Next Generation Prüm e le scelte - strategiche della UE: dall'ampliamento nello scambio dei dati genetici all'introduzione del riconoscimento ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
ISSN 1826-3534
24 MARZO 2021
Next Generation Prüm e le scelte
strategiche della UE: dall’ampliamento
nello scambio dei dati genetici
all’introduzione del riconoscimento
facciale
di Lucia Scaffardi
Professore associato di Diritto pubblico comparato
Università degli Studi di ParmaNext Generation Prüm e le scelte strategiche
della UE: dall’ampliamento nello scambio dei
dati genetici all’introduzione del
riconoscimento facciale*
di Lucia Scaffardi
Professore associato di Diritto pubblico comparato
Università degli Studi di Parma
Abstract [It]: Lo scambio di dati genetici (e non solo), posto alla base del Trattato di Prüm, “europeizzato”
mediante le Decisioni 2008/615/GAI e 2008/616/GAI, ha assunto un peso sempre maggiore nella lotta alla
criminalità transfrontaliera e nella promozione della cooperazione tra Stati membri. Negli ultimi anni, questo
sistema è al centro di un vivace dibattito politico e legislativo europeo, nel tentativo di promuovere un
ammodernamento e una espansione dei meccanismi di scambio e dei dati oggetto di condivisione, nell’ambito del
c.d. Next generation Prüm. Il presente lavoro si propone di analizzare lo stato dell’arte e i possibili sviluppi,
evidenziando i pericoli e i rischi per i diritti fondamentali che lo scambio e la circolazione di dati, anche biometrici,
possono rappresentare.
Abstract [En]: The DNA exchange system based on the Prüm Treaty, subsequently included in the EU
instruments through the adoption of 2008/615/GAI e 2008/616/GAI Decisions, has represented an important
tool in the fight against transnational crimes, by promoting an efficient cooperation between EU Member States.
In recent years, this exchange system is at the centre of a profound and complex political and legislative debate,
discussing the so-called Next generation Prüm, aiming at improving the exchange mechanism and expanding the
categories of exchanged data. This paper analyzes this important debate and the possible future developments,
considering also the potential dangers and risks an implemented exchange system – involving also biometric data
– could cause to the guarantee of fundamental rights.
Parole chiave: DNA; Next Generation Prum; sicurezza; diritti fondamentali; riconoscimento facciale; dati
biometrici; dati genetici
Keywords: DNA; Next Generation Prum; security; fundamental rights; facial recognition; biometric data; genetic
data
Sommario: 1. Il difficile equilibrio tra scambio di dati per scopi securitari e tutela dei diritti fondamentali: una
premessa necessaria. 2. Il principio di disponibilità delle informazioni: il vivace dibattito sulla “europeizzazio ne”
del Trattato di Prüm. 3. Le difficoltà attuative del “sistema Prüm” e le disomogeneità tra Stati membri: lo specifico
esempio dello scambio di profili genetici. 4. Next generation Prüm e i possibili sviluppi del sistema di scambio e
circolazione di dati: una nuova sfida per l’Unione europea. 4.1. Riconoscimento facciale e immagini facciali: una
‘espansione’ del meccanismo di Prüm nella corretta direzione? 5. Riflessioni conclusive: i pericoli di un Next
generation Prüm, tra tendenza ad un ‘aspirational regime’ e tutela dei diritti fondamentali.
* Articolo sottoposto a referaggio Il presente lavoro è frutto di una rielaborazione della relazione presentata in occasione
del Convegno dell’Observatorio Internacional de Derechos Humanos, dal titolo “I diritti fondamentali nell’era della digital mass
surveillance”, tenutosi presso l’Università degli Studi di Parma il 14 ottobre 2019.
