Parere del Garante europeo della protezione dei dati sulla proposta modificata di regolamento del Parlamento europeo e del Consiglio che istituisce l'«Eurodac» per il confronto delle impront digitali per l'efficace applicazione del regolamento (CE) n. (…/…) (che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide) e sulla proposta di decisione del Consiglio sulle richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto

Parere del Garante europeo della protezione dei dati sulla proposta modificata di regolamento del Parlamento europeo e del Consiglio che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione del regolamento (CE) n. (…/…) (che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide) e sulla proposta di decisione del Consiglio sulle richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto

(Pubblicato sulla GUUE n. C 92 del 10.4.2010)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽² ⁾, in particolare l'articolo 41,

vista la richiesta di parere a norma dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001, ricevuta il 15 settembre 2009 dalla Commissione europea,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 10 settembre 2009 la Commissione ha adottato due proposte: la proposta modificata di regolamento del Parlamento europeo e del Consiglio che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione del regolamento (CE) n. (…/…) (che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide) ⁽³⁾ e la proposta di decisione del Consiglio sulle richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto ⁽⁴ ⁾. Le proposte sono state inviate dalla Commissione al GEPD per consultazione e sono pervenute il 15 settembre 2009, conformemente all'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001 (di seguito «le proposte» o «il regolamento proposto» o «la decisione proposta»). Il GEPD ha ricevuto anche la valutazione d'impatto.

2. Il GEPD si rallegra di essere stato consultato e raccomanda che il riferimento alla consultazione figuri nei considerando della proposta, come è avvenuto per una serie di altri testi legislativi sui quali il GEPD è stato consultato, a norma del regolamento (CE) n. 45/2001.

3. Il GEPD nutre particolare interesse per queste proposte anche a fronte delle funzioni di controllo che esercita sulla base dati dell'unità centrale dell’Eurodac e del controllo coordinato che deve assicurare sull'intero sistema Eurodac di concerto con le autorità nazionali di protezione dei dati.

4. La questione dell'accesso a sistemi informatici su larga scala a fini di contrasto è già stata affrontata dal GEPD nell'ambito dell'accesso al sistema di informazione visti da parte delle autorità di contrasto e di Europol ⁽⁵⁾. L'oggetto delle proposte è inoltre strettamente collegato alla rifusione generale dei regolamenti Eurodac e Dublino sui quali il GEPD ha formulato due pareri il 18 febbraio 2009 ⁽⁶⁾.

II. CONTENUTO E CONTESTO DELLE PROPOSTE

5. Le proposte stabiliscono la base del diritto delle autorità designate degli Stati membri e di Europol di chiedere il confronto di dati dattiloscopici o immagini latenti con i dati Eurodac. Il confronto sarà fruttuoso se ne risulterà una risposta pertinente che sarà accompagnata da tutti i dati sull’impronta digitale conservati nell’Eurodac. Le richieste di informazioni supplementari a seguito di una risposta pertinente non sono disciplinate dalle proposte ma dagli strumenti vigenti nel settore dello scambio di informazioni a fini di contrasto. L’ambito di applicazione della proposta è la lotta ai reati di terrorismo e ad altri reati gravi, come la tratta degli esseri umani e il traffico di droga ⁽⁷ ⁾.

6. L'articolo 7 della decisione proposta fissa le condizioni d'accesso delle autorità designate a Eurodac. L'accesso è consentito soltanto quando il confronto con i dati conservati nelle banche dati nazionali d’identificazione dattiloscopica e con i sistemi nazionali automatizzati d’identificazione dattiloscopica degli altri Stati membri ai sensi della decisione 2008/615/GAI del Consiglio sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera ⁽⁸⁾ danno esiti negativi e quando il confronto è necessario per la lotta ai

reati di terrorismo e altri reati gravi, o in un caso specifico e laddove esistono fondati motivi per ritenere che il confronto contribuisca in misura sostanziale a combattere uno qualsiasi dei reati in questione. Il GEPD rileva che ai sensi dell'articolo 7 non si richiede che la persona interessata le cui impronte digitali formano oggetto della richiesta sia sospettato di uno dei reati di cui sopra.

7. Va ricordato che il sistema Eurodac è stato istituito per agevolare l'applicazione del regolamento Dublino, che consente di determinare lo Stato membro competente dell’esame di una domanda di asilo, confrontando le impronte dei richiedenti asilo con quelle degli immigranti illegali. Il sistema Eurodac permette agli Stati membri di identificare i richiedenti asilo e le persone fermate durante un attraversamento illecito delle frontiere esterne della Comunità. Confrontando le impronte gli Stati membri possono accertare se un richiedente asilo o un cittadino che si trova illegalmente in uno Stato membro hanno precedentemente chiesto asilo in un altro Stato membro o se un richiedente asilo è entrato illegalmente nel territorio del l'Unione. Quando è stato adottato, il regolamento istitutivo di Eurodac non prevedeva l'accesso della polizia; le impronte erano raccolte al fine specifico indicato nell'articolo 1, paragrafo 1 del regolamento Eurodac.

