella Convenzione Schengen ed in altri atti normativi pertinenti, come la Convenzione del Consiglio d'Europa del 1981 sulla protezione dei dati.

L'approccio frammentario seguito nello stabilire quali autorità debbano accedere al SIS continua ad essere fonte di preoccupazione per l'ACC. Nonostante le conclusioni del Consiglio del giugno 2003, e l'intenzione manifestata dalla Commissione di configurare il nuovo sistema con la massima flessibilità possibile, l'ACC ritiene di fare propria la raccomandazione formulata dal Parlamento europeo secondo cui "l'uso dei dati [deve avvenire] per motivi espressamente dichiarati in anticipo". Nella raccomandazione, il Parlamento si opponeva a qualsiasi deroga rispetto a tale principio, "come quella di cui alle conclusioni del Consiglio del 5 e 6 giugno 2003 che chiede lo studio ulteriore della "possibilità per talune autorità di utilizzare i dati SIS a scopi diversi da quelli per i quali essi sono stati inizialmente inseriti nel SIS".

Se si vuole assicurare la possibilità che altri soggetti siano abilitati ad accedere al SIS II una volta che quest'ultimo sia operativo, devono essere stabiliti chiaramente i parametri sui quali basare ogni decisione in materia. Tali parametri dovrebbero essere fissati attraverso norme di rango legislativo che prendano in considerazione, ad esempio, la possibilità di consentire l'accesso sia ai soggetti privati sia a quelli pubblici.

Appare verisimile un aumento delle pressioni finalizzate all'ampliamento delle categorie di dati presenti nel sistema, soprattutto perché la proposta di configurare il SIS II come sistema flessibile faciliterà l'aggiunta in futuro di nuove categorie. Vi sono già stati alcuni sviluppi in questo campo. La decisione-quadro del Consiglio che stabilisce un mandato di arresto europeo prevede che le informazioni contenute nel nuovo mandato di arresto siano trattate in ambito SIS. L'aggiunta di nuove categorie di dati potrebbe trasformare il SIS II in un doppione di altri sistemi informativi UE quali il sistema di informazione Europol o il sistema informativo doganale, ed uno sviluppo del genere potrebbe avere riflessi sul livello di protezione dei dati.

L'ACC ritiene che siano necessari parametri univoci onde stabilire quali informazioni possano essere contenute nel SIS II e, ancora una volta, il punto di partenza per giungere ad una decisione in materia non può che essere la valutazione delle finalità del sistema.

Vi sono progetti che prevedono l'introduzione di nuove tipologie di dati, e particolare interesse hanno suscitato i dati biometrici.

Si afferma che è necessario che il SIS II contenga identificatori univoci allo scopo di consentire alle competenti autorità nazionali di risolvere eventuali problemi legati all'identità di singoli individui, e nelle conclusioni del Consiglio si legge che il SIS II dovrebbe permettere "la conservazione, il trasferimento e l'eventuale ricerca di dati biometrici, in particolare fotografie ed impronte digitali".

La Comunicazione della Commissione (dicembre 2003) fornisce alcuni esempi di situazioni nelle quali sarebbe utile disporre di identificatori biometrici. Una di esse riguarda il caso in cui le autorità arrestino una persona in possesso di documenti falsi. Attualmente non sarebbe possibile stabilire, sulla base delle informazioni presenti nel SIS, se sia stata inserita una segnalazione concernente la stessa persona ma sotto altro nome. Tuttavia, se nel sistema fossero conservati anche identificatori biometrici, come le impronte digitali, si potrebbe riuscire a confrontare i rilievi dattiloscopici della persona in oggetto con tutti quelli conservati nel sistema. In tal modo gli utenti potrebbero stabilire se sia stata inserita o no una segnalazione concernente la stessa persona sotto un altro nome.

In un altro esempio citato per dimostrare l'utilità di accedere a identificatori biometrici, la Commissione menzionava il caso in cui il sistema rilevi uno hit ma la persona in oggetto affermi che la segnalazione riguarda un'altra persona (risulta che i "falsi positivi" siano molto frequenti quando si ha a che fare con nomi di larga diffusione). Si affermava che casi del genere troverebbero rapida soluzione se le autorità potessero confrontare l'identificatore biometrico della persona in oggetto con quello conservato unitamente alla segnalazione presente nel sistema. In tal modo, le autorità sarebbero in grado di stabilire se la persona in oggetto sia realmente quella nei cui confronti era stata inserita una precedente segnalazione.