200 federalismi.it - ISSN 1826-3534 |n. 8/20211. Il difficile equilibrio tra scambio di dati per scopi securitari e tutela dei diritti fondamentali: una premessa necessaria L’Unione europea ha da sempre attribuito grande importanza alla raccolta e all’utilizzo dei c .d. Big data 1 consapevole che l’impiego di tali informazioni, sia da parte di soggetti pubblici che privati, rappresenti una risorsa importante, in continua evoluzione, i cui confini devono però essere attentamente “vigilati”2. Alcuni di questi dati, infatti, in ragione della loro unicità e sensibilità 3, hanno conosciuto una forte estensione nel loro utilizzo, che ha reso possibile, attività investigative sofisticate con potenzialità inimmaginabili. Queste attività – dalla raccolta alla conservazione fino allo scambio di dati – rendono tuttavia manifesta la capacità di questi mezzi di impattare profondamente sui diritti dei cittadini, facendone emergere tutta la loro problematicità: l’enorme mole di dati raccolti – la cui importanza nell’ambito dell’UE è divenuta evidente fin dall’approvazione del Trattato di Prüm– ha messo in luce tutte le criticità connesse al possibile bilanciamento tra diritti dei cittadini e limitazioni agli stessi, in un’ottica che appare sempre più prediligere le ragioni securitarie rispetto alla reale considerazione di necessità, adeguatezza e proporzionalità di tale raccolta. In questo contesto è divenuto chiaro come il ruolo del progresso tecnologico, in particolare applicato agli strumenti informatici e alle conseguenti operazioni di elaborazione dei dati reperiti, abbia determinato un affermarsi sempre più pervasivo delle attività di raccolta, conservazione e susseguente impiego di dati e informazioni. Tutto ciò ha richiesto una necessaria revisione ed implementazione della regolamentazione laddove già esistente 4 o ha reso manifesta la necessità della creazione di nuove norme capaci di gestire e disciplinare l’innovazione. Se è, infatti, incontrovertibilmente vero che la «nuova stagione del costituzionalismo», è caratterizzata da un emergente potere sovrano del «paradigma tecnologico che si presenta come dominante, come fattore di liberazione della persona e di innovazione irresistibile, dunque 1 La Commissione europea ha definito i Big Data come «una grande quantità di tipi diversi di dati prodotti con un’alta velocità, da un grande numero di fonti di differente tipo. La gestione di tali aggregati di dati richiede oggi nuovi strumenti e metodi, come processori potenti, software e algoritmi», COMMISSIONE EUROPEA, Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni: Verso una florida economia basata sui dati, COM(2014) 442 Final, 4. Per approfondimenti sul punto, si rimanda al contributo di G. FORMICI, La digital mass surveillance al vaglio della Corte Europea dei Diritti dell’Uomo: da Zakharov a Big Brother Watch, in Federalismi, 23/2020. 2 Le forti implicazioni dei Big Data, del loro utilizzo, scambio e trattamento, rispetto alla garanzia dei diritti fondamentali sono state del resto messe in evidenza, con grande chiarezza e concretezza, nella Risoluzione del Parlamento europeo del 14 marzo 2017 sulle implicazioni dei Big Data per i diritti fondamentali: privacy, protezione dei dati, non discriminazione, sicurezza e attività di contrasto (2016/2225(INI)). 3 Si pensi al componente hardware che acquisisce il dato biometrico, come il sensore per il riconoscimento dell’impronta digitale sugli smartphone, ma soprattutto il software che consente, grazie all'impiego di algoritmi sempre più complessi, di analizzare e comparare i dati raccolti in precedenza e conservati in un database. Queste forme sofisticate e sempre più diffuse di identificazione fondate sui dati biometrici, similarmente a quelle genetiche, permettono di ricondurre il dato acquisito in maniera – quasi – univoca ad una persona. 4 Sullo specifico tema si veda G. A LPA, M. B ESSONE, Banche dati telematica e diritti della persona, Padova, 1984; S. R ODOTÀ, Tecnologie e diritti, Bologna, 1995. 201 federalismi.it - ISSN 1826-3534 |n. 8/2021
irrinunciabile»5, tuttavia, come si è sostenuto in altra sede, «la nuova sovranità tecnologica sembra dettata dalla potenza di calcolo che, seppur inizialmente legata alla ‘processione’ del pensiero umano, sfugge oggi sempre più alla sua intelligenza, per divenire forza algoritmico-matematica al di fuori della catena umana di controllo»6. Questo indica come tale nuova stagione, appena delineata, debba essere necessariamente accompagnata da una legislazione chiara e puntuale, intrinsecamente consapevole delle finalità perseguibili e perseguite. Ed è per questo che diviene ormai ineludibile una seria riflessione sulle decisioni che vanno operandosi tanto nella UE quanto nei singoli ordinamenti europei. Le pagine che seguono intendono pertanto fornire alcune considerazioni sul processo di evoluzione ed ampliamento, in corso nella UE, relativamente al possibile utilizzo di alcune categorie particolari di dati come strumento per la lotta alla criminalità grave ed al terrorismo. Partendo dalla “europeizzazione” del Trattato di Prüm fino a giungere ai più recenti sviluppi e ai dibattiti in corso, la scelta dei due profili che in questa sede verranno approfonditi in maniera particolare e che attengono cioè ai database e alla circolazione di dati genetici e biometrici, è dettata poi dalla sostanziale espansione dell’utilizzo di questi strumenti nei diversi ordinamenti statuali, da leggersi anche come riflesso del naturale percorso di implementazione del loro impiego riscontrabile nelle decisioni intraprese dalla UE fin dai primi anni Novanta. 