8. L'articolo 1, paragrafo 2 del regolamento proposto estende ora il fine del sistema Eurodac e aggiunge i fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi, alle condizioni illustrate nelle proposte. Questo cambiamento dell'obiettivo perseguito è chiarito nel considerando 6 della decisione proposta che recita: «poiché l’Eurodac è stato istituito per agevolare l’applicazione del regolamento Dublino, l’accesso alla banca dati ai fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi costituisce una nuova finalità rispetto a quella iniziale nonché un’ingerenza nel diritto al rispetto della vita privata di coloro i cui dati personali sono elaborati nell’Eurodac.»

9. L'accesso delle autorità di contrasto all'Eurodac è già stato annunciato in passato, alcuni anni dopo l'adozione del regolamento Eurodac; ne è fatta menzione ad esempio nel programma dell'Aia, nelle conclusioni del comitato misto del Consiglio GAI del 12-13 giugno 2007 e nella comunicazione della Commissione al Consiglio e al Parlamento europeo concernente il miglioramento dell’efficienza e l'incremento dell'interoperabilità e delle sinergie tra le banche dati europee nel settore della giustizia e degli affari interni, del 24 novembre 2005 ⁽⁹ ⁾: «In merito all’obiettivo della lotta al terrorismo e contro la criminalità, il Consiglio ritiene attualmente un problema il fatto che le autorità competenti per la sicurezza interna non possano accedere ai dati VIS. Lo stesso vale per tutti i dati relativi all’immigrazione contenuti in SIS II e per i dati di Eurodac.»

10. Come riconosciuto nella valutazione d'impatto e nella relazione, le proposte intese a rendere Eurodac accessibile alle autorità di contrasto hanno dato luogo a critiche considerevoli di varie parti interessate.

III. PUNTO CENTRALE DEL PARERE

11. Nel parere il GEPD analizza la legittimità delle proposte.

Tale analisi porterà a concludere che il GEPD nutre seri dubbi sulla legittimità delle proposte in questione e sull'opportunità di adottare strumenti legislativi su queste basi.

12. L'analisi si articola sulle fasi seguenti.

a) Punto di partenza: come pervenire ad un giusto equilibrio tra la necessità di sicurezza pubblica e il diritto alla protezione dei dati.

b) Le proposte come proseguimento di due tendenze generali:

i) alle autorità di contrasto riesce sempre più facile ricorrere ai dati personali di persone che non sono direttamente connesse ad un reato specifico e che sono stati raccolti per altre finalità;

ii) si sono proposti nuovi strumenti giuridici in aggiunta agli strumenti giuridici esistenti, che non sono stati ancora pienamente attuati; il che dà adito a dubbi quanto alla necessità di tali nuovi strumenti.

c) Specificità del caso in specie. Una cospicua quantità d'informazioni è già a disposizione delle autorità di contrasto in questo settore.

d) La proposta si ripercuoterà soprattutto su un determinato gruppo vulnerabile nella società, ossia i richiedenti asilo, col rischio di stigmatizzarli ulteriormente.

e) Tempi delle proposte. Le proposte sono state adottate senza aspettare due importanti svolte nel contesto che potevano avere un impatto rilevante: il programma di Stoccolma e l'entrata in vigore (eventuale) del trattato di Lisbona. Inoltre la proposta è redatta indipendentemente dalla rifusione generale dei regolamenti Eurodac e Dublino, che sono tuttora all'esame al Consiglio e al Parlamento europeo.

f) Compatibilità con l'articolo 8 della convenzione europea dei diritti dell'uomo.

13. Il parere non valuta nei dettagli le disposizioni di fondo delle proposte, che in generale sono di buon livello normativo: redatte correttamente, prevedono condizioni rigorose per la richiesta, da parte delle autorità designate degli Stati membri e di Europol, di confrontare i dati dattiloscopici con quelli conservati nella base dati centrale Eurodac.

Nondimeno nei punti 49-50 figurano alcune osservazioni di merito.

