Parere del garante europeo della protezione dei dati sul progetto di regolamento (CE) del Consiglio che stabilisce la forma dei lasciapassare rilasciati ai membri e agli agenti delle istituzioni

(Pubblicato sulla G.U.U.E. n. C 313 del 20.12.2006)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati,

vista la richiesta di parere formulata dalla Commissione ai sensi dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, ricevuta il 31 luglio 2006,

HA ADOTTATO IL SEGUENTE PARERE:

1. OSSERVAZIONI PRELIMINARI

1. Con lettera in data 26 luglio 2006 la Commissione ha trasmesso al garante europeo della protezione dei dati (GEPD) il progetto di regolamento del Consiglio che stabilisce la forma dei lasciapassare rilasciati ai membri e agli agenti delle istituzioni. Il GEPD considera tale lettera come una richiesta di parere ai sensi dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001.

2. Il Protocollo sui privilegi e sulle immunità delle Comunità europee, adottato l'8 aprile 1965 e allegato al trattato che istituisce un Consiglio unico e una Commissione unica delle Comunità europee, e in particolare l'articolo 6 prevede che il Consiglio stabilisca la forma dei lasciapassare comunitari (LC) che sono riconosciuti dalle autorità degli Stati membri come titoli di viaggio validi. Questo testo costituisce il fondamento giuridico per effettuare il trattamento dei dati (articolo 5, lettera a) del regolamento (CE) n. 45/2001). Il Consiglio, istituzione competente in questo ambito, ritiene che oggi l'LC non risponda più alle norme di sicurezza richieste per questo tipo di documenti e che necessiti quindi di un rimaneggiamento totale per soddisfare le regole minime dell'ICAO (Organizzazione internazionale per l'aviazione civile) oltre a quelle introdotte per il passaporto europeo (in particolare sulla biometria), ricorrendo a nuove tecnologie che consentono una protezione massima contro la contraffazione. Per motivi di competenza tecnica, il Collegio dei capi dell'amministrazione ha chiesto alla Commissione di esaminare la questione.

3. Il GEPD ritiene importante formulare un parere sulla proposta di nuovo LC poiché essa prevede di introdurre, su un supporto di memorizzazione, dati biometrici in formati interoperabili e leggibili a macchina. Il presente parere offre al GEPD l'occasione di esprimersi sulla materia, come già aveva fatto in precedenza nei pareri espressi sui programmi VIS ⁽¹⁾ e SIS II ⁽²⁾.

4. I dati biometrici rivestono un carattere particolare in quanto riguardano le caratteristiche comportamentali e fisiologiche di una persona e consentono di identificarla con maggiore precisione. Secondo il GEPD, i futuri trattamenti di tali dati rientrano nel campo di applicazione dell'articolo 27, paragrafo 1 del regolamento (CE) n. 45/2001 e, a tale titolo, devono essere soggetti a controllo preventivo da parte del garante europeo della protezione dei dati in quanto possono presentare rischi per i diritti e le libertà degli interessati, per la loro natura.

2. ANALISI DELLA PROPOSTA

2.1. Osservazioni generali

5. Il GEPD è consultato sulla base dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001.

Tuttavia, alla luce del carattere vincolante di tale disposizione, il presente parere dovrebbe essere citato nel preambolo del testo.

6. Il GEPD accoglie con favore la richiesta di consultazione sulla proposta di nuovo LC in quanto essa rientra nella politica di miglioramento e di sicurizzazione dei documenti di viaggio ai fini di una loro maggiore protezione contro la contraffazione.

2.2. Dati biometrici

7. La proposta di nuovo LC introduce la possibilità di trattare una nuova categoria di dati che merita un'attenzione particolare: ossia, i dati biometrici. Il GEPD riconosce l'importanza di migliorare la sicurezza dei lasciapassare ai fini della lotta contro la contraffazione e l'uso fraudolento di tali documenti. Tuttavia, l'introduzione di elementi biometrici di identificazione e i trattamenti dei corrispondenti dati personali devono rispettare un certo numero di principi intesi a tutelare i diritti e le libertà fondamentali delle persone e più specificamente i diritti di queste nei confronti del trattamento dei loro dati personali. Il rispetto di tali principi è tanto più imperativo quando sono in causa i dati biometrici che, per loro stessa natura, forniscono informazioni su una persona specifica, e a maggior ragione perché taluni dati biometrici possono lasciare tracce nella vita quotidiana delle persone e quindi essere raccolti a loro insaputa (in particolare le impronte digitali).