Questi esempi illustrano i due possibili campi di applicazione delle tecnologie biometriche incorporate in un sistema di informazione. La prima opzione, in cui l'utente effettua una ricerca su tutti gli identificatori biometrici nel sistema fino a trovare una corrispondenza (one-to-many), è nota come sistema di "identificazione"; la seconda opzione, in cui l'identificatore biometrico di uno specifico individuo viene confrontato con una specifica segnalazione presente nel sistema per stabilire se si tratti della stessa persona (one-to-one), è nota come sistema di "verifica".

L'affidabilità dei due sistemi è diversa, come diversi sono gli scopi per i quali i due sistemi possono essere utilizzati; tuttavia, quale che sia il sistema prescelto, siamo di fronte ad un altro esempio di decisione da assumere partendo dalla valutazione delle finalità del sistema ed applicando un test di proporzionalità.

L'inserimento di dati biometrici comporta tutta una serie di problemi di natura pratica che attendono ancora soluzione (ad esempio, le modalità di raccolta degli identificatori biometrici), e fin quando non saranno disponibili progetti più dettagliati sarà difficile individuare le garanzie ulteriori da prevedere; tuttavia, l'inserimento di dati biometrici richiederebbe quantomeno la definizione di un chiaro quadro giuridico, in cui si stabilisca con precisione in quali circostanze e per quali scopi sia consentito effettuare interrogazioni su dati biometrici. Si tratta di un elemento di particolare importanza, poiché l'inserimento di dati biometrici aumenta la probabilità di una deriva funzionale: vari soggetti, ed in particolare le autorità giudiziarie e di polizia, potrebbero sfruttare la prevista flessibilità del SIS II per chiedere l'accesso a dati biometrici in rapporto ad una molteplicità di scopi.

I rischi sarebbero ancora più consistenti se i dati biometrici fossero conservati nelle sezioni nazionali oltre che nella sezione centrale del SIS II, in quanto le autorità giudiziarie e di polizia dei singoli Stati avrebbero maggiori occasioni di utilizzare tali dati per finalità che esulano da quelle previste nella Convenzione di Schengen.

Per garantirsi contro una simile eventualità, si dovrebbe prevedere la registrazione degli accessi a queste nuove categorie di dati e l'effettuazione di verifiche periodiche del sistema onde assicurare che ai dati si acceda soltanto per scopi legittimi e da parte di soggetti autorizzati. Inoltre, nelle norme concernenti la conservazione di nuove tipologie di dati deve essere specificato con chiarezza che tali dati possono essere conservati esclusivamente per il periodo necessario a raggiungere uno scopo determinato.

Uno dei motivi alla base dello sviluppo del SIS II era la volontà di beneficiare delle nuove tecnologie introducendo nuove funzionalità. Si propone che il SIS II consenta la "interconnessione" delle segnalazioni presenti nel sistema al fine di migliorarne l'efficienza. L'ACC ha indicato che, prima di procedere in tal senso, è necessario prevedere il quadro giuridico di riferimento e, in un precedente parere, ha segnalato che l'interconnessione delle segnalazioni potrebbe permettere agli utenti di accedere ad informazioni per le quali non sono abilitati. Pertanto, l'ACC accoglie con favore l'affermazione contenuta nelle conclusioni del Consiglio, secondo cui è necessario prevedere garanzie atte ad assicurare che l'interconnessione di segnalazioni "non modifichi i diritti di accesso in essere rispetto alle singole categorie di segnalazioni".

Ciononostante, l'interconnessione di segnalazioni rappresenta un esempio di funzionalità in grado di modificare la natura del sistema, che da sistema di informazione diventerebbe un sistema di investigazione.

5. CONTROLLO DEL SIS II

L'architettura proposta per il nuovo sistema solleva alcuni interrogativi in materia di controllo e monitoraggio. Se il sistema aumenta il proprio grado di centralizzazione, quale dovrà essere l'evoluzione dei meccanismi di controllo? Può darsi che l'ACC abbia bisogno di maggiori poteri per far fronte ad eventuali modifiche nell'architettura del sistema.

Nella Comunicazione della Commissione si afferma che le Parti contraenti sono libere di scegliere se mantenere un database nazionale, oppure prevedere soltanto un'interfaccia nazionale ed interrogare direttamente il sistema centrale. Quali potrebbero essere le implicazioni di una modifica del genere?

Attualmente, la Convenzione di Schengen conferisce alle autorità nazionali di protezione dei dati il potere di controllo sulla rispettiva sezione nazionale del sistema. Se le sezioni nazionali fossero sostituite da un'interfaccia, ciò avrebbe ripercussioni sul controllo nazionale e potrebbe rendersi necessario modificare in conseguenza i poteri conferiti alle autorità nazionali. Sorgerebbe, inoltre, l'esigenza di garantire che tutte le pertinenti autorità nazionali dispongano di risorse sufficienti per svolgere in modo efficace la propria funzione di controllo del sistema. In ogni caso, nel dibattito a venire sul controllo ed il monitoraggio del SIS II dovrebbero essere coinvolte le autorità nazionali di protezione dei dati nonché l'ACC ed il Garante europeo della protezione dei dati, da poco nominato.

