Parere del GEPD sulla proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 2252/2004 del Consiglio relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 2252/2004 del Consiglio relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri

(Pubblicato sulla GUUE n. C 200 del 6.8.2008)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41,

HA ADOTTATO IL SEGUENTE PARERE:

1. INTRODUZIONE

1. Il 18 ottobre 2007 la Commissione europea ha presentato al Parlamento europeo e al Consiglio una proposta di regolamento (di seguito «la proposta») volta a modificare il regolamento (CE) n. 2252/2004 ⁽¹⁾. Il garante europeo della protezione dei dati (GEPD) non è stato consultato sulla proposta in questione, benché secondo l'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, al momento dell'adozione di una proposta legislativa sulla tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione debba consultare il garante europeo della protezione dei dati.

2. Il GEPD si rammarica che la Commissione non abbia ottemperato a tale obbligo giuridico e si attende di essere consultato in futuro su tutte le proposte che rientrano nel campo d'applicazione dell'articolo 28, paragrafo 2. Il GEPD ha deciso di formulare un parere di propria iniziativa. Data la natura cogente dell'articolo 28, paragrafo 2, il presente parere dovrebbe essere menzionato nel preambolo del testo.

3. Contesto della proposta: il 13 dicembre 2004 il Consiglio ha adottato il regolamento (CE) n. 2252/2004 relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri al fine di inserire i dati biometrici nei passaporti. Insieme agli elementi di sicurezza, i dati biometrici hanno lo scopo di rendere più stretto il legame tra il passaporto e il suo titolare. Il 28 febbraio 2005 la Commissione ha adottato la prima parte delle specifiche tecniche ⁽²⁾ relative alla memorizzazione dell'immagine del volto del titolare in un microprocessore di tipo senza contatto. Il 28 giugno 2006 la Commissione ha adottato una seconda decisione ⁽³⁾ relativa alla memorizzazione supplementare di due impronte digitali nel microprocessore del passaporto.

4. Per armonizzare le deroghe al passaporto biometrico la proposta ha aggiunto le misure seguenti: i bambini al di sotto di sei anni e le persone per cui il rilevamento sia fisicamente impossibile dovrebbero essere esentati dall'obbligo di fornire le loro impronte.

5. La proposta introduce altresì il principio cogente «una persona — un passaporto», come ulteriore misura di sicurezza e per tutelare maggiormente i bambini.

6. Il GEPD si rallegra del fatto che la Commissione abbia tenuto conto della questione delle procedure di ripiego, menzionate nei precedenti pareri, come indicato nella relazione introduttiva della presente proposta.

7. Il GEPD si rammarica che la Commissione non abbia proceduto ad una valutazione d'impatto su questa proposta. Non è infatti chiaro come la Commissione abbia potuto valutare adeguatamente la necessità e proporzionalità della proposta in ordine alle questioni di protezione dei dati senza l'ausilio di una rigorosa valutazione d'impatto. Tale analisi non dovrebbe limitarsi ai costi generati dalle nuove misure e potrebbe avvalersi delle questioni analoghe già sollevate nell'ambito di altre proposte, ad esempio quella sulla revisione dell'Istruzione consolare comune ⁽⁴⁾. La mancanza della valutazione d'impatto mette in evidenza la necessità di riesaminare il limite d'età indicato nella proposta, come illustrato in seguito nella parte 2.1 del presente parere.

2. ANALISI DELLA PROPOSTA

2.1. Deroghe biometriche

8. Il GEPD ha riconosciuto in diverse occasioni i benefici che l'uso degli identificatori biometrici presenta, ma ha anche sottolineato che tali benefici sono subordinati all'applicazione di rigorose clausole di salvaguardia. Nel parere sul SIS II ⁽⁵⁾, il GEPD ha proposto un elenco non esclusivo degli obblighi o requisiti comuni che occorre rispettare in un sistema che si avvalga dei dati biometrici. Tali elementi contribuiranno ad evitare che il titolare del passaporto sostenga l'onere delle imperfezioni del sistema, quali l'impatto degli errori di identificazione o il fallimento della registrazione.

9. Il GEPD sostiene pertanto con forza la proposta della Commissione di introdurre deroghe al rilevamento delle impronte digitali in base all'età della persona o alla sua incapacità di fornire tali impronte. Tali deroghe sono parte delle procedure di ripiego che andrebbero applicate. Il GEPD si rallegra altresì dello sforzo della Commissione di adottare un approccio coerente in diversi strumenti che trattano questioni simili, in quanto una proposta di deroga è stata introdotta anche nella proposta di revisione dell'Istruzione consolare comune.