8. Oltre a ciò, la tendenza al ricorso a dati biometrici nei sistemi di informazione su scala europea (VIS, SIS II, EURODAC, passaporto europeo, ecc.) è in costante progressione, senza peraltro essere affiancata da un esame attento dei rischi potenziali e delle necessarie garanzie. Il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito a norma dell'articolo 29 ha giudicato che i dati di questo tipo [biometrici] rivestono un carattere particolare poiché riguardano le caratteristiche comportamentali e fisiologiche di una persona e consentono di identificarla senza ambiguità ⁽³⁾. È dunque opportuno che all'uso dei dati biometrici si affianchi l'adozione di garanzie supplementari e di modalità di controllo rafforzate.

9. In un precedente parere ⁽⁴⁾ il GEPD aveva già proposto di stilare un elenco di requisiti comuni e fondamentali, tenuto conto del carattere sensibile per definizione dei dati biometrici. Detto elenco dovrebbe applicarsi ad ogni sistema che fa ricorso alla biometria, a prescindere dalla sua natura.

10. Nel medesimo parere il GEPD aveva sottolineato l'importanza attribuita alla fase di arruolamento per i sistemi biometrici. Nel testo attuale della proposta non sono descritte in dettaglio né l'origine dei dati biometrici né la maniera in cui saranno raccolti. Essendo la fase di arruolamento una tappa fondamentale, non ci si può limitare a definirla negli allegati, poiché essa condiziona direttamente il risultato finale della procedura, ossia il tasso di falsi negativi o di falsi positivi che potrebbe risultarne.

11. A titolo di esempio il GEPD raccomanda che si istituiscano delle procedure di riserva di facile accesso (procedure di ordine tecnico e relative al diritto di accesso) da mettere in atto nel corso della fase di arruolamento, allo scopo di rispettare la dignità delle persone che non fossero in grado di fornire delle impronte accettabili per il sistema.

12. L'articolo 2 della proposta di regolamento precisa che il supporto di memorizzazione contiene i dati personali iscritti nel lasciapassare, una foto digitale del volto e le impronte digitali registrate in formati interoperabili.

L'articolo 4 della proposta precisa che gli elementi biometrici dell'LC sono utilizzati solo per verificare l'autenticità del documento e l'identità del titolare grazie ad elementi raffrontabili direttamente disponibili. Alla luce di questi due articoli, il GEPD desidera osservare quanto segue:

— la Commissione europea ha adottato il 28 febbraio 2005 la decisione volta a stabilire le specifiche tecniche relativa alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri e il 28 giugno 2006 la decisione che stabilisce le specifiche tecniche relative alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici nei passaporti e documenti di viaggio rilasciati dagli Stati membri, decisione che stabilisce specifiche tecniche supplementari per la memorizzazione e la protezione delle impronte digitali richieste. Il GEPD raccomanda che il regolamento citi queste due decisioni per quanto riguarda gli aspetti tecnici relativi ai dati biometrici e in particolare quelli riguardanti il formato delle impronte digitali e dell'immagine del volto.

— Per gli LC destinati ad essere usati in paesi terzi occorrerà accertarsi che i sistemi europei e quelli dei paesi terzi siano interoperabili. Il GEPD ha già affrontato questa problematica nel suo parere sul sistema VIS ⁽⁵⁾. Ancora una volta il GEPD ribadisce che l'interoperabilità dei sistemi non può essere instaurata a scapito del principio di limitazione delle finalità del trattamento dei dati e che qualsiasi proposta in tal senso dovrà essere sottoposta al suo vaglio.

— Sulla possibilità di memorizzare le impronte digitali in una banca dati istituzionale, che diventerebbe di conseguenza un registro degli LC rilasciati, il testo della proposta è vago. Nel parere 3/2005 ⁽⁶⁾ il Gruppo dell'articolo 29 sottolinea la sua opposizione alla memorizzazione dei dati biometrici e di altro tipo di tutti i titolari di passaporto all'interno dell'UE in una banca dati centralizzata dei passaporti e dei documenti di viaggio europei. Il GEPD ritiene che la stessa situazione valga nel caso dell'LC. L'uso dell'LC infatti serve a consentire di autenticare l'identità delle persone all'atto del loro attraversamento di una frontiera nei paesi terzi. Pertanto la creazione e la realizzazione di una banca dati centralizzata contenente i dati personali, e in particolare i dati biometrici, di tutti gli aventi diritto al rilascio di un LC non è giustificata, violerebbe il principio di base della proporzionalità e dovrebbe quindi essere evitata. Questa problematica va distinta dal trattamento operato sui formulari di richiesta di LC, gestiti dal servizio incaricato del rilascio di tali lasciapassare, questione su cui si ritornerà più oltre.

