I Garanti europei esprimono forti perplessità sulla mancanza di garanzie per i progetti di inserimento dei dati biometrici nei premessi di soggiorno e nei visto rilasciati a cittadini extracomunitari, con creazione di una banca dati centralizzata a livello continentale.
Documento allegato 57.8 kB application/pdf
Dati biometrici sui visti, i Garanti Ue chiedono tutele
N. 226 del 13 - 19 settembre 2004
www.garanteprivacy.it
Per l'inserimento dei dati biometrici nei permessi di soggiorno e nei visti rilasciati a cittadini extracomunitari, i Garanti europei chiedono il rispetto dei principi generali della protezione dei dati e esprimono perplessità sulla proposta di creare un database dei visti centralizzato a livello europeo (il cosiddetto VIS, Visa Information System).
I documenti che ne prevedono l'istituzione (da ultimo la Decisione del Consiglio UE dell'8 giugno 2004), contengono indicazioni troppo generiche sulle garanzie e le salvaguardie da applicare.
In un recente parere (7/2004, disponibile all'indirizzo www.europa.eu.int e scaricabile in formato .pdf), il Gruppo dei Garanti europei ha indicato i principi che devono essere comunque rispettati nel prevedere un formato uniforme a livello UE per i visti ed i permessi di soggiorno, comprendente identificatori biometrici (impronte di due dita + foto dell'interessato) registrati in formato digitale su chip elettronico.
I Garanti hanno anche espresso il proprio punto di vista ed alcune raccomandazioni in merito alla futura istituzione di un sistema informativo dei visti (VIS) a livello europeo, da affiancare al SIS (Sistema di informazione Schengen) e ad EURODAC (il database contenente informazioni sulle richieste di asilo, ed in particolare le impronte digitali dei richiedenti).
In linea generale, i Garanti ricordano che l'inserimento di dati biometrici nei visti e nei permessi di soggiorno "standardizzati" a livello europeo postula il rispetto dei principi di protezione dati fissati nella Direttiva 95/46/CE, al fine di garantire i diritti fondamentali degli interessati. Ciò è tanto più necessario in considerazione della particolare natura dei dati biometrici, che di per sé hanno un elevato potenziale identificativo e permettono di raccogliere informazioni sugli interessati anche a loro insaputa (si pensi, appunto, alle impronte digitali).
Rispettare i principi di protezione dei dati significa garantire che i dati siano raccolti per scopi specifici, espliciti e legittimi e non trattati ulteriormente per scopi incompatibili con quelli della loro raccolta. I dati devono essere inoltre pertinenti ed adeguati alle finalità del trattamento. É necessario specificare con chiarezza all'interessato le finalità per cui si trattano dati biometrici prima di procedere alla loro raccolta, in modo da garantire la legittimità della procedura.
Da questo punto di vista, numerose perplessità solleva la proposta di memorizzare i dati biometrici in un archivio centralizzato (il VIS) per condurre eventuali, successive verifiche su soggetti che entrino illegalmente nel territorio dell'UE. Tale approccio non appare infatti proporzionato alle finalità perseguite (identificazione dei richiedenti permesso di soggiorno), e dunque contrasta con uno dei principi fondamentali della Direttiva europea in materia di protezione dei dati (principio di proporzionalità).
Per quanto riguarda, in particolare, i Regolamenti del Consiglio UE del settembre 2003 relativi ad un formato uniforme per i visti e le richieste di soggiorno, il Gruppo, sottolinea che, alla luce dei requisiti sopra ricordati occorre:
- garantire agli interessati (extracomunitari richiedenti un visto/un permesso di soggiorno) la possibilità di accedere ai dati biometrici memorizzati nel chip, anche per verificarne i contenuti; prevedere particolari garanzie per chi non sia in grado di fornire i dati biometrici richiesti (ad esempio, soggetti che abbiano subito menomazioni o amputazioni delle dita di una mano);
garantire un'elevata affidabilità del sistema. In caso di respingimento la persona interessata deve sapere come opporsi alla decisione e far valere il proprio punto di vista (la Direttiva UE sulla protezione dei dati fa divieto, infatti, di prendere qualsiasi decisione rilevante per la vita dell'interessato che si basi soltanto su "trattamenti automatizzati" di dati personali).
Per quanto riguarda la prevista "interoperabilità", ossia la possibilità per altre autorità di accedere ai dati memorizzati nel chip, nessuna modifica di tali dati deve essere possibile se non all'autorità che ha rilasciato il visto/il permesso di soggiorno. Inoltre, l'interessato deve sapere che il dato è oggetto di accesso, e soltanto i soggetti pubblici autorizzati devono avere la possibilità di accedervi. Le informazioni disponibili non devono andare oltre quelle indispensabili allo svolgimento delle funzioni alle quali la singola autorità è preposta.
Rispetto al VIS, il Gruppo delle autorità europee di protezione dati, oltre ad esprimere in via generale le perplessità sopra sintetizzate, ha ritenuto di fornire alcune raccomandazioni più specifiche in attesa della definizione (da parte di un'apposita Commissione) dei criteri che dovranno regolamentare il funzionamento del sistema. Ricordiamo, in particolare,
> la necessità di meglio precisare le finalità perseguite con l'istituzione del sistema, che in parte sembrano sovrapporsi a quelle previste per il "nuovo" Sistema di informazione Schengen (SIS II);
l'inopportunità di concedere alle autorità di Paesi terzi di accedere al VIS, anche per non violare il principio (sancito dalla Direttiva UE 95/46) secondo cui è possibile trasferire dati personali verso Paesi terzi soltanto se questi ultimi garantiscono un livello "adeguato" di protezione dei dati personali;
> la necessità di prevedere un termine massimo (e non minimo) di conservazione dei dati pari a cinque anni, e comunque di differenziare la conservazione a seconda della natura dei dati in oggetto;
l'esigenza di garantire un adeguato controllo del VIS da parte del Garante europeo per la protezione dei dati, recentemente divenuto operativo, con la collaborazione delle autorità nazionali per quanto riguarda i trattamenti effettuati in ambito nazionale.
I Garanti hanno, infine, ricordato il proprio impegno per garantire un approccio uniforme a livello europeo rispetto alle molte iniziative attuali e future (quali la prevista creazione di un passaporto UE contenente dati biometrici) che hanno riflessi sulla protezione dei dati personali. É stata ribadita, in particolare, la necessità di una consultazione tempestiva del Gruppo in merito a tutte le iniziative di questo tipo, quale unica strada percorribile per consentire alle autorità di protezione di svolgere appieno il compito loro assegnato dalla Direttiva UE.