IV. PUNTO DI PARTENZA

14. Il GEPD tiene a sottolineare che un migliore scambio delle informazioni rappresenta un obiettivo politico essenziale per l'Unione europea. Tale enfasi sullo scambio di informazioni è tanto più logica in assenza di una forza di polizia europea, di un sistema europeo di giustizia penale e di un controllo delle frontiere completamente armonizzato a livello europeo. Le misure relative alle informazioni costituiscono pertanto contributi essenziali dell'Unione europea, in quanto consentono alle autorità nazionali degli Stati membri di affrontare efficacemente la criminalità transfrontaliera e di proteggere validamente le frontiere esterne. Dovrebbero tuttavia contribuire non solo alla sicurezza dei cittadini ma anche alle loro libertà fondamentali.

15. In altre parole, i governi necessitano di strumenti adeguati per garantire la sicurezza dei cittadini ma, nella nostra società europea, sono tenuti al pieno rispetto dei diritti fondamentali di questi ultimi. Spetta al legislatore dell'UE assicurare questo equilibrio. L'esigenza dei questo equilibrio è sottolineata esplicitamente dalla Commissione nella comunicazione del 10 giugno 2009 intitolata «Uno spazio di libertà, sicurezza e giustizia al servizio dei cittadini» ⁽¹⁰ ⁾.

Svolge altresì un ruolo importante nelle discussioni in ordine ad un nuovo programma pluriennale per lo spazio di libertà, sicurezza e giustizia («programma di Stoccolma»).

16. È utile in proposito sottolineare che la normativa sulla protezione dei dati non inficia affatto il legittimo interesse dei governi a tutelare la pubblica sicurezza. Se occorrono dati per una finalità specifica e legittima si possono usare, se necessario prevedendo ulteriori misure di garanzia. È inoltre essenziale che le informazioni siano raccolte, condivise e trattate unicamente sulla base di esigenze concrete di sicurezza e tenendo conto dei principi in materia di protezione dei dati.

17. La lotta contro i reati di terrorismo e altri reati gravi ⁽¹¹⁾ è certo un motivo legittimo per consentire il trattamento dei dati personali, nel rispetto dei diritti fondamentali alla vita privata e alla protezione dei dati. Tuttavia, per essere valida, la necessità dell'ingerenza deve poggiare su elementi chiari ed inconfutabili e la proporzionalità del trattamento deve essere dimostrata. A maggior ragione in caso di ingerenza estesa nei diritti di individui che appartengono ad un gruppo vulnerabile bisognoso di protezione, come previsto nelle proposte.

V. PROSEGUIMENTO DI TENDENZE GENERALI

Tendenza a concedere ai servizi di contrasto ampio accesso ai dati

18. Va sottolineato che le proposte non solo si iscrivono nella tendenza generale a concedere alle autorità di contrasto accesso a vari sistemi di informazione e identificazione su larga scala, ma costituiscono altresì un ulteriore passo avanti nella tendenza a concedere alle autorità di contrasto accesso ai dati di individui che in linea di massima non sono sospettati di alcun reato. Ciò riguarda inoltre dati raccolti per finalità non connesse con la lotta alla criminalità. Alcuni esempi recenti:

— direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE ⁽¹² ⁾;

— decisione 2008/633/GAI del Consiglio, del 23 giugno 2008, relativa all’accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorità designate degli Stati membri e di Europol ai fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi ⁽¹³ ⁾;

— proposta di decisione quadro del Consiglio sull'uso dei dati del codice di prenotazione (Passenger Name Record, PNR) nelle attività di contrasto ⁽¹⁴ ⁾.

19. Nei pareri relativi a tali iniziative, l'approccio del GEPD è critico nei confronti della concessione dell'accesso dei servizi di contrasto ai dati personali di cittadini che non sono sospettati di reato, dati raccolti per altre finalità. Il GEPD ha messo in evidenza la necessità di una giustificazione effettiva e di un esito positivo nelle prove di necessità e proporzionalità. Nel parere sul codice di prenotazione (PNR) ha addirittura messo in guardia contro una società di sorveglianza totale.

20. Tale approccio è illustrato nel parere del GEPD sulla comunicazione della Commissione del 10 giugno 2009 intitolata «Uno spazio di libertà, sicurezza e giustizia al servizio dei cittadini» ⁽¹⁵ ⁾. Nel parere si chiede di affrontare esplicitamente nel programma di Stoccolma la tendenza a servirsi d'informazioni raccolte per altri scopi. Occorrono condizioni rigorose, ad esempio che le richieste di dati debbano essere proporzionate, strettamente mirate e basate in linea di principio su sospetti relativi a determinate persone.

Necessità di un dibattito generale sull'accesso dei servizi di contrasto

21. Il parere si iscrive inoltre nel contesto di un dibattito più ampio sul futuro dello scambio d'informazioni nell'UE e sulla tendenza in aumento dell'accesso dei servizi di contrasto a banche dati immense. Il GEPD coglie l'occasione per sottolineare la necessità di una valutazione caso per caso di tutte le proposte di questo genere e di una visione coerente, completa e orientata al futuro della questione, preferibilmente collegata al programma di Stoccolma.