10. Tuttavia il GEPD continua a ritenere tali deroghe insufficienti in quanto non affrontano tutte le possibili e pertinenti problematiche sollevate dalle imperfezioni inerenti ai sistemi di identificazione biometrica, e più specificamente quelle relative ai bambini e alle persone anziane.

Il caso dei bambini

11. Nella relazione introduttiva della proposta, la Commissione menziona dei progetti pilota condotti in alcuni Stati membri, dai quali è emerso che le impronte digitali dei bambini al di sotto di sei anni non sembrano di qualità sufficiente per i controlli d'identità «uno a uno». Tuttavia,poco o nulla è disponibile su questi progetti pilota e sulle circostanze nelle quali sono stati condotti; né è stato finora spiegato o definito cosa significhi «qualità sufficiente».

12. Secondo il GEPD, il limite d'età dei bambini per quanto riguarda il rilevamento delle impronte digitali dovrebbe essere stabilito in seguito ad uno studio approfondito e coerente che individui in modo adeguato la precisione dei sistemi in condizioni reali e che rifletta la diversità dei dati trattati. I progetti pilota non forniscono di per sè informazioni sufficienti da poter reggere le scelte fondamentali del legislatore comunitario.

13. Il GEPD ha già sottolineato la necessità di tale studio prima di definire qualsiasi limite di età nel parere ⁽⁶⁾ sulla proposta di regolamento recante modifica dell'Istruzione consolare comune. Né la letteratura scientifica disponibile né lo studio d'impatto precedente svolto dalla Commissione nel quadro della proposta sul sistema di informazione visti ⁽⁷⁾ contengono prove concludenti sulle quali ancorare solidamente il limite di età per i bambini.

14. Il GEPD raccomanda pertanto che la scelta di tale limite di età nella proposta sia considerata provvisoria. Dopo tre anni, tale limite d'età dovrebbe essere riveduto e suffragato da uno studio approfondito e di ampio raggio. Data la sensibilità dei dati biometrici e la dimensione competitiva dei sistemi di identificazione biometrica, il GEPD propone che tale studio si avvalga della gestione di un'unica istituzione europea di provata competenza che disponga della possibilità di effettuare prove in questo campo ⁽⁸⁾. Tutti gli operatori interessati, dall'industria alle autorità degli Stati membri, dovrebbero essere invitati a contribuire allo studio.

15. Prima di stabilire definitivamente il limite di età con questo studio e per evitare applicazioni pericolose, il GEPD raccomanda che il limite corrisponda a quelli già adottati su un ampio campione nel regolamento sul sistema Eurodac ⁽⁹⁾relativo ai richiedenti asilo (dove il limite di età per rilevare le impronte dei bambini è 14 anni) o nel programma«US Visit» ⁽¹⁰⁾ (14 anni anche in questo caso). Questi limiti potrebbero essere anche leggermente più bassi, in quanto l'uso dei dati biometrici è rigorosamente limitato ad una procedura di verifica (confronto uno a uno) a norma dell'articolo4, paragrafo 3, del regolamento (CE) n. 2252/2004.Infatti, si verificano in genere meno errori in questo tipo di procedura che in una di identificazione (confronto 1 a n)che presenta percentuali d'errore più elevate.

Il caso delle persone anziane

16. Le imperfezioni del sistema delle impronte digitali non riguardano soltanto i bambini più giovani, ma anche le persone anziane. In effetti, è stato dimostrato che la precisione e la possibilità di utilizzare le impronte digitali diminuiscono con l'età ⁽¹¹⁾ e anche gli aspetti di ordine pratico ed ergonomico sono di particolare importanza. Analogamente all'argomentazione per il limite d'età per i bambini,il GEPD raccomanda di introdurre, come ulteriore deroga,un limite d'età per le persone anziane, che può basarsi su esperienze simili già esistenti (il programma «US Visit» fissa il limite a 79 anni). La qualità delle impronte digitali delle persone anziane per le procedure di registrazione e corrispondenza deve far altresì parte dello studio suggerito precedentemente.

17. Infine, il GEPD ricorda che queste deroghe non devono in alcun modo ledere o discriminare le persone che saranno esentate a causa dell'età, in via precauzionale, o perché presentano impronte digitali palesemente illeggibili.