13. A livello di sicurezza dell'LC, la pagina dei dati personali leggibili a macchina è conforme al documento 9303 dell'ICAO, parte prima (passaporti leggibili a macchina), e le modalità per il suo rilascio sono conformi alle specifiche applicabili ai passaporti leggibili a macchina che figurano in detto documento, nonché alle norme minime di sicurezza previste nel regolamento n. 2252/2004.

2.3 Supporto tecnico

14. La proposta di regolamento prevede (all'articolo 2, paragrafo 2) che gli LC abbiano un supporto di memorizzazione dotato di capacità sufficiente per garantire l'integrità, l'autenticità e la riservatezza dei dati.

Tale disposizione è coerente con una risoluzione del Parlamento europeo del 2 dicembre 2004 ⁽⁷⁾ e con la posizione sostenuta dal Gruppo dell'articolo 29 ⁽⁸⁾.

15. Onde rispettare le decisioni applicabili in materia di sicurezza dei documenti di viaggio a livello europeo, va ricordato che un controllo di base dell'accesso è obbligatorio per tutti i dati memorizzati nel microprocessore, il che significa che ogni lettore dovrà essere dotato anche di uno scanner che ricaverà dai dati iscritti nel passaporto la chiave per aprire e leggere il microprocessore. Inoltre, un rigoroso controllo dell'accesso è obbligatorio per le impronte digitali. Questo sistema utilizza una cifratura che richiede una gestione ponderata delle chiavi d'accesso.

2.4 Finalità e proporzionalità

16. L'introduzione di elementi di identificazione biometrici e il conseguente trattamento di dati personali devono rispettare una serie di principi volti a proteggere i diritti e le libertà fondamentali delle persone, segnatamente i diritti di queste ultime in ordine al trattamento dei dati personali. Il rispetto di tali principi è tanto più imperativo quando sono in causa i dati biometrici che, per loro stessa natura, forniscono informazioni su una persona specifica, e a maggior ragione perché alcuni di essi possono lasciare tracce nella vita quotidiana delle persone e quindi essere raccolti a loro insaputa (in particolare le impronte digitali).

17. Pertanto, il GEPD rammenta che, a norma dell'articolo 6 della direttiva 95/46/CE, i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Inoltre, tali dati devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono raccolti e/o per le quali vengono successivamente trattati (principio di finalità).

18. I principi di finalità (i dati personali devono essere raccolti e trattati per finalità determinate ed esplicite e il loro successivo utilizzo può essere autorizzato soltanto nel rispetto di condizioni molto rigorose) e di proporzionalità (il trattamento dei dati personali è autorizzato solo nella misura in cui sia necessario e purché nessun'altra soluzione che arrechi minore pregiudizio alla vita privata sia altrettanto efficace) devono essere rispettati nel quadro del trattamento dei dati biometrici. Come già indicato, la realizzazione di una banca dati centralizzata contenente i dati personali, e in particolare i dati biometrici, di tutti gli aventi diritto al rilascio di un LC violerebbe il principio di proporzionalità.

2.5 Informazione e accesso

19. La proposta di regolamento contiene un riferimento al diritto all'informazione (diritto di accesso, verifica, rettifica o cancellazione dei dati) delle persone cui è rilasciato un lasciapassare. Tuttavia, il GEPD auspica l'aggiunta di un riferimento all'articolo 33 del regolamento 45/2001 nel considerando 6 della proposta sul diritto di ricorso del personale delle Comunità.

20. La designazione delle autorità e degli organismi abilitati a consultare i dati presenti sul supporto di memorizzazione dei documenti è disciplinata dalle disposizioni applicabili del diritto comunitario, del diritto dell'Unione europea o degli accordi internazionali. Il GEPD raccomanda che siano precisate le autorità destinatarie di tale regolamento nonché i diritti di accesso accordati. Occorre inoltre garantire che solo le autorità competenti possano accedere ai dati memorizzati nel microprocessore, ai fini della sicurezza del trattamento.

21. In caso di controllo dell'LC in un paese terzo, restano attualmente senza risposta altri interrogativi: a quali dati del supporto di memorizzazione avranno accesso i paesi terzi? Inoltre, esistono misure di protezione per assicurarsi che i paesi terzi non conservino i dati che hanno potuto consultare? Le questioni relative all'accesso a tali informazioni restano quanto meno problematiche.

3. ALTRE OSSERVAZIONI

3.1 Rilascio dell'LC

22. Per la gestione del rilascio degli LC, prevista nell'articolo 3 della proposta, è specificato che gli LC sono rilasciati da ogni istituzione, eventualmente attraverso un organismo specializzato. Tuttavia, una o più istituzioni possono affidare a una di loro il rilascio dei propri lasciapassare. È inoltre previsto che la Commissione designi, mediante appalto, un organismo incaricato della stampa degli LC vergini ed eventualmente della loro personalizzazione tramite aggiunta dei dati personali del titolare. Considerate la natura particolare dei trattamenti da effettuare e le necessarie condizioni di protezione da garantire al riguardo, le regole per la scelta dell'organismo incaricato del trattamento dovranno tenere conto in modo particolare dei principi del regolamento 45/2001 relativi alla sicurezza e alla riservatezza dei dati (articoli 21, 22 e 23 del regolamento).

23. Senza pregiudicare il contenuto del parere di controllo preventivo del GEPD, che farà seguito alla notifica (9) da parte del responsabile della protezione dei dati dell'istituzione o delle istituzioni competenti per il futuro trattamento degli LC, il GEPD desidera formulare, in questa fase, alcune osservazioni generali in merito al futuro trattamento.

3.2 Formulario

24. La documentazione presentata per consultazione non contiene elementi riguardanti il formulario che le persone interessate a un LC (o autorizzate ad averne uno) devono compilare. Tuttavia, in un caso trattato precedentemente dal GEPD è stato osservato che i dati personali trattati nel quadro del rilascio dei vecchi LC non sono relativi alla salute e, qualora alcuni di essi lo fossero (nella rubrica riservata alle caratteristiche particolari), non si tratterebbe comunque di dati obbligatori. Inoltre, si applica il consenso dell'interessato quale definito nell'articolo 2, lettera h) del regolamento 45/2001. Pertanto, e al fine di avere un'idea precisa del contenuto della procedura prevista, il GEPD raccomanda che una copia del formulario LC, come pure eventuali altri documenti utili ai fini dell'analisi del caso, siano allegati al fascicolo nel quadro della procedura di cui all'articolo 27 del regolamento 45/2001.

3.3 Qualità dei dati

25. L'articolo 4, paragrafo 1, lettera c) del regolamento 45/2001 stabilisce che «i dati personali devono essere (…) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono raccolti o successivamente trattati». I dati trattati nel quadro della procedura analizzata possono essere estremamente vari (almeno per i dati biometrici), sicché è difficile stabilire preventivamente e senza conoscere i singoli casi se siano «adeguati, pertinenti e non eccedenti». Di conseguenza, è importante che le persone che tratteranno i dati nell'ambito delle varie procedure siano correttamente informate circa l'obbligo di rispettare il principio stabilito dall'articolo 4, paragrafo 1, lettera c) e procedano al trattamento dei dati tenendo conto di tale obbligo. Nel quadro della procedura di cui all'articolo 27 del regolamento 45/2001, il GEPD raccomanderà l'elaborazione di linee di condotta destinate a informare correttamente tali persone circa i loro obblighi.

Chiederà inoltre di prevedere formazioni specifiche sui problemi connessi al trattamento dei dati sensibili.

26. Inoltre, i dati devono essere esatti e, se necessario, aggiornati (articolo 4, paragrafo 1, lettera d)). Alla luce degli elementi del fascicolo presentato, non è possibile verificare se sarà garantita l'esattezza dei dati.

Parimenti, non è possibile verificare, nella fase attuale, se la procedura o il sistema stesso garantirà pienamente il rispetto della qualità dei dati. Come sottolineato nel punto precedente, solo un'analisi nel quadro della procedura dell'articolo 27 consentirà di verificare l'esistenza di misure di protezione sufficienti.

3.4 Conservazione dei dati

27. Per i nuovi lasciapassare il testo prevede un periodo di validità di 5 anni. Tuttavia, esso non prevede la durata di conservazione dei dati relativi a ciascun fascicolo e quindi a ciascuna richiesta. Il regolamento 45/2001 stabilisce che i dati siano «conservati in modo da consentire l'identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti o successivamente trattati» (articolo 4, paragrafo 1, lettera e)). Come sottolineato in precedenza, va evitata la conservazione dei dati biometrici in una banca dati. Il GEPD raccomanda pertanto di separare il trattamento dei dati biometrici dal trattamento dei dati forniti nei formulari di richiesta di LC, che potrebbero essere conservati nel quadro del normale trattamento delle richieste di LC.

4. RACCOMANDAZIONI

28. Il GEPD accoglie con favore il fatto di essere consultato sul lasciapassare comunitario, a patto che si tenga conto delle osservazioni in appresso:

— Il presente parere deve essere menzionato nel preambolo del regolamento, prima dei considerando («visto il parere …»).

— Devono essere previste procedure di riserva facilmente accessibili durante la fase di arruolamento dei dati biometrici.

— Le decisioni della Commissione del 28/2/2005 e 28/6/2006 che stabiliscono le specifiche tecniche relative alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici nei passaporti e documenti di viaggio rilasciati dagli Stati membri devono essere menzionate quando si affrontano gli aspetti tecnici degli LC.

— I dati biometrici non devono essere memorizzati in una banca dati centralizzata.

— Il contenuto e il formato dei dati biometrici previsti e le garanzie connesse all'introduzione di siffatti dati negli LC devono essere descritti in modo più concreto.

— Occorre tener conto del fatto che l'interoperabilità dei sistemi non può essere instaurata in violazione del principio di limitazione delle finalità del trattamento dei dati e che qualsiasi proposta al riguardo dovrebbe essere sottoposta al GEPD.

— Nel trattamento dei dati biometrici è necessario accordare un'attenzione particolare ai principi di finalità e di proporzionalità.

— Al fine di attirare l'attenzione dei membri e degli agenti delle istituzioni, è opportuno aggiungere un riferimento all'articolo 33 del regolamento 45/2001 nel considerando 6 della proposta sul diritto di ricorso del personale delle Comunità.

— Il GEPD auspica che la proposta preveda l'elaborazione di un elenco limitativo delle autorità competenti che avranno accesso ai dati e la definizione dei diritti di accesso loro accordati.

— I criteri di selezione dell'organismo di cui all'articolo 3 della proposta devono essere accuratamente definiti, in ragione della natura particolare dei dati biometrici.

— La procedura di rilascio dei lasciapassare comunitari è soggetta al controllo preventivo da parte del garante europeo della protezione dei dati a norma dell'articolo 27, paragrafo 1 del regolamento 45/2001.

— Si dovrebbe fornire il formulario di richiesta di LC ai fini dell'analisi degli aspetti relativi alla protezione dei dati nel quadro del controllo preventivo, unitamente ad eventuali altri documenti utili ai fine dell'analisi del caso.

— È opportuno raccomandare l'elaborazione di linee di condotta destinate a informare correttamente le persone incaricate del trattamento dei dati circa i loro obblighi. Dovrebbero essere previste anche formazioni specifiche sui problemi connessi al trattamento dei dati sensibili.

— Occorrerà prevedere adeguate procedure per garantire il rispetto del principio di qualità dei dati.

Fatto a Bruxelles, addì 13 ottobre 2006

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE                                     
(1) Parere del 23 marzo 2005 sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (COM (2004) 835 definitivo) GU C 181.

(2) Parere del 19 ottobre 2006 su tre proposte concernenti il sistema d'informazione Schengen di seconda generazione (SIS II) (COM (2005)230 definitivo, COM (2005)236 definitivo e COM (2005) 237 definitivo), GU C 91.

(3) Documento di lavoro sulla biometrica (doc. MARKT/12168/02/FR—WP 80).

(4) Parere del 19 ottobre 2006 su tre proposte concernenti il sistema d'informazione Schengen di seconda generazione (SIS II) (COM (2005)230 definitivo, COM (2005)236 definitivo e COM (2005) 237 definitivo), GU C 91.

(5) Cfr. supra nota 1 GU C 181/26.

(6) Parere 3/2005 sull'applicazione del regolamento (CE) n. 2252/2004 del Consiglio, del 13 dicembre 2004, relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documento di viaggio rilasciati dagli Stati membri.

(7) Risoluzione legislativa del Parlamento europeo sulla proposta della Commissione di regolamento del Consiglio relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici nei passaporti dei cittadini dell'Unione (COM (2004)0116 — C5-0101/2004 — 2004/0039(CNS)), http://eur- lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52004AP0073(01):FR:HTML

(8) Lettera dal 18 agosto 2004 indirizzata dal presidente del Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito a norma dell'articolo 29 al Presidente del Parlamento europeo, al Presidente della commissione LIBE, al Segretario generale del Consiglio dell'Unione europea, al Presidente della Commissione europea, al direttore della DG Imprese e al direttore generale della DG Giustizia e affari interni (non pubblicata).

(9) Ai sensi dell'articolo 27, paragrafo 3 del regolamento (CE) 45/2001.