22. Oggi più che mai è evidente la necessità di riflettere a fondo su come dovrebbero configurarsi lo scambio d'informazioni e i sistemi informatici su vasta scala nell'UE. La riflessione dovrebbe tener debito conto, attraverso esami periodici, dei costi sotto il profilo della tutela della vita privata e dell'efficienza ai fini del contrasto, innanzi tutto in sede di proposta e discussione dei nuovi strumenti, ma anche in seguito, dopo l'attuazione. Occorrono, in materia, garanzie su misura, dando maggiore rilievo al principio di limitazione delle finalità. La visione dovrebbe comprendere una riflessione sull'entrata in vigore (eventuale) del trattato di Lisbona e le relative implicazioni sui sistemi la cui base giuridica risiede nel primo e terzo pilastro.

Valutazione degli strumenti esistenti

23. Le presenti proposte sono state adottate in aggiunta agli strumenti giuridici esistenti per la consultazione di dati dattiloscopici, che non sono stati ancora pienamente attuati. Il GEPD segnala in particolare la decisione Prüm ⁽¹⁶ ⁾, che gli Stati membri attueranno entro il giugno 2011.

Conformemente alla decisione gli Stati membri si accordano reciprocamente, tra le altre cose, l’accesso automatizzato ai sistemi nazionali automatizzati d’identificazione dattiloscopica (AFIS) sulla base di un criterio sì/no («hit/no hit»). Se una ricerca sulla base della decisione Prüm produce una risposta positiva (hit), è possibile ottenere informazioni supplementari, inclusi i dati personali, nello Stato membro che ha registrato l’impronta digitale nel suo AFIS nazionale conformemente al diritto nazionale, comprese le norme sull’assistenza giudiziaria reciproca.

24. Un altro strumento che può risultare utile in questo contesto è la decisione quadro 2006/960/GAI relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorità degli Stati membri dell'Unione europea incaricate dell'applicazione della legge ⁽¹⁷ ⁾. Questo strumento facilita lo scambio d'informazioni (impronte digitali e informazioni supplementari) in possesso o a disposizione delle autorità di contrasto degli Stati membri ed è operativo dal 18 dicembre 2008.

25. L'unico strumento in vigore da più tempo a disposizione degli Stati membri è quello tradizionale dell’assistenza giudiziaria reciproca in virtù della quale le autorità giudiziarie degli Stati membri possono chiedere l’accesso alle banche di dati dattiloscopici raccolti a fini penali e non penali, inclusi quelli sui richiedenti asilo, sulla base della convenzione relativa all'assistenza giudiziaria in materia penale.

26. Secondo il GEPD è essenziale innanzitutto attuare e valutare l'applicazione dei nuovi strumenti dell'UE che permettono ad uno Stato membro di consultare i dati dattiloscopici e altri dati a fini di contrasto conservati da un altro Stato membro nell'ambito della valutazione della necessità di accedere all'Eurodac.

27. Il rispetto del principio di proporzionalità implica non solo che la misura proposta sia efficace, ma anche che il fine perseguito dalla proposta non possa essere conseguito con gli strumenti a disposizione, che vanno valutati attentamente prima di istituire ulteriori/nuove misure per il trattamento delle informazioni personali. Secondo il GEPD, una siffatta valutazione globale non ha avuto luogo.

VI. SPECIFICITÀ DEL CASO IN ISPECIE

28. Come punto di partenza, il GEPD rileva che nella comunicazione del 24 novembre 2005 la Commissione ha ricordato che «la richiesta di asilo o di un visto non consentono in alcun modo di presupporre che un individuo, fino ad allora innocente, commetterà un reato penale o un atto terroristico. ⁽¹⁸⁾»

29. Le proposte riguardano l'accesso ai dati personali di persone che non solo in linea di massima non sono sospettate di alcun reato, ma anzi richiedono maggiore protezione in quanto fuggono da uno stato di persecuzione; costituiscono un gruppo particolarmente vulnerabile e la precarietà della

loro posizione va tenuta presente nel valutare la necessità e la proporzionalità dell'azione proposta.

30. Nella relazione della decisione proposta si rileva una carenza strutturale in termini di informazione e verifica non esistendo attualmente un sistema unico accessibile alle autorità di contrasto che consenta di determinare quale Stato membro sia in possesso di informazioni su un richiedente asilo.