2.2. «Una persona — un passaporto»

18. Come spiegato nel sito web dell'Organizzazione internazionale per l'aviazione civile (ICAO), la raccomandazione relativa al concetto «una persona — un passaporto» ⁽¹²⁾ è stata predisposta soprattutto come eventuale soluzione per risolvere il problema della mancanza di uniformità in materia di passaporti dei genitori e della diffusione dei passaporti leggibili a macchina. Il GEPD riconosce che questo concetto potrebbe presentare l'ulteriore vantaggio di contribuire a lottare contro la tratta dei bambini. Tuttavia, lo scopo principale di un passaporto è di agevolare gli spostamenti dei cittadini europei e non di combattere la sottrazione di minori, per la quale esistono altre misure concrete ed efficaci.

19. Secondo uno studio recente ⁽¹³⁾, la maggior parte dei rischi di tratta o sottrazione di minori riguarda bambini che viaggiano da soli. È chiaro che per questa categoria di persone,il possesso di un documento di viaggio personale rappresenta una tutela supplementare. Va tuttavia sottolineato che,a norma dell'Associazione internazionale per il trasporto aereo (IATA), i bambini di età inferiore a sei anni non sono autorizzati a viaggiare senza la persona che esercita l'autorità genitoriale.

20. Nella relazione della proposta, la Commissione illustra la necessità di questa misura di sicurezza presentando l'esempio di un genitore e dei figli registrati sullo stesso passaporto e del fatto che nel microprocessore sarebbero inseriti soltanto i dati biometrici del genitore, non quelli dei bambini. Si rileva che per i bambini al di sotto del limite di età proposto dalla Commissione, i dati biometrici non saranno in alcun caso memorizzati nel passaporto. In tal caso, l'onere delle procedure e costi aggiuntivi per i genitori, nonché l'ulteriore raccolta di dati personali relativi ai bambini, sembrano eccessivi in considerazione dell'eventuale valore aggiunto offerto da questo principio.

21. Va anche rilevato che rendere tecnicamente possibile l'accesso ai dati o alla loro registrazione (fornendo un passaporto biometrico ai bambini che ne sono esonerati) costituisce di fatto, in molti casi, un potente incentivo ad accedere a tali dati o a raccoglierli. È lecito presumere che, una volta disponibili, le capacità tecniche saranno usate; in altre parole, sono talvolta i mezzi che giustificano il fine e non viceversa. Ciò può portare a richieste successive di requisiti giuridici meno vincolanti (e un limite d'età inferiore) per agevolare l'uso di queste possibilità tecniche. In tal caso cambiamenti giuridici potrebbero soltanto confermare prassi già correnti.

22. Il GEPD raccomanda di applicare il principio di «una persona — un passaporto» soltanto ai bambini di età superiore al limite proposto dalla Commissione o a quello che sarà riesaminato e confermato dallo studio summenzionato.

2.3. Documenti «originatori»

23. Negli Stati membri dell'UE il rilascio del passaporto è disciplinato dalle rispettive legislazioni nazionali. Esse richiedono la presentazione di vari documenti, come certificato di nascita, di cittadinanza, stato di famiglia, autorizzazione dei genitori, patente di guida, fatture dei servizi pubblici,ecc. Questi documenti sono in genere chiamati «originatori», in quanto il passaporto può essere rilasciato in base ad essi.

24. Al riguardo, le legislazioni degli Stati membri dell'UE differiscono ampiamente. Le modalità per il rilascio dei documenti«originatori» negli Stati membri, nonché dei documenti necessari per il rilascio del passaporto evidenziano una grande varietà di situazioni e procedure, che riducono inevitabilmente la qualità dei dati del passaporto e addiritturafavoriscono il rischio di furto d'identità.

25. I documenti «originatori», che contengono generalmente meno caratteristiche di sicurezza, sono più soggetti alla falsificazione e alla contraffazione, contrariamente a un passaporto con caratteristiche rafforzate che utilizza dati biometrici protetti da sistemi PKI.

26. Benché il GEPD accolga favorevolmente l'obiettivo della Commissione di potenziare le caratteristiche di sicurezza del passaporto, desidera sottolineare che esso costituisce soltanto uno degli anelli di una catena di sicurezza che inizia con questi documenti «originatori» e termina ai posti di controllo di frontiera, e che la sicurezza di tale catena è determinata dal suo anello più debole. Il GEPD raccomanda perciò alla Commissione di proporre misure supplementari per armonizzare le modalità di produzione dei documenti«originatori» e stabilire quali siano necessari per il rilascio del passaporto.