6. CONCLUSIONI

Anche ammettendo che non vi sia l'intento di modificare la natura del SIS, che è un sistema di controllo del tipo hit/no-hit, l'ACC ritiene che l'aggiunta di nuove funzionalità (come l'interconnessione di segnalazioni), l'inserimento di nuove categorie di dati, e la tendenza ad ampliare il novero dei soggetti autorizzati ad accedere al sistema possano dar luogo, congiuntamente alla prevista flessibilità del nuovo sistema, ad una modifica de facto della natura del sistema stesso, trasformando il SIS II in uno strumento di indagine.

Non si tratta di una novità assoluta, visto che nel 2001 la stessa Commissione ha affermato quanto segue:

"La Commissione desidera sottolineare l'importanza di progredire nella definizione delle funzionalità del SIS. In particolare, alcune delle proposte attualmente in discussione comporterebbero modifiche sostanziali delle finalità del SIS, trasformandolo da sistema di informazione in sistema di informazione e di indagine."⁵

Ci sono validi motivi per nutrire preoccupazioni rispetto a questo tipo di sviluppi. In primo luogo, esiste la possibilità che il SIS II, man mano che incorporerà nuove categorie di dati, duplichi sistemi di informazione già esistenti in ambito UE. In secondo luogo, è necessario aggiornare le norme sulla protezione dei dati per garantire che il nuovo sistema, con le sue mutate potenzialità, non incida sui diritti degli interessati — e queste norme saranno sempre un passo indietro se non si fisseranno limiti alle modalità di sviluppo del sistema. Inoltre, è essenziale che il SIS II si sviluppi in conformità con il principio di proporzionalità, ossia che le funzionalità e le categorie di dati presenti nel SIS II non eccedano quanto è necessario per raggiungere gli scopi del sistema. Tuttavia, prima occorre stabilire quali siano queste finalità, e successivamente si potrà procedere a tale verifica.

L'ACC ribadisce che non è possibile risolvere le questioni tecniche e giuridiche senza che vi sia prima una decisione politica sulle finalità prefigurate per il SIS II, e che sarebbe opportuno stabilire in modo particolareggiato quali siano le funzionalità e le categorie di dati delle quali il sistema dovrebbe disporre per raggiungere tale obiettivo.

Inoltre, non sembra che, al momento, vi siano iniziative in seno al Consiglio finalizzate alla definizione di un nuovo quadro giuridico per il SIS II e, per le motivazioni esposte in questo parere, l'ACC sollecita a dare corso quanto prima a queste iniziative. Le risultanze di una valutazione dell'impatto-privacy potrebbero rivelarsi utili nella formulazione di tale cornice giuridica e, attraverso una valutazione di questo tipo, si potrebbero prendere in considerazione le tematiche attinenti al controllo del sistema ed alla necessità di garanzie ulteriori, oltre ad esaminare eventuali proposte connesse quali la ventilata sinergia fra SIS II ed un nuovo Sistema di informazione visti.

Per parte sua, l'ACC è pronta a collaborare in ogni modo possibile. Inoltre, alla luce delle significative implicazioni per il SIS II legate alle proposte in oggetto, l'ACC ritiene auspicabile che ogni ulteriore sviluppo le sia comunicato con tempestività in modo da disporre del tempo necessario per formulare indicazioni che possano successivamente essere tenute presenti dagli attori del processo decisionale.

NOTE

1 Nel presente documento ogni riferimento alle conclusioni del Consiglio deve intendersi come relativo alle conclusioni dell'incontro del Consiglio europeo nel settore giustizia ed affari interni tenutosi a Lussemburgo il 5 e 6 giugno 2003.
2 Raccomandazione del Parlamento europeo al Consiglio sul Sistema informativo Schengen di seconda generazione (SIS II), del 20 novembre 2003.
3 Comunicazione della Commissione al Consiglio ed al Parlamento europeo: Sviluppo del Sistema di informazione Schengen II e possibili sinergie con un futuro Sistema di informazione visti, dell'11 dicembre 2003.
4 L'iniziativa è culminata, da ultimo, nell'adozione del Regolamento del Consiglio (CE) n. 871/2004 del 29 aprile 2004.
5 Comunicazione della Commissione al Consiglio ed al Parlamento europeo: Sviluppo del Sistema di informazione Schengen II, 18 dicembre 2001.