2. Il principio di disponibilità delle informazioni: il vivace dibattito sulla “europeizzazione” del Trattato di Prüm La base giuridica di partenza della materia ci riporta alla data del 27 maggio 2005 7, quando venne stipulato il c.d. Trattato di Prüm tra Belgio, Germania, Spagna, Francia, Lussemburgo, Paesi Bassi e Austria. Questo Trattato, aperto all’adesione di tutti gli Stati membri 8, conteneva, fin dall’origine, l’auspicio che potesse essere trasposto nell’ambito del diritto comunitario 9. Si trattava di un accordo rivolto al 5 A. SIMONCINI, Sovranità e potere nell’era digitale, in O. POLLICINO - T.E. FROSINI - E. A PA - M. Bassini (a cura di), Diritti e libertà in internet, Milano, 2017, 20 ss. 6 L. S CAFFARDI, Dati genetici e biometrici: nuove frontiere per le attività investigative, in L. S CAFFARDI (a cura di), I “profili” del diritto. Regole, rischi e opportunità nell’era digitale, Torino, 2018, 60. 7 Già nel 2004 il Consiglio europeo, nel Programma dell’Aja adottato il 4 novembre 2004, aveva auspicato la libera circolazione e lo scambio di profili di DNA, puntando l’attenzione su tre differenti strumenti e strategie utili all’ottenimento di tale scopo: investimenti sulle tecnologie a fini di sviluppo di sistemi informativi centralizzati; messa a disposizione di dati ai partner europei ai fini di law enforcement, garantendo che la trasmissione transfrontaliera non fosse soggetta a condizioni più rigorose di quelle disposte a livello nazionale in applicazione del cosiddetto principio di disponibilità; possibilità di accesso per le autorità di pubblica sicurezza alle informazioni archiviate nei database nazionali. 8 Nel luglio 2006 l’Italia aveva sottoscritto, a Berlino, una dichiarazione comune sull’adesione dell’Italia al Trattato di Prüm. 9 Sul rafforzamento delle libertà, della sicurezza e della giustizia nell’Unione europea, tema in quegli anni molto dibattuto si rimanda a E. DE CAPITANI, Lo Spazio di libertà, sicurezza e giustizia e il rafforzamento dell'"Unione di diritto", in G. A MATO , E. PACIOTTI (a cura di), Verso l’Europa dei diritti. Lo Spazio europeo di libertà, sicurezza e giustizia, Bologna, 2005, 35 ss. 202 federalismi.it - ISSN 1826-3534 |n. 8/2021
rafforzamento della cooperazione tra gli Stati nella lotta al terrorismo, alla criminalità transfrontaliera e all’emigrazione illegale 10, il cui testo11 si proponeva di rendere possibile un tale tipo di cooperazione attraverso cinque diverse aree di intervento rappresentate: a) dalla raccolta e dallo scambio di informazioni relative ai profili del DNA; b) dalla raccolta e scambio di informazioni sulle impronte digitali; c) dallo scambio dei dati relativi ai registri di immatricolazione dei veicoli; d) da misure finalizzate a prevenire reati terroristici ed infine e) da misure dirette a contrastare l’immigrazione illegale. Ed è così che il Trattato di Prüm è risultato fondarsi sia sul riconoscimento dell’importanza dei dati – genetici, biometrici ed altre informazioni – quali fondamentale aiuto per le indagini di polizia giudiziaria, sia sul conseguente e correlato principio di disponibilità delle informazioni 12. Avendo tali principi quale base, il Trattato ha dato quindi vita, sin dal 2005, a quella condivisione volta alla creazione di uno spazio di libera circolazione di una ampia mole di dati, divenuta oggi, grazie agli avanzamenti tecnologici di cui si accennava, complessivamente ancor più impressionante. A pochi anni di distanza, a seguito di un complesso dibattito apertosi nelle istituzioni europee ed in particolare recependo alcuni significativi suggerimenti forniti dal Parlamento 13, sono state poi approvate le Decisioni 2008/615/GAI e 2008/616/GAI 14 che hanno pienamente integrato nel quadro normativo europeo le disposizioni del Trattato di Prüm: la Decisione 2008/615/GAI del Consiglio datata 23 giugno 2008 15, si poneva infatti quale obiettivo il potenziamento della cooperazione transfrontaliera, soprattutto 10 Sulle ragioni che sottendono lo scambio di dati e il conseguente bilanciamento tra ragioni securitarie e movimenti transfrontalieri delle persone in riferimento alle politiche antiterroristiche in Europa e non solo, si vedano, tra i molti, F. DE LONDRES, Accounting for Rights in EU Counter-Terrorism. Towards Effective Review, in Columbia Journal of European Law, vol. 22, 1, 2016; F. CLEMENTI, G. TIBERI, Sicurezza interna, diritti e cooperazione internazionale nella lotta al terrorismo: i casi Swift e e Pnr, in G. A MATO , R. GUALTIERI (a cura di), Prove di Europa unita. Le istituzioni europee di fronte alla crisi, Firenze, 2013, 211 ss. 11 Il Trattato si componeva di 52 articoli suddivisi in 8 capitoli nei quali sono regolati i diversi aspetti della cooperazione attuata mediante scambio di dati. 12 Su questo specifico principio legato alla specificità della materia, si legga C. FANUELE, Dati genetici e procedimento penale, Padova, 229 ss. 13 Su tale procedimento si conceda di rimandare a L. S CAFFARDI, Giustizia genetica e tutela della persona. Uno studio comparato sull’uso (e abuso) delle Banche dati del DNA a fini giudiziari, Milano, 2017, 54 ss. 14 Decisione n. 2008/615/GAI del Consiglio del 23 giugno 2008 sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera; Decisione n. 2008/616/GAI del Consiglio del 23 giugno 2008 relativa all’attuazione della decisione n. 2008/615/GAI sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera. 15 G.U. L. 210 del 6 agosto 2008. 203 federalismi.it - ISSN 1826-3534 |n. 8/2021
nella lotta al terrorismo e alla criminalità transfrontaliera 16, mentre la Decisione 2008/616/GAI17 del Consiglio era invece relativa all’attuazione della Decisione 2008/615/GAI, sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera 18; in quest’ultima sono state definite le disposizioni amministrative e tecniche da adottare per l’attuazione della Decisione 2008/615/GAI, con riguardo ai profili di DNA, dati dattiloscopici e dati di immatricolazione veicoli. Fin dal principio e già in sede di approvazione delle richiamate Decisioni e dunque della “incorporazione” del Trattato di Prüm nel panorama dell’UE, grande attenzione è stata riconosciuta alla complessità della materia dello scambio di dati ed informazioni, alcune delle quali, come il DNA o le impronte digital i, di estrema delicatezza. Innanzitutto, la materia trattata risultava per sua natura e da un punto di vista competenziale appannaggio degli Stati membri, riguardando specificamente la lotta alla criminalità e la garanzia della sicurezza. Essa necessitava, tuttavia, per una sua efficace riuscita e per l’ottenimento dei suoi più profondi obiettivi, di una puntuale armonizzazione interstatuale; ciò emerge con chiarezza all’art. 3, che disponeva che «Gli Stati membri osservano specifiche tecniche comuni per quanto riguarda tutte le domande e le risposte relative alle consultazioni e ai raffronti dei profili DNA, dei dati dattiloscopici e dei dati di immatricolazione dei veicoli». Tali specifiche tecniche venivano indicate ampiamente negli allegati alla Decisione stessa, che sono stati peraltro largamente rivisti nel corso degli anni a seguito dell’incessante innovazione tecnologica e dell’esigenza di modernizzazione. Come si può comprendere da quanto sin qui evidenziato, il principio di disponibilità informava tutto il procedimento di scambio di 16 Lo scopo ed il meccanismo adottato da tale Decisione sono ben sintetizzati al punto (10) dei considerando: «La presente Decisione contiene pertanto disposizioni basate sulle principali disposizioni del Trattato di Prüm e intese a migliorare lo scambio di informazioni ai cui sensi gli Stati membri si concedono reciprocamente diritti di accesso ai rispettivi schedari automatizzati di analisi del DNA, sistemi automatizzati di identificazione dattiloscopica e dati di immatricolazione dei veicoli. Nel caso di dati provenienti da schedari nazionali di analisi del DNA e da sistemi di identificazione dattiloscopica, un sistema hit/no hit dovrebbe consentire allo Stato membro che effettua la consultazione di chiedere in un secondo tempo allo Stato membro che gestisce lo schedario i dati personali specifici corrispondenti e, se necessario, ulteriori informazioni mediante procedure di assistenza reciproca, comprese quelle adottate ai sensi della decisione quadro 2006/960/GAI». Sui rapporti tra i vari Paesi con riferimento allo scambio di informazioni sui dati personali alla luce del Trattato, si rimanda a M. BARGIS, Note in tema di prova scientifica nel processo penale, in Rivista di diritto processuale, 2011, 54 ss.; F. CASASOLE, La conservazione di campioni biologici e di profili del DNA nella legge italiana, alla luce del dibattito europeo, in Cassazione penale, 2009, 4440; G. DI PAOLO , La circolazione dei dati personali nello spazio giudiziario europeo dopo Prüm, in Cassazione penale, 2010, 1969 ss.; C. FANUELE, Lo scambio di informazioni a livello europeo, in L. FILIPPI - P. GUALTIERI - P. MOSCARINI - A. SCALFATI (a cura di), La circolazione investigativa nello spazio giuridico europeo: strumenti, soggetti, risultati, Padova, 2010, 19 ss.; M. GIALUZ, La tutela della privacy nell’ambito del trattamento domestico dei dati genetici e della cooperazione informativa, in L. MARAFIOTI, L. LUPARIA (a cura di), Banca dati e accertamento penale, Milano, 2010, 176 ss.; I.A. COLUSSI, Dati genetici e forze di polizia: Intersezioni europee, in L.S. ROSSI (a cura di), La protezione dei diritti fondamentali: Carta di Nizza e standards internazionali, Napoli, 2011, 279-310. 17 Va precisato che, con Decisione del Consiglio 2010/482/UE, datata 26 luglio 2010 [G.U. L. 238, 9 settembre 2010], è stato concluso un accordo fra UE ed Islanda e Norvegia, ai fini dell’applicazione di talune disposizioni delle Decisioni 2008/615/GAI e 2008/616/GAI. 18 G.U. L. 210 del 6 agosto 2008. 204 federalismi.it - ISSN 1826-3534 |n. 8/2021
dati, divenendone parte fondamentale. Non è stato, però, l’unico principio di rilievo che ha mosso l’intervento europeo in materia di scambio di informazioni per finalità securitarie: a ltrettanto importante, infatti, è divenuto il rispetto e la garanzia del diritto alla protezione dei dati personali 19, che, considerata anche la particolarità dei dati di cui trattasi, doveva20 – e deve oggi ancor più a seguito dell’approvazione del GDPR21 –, essere garantito durante tutte le operazioni di information sharing. Non stupisce che nel 2007 il Garante europeo per la protezione dei dati (d’ora in avanti GEPD) avesse messo in evidenza i pericoli e le minacce che una normativa frettolosa ed imprecisa in materia di circolazione e scambio di dati avrebbe potuto comportare sui diritti alla riservatezza e alla protezione dei dati. In mancanza di un quadro giuridico armonizzato anche sul fronte della tutela di tali diritti, i dati avrebbero potuto essere c ondivisi con Stati membri nei quali il livello di tutela offerta dalla legislazione nazionale risultava essere inferiore rispetto a quella dello Stato di appartenenza del soggetto cui il dato afferiva. Ciò diveniva chiaro se si considerava che le Decisioni richiamate imponevano a tutti gli Stati membri l’obbligo di adottare schedari nazionali e banche dati di analisi del DNA: sotto questo specifico aspetto, infatti, il GEPD sottolineava come taluni Stati membri già da tempo disponessero di database nazionale del DNA, mentre altri non prevedevano simili strumenti; e, ancora, tra quei Paesi che già prevedevano una banca dati, la disciplina e le garanzie che la accompagnavano risultavano anche molto differenti: se nel Regno Unito venivano raccolti e conservati i dati di persone sia condannate sia semplicemente arrestate, in Germania ad essere conservati erano solo i profili di soggetti condannati per reati gravi 22. Tutte queste difformità nelle 19 Sulle problematiche legate alla sicurezza dello scambio di informazioni si vedano B. PRAINSACK, V. TOOM, The Prüm regime: situated dis/empowerment in transnational DNA profile exchange, in British Journal of Criminology, 2010, 1-10; R. BELFIORE, Raccolta e scambio dei dati genetici nell’Unione europea, in C. CASONATO - L. BUSATTA - S. PENASA - C. PICIOCCHI - M. TOMASI (a cura di), Il biodiritto e i suoi confini: definizioni, dialoghi, interazioni, Trento, 2014, 195-227. 20 Si veda, ad esempio, in chiave assai critica rispetto a questo tipo di attività così come attuata all’indomani della europeizzazione del Trattato stesso, il lavoro di S. KIERKEGAARD , The Prüm decision – An uncontrolled fishing expedition in ‘Big Brother’ Europe, in Computer, Law & Security Report, 24, 2008, 243-252, nel quale l’autrice, nelle conclusioni (p. 251), sostiene che «It is important that law enforcement authorities in the European Union should have the tools available to obtain information held by other EU countries as quickly as possible to help with the investigation and prevention of crime. While there is indeed a legitimate reason to exploit the full potential of databases to combat terrorism and combat crime, it should not be used as a rationale for adopting such measures behind hidden doors and bereft of a national debate». 21 Pare utile in questa sede ricordare che la più recente normativa in tema di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, è da rinvenirsi nella Direttiva UE n. 2016/680, che fa parte del c.d. nuovo pacchetto protezione dati, insieme al noto Regolamento generale sulla protezione dei dati, c.d. GDPR, Regolamento UE 2016/679. Essa dunque mira a regolare la protezione dei dati personali tratta ti nell’ambito della cooperazione giudiziaria e di polizia in materia penale ma lascia impregiudicate le disposizioni che attengono al funzionamento di Europol, Eurojust, al sistema di informazione di Schengen (SIS) e il sistema informativo doganale (SID) nonché, per quanto in questa sede interessa maggiormente, restano intoccate le disposizioni sul trasferimento automatizzato tra Stati membri di profili DNA, dati dattiloscopici e dati di immatricolazione dei veicoli, sulla base della Decisione 2008/615/GAI (punto 39 dei considerando). 22 GEPD, Parere 2007/C 169/02, in G.U.C.E. 21 luglio 2007. 205 federalismi.it - ISSN 1826-3534 |n. 8/2021
regolamentazioni nazionali e la grande discrezionalità lasciata agli Stati membri in materia, rappresentavano rischi per una tutela armonizzata dei diritti alla privacy e alla data protection che avevano trovato significativo riconoscimento nella Carta di Nizza. Anche considerando tali preoccupazioni e pericoli, emersi nel dibattito legislativo, la versione finale delle Decisioni ha cercato di fissare norme identiche per tutti gli Stati membri quanto alle tecniche, alle procedure e alle caratteristiche dei sistemi utilizzati per lo scambio di dati; nonostante tali indubbie migliorie23, tuttavia, la parte relativa alla protezione dei dati – in particolare il capo VI della Decisione 2008/615/GAI – ha posto in capo ad ogni singolo Stato l’obbligo di garantire, nella propria legislazione nazionale, «un livello di protezione dei dati personali corrispondente almeno a quello che risulta dalla Convenzione del Consiglio d’Europa del 28 gennaio 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, nonché dal protocollo addizionale de l 8 novembre 2001» (art. 25). La soluzione adottata, che possiamo definire compromissoria e che è dovuta anche alla specificità della base giuridica e dello strumento della Decisione impiegati, vede dunque da un lato un livello minimo di garanzia che deve essere tutelato da tutti i legislatori nazionali e assicurato anche dal procedimento di approvazione e controllo effettuato dal Consiglio dell’UE 24, mentre dall’altro lascia intatto un significativo potere attribuito ad ogni singolo Stato membro di stabilire disposizioni nazionali in materia di raccolta, conservazione, cancellazione e scambio di dati, che possono favorire l’affermarsi di difformità anche sostanziali tra le diverse discipline interne predisposte e dunque differenze nella tutela dei diritti fondamentali. 23 Merita precisare come anche la scelta di prevedere un sistema bifasico, fondato su una prima fase di hit/no hit, del tutto automatizzata e di una successiva e meramente eventuale fase di disclosure e condivisione del dato solo in caso di risposta positiva alle prime operazioni di controllo incrociato automatizzato, rappresenta una soluzione non solo celere ma anche capace di garantire un più elevato grado di protezione dei dati. Il procedimento, infatti, stabilisce la possibilità per gli Stati membri, nel caso in cui non si riesca a livello nazionale ad identificare un profilo di DNA di interesse e sulla base di specifiche attività investigative, di inviare tale dato agli altri Stati membri, affinché provvedano ad un raffronto con i dati raccolti e conservati nelle proprie banche dati nazionali. Tale fase non prevede lo scambio di dati personali, bensì solo un raffronto tra profilo proveniente da un Paese richiedente e quelli presenti nei databases nazionali di tutta l’Unione. Solo in caso di esito positivo (quindi match), verrà avanzata richiesta del dato personale identificativo specifico che permetterà, a quel punto, di risalire all’identità del soggetto cui il dato ‘condiviso’ appartiene. Sul punto si rimanda a M. O’NEILL, A Europe that protects: moving to the next stage of cross-border law enforcement cooperation, in Policy Journal, vol. 84, 2011, 125-150. 24 L’art. 25 della Decisione 2008/616 stabilisce in capo al Consiglio il compito di effettuare un controllo previo, subordinando la possibilità dello Stato membro di scambiare i dati e avere accesso alle banche dati di altri Stati membri alla valutazione del Consiglio stesso circa l’adeguatezza delle disposizioni nazionali predisposte a disciplina della protezione dei dati in questa particolare materia ed attività. 206 federalismi.it - ISSN 1826-3534 |n. 8/2021
3. Le difficoltà attuative del “sistema Prüm” e le disomogeneità tra Stati membri: lo specifico esempio dello scambio di profili genetici La disciplina delle Decisioni sopra esaminate e la discrezionalità lasciata agli Stati membri quanto alla concreta implementazione del sistema di raccolta e scambio di dati genetici, biometrici e relativi alla immatricolazione di veicoli hanno ben presto rivelato i limiti e le difficoltà attuative di una reale ed efficace circolazione di informazioni per scopi securitari: benché il previo vaglio del Consiglio sia da considerarsi uno strumento certamente rilevante ai fini di garantire il rispetto di condizioni e standard di tutele minime e sufficienti in materia di protezione dei dati, non tutti gli Stati membri si sono tempestivamente attivati per disporre regolamentazioni e strumenti utili ad implementare il “sistema Prüm”, così come “europeizzato” mediante le Decisioni del 2008. Pare utile preliminarmente precisare come queste disposizioni necessitassero di un duplice intervento al fine di essere correttamente ed efficacemente attuate: sotto un profilo che potremmo definire statico, si rende infatti imprescindibile la previa predisposizione di vere e proprie banche dati entro cui conservare le categorie di dati previste dalle Decisioni stesse; sotto il profilo dinamico, invece, deve essere disposto un sistema di condivisione, scambio e circolazione di dati per finalità di law enforcement, secondo procedure e con tecniche specifiche. Diviene evidente che tali ultime operazioni trovino nelle attività di raccolta e storage di dati un presupposto cogente ed ineludibile. Ne deriva, logicamente, che l’assenza di databases e di una apposita regolamentazione degli stessi, del loro funzionamento e dei criteri che determinano e definiscono le informazioni che debbono essere in essi contenute e a quali condizioni, non rende possibile neppure la circolazione di dati, vero fulcro e scopo della normativa europea 25. Ecco perché il ritardo o l’inattivismo di taluni Stati membri nel creare banche dati apposite, capaci di incidere sulla efficacia del sistema Prüm nel suo complesso, sono stati visti con preoccupazione dalle Istituzioni dell’UE. Quest’ultimo aspetto è ben evidenziato sin dalla Quinta relazione sui progressi compiuti verso un’autentica ed efficace Unione della sicurezza 26, nella quale è stato messo in evidenza da un lato l’importanza dello strumento di scambio automatizzato di dati e dall’altro la critica situazione di alcuni Stati membri che, a distanza di un decennio dalle Decisioni che hanno “europeizzato” il sistema Prüm, non vi avevano ancora dato attuazione – in particolare Croazia, Grecia, Irlanda, Italia e Portogallo, che 25 «With the Prüm Decisions becoming part of the EU acquis, it became mandatory for Member States to make data stored in national databases available to other Member States on a hit/no hit basis. This presupposed the existence of such databases at the national level, which was not always the casse. As a result, the implementation of the Prüm Decisions necessitated the establishment of national databases, including enacting national legislation in that respect», POLICY DEPARTMENT FOR CITIZENS’ RIGHTS AND CONSTITUTIONAL A FFAIRS OF THE EUROPEAN PARLIAMEN T , Police information exchange. The future developments regarding Prüm and the API Directive (Study requested by the LIBE Committee), settembre 2020, 19. 26 Relazione della Commissione “Quinta relazione sui progressi compiuti verso un’autentica ed efficace Unione della sicurezza”, 2 marzo 2017, COM(2017) 203 final. 207 federalismi.it - ISSN 1826-3534 |n. 8/2021
non avevano garantito lo scambio automatizzato di dati in almeno due delle tre categorie di dati previste27. Per tale motivo la Commissione aveva attivato procedure di infrazione avverso tali Paesi, per spronare ad una rapida attuazione sia della necessaria creazione di apposite banche dati, sia della predisposizione di un sistema funzionante di scambio e messa a disposizione delle informazioni raccolte. Questa situazione problematica di inadempimento perdura tutt’ora: basandosi sui dati forniti dal Consiglio dell’UE nel documento 5197/1/20 Rev 1, del 25 giugno 2020 28, le procedure di infrazione permangono ad oggi aperte con riferimento ad Italia e Grecia. Come sottolineato nello studio sulla implementazione e il futuro del “sistema Prüm” redatto dal Policy Department for Citizens’ Rights and Constitutional Affairs del Parlamento europeo, «these delays may be attributed to various factors, primarily linked to financial and technical difficulties. For example, Greece, Italy and Ireland did not have DNA databases or dedicated legislation when the Prüm Decisions were adopted. Besides, these countries were severely hit by financial crisis» 29. Oltre a queste considerazioni, che certamente trovano reale riscontro nella peculiare condizione che caratterizza Italia e Grecia ancora oggi, ma che hanno inciso anche sul percorso che ha contraddistinto altri Stati membri che similmente hanno incontrato difficoltà nella attuazione delle Decisioni di Prüm, è da considerare come anche la procedura di attivazione concreta del meccanismo di circolazione e scambio di dati, così come prevista a livello europeo, non sia affatto rapida e semplice: l’art. 36 della Decisione 2008/615/GAI infatti ha previsto che siano gli Stati membri, una volta adottate le misure necessarie a conformarsi alla Decisione stessa, ad informare il Segretariato del Consiglio e la Commissione. A tal punto, a seguito del completamento di un apposito questionario, si apre una fase ulteriore composta da una visita di valutazione e di un’esperienza pilota, ai sensi dell’art. 20. Solo al termine di tali procedure e sulla base di un report di valutazione sottoposto all’attenzione del Consiglio, quest’ultimo sarà chiamato a decidere, all’unanimità e dopo aver sentito il Parlamento europeo, se le condizioni stabilite dalle Decisioni di Prüm – e dunque anche quelle in relazione al livello minimo di protezione dei dati che ciascuno Stato membro è chiamato a garantire – siano rispettate dalla normativa 27 Nella sopra citata Relazione si legge: «Nel settore dello scambio di informazioni tra gli Stati membri, le decisioni di Prüm del 2008 hanno introdotto procedure rapide ed efficienti per lo scambio di dati tra Stati membri, stabilendo norme e fornendo un quadro per consentire agli Stati membri di effettuare ricerche nei rispettivi schedari di analisi del DNA, nei sistemi di identificazione dattiloscopica e nelle banche dati d’immatricolazione dei veicoli. L’attuazione delle decisioni di Prüm, uno strumento che ha aiutato gli inquirenti francesi dopo gli attentati terroristici di Parigi del novembre 2015, ha conosciuto notevoli progressi negli ultimi mesi, con scambi di dati sempre più intensi. Tuttavia, a distanza di un decennio, alcuni Stati membri devono ancora attuarle. La Commissione ha perciò utilizzato i poteri esecutivi acquisiti in virtù del Trattato di Lisbona nel settore della giustizia e degli affari interni per avviare procedimenti di infrazione nei confronti di Croazia, Grecia, Irlanda, Italia e Portogallo per non aver rispettato le decisioni». 28 CONSIGLIO UE, Implementation of the provisions on information exchange of the "Prüm Decisions", 5197/1/20 Rev 1, del 25 giugno 2020. 29 POLICY DEPARTMENT FOR CITIZENS’ R IGHTS AND CONSTITUTIONAL A FFAIRS OF THE EUROPEAN PARLIAMEN T , Police information exchange, cit., 19. 208 federalismi.it - ISSN 1826-3534 |n. 8/2021
nazionale. Solo successivamente a tale lungo e complesso vaglio, dunque, lo Stato può essere autorizzato alla trasmissione e scambio dei dati. Così l’Italia, ad esempio, con riferimento alla circolazione di profili del DNA, pur avendo, con grande ritardo, adempiuto alla preliminare e necessaria fase di istituzione e creazione di uno schedario nazionale di analisi del DNA (art. 2, Decisione 2008/615/GAI), non ha ancora terminato il complesso procedimento sopra descritto, avendo notificato al Segretariato generale del Consiglio l’assolvimento di tale obbligo 30. I ritardi attuativi e l’articolata procedura di autorizzazione alla circolazione e sca mbio – che pure è motivata dalla volontà di predisporre controlli preventivi circa il rispetto dei diritti alla riservatezza e alla protezione dei dati –, non sono gli unici elementi di criticità che sono stati ravvisati nella implementazione e nel concreto funzionamento del “sistema di Prüm”: le Relazioni e gli Studi che si sono via via avvicendati nel corso del tempo hanno evidenziato in particolare le problematiche derivanti sia dalla, anche significativa, disomogeneità di discipline e disposizioni normative nazionali che regolano la materia della raccolta e conservazione di dati, sia dal diverso grado di cooperazione e scambio di dati posto in essere, nella pratica concreta, dai diversi Stati membri 31. Con riguardo al primo profilo e prendendo quale caso di studio lo scambio di profili genetici, sempre più di fondamentale rilievo nelle operazioni investigative, è interessante notare come gli Stati membri abbiano adottato soluzioni normative differenti in materia di raccolta e conservazione di DNA e dunqu e di disciplina delle banche dati genetiche: ciò che differisce, in altre parole, è la determinazione dei criteri e delle condizioni di inserimento dei dati genetici (campioni o profili) negli schedari nazionali. Sul punto, sebbene in generale la maggior parte dei Paesi abbiano disposto la conservazione di profili raccolti sulle scene del crimine o appartenenti a soggetti condannati per crimini, difformità si riscontrano ad esempio con riferimento all’inserimento o meno dei profili di soggetti solamente sospettati di aver commesso un reato e successivamente non perseguiti o assolti o ancora all’inserimento dei dati di tutti i condannati o solo di coloro che sono stati condannati per reati ‘gravi’, come accade in Belgio e Francia. Anche i criteri di esclusione dei profili inseriti – in caso di morte del condannato ad esempio – o la scelta dei soggetti chiamati a gestire e controllare il corretto funzionamento delle banche dati, rappresentano 30 Pur rimandando per approfondimenti sulla Banca dati italiana del DNA al volume L. SCAFFARDI (a cura di), La Banca dati italiana del DNA. Limiti e prospettive della genetica forense, Bologna, 2019, merita qui ricordare come, dopo un faticoso iter normativo conclusosi con la adozione della legge n. 85/2009 istitutiva della Banca dati del DNA, la piena operatività di tale database si è registrata solo a partire dal 2018, a seguito dell’adozione di regolamenti attuativi e decreti ministeriali, succedutisi negli anni 2016 e 2017, che hanno permesso la concreta predisposizione della Banca dati nazionale. 31 Questi due aspetti sono stati evidenziati anche dal Report elaborato da Deloitte su richiesta della Commissione europea, nel quale viene espressamente dichiarato come «The Prüm Framework faces challenges that have limitd its ability to reach its full potential and effectiveness. These mainly rlate to discrepancies between Member States in terms of implementation, national legal frameworks and the level of process automation», DELOITTE, Study on the feasibility of improving information exchange under the Prüm Decisions, 18. 209 federalismi.it - ISSN 1826-3534 |n. 8/2021
tutti fattori di disomogeneità e sperequazione tra Stati membri che influiscono direttamente sull’efficacia del sistema di condivisione dei dati nel suo complesso. È ovvio che dalla ampiezza del database e della disponibilità di dati in essa contenuti dipenderà la maggiore o minore capacità dello schedario di rappresentare una fonte di informazioni e di supporto alle autorità di law enforcement di altri Stati membri. Proprio sulla base di questi elementi sono state ricavate importanti distinzioni, riconducendo ad alcuni fondamentali macro-modelli le diverse soluzioni normative adottate: mentre Stati quali Austria, Finlandia e Regno Unito hanno disposto una disciplina normativa in materia di database genetici che consente la raccolta e conservazione di un notevole numero di profili, mettendo a disposizione una rilevante mole di informazioni ai fini di indagini, stabilendo così criteri più ampi circa i profili da conservare a favore di una estesa tutela della sicurezza. Altri Stati hanