Sintesi del parere del Garante europeo per la protezione dei dati sulle proposte di regolamento che istituisce un sistema di ingressi/uscite (EES) e di regolamento che istituisce un programma per viaggiatori registrati (RTP)

Sintesidel parere del Garante europeo per la protezione dei dati sulle proposte diregolamento che istituisce un sistema di ingressi/uscite (EES) e di regolamentoche istituisce un programma per viaggiatori registrati (RTP)

(Pubblicato sulla GUUE n. C 32 del 4/2/2014)

I. Introduzione

I.1. Consultazionedel GEPD

1. Il 28febbraio 2013 la Commissione ha adottato le seguenti proposte (in appresso: ´leproposteª):

—proposta di regolamento del Parlamento europeo e del Consiglio che istituisceun sistema di ingressi/ uscite (entry/exit system — EES) per laregistrazione dei dati di ingresso e uscita dei cittadini di paesi terzi cheattraversano le frontiere esterne degli Stati membri dell'Unione europea (inappresso: ´la proposta EESª) ⁽¹ ⁾;

—proposta di regolamento del Parlamento europeo e del Consiglio che istituisceun programma per viaggiatori registrati (registered traveller programme— RTP) (in appresso: ´la proposta RTPª) ⁽² ⁾;

—proposta di regolamento del Parlamento europeo e del Consiglio che modifica ilregolamento (CE) n. 562/2006 per quanto riguarda l'uso del sistemad'ingressi/uscite e il programma per viaggiatori registrati (in appresso: ´laproposta di modificaª) ⁽³ ⁾.

2. Lo stessogiorno le proposte sono state trasmesse al GEPD per consultazione. Primadell'adozione delle proposte, il GEPD aveva avuto la possibilità di formulareosservazioni informali alla Commissione.

3. Il GEPD sicompiace del riferimento a tale consultazione che figura nel preambolo siadella proposta EES sia della proposta RTP.

I.2. Contesto

4. Lacomunicazione della Commissione del 2008 ´Preparare le prossime fasi dellagestione delle frontiere nell'Unione europeaª proponeva nuovi strumenti per lafutura gestione delle frontiere europee, fra cui un sistema d'ingressi/uscite(in appresso: ´EESª) per la registrazione elettronica dei dati d'ingresso ed'uscita dei cittadini di paesi terzi e un programma per viaggiatori registratiinteso a facilitare l'attraversamento delle frontiere per i viaggiatori inbuona fede (in appresso: ´RTPª). Prendeva altresì in considerazionel'introduzione di un sistema elettronico di autorizzazione di viaggio (ESTA)per i cittadini di paesi terzi esenti dall'obbligo del visto.

5. Taliproposte sono state avallate dal Consiglio europeo del dicembre 2009 nelprogramma di Stoccolma ⁽⁴⁾. Tuttavia, nella suacomunicazione del 2011 sulle frontiere intelligenti, la Commissione ⁽⁵⁾ considerava che la creazione di un'ESTA avrebbe dovuta essereaccantonata per il momento perché ´il potenziale contributo al rafforzamentodella sicurezza degli Stati membri non giustificherebbe infatti né la raccoltadi dati personali su tale scala, né il costo finanziario e l'impatto sullerelazioni internazionaliª ⁽⁶ ⁾. Annunciava inoltre l'intenzione di presentare proposte per unsistema di ingressi/uscite (EES) e un programma per viaggiatori registrati(RTP) nel primo semestre del 2012.

6.Successivamente, il Consiglio di giugno 2011 chiedeva che il lavoro sulle´frontiere intelligentiª fosse portato avanti rapidamente e sollecitaval'introduzione dell'EES e dell'RTP ⁽⁷ ⁾.

7. Il gruppo dilavoro articolo 29 si è espresso in merito alla comunicazione della Commissionesulle frontiere intelligenti, che ha preceduto le proposte, in una lettera alCommissario Malmstrˆm del 12 giugno 2012 ⁽⁸ ⁾. Più di recente, il 6giugno 2013 il gruppo di lavoro ha adottato un parere che mette in discussionela necessità del pacchetto frontiere intelligenti ⁽⁹⁾.

8. Il presenteparere si basa su queste posizioni, nonché su un precedente parere del ^GEPD(¹⁰⁾ in merito allacomunicazione della Commissione del 2011 sulla migrazione ⁽¹¹⁾ e sulle osservazioni preliminari del GEPD ⁽¹²⁾ relative a tre comunicazioni sulla gestione delle frontiere(2008) ⁽¹³ ⁾. Si avvale inoltre del contributo offerto nella tavola rotondadel GEPD sul pacchetto frontiere intelligenti e sulle implicazioni per laprotezione dei dati ⁽¹⁴⁾.

I.3. Obiettivodelle proposte

9. L'articolo 4della proposta EES ne specifica la finalità. La proposta ha lo scopo dimigliorare la gestione delle frontiere esterne dell'UE, la lottaall'immigrazione irregolare, l'attuazione della politica di gestione integratadelle frontiere e la cooperazione e la consultazione tra le autorità difrontiera e le autorità competenti per l'immigrazione. Prevede un sistemainteso a:

a) migliorarele verifiche ai valichi di frontiera esterna e contrastare l'immigrazioneirregolare;

b) calcolare econtrollare il calcolo della durata del soggiorno autorizzato dei cittadini dipaesi terzi ammessi per un soggiorno di breve durata;

c) contribuireall'identificazione di chiunque non soddisfi o non soddisfi più le condizionid'ingresso o di soggiorno nel territorio degli Stati membri;

d) permetterealle autorità nazionali degli Stati membri di identificare i soggiornanti fuoritermine e prendere le opportune misure;

e) raccoglieredati statistici sugli ingressi e le uscite dei cittadini di paesi terzi a finidi analisi.

10. Il sistemadovrebbe contribuire a controllare il soggiorno autorizzato, fornendoinformazioni rapide e precise alle guardie di frontiera e ai viaggiatori.Sostituirebbe l'attuale sistema della timbratura manuale dei passaporti,considerato lento e poco affidabile, e migliorerebbe l'efficienza dellagestione delle frontiere ⁽¹⁵ ⁾.

11.Faciliterebbe inoltre, grazie alla conservazione dei dati biometrici,l'identificazione delle persone che non soddisfano le condizioni di ingresso odi soggiorno nell'UE, specialmente in mancanza di documenti di identificazione.Inoltre, l'EES fornirebbe una panoramica precisa dei flussi di viaggio e ilnumero di soggiornanti fuori termine, consentendo l'elaborazione di unapolitica fondata su elementi concreti, ad esempio in materia di obbligo delvisto. Questo costituisce il fine ultimo dell'utilizzo dei dati statistici dicui all'articolo 4.

12. L'EEScostituirebbe la base per l'RTP, inteso a facilitare l'attraversamento dellefrontiere da parte dei cittadini di paesi terzi che viaggiano di frequente esono stati sottoposti a esame preventivo e a controllo preliminare disicurezza. I viaggiatori registrati avrebbero un dispositivo di autenticazione(´tokenª) con un identificatore unico che all'arrivo e alla partenza allafrontiera verrebbe passato nel lettore di una porta automatica. I dati deltoken, le impronte digitali e, se applicabile, il numero di visto adesivoverrebbero confrontati con quelli conservati nel registro centrale e in altrebanche dati. Se tutte le verifiche vanno a buon fine, il viaggiatore potràoltrepassare la porta automatica. In caso di problemi, il viaggiatore sarebbeassistito da una guardia di frontiera.

13. Infine, laproposta di modifica ha l'obiettivo di adeguare il regolamento (CE) n. 562/2006che istituisce un codice comunitario relativo al regime di attraversamentodelle frontiere da parte delle persone (in appresso: ´codice frontiereSchengenª) alle nuove proposte EES e RTP.

I.4. Contestoe struttura del presente parere

14. Il progettodi istituire un sistema elettronico per controllare gli ingressi e le uscitedal territorio dell'UE non è nuovo e diverse comunicazioni della Commissionesopra menzionate avevano spianato la strada per le proposte oggetto dellapresente analisi. Il pacchetto frontiere intelligenti dovrebbe essere valutato,quindi, nella prospettiva di tali sviluppi. In particolare, occorre tenereconto degli elementi seguenti.

15. Nelprogramma di Stoccolma la Commissione ha seguito l'approccio strategico distabilire la necessità di sviluppare un modello europeo di scambiod'informazioni basandosi sulla valutazione degli strumenti esistenti. Talemodello sarà basato, fra l'altro, su un robusto sistema di protezione dei dati,insieme a un sistema di raccolta dati mirato, e sulla razionalizzazione deidiversi strumenti, compresa l'adozione di un piano commerciale per sistemi ITsu larga scala. Il programma di Stoccolma richiama la necessità di garantire lacoerenza dell'attuazione e della gestione dei vari strumenti d'informazione conla strategia per la protezione dei dati personali e il piano commerciale per lacreazione di sistemi IT su larga scala ⁽¹⁶ ⁾.

16. Un'analisiglobale è ancora più necessaria in considerazione dell'esistenza e della futuraelaborazione e attuazione di sistemi IT su larga scala, quali Eurodac ⁽¹⁷⁾, VIS ⁽¹⁸⁾ e SIS II ⁽¹⁹ ⁾. Un sistema per lefrontiere intelligenti è uno strumento aggiuntivo per raccogliere grandiquantità di dati personali nella prospettiva dei controlli di frontiera.Quest'approccio globale è stato confermato di recente dal Consiglio GAI che hasottolineato l'esigenza di imparare dall'esperienza del SIS con riferimento, inparticolare, all'aumento dei costi ⁽²⁰ ⁾. Il GEPD ha ancheosservato che ´un modello europeo d'informazione non può essere concepito sullabase di considerazioni tecnicheª, viste le opportunità quasi illimitate offertedalle nuove tecnologie. Le informazioni dovrebbero essere elaborate solo sullabase delle concrete esigenze di sicurezza ⁽²¹ ⁾.

17. L'analisidell'EES e dell'RTP da un punto di vista della vita privata e della protezionedei dati personali deve essere realizzata alla luce della Carta dei dirittifondamentali dell'Unione europea ⁽²²⁾ (in appresso: ´la Cartaª), in particolare dei suoi articoli 7 e8. L'articolo 7, che è simile all'articolo 8 della Convenzione europea per lasalvaguardia dei diritti dell'uomo ⁽²³⁾ (CEDU), prevede un diritto generale al rispetto della vita privatae familiare e tutela la persona da ingerenze da parte delle autorità pubbliche,mentre l'articolo 8 della Carta sancisce per ogni persona il diritto a che isuoi dati personali siano trattati solo nel rispetto di condizioni specifiche.I due approcci sono differenti e complementari. Il pacchetto frontiereintelligenti sarà valutato in base a queste due prospettive.

18. Il presenteparere s'incentra soprattutto sulla proposta EES — che è la più rilevantedal punto di vista della vita privata e della protezione dei dati — ed èstrutturato come segue:

— lasezione II contiene una valutazione generale del sistema di ingressi/uscite,incentrandosi sul rispetto degli articoli 7 e 8 della Carta;

— lasezione III contiene osservazioni su disposizioni più specifiche dell'EESconcernenti il trattamento dei dati biometrici e l'accesso da parte delleautorità di contrasto;

— lasezione IV include osservazioni su altre questioni sollevate dall'EES;

— lasezione V si incentra sull'RTP;

— lasezione VI riguarda la necessità di introdurre ulteriori salvaguardie per lasicurezza dei dati;

— lasezione VII racchiude le conclusioni.

VII. Conclusioni

102. Ilpacchetto frontiere intelligenti mira a creare un nuovo sistema IT su largascala per integrare i meccanismi esistenti di controllo delle frontiere. Lalegittimità di questo sistema deve essere valutata alla luce dei principi dellaCarta, in particolare l'articolo 7 sul diritto al rispetto della vita privata edella vita familiare e l'articolo 8 sulla protezione dei dati personali, conl'obiettivo di valutare non solo l'interferenza nei diritti fondamentali daparte del nuovo sistema, ma anche le salvaguardie per la protezione dei datipreviste nelle proposte.

103. In taleprospettiva, il GEPD conferma che il sistema EES proposto costituisceun'interferenza nel diritto al rispetto della vita privata e della vitafamiliare. Pur apprezzando le salvaguardie contenute nella proposta ericonoscendo gli sforzi compiuti dalla Commissione in tal senso, conclude chela necessità rimane la questione essenziale: è in gioco l'efficienza in terminidi costi del sistema non soltanto da un punto di vista finanziario, ma anche inrelazione ai diritti fondamentali, visti nel contesto globale dei sistemi edelle politiche sulle frontiere esistenti.

104. Il GEPDformula le seguenti raccomandazioni per quanto riguarda l'EES:

— Lanecessità e la proporzionalità del sistema potrebbero essere dimostratepositivamente in conformità dell'articolo 7 della Carta soltanto dopol'elaborazione di una chiara politica europea in materia di gestione deisoggiornanti fuori termine e dopo che il sistema sia stato valutato nel contestopiù globale dei sistemi IT su larga scala esistenti.

— Iprincipi di protezione dei dati dovrebbero essere rafforzati in conformitàdell'articolo 8 nel modo seguente:

— lefinalità dovrebbero essere limitate e la configurazione del sistema non dovrebbeimpedire la futura valutazione di ogni possibile accesso ai dati EES a fini dicontrasto.

— Idiritti degli interessati dovrebbero essere rafforzati, in particolare perquanto riguarda il diritto all'informazione e le possibilità di ricorso,tenendo conto della necessità di specifiche salvaguardie per le decisioniautomatiche adottate in relazione al calcolo della durata del soggiorno.

— Lasorveglianza dovrebbe essere integrata con una panoramica chiara delladistribuzione delle competenze a livello nazionale, per garantire che gliinteressati esercitino i loro diritti presso l'autorità preposta.

—L'uso di dati biometrici dovrebbeessere oggetto di una valutazione d'impatto mirata e, se ritenuto necessario,il trattamento di tali dati dovrebbe essere oggetto di specifiche salvaguardiecirca il processo di acquisizione, il livello di accuratezza e la necessità diuna procedura di riserva. Inoltre, il GEPD mette fortemente in discussione lapresa di 10 impronte digitali invece di due o quattro, che sarebbero in ognicaso sufficienti ai fini delle verifiche.

— Imotivi per i quali il trasferimento di dati EES a paesi terzi è necessario peril rimpatrio di cittadini di paesi terzi dovrebbero essere comprovati.

105. Sebbenel'RTP non sollevi le stesse questioni sostanziali dell'EES rispettoall'interferenza nei diritti fondamentali, il GEPD richiama tuttavial'attenzione del legislatore sui seguenti aspetti:

— siriconosce la base volontaria del sistema, ma il consenso dovrebbe essereconsiderato come valido motivo giuridico per il trattamento dei dati solo se èdato liberamente, il che significa che l'RTP non dovrebbe diventare l'unicaalternativa valida alle lunghe file e agli oneri amministrativi.

— Ilrischio di discriminazione dovrebbe essere evitato: i numerosi viaggiatori chenon viaggiano abbastanza di frequente da essere sottoposti a registrazione o lecui impronte digitali sono illeggibili non dovrebbero rientrare de facto nellacategoria dei viaggiatori ´a più alto rischioª.

— Ilprocesso di verifica che conduce alla registrazione dovrebbe essere basato suun accesso selettivo a banche dati chiaramente individuate.

106. Per quantoriguarda gli aspetti della sicurezza, il GEPD ritiene che per l'EES e l'RTPdovrebbero essere elaborati un piano di continuità commerciale e pratiche digestione dei rischi per la sicurezza al fine di valutare e classificare secondoun ordine di priorità i rischi. Inoltre, dovrebbe essere prevista una strettacollaborazione fra l'Agenzia e gli Stati membri.

Fatto a Bruxelles,il 18 luglio 2013

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 )COM(2013) 95 final.

( 2 )COM(2013) 97 final.

( 3 )COM(2013) 96 final.

( 4 )´Un'Europa aperta e sicura al servizio e a tutela dei cittadiniª (GU C 115 del4.5.2010, pag. 1).

( 5 )Comunicazione del 25 ottobre 2011 della Commissione al Parlamento europeo, alConsiglio, al Comitato economico e sociale e al Comitato delle regioni´Frontiere intelligenti — opzioni e prospettiveª [COM(2011) 680 def.].

( 6 ) Comunicazionedella Commissione sulle frontiere intelligenti, citata sopra, pag. 7.

( 7 ) EUCO23/11.

( 8 ) Ilgruppo di lavoro articolo 29, istituito a norma della direttiva 95/46/CE, ècomposto da un rappresentante di ciascuna autorità nazionale di protezione deidati, dal GEPD e da un rappresentante della Commissione. Il gruppo ha funzioniconsultive e agisce in modo indipendente. La lettera del 12 giugno 2012 delGruppo di lavoro al Commissario Cecilia Malmstrˆm sulle frontiere intelligentiè reperibile all'indirizzo http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2012/20120612lettertomalmstromsmart-bordersen.pdf

( 9 ) Gruppodi lavoro articolo 29, parere 05/2013 sulle frontiere intelligenti:http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp206en.pdf

( 10 ) Pareredel GEPD del 7 luglio 2011, reperibile all'indirizzohttp://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-07-07MigrationIT.pdf

( 11 )Comunicazione del 4 maggio 2011 della Commissione al Parlamento europeo, alConsiglio, al Comitato economico e sociale e al Comitato delle regioni sullamigrazione [COM(2011) 248/3].

( 12 )Osservazioni preliminari del GEPD del 3 marzo 2008, reperibili all'indirizzohttp://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/2008/08-03-03CommentsborderpackageEN.pdf

( 13 )Comunicazioni del 4 maggio 2011 della Commissione al Parlamento europeo, alConsiglio, al Comitato economico e sociale e al Comitato delle regioni´Preparare le prossime fasi della gestione delle frontiere nell'Unione europeaª[COM(2008) 69, def.]; ´Esame della creazione di un sistema europeo disorveglianza delle frontiere (EUROSUR)ª [COM(2008) 68, def.]; e ´Relazionesulla valutazione e sullo sviluppo futuro dell'Agenzia FRONTEXª, COM(2008) 67,def.

( 14 ) Tavolarotonda del GEPD sul pacchetto frontiere intelligenti e le implicazioni sullaprotezione dei dati, Bruxelles, 10 aprile 2013, Luogo: Edificio del GEPD, RueMontoyer 30, Bruxelles. Cfr. sintesi all'indirizzo: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Events/2013/13-04-10SummarysmartbordersfinalEN.pdf

( 15) Cfr. lamotivazione della proposta EES.

( 16 )Programma di Stoccolma — Un'Europa aperta e sicura al servizio e a tuteladei cittadini (GU C 115 del 4.5.2010, pag. 1).

( 17 ) Cfr. ilregolamento (UE) n. 603/2013 del Parlamento europeo e del Consiglio, del 26giugno 2013, che istituisce l'´Eurodacª per il confronto delle improntedigitali per l'efficace applicazione del regolamento (UE) n. 604/2013 chestabilisce i criteri e i meccanismi di determinazione dello Stato membrocompetente per l'esame di una domanda di protezione internazionale presentatain uno degli Stati membri da un cittadino di un paese terzo o da un apolide eper le richieste di confronto con i dati Eurodac presentate dalle autorità dicontrasto degli Stati membri e da Europol a fini di contrasto, e che modificail regolamento (UE) n. 1077/2011 che istituisce un'agenzia europea per lagestione operativa dei sistemi IT su larga scala nello spazio di libertà,sicurezza e giustizia (GU L 180 del 29.6.2013, pag. 1).

( 18 ) Cfr. ilregolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9luglio 2008, concernente il sistema d'informazione visti (VIS) e lo scambio didati tra Stati membri sui visti per soggiorni di breve durata (regolamento VIS)(GU L 218 del 13.8.2008, pag. 60).

( 19 ) Cfr. ilregolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazioneSchengen di seconda generazione (SIS II) (GU L 381 del 28.12.2006, pag 4).

( 20 ) Cfr.documento del Consiglio n. 8018/13, nota della Presidenza al comitatostrategico sull'immigrazione, le frontiere e l'asilo/comitato misto(UE-Islanda/Liechtenstein/Norvegia/Svizzera), 28 marzo 2013, sul pacchettofrontiere intelligenti. http://www.statewatch.org/news/2013/apr/eu-council-smart-borders-8018-13.pdf

( 21 ) Pareredel GEPD del 10 luglio 2009 sulla comunicazione della Commissione al Parlamentoeuropeo e al Consiglio dal titolo ´Uno spazio di libertà, sicurezza e giustiziaal servizio dei cittadiniª (GU C 276 del 17.11.2009, pag 8).

( 22 ) GU C 83del 30.3.2010, pag. 389.

( 23 )Consiglio d'Europa, STE n. 5, 4.11.1950.