2.4. Attuazione del regolamento (CE) n. 2252/2004 e questioni emergenti

La memorizzazione dei dati biometrici

27. Secondo un'indagine accurata ⁽¹⁴⁾ svolta dal Gruppo dell'articolo29 per la protezione dei dati personali su richiesta della commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo e mirata alle prassi di attuazione del regolamento (CE) n. 2252/2004, vari Stati membri hanno previsto l'istituzione di una base dati centralizzata che memorizzi i dati biometrici del passaporto.Benché gli Stati membri possano procedere soltanto a verifiche dei dati biometrici attraverso la base dati centralizzata,come rigorosamente previsto dal regolamento, questa possibilità comporta rischi supplementari per la protezione dei dati personali che sarà difficile contenere, come per esempio lo sviluppo di ulteriori scopi non previsti dal regolamento,o addirittura ricerche non circostanziate nella base dati ⁽¹⁵⁾.

28. Il GEPD raccomanda che la Commissione proponga ulteriori misure di armonizzazione in modo da utilizzare soltanto la memoria decentrata (nel microprocessore senza fili del passaporto) per quanto riguarda i dati biometrici contenuti nei passaporti degli Stati membri dell'UE.

Procedure di registrazione e corrispondenza

29. La decisione C(2006) 2909 della Commissione ⁽¹⁶⁾, del28 giugno 2006, ha definito soltanto il formato e la qualità delle immagini delle impronte digitali che dovrebbero essere trattate, nonché le modalità relative alla loro protezione(controllo dell'accesso esteso). Nella proposta non vi sono indicazioni né sull'eventuale tasso di fallimento nella registrazione(FTER) né sulle percentuali relative alla procedura di corrispondenza. La proposta ha effettivamente previsto procedure di ripiego per i bambini (limite di età) ma non definisce la soglia al di sotto della quale le impronte digitali non sono qualitativamente accettabili per la registrazione.

30. Anche per quanto riguarda la procedura di corrispondenza,la proposta non definisce quale tasso di falso rifiuto (FRR)vada applicato alla frontiera e neppure come trattare le persone che apparentemente siano state rifiutate per errore.

Questa mancanza di uniformità nei tassi potrebbe portare a trattamenti diversi dei dati biometrici dei cittadini dell'UE,secondo la frontiera scelta per entrare nella zona Schengen,con conseguente disparità di trattamento dei cittadini europei per quanto riguarda il rischio residuo dei sistemi biometrici. Poiché il procedimento consiste in un confronto uno-a-uno, il GEPD riconosce che l'FRR sarà minore rispetto a quello applicato per la procedura di identificazione e vi saranno pertanto meno casi da trattare. Per queste persone è tuttavia necessario prevedere procedure di ripiego da definire in modo soddisfacente ed armonizzato.

31. Il GEPD raccomanda che la Commissione, di concerto con le autorità degli Stati membri, proponga tassi comuni per la procedura di registrazione e corrispondenza, corredati di procedure di ripiego.

3. CONCLUSIONE

32. Le modifiche proposte alle norme in vigore sui requisiti per le caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri hanno sollevato questioni analoghe a quelle trattate in opinioni precedenti, benché il GEPD apprezzi il fatto che si sia ora tenuto conto della necessità di procedure di ripiego.

33. Il GEPD accoglie altresì con favore l'introduzione di deroghe basate sull'età della persona o sulla sua impossibilità a rilasciare impronte digitali, nonché l'impegno ad adottare un approccio coerente nei diversi strumenti che trattano questioni simili.

34. Tuttavia il GEPD continua a ritenere tali deroghe insufficienti in quanto non affrontano tutte le possibili e pertinenti problematiche sollevate dalle imperfezioni inerenti ai sistemi di identificazione biometrica, e più specificamente quelle relative ai bambini e alle persone anziane.

35. Il limite d'età dei bambini dovrebbe essere stabilito inseguito ad uno studio approfondito e coerente che individui in modo adeguato la precisione dei sistemi in condizioni reali e che rifletta la diversità dei dati trattati. Lo studio dovrebbe essere eseguito da un'istituzione europea di provata competenza e che disponga delle infrastrutture adeguate in questo settore.

36. Prima che lo studio definisca il limite d'età, e per evitare qualsiasi applicazione pericolosa, il limite provvisorio dovrebbe coincidere con quello già adottato per un ampio campione, nel sistema Eurodac o nel programma «US Visit»(14 anni di età), oppure essere leggermente inferiore, in quanto è limitato al contesto di una procedura di verifica.

37. Come deroga supplementare, si dovrebbe introdurre un limite di età per le persone anziane, che si può basare su esperienze analoghe («US Visit»: 79 anni). Tali deroghe non dovrebbero in nessun caso ledere o discriminare le persone interessate.

38. Il principio di «una persona — un passaporto» si dovrebbe applicare soltanto ai bambini di età superiore al limite pertinente.

39. In considerazione delle differenze riscontrate nelle legislazioni nazionali in materia di documenti necessari per il rilascio dei passaporti, la Commissione dovrebbe proporre misure supplementari per la produzione e l'uso di tali documenti«originatori».

40. La Commissione dovrebbe inoltre proporre ulteriori misure di armonizzazione in modo da utilizzare soltanto la memoria decentrata dei dati biometrici raccolti per i passaporti degli Stati membri.

41. Infine la Commissione, di concerto con le autorità degli Stati membri, dovrebbe proporre tassi comuni per la procedura di registrazione e corrispondenza, corredati di procedure di ripiego.

Bruxelles, 26 marzo 2008.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

(1) COM(2007) 619 defin.

(2) La decisione C(2005) 409 figura in:

http://ec.europa.eu/justice_home/doc_centre/freetravel/documents/doc_freetravel_documents_it.htm

(3) La decisione C(2006) 2909 figura in:

http://ec.europa.eu/justice_home/doc_centre/freetravel/documents/doc_freetravel_documents_it.htm

(4) Proposta di regolamento del Parlamento europeo e del Consiglio recante modifica dell'Istruzione consolare comune diretta alle rappresentanze diplomatiche e consolari di prima categoria in relazione all'introduzione di elementi biometrici e comprendente norme sull'organizzazione del ricevimento e del trattamento delle domande di visto [COM(2006) 269 defin.]

(5) Parere del 19 ottobre 2005 su tre proposte riguardanti il sistema d'informazione Schengen di seconda generazione (SIS II) [COM(2005) 230 defin., COM(2005) 236 defin. e COM(2005) 237 defin.] (GU C 91 del 19.4.2006, pag. 38).

(6) Parere del 27 ottobre 2006 sulla proposta di regolamento del Parlamento europeo e del Consiglio recante modifica dell'Istruzione consolare comune diretta alle rappresentanze diplomatiche e consolari di prima categoria in relazione all'introduzione di elementi biometrici e comprendente norme sull'organizzazione del ricevimento e del trattamento delle domande di visto [COM (2006) 269 defin.] —2006/0088 (COD) (GU C 321 del 29.12.2006, pag. 38).

(7) Proposta di regolamento del Parlamento europeo e del Consiglio concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata [COM(2004) 835 definitivo], presentato dalla Commissione il 28 dicembre 2004.

(8) Il GEPD propone ad esempio di attribuire questo compito al Centro comune di ricerca della Commissione europea.

(9) Regolamento (CE) n. 2725/2000 del Consiglio, dell'11 dicembre 2000, che istituisce l'«Eurodac» per il confronto delle impronte digitali per l'efficace applicazione della convenzione di Dublino (GU L 316 del 15.12.2000, pag. 1).

(10) Le deroghe del programma «US Visit» figurano in: http://www.dhs.gov/xtrvlsec/programs/editorial_0527.shtm

(11) Fingerprint Image Quality Evaluation: Elderly and Younger Populations (Valutazione della qualità d'immagine delle impronte digitali presso i giovani e gli anziani) N.C. Sickler & S.J. Elliott, Ph.D., Dipartimento di Tecnologia industriale, Scuola di Tecnologia, Università Purdue, West Lafayette, IN 47907, A. Hicklin e R. Khanna, The Role of Data Quality in Biometric Systems (Il ruolo della qualità dei dati nei sistemi biometrici), MTS, 9 febbraio 2006.

(12) http://www.icao.int/icao/en/atb/fal/passport_concept.htm

(13) Lo studio figura in: http://www.childfocus.be/fr/activities_5_2.php?id=112

Una sintesi in inglese dello studio si trova in: http://www.childfocus.be/uploads/documents/114-414-samenvatting %20eng%20definitief.doc

(14) Cfr. lettera, del 10 dicembre 2007, con allegato, del presidente del Gruppo dell'articolo 29 al presidente della commissione LIBE sui passaporti dell'UE, figurante in: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/others/2007_12_10_letter_cavada_biopassports_en.pdf

http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/others/2007_12_10_letter_cavada_biopassports_replies_en.pdf

(15) Cfr. parere n. 3/2005 del Gruppo dell'articolo 29, del 30 settembre 2005 (WP 112). (16) Cfr. nota in calce 3.