31. Può darsi, ma questo non giustifica la necessità di disporre di queste informazioni sui richiedenti asilo, che come è stato detto sono un gruppo vulnerabile e in linea di massima non sospetto, mentre informazioni dattiloscopiche analoghe non sono disponibili su alcun altro gruppo della società. Vi possono essere buone ragioni, ma la Commissione non le fornisce.

32. Il GEPD attira inoltre l'attenzione su un'altra giustificazione delle proposte. Nella relazione della decisione proposta si indica che se una ricerca sulla base della decisione Prüm produce una risposta positiva (hit), è possibile ottenere informazioni supplementari, inclusi i dati personali, nello Stato membro che ha registrato l’impronta digitale nel suo AFIS nazionale conformemente al diritto nazionale, comprese le norme sull’assistenza giudiziaria reciproca. Detto questo, la Commissione sembra argomentare, per giustificare la proposta, che «questa procedura potrebbe rivelarsi efficace per gli Stati membri che conservano nell’AFIS nazionale sia le impronte digitali dei richiedenti asilo che quelle rilevate dalle autorità di contrasto, ma non per gli Stati membri che conservano nei rispettivi AFIS soltanto le impronte dei richiedenti asilo connesse a un reato». Questa motivazione è presentata nella valutazione d'impatto allegata alle proposte.

33. Il GEPD è tuttavia d'avviso che sia infondata. La conservazione sistematica delle impronte digitali dei richiedenti asilo che non sono connessi ad alcun reato nella stessa base dati con altre impronte digitali raccolte dalle autorità di contrasto – di richiedenti asilo e/o altre persone sospettate di reato o condannate – solleva di per sé serie perplessità quanto al principio di limitazione delle finalità e alla legittimità del trattamento dati. Anziché avvalersi di tale motivazione, la Commissione dovrebbe valutare se la conservazione sistematica è conforme alla normativa dell'UE sulla protezione dei dati.

VII. TEMPI DELLA PROPOSTA

34. La Commissione ha adottato le proposte in un momento di cambiamento del contesto.

35. Innanzitutto, l'adozione del programma di Stoccolma è prevista nel dicembre 2009. In questi mesi si è discusso intensamente sull'elaborazione di questo programma pluriennale per lo spazio di libertà, sicurezza e giustizia. L'uso e lo scambio d'informazioni sarà questione di rilievo nel programma di Stoccolma, con lo sviluppo di un modello europeo di informazione ⁽¹⁹⁾ o una strategia di gestione delle informazioni a livello di Unione europea per la sicurezza ⁽²⁰ ⁾. In questo contesto il GEPD raccomanda un approccio equilibrato in cui le garanzie di tutela della vita privata e della protezione dei dati siano inserite nei sistemi d'informazione già dalle prime fasi. L'oggetto delle presenti proposte rientreranno verosimilmente tra le attività del gruppo ad hoc «Scambio di informazioni» del Consiglio, strettamente legate al programma di Stoccolma.

36. In secondo luogo, il GEPD fa presente la necessità di riflettere sulle conseguenze dell'entrata in vigore del trattato di Lisbona sulla legislazione futura relativa alle attività di contrasto. La prima conseguenza è che tutte le proposte di questo tipo saranno in futuro soggette alla procedura legislativa ordinaria, che coinvolge parimenti il Consiglio e il Parlamento europeo. La seconda conseguenza è connessa all'abolizione della struttura a pilastri del trattato UE. Il trattato di Lisbona può richiedere che la Commissione debba presentare una nuova proposta su di una nuova base giuridica, eventualmente fondendo il regolamento e la decisione proposti in un unico strumento giuridico, il che comunque ne aumenterebbe la chiarezza giuridica.

37. In terzo luogo, il GEPD dubita inoltre della necessità di adottare la presente proposta in una procedura separata della rifusione generale dei regolamenti Eurodac e Dublino, che sono tuttora all'esame in sede di Consiglio e di Parlamento. Le presenti proposte implicano un cambiamento della finalità del sistema Eurodac mentre discussioni fondamentali sulla modifica del sistema stesso sono tuttora in corso, il che significa un'altra fondamentale modifica al sistema. Si sarebbe assicurata maggiore coerenza se queste proposte fossero state accorpate alla rifusione generale ⁽²¹⁾

o rinviate a dopo l'adozione della prima modifica.

38. Allo stato attuale, è meglio rinviare l'adozione della propo sta per evitare incertezza del diritto. La Commissione non pretende che le proposte siano adottate con urgenza e questa non è certamente motivata da altre circostanze.

VIII. COMPATIBILITÀ CON L'ARTICOLO 8 DELLA CEDU

39. Nella relazione del regolamento proposto è esplicitamente affrontata la questione della conformità con i diritti fondamentali, tra l'altro con l'articolo 8 della Carta dei diritti fondamentali dell’Unione europea (protezione dei dati personali). Secondo la Commissione, affinché il trattamento dei dati personali a fini di contrasto non contravvenga al diritto fondamentale alla protezione dei dati personali, in particolare ai principi di necessità e proporzionalità, la proposta fissa condizioni ferree.

40. Il GEPD non è convinto dell'affermazione della Commissione. Rileva che è essenziale valutare se le proposte superino la prova di legittimità a norma dell'articolo 8 della convenzione europea dei diritti dell'uomo, secondo l'interpretazione della Corte di giustizia e della Corte europea dei diritti dell'uomo. Le proposte dovrebbero rispettare i principi di necessità e di proporzionalità, tenendo conto del contesto degli strumenti in vigore. La Commissione dovrebbe procedere ad una dimostrazione credibile in questo senso nella proposta o nella relazione. La causa più pertinente in materia è S. e Marper c. Regno Unito ⁽²²⁾.

41. Il considerando 6 della decisione proposta recita «Un’ingerenza di questo tipo deve essere prevista dalla legge, che deve essere formulata con precisione sufficiente a consentire all’individuo di adeguare il proprio comportamento, e deve tutelare dall’arbitrarietà e indicare con sufficiente chiarezza il potere discrezionale conferito alle autorità competenti e il modo in cui tale potere è esercitato. In una società democratica qualunque ingerenza deve essere necessaria per conseguire un interesse legittimo e proporzionato e deve essere commisurata all’obiettivo legittimo che intende perseguire.» Tuttavia i considerando non motivano concretamente la necessità dello strumento proposto.

42. Secondo la giurisprudenza consolidata della Corte europea dei diritti dell'uomo un'ingerenza è considerata necessaria in una società democratica per una finalità legittima ai sensi dell'articolo 8, paragrafo 2 della CEDU se corrisponde ad un'esigenza sociale urgente e, in particolare se è proporzionata alla finalità legittima perseguita e se le ragioni addotte a giustificazione dalle autorità nazionali sono pertinenti e sufficienti ⁽²³ ⁾. Inoltre, le autorità nazionali godono di un margine discrezionale «la cui portata dipende non solo dalla finalità, ma altresì dal carattere proprio dell'ingerenza» ⁽²⁴ ⁾.

Il margine tende a restringersi laddove il diritto in gioco è essenziale per l'effettivo godimento di diritti privati o fondamentali ⁽²⁵⁾.

43. In tale contesto occorre soprattutto valutare la finalità del trattamento proposto dei dati personali: è chiaramente indicata, e ne sono dimostrate la necessità e la proporzionalità? Occorre inoltre dimostrare che nessun altro mezzo meno invasivo a disposizione può perseguire la finalità prevista.

44. Nella proposta si afferma che la finalità del sistema Eurodac è stata modificata rispetto a quella iniziale, come spiegato nel considerando 6 della decisione proposta ⁽²⁶⁾. Tuttavia, una semplice modifica di un atto legislativo non porta ad una misura compatibile con l'articolo 8 della CEDU. Si può perfino sostenere che la modifica legislativa non comporta alcun cambiamento di finalità. Anche in futuro i dati saranno conservati nel sistema Eurodac all'unico scopo di agevolare l'applicazione del regolamento Dublino. Solo in situazioni eccezionali, già esaminate sopra, le autorità di contrasto degli Stati membri vi avranno accesso. Pertanto, le proposte non modificano la finalità, ma devono considerarsi come eccezioni al principio di limitazione delle finalità ammissibili, a determinate condizioni, in base all'articolo 13 della direttiva 95/46/CE. Il GEPD non è tuttavia convinto che tali condizioni siano soddisfatte nel caso in esame.

45. Il GEPD sottolinea, in tale contesto, che non è sufficiente affermare nella proposta legislativa che la finalità è stata modificata per rendere la modifica accettabile. Una modifica legislativa non implica di per sé una valutazione diversa in merito al fatto se le proposte siano necessarie in una società democratica, proporzionate e altrimenti accettabili in base alle disposizioni citate nel punto precedente.

46. Il carattere invasivo degli strumenti proposti dalla Commissione è evidente. Tuttavia, la loro utilità e necessità sono lungi dall'essere dimostrate nelle proposte. La necessità dovrebbe essere dimostrata attraverso elementi sostanziali comprovanti l'esistenza di un legame tra i richiedenti asilo

e il terrorismo e/o forme gravi di criminalità, il che non avviene nelle proposte. È vero che persone sospette possono essere entrate nel territorio dell'UE presentando una falsa domanda d'asilo, ma il fatto che questo scenario sia possibile non ne fa un modello generale che giustificherebbe l'adozione degli strumenti in questione.

47. Inoltre, nel contesto in esame suscita particolare preoccupazione il rischio di stigmatizzazione derivante dal fatto che le persone nella posizione di richiedenti asilo, non condannate per alcun reato e aventi diritto alla presunzione di innocenza, sono trattate come sospetti a priori ⁽²⁷ ⁾. A tale riguardo, la Corte europea dei diritti dell'uomo considera che il diritto di qualsiasi persona alla presunzione di innocenza riconosciuto dalla Convenzione implichi la regola generale in virtù della quale non possono essere espressi sospetti sull'innocenza di una persona una volta che questa sia stata assolta ⁽²⁸⁾.

48. Il GEPD ritiene inoltre che l'eventuale argomento secondo cui l'accesso diretto delle autorità di contrasto a Eurodac è opportuno, agevole e rapido non sia sufficiente affinché la proposta soddisfi il criterio della necessità. La dimostrazione della necessità non può basarsi sulla mera utilità dell'accesso, anche in presenza di rigorose garanzie di protezione dei dati. In breve, il GEPD nutre notevoli dubbi sulla legittimità delle proposte in base all'articolo 8 della CEDU.

IX. ALCUNE OSSERVAZIONI DI MERITO

49. In via meramente incidentale, il GEPD raccomanda di precisare nel testo dell'articolo 2 bis del regolamento proposto o, in alternativa, di aggiungere alla decisione proposta che l'accesso all'Eurodac può essere concesso alle autorità di contrasto qualora abbiano un motivo specifico per ritenere che una persona sospetta abbia presentato una domanda di asilo in precedenza. Benché suggerita nella motivazione, tale condizione non è inclusa nel testo della proposta stessa. Il GEPD ritiene che tale garanzia apporti un impor tante valore aggiunto. Tuttavia, questa proposta non implica di per sé che il GEPD accetti il principio dell'accesso delle autorità di contrasto all'Eurodac, ma è da intendersi come raccomandazione sussidiaria.

50. Il GEPD rileva inoltre che i criteri rigorosi per l'accesso delle autorità designate all'Eurodac ⁽²⁹⁾ non si applicano all'accesso di Europol ai dati Eurodac. Le richieste di confronto di Europol sono ammesse ai fini di un’analisi specifica o di analisi generali di tipo strategico. Il GEPD si chiede come le più ampie possibilità offerte ad Europol possano conciliarsi con la motivazione fornita dalla Commissione, ossia che l'accesso è necessario solo per casi specifici, in circostanze specifiche e a condizioni rigorose.

X. CONCLUSIONE

51. Il GEPD nutre seri dubbi sulla legittimità delle proposte in questione e sull'opportunità di adottare strumenti legislativi sulla base delle medesime. Tali dubbi sono fondati sulle considerazioni espresse nel presente parere che possono essere sintetizzate come segue.

52. Il GEPD tiene a sottolineare che un migliore scambio delle informazioni rappresenta un obiettivo politico essenziale per l'Unione europea. I governi necessitano di strumenti adeguati per garantire la sicurezza dei cittadini ma, nella nostra società europea, sono tenuti al pieno rispetto dei diritti fondamentali di questi ultimi. Spetta al legislatore dell'UE assicurare questo equilibrio.

53. Le misure per combattere i reati di terrorismo e altri reati gravi possono costituire un motivo legittimo per consentire il trattamento di dati personali, a condizione che la necessità dell'ingerenza poggi su elementi chiari ed inconfutabili e la proporzionalità del trattamento sia dimostrata. Tale esigenza vale ancor più dal momento che le proposte riguardano un gruppo vulnerabile di persone che richiedono maggiore protezione in quanto fuggono da uno stato di persecuzione. Occorre tenere presente la precarietà della loro posizione nel valutare la necessità e la proporzionalità dell'azione proposta. Il GEPD rileva altresì il rischio di stigmatizzazione.

54. Il GEPD raccomanda di valutare la legittimità delle proposte in un contesto più ampio, vale a dire:

a) la tendenza a concedere alle autorità di contrasto l'ac cesso ai dati personali di soggetti non sospettati di alcun reato, raccolti per altre finalità;

b) la necessità di una valutazione caso per caso di tutte le proposte di questo genere e di una visione coerente, completa e orientata al futuro, preferibilmente collegata al programma di Stoccolma;

c) la necessità di procedere prima all'attuazione e alla valutazione dell'applicazione di altri nuovi strumenti dell'UE che consentono ad uno Stato membro di consultare i dati dattiloscopici e altri dati inerenti alle attività di contrasto in possesso di un altro Stato membro;

d) l'urgenza della proposta, tenuto conto del contesto giuridico e politico in evoluzione.

55. Per quanto riguarda la compatibilità delle proposte con l'articolo 8 della CEDU, il GEPD esprime dubbi sul cambiamento di finalità del sistema e sottolinea che la semplice affermazione della modifica della finalità in una proposta legislativa non costituisce tale cambiamento. Inoltre, una modifica legislativa non implica di per sé una valutazione diversa in merito al fatto se le proposte siano necessarie in una società democratica, proporzionate e altrimenti accettabili, in particolare tenuto conto delle disposizioni sulla limitazione delle finalità di cui alla direttiva 95/46/CE.

56. Il GEPD sottolinea che la necessità dovrebbe essere dimostrata attraverso elementi sostanziali comprovanti l'esistenza di un legame tra i richiedenti asilo e il terrorismo e/o forme gravi di criminalità, il che non avviene nelle proposte.

57. Infine, il GEPD si rallegra di essere stato consultato e raccomanda che il riferimento alla consultazione figuri nei considerando della proposta, come avvenuto per una serie di altri testi legislativi sui quali il GEPD è stato consultato, a norma del regolamento (CE) n. 45/2001. Il GEPD ha espresso anche alcune osservazioni sul merito delle proposte.

Fatto a Bruxelles, addì 7 ottobre 2009.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) COM(2009) 342 def.

( 4 ) COM(2009) 344 def.

( 5 ) Parere del 20 gennaio 2006 sulla proposta di decisione del Consiglio relativa all’accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorità degli Stati membri competenti in materia di sicurezza interna e di Europol ai fini della prevenzione, dell’individuazione e dell’investigazione di atti terroristici e di altre gravi forme di criminalità [COM(2005) 600 def.], GU C 97 del 25.4.2006, pag. 6.

( 6 ) Parere del 18 febbraio 2009 sulla proposta di regolamento che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione del regolamento (CE) n. (…/…) (che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide) [COM(2008) 825 definitivo] e parere del 18 febbraio 2009 sulla proposta di regolamento che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide [COM(2008) 820 definitivo].

( 7 ) Cfr. in particolare l'articolo uno della decisione proposta.

( 8 ) GU L 210 del 6.8.2008, pag. 1, di seguito «decisione Prüm».

( 9 ) COM(2005) 597 definitivo, punto 4.6.

( 10 ) COM(2009) 262 def. Cfr. anche il parere del GEPD del 10 luglio 2009 sulla comunicazione, punto 22.

( 11 ) Le finalità per le quali è consentito il confronto dei dati dattiloscopici figurano nell'articolo 1 della decisione proposta.

( 12 ) GU L 105 del 13.4.2006, pag. 54. Parere del GEPD del 26 settembre 2005, GU C 298 del 29.11.2005, pag. 1.

( 13 ) GU L 218 del 13.8.2008, pag. 129.

( 14 ) Non ancora adottata dal Consiglio; ultimo testo disponibile nel Registro del Consiglio in data 29 giugno 2009, doc. 5618/2/09. Parere del GEPD del 20 dicembre 2007, GU C 110 dell'1.5.2008,

( 15 ) Cfr. la nota 8.

( 16 ) Cfr. anche punto 6 e nota 6.

( 17 ) GU L 386 del 29.12.2006, pag. 89.

( 18 ) Op. cit., punto 9 del presente parere.

( 19 ) Terminologia usata dalla Commissione nella comunicazione del 10 giugno 2009, di cui alla nota 8.

( 20 ) Terminologia usata dalla presidenza svedese.

( 21 ) Cfr. punto 4.

( 22 ) Domande riunite, 30562/04 e 30566/04, S. e Marper c. Regno Unito, sentenza del 4 dicembre 2008 della CEDU, non ancora pubblicata.

( 23 ) Cfr., tra l'altro, la sentenza Gillow c. Regno Unito del 24 novembre 1986, serie A, n. 109, § 55.

( 24 ) Cfr. Leander/Svezia, sentenza 26 marzo 1987, Serie A, n. 116, § 59; cfr. altresì la sentenza della Corte di giustizia del 20 maggio 2003, Österreichischer Rundfunk e altri, cause congiunte C-465/2000, C-138/01 e C-139/01, Racc. (2003), pag. I-4989. punto 83.

( 25 ) Connors c. Regno Unito, sentenza del 27 maggio 2004, n. 66746/01, § 82.

( 26 ) Vedasi il punto 8 del presente parere.

( 27 ) S. e Marper.

( 28 ) Asan Rushiti c. Austria, n. 28389/95, punto 31, 21 marzo 2000, e ulteriori riferimenti, 33 EHRR 56.

( 29 ) Articolo 7 della decisione proposta; vedasi il punto 6 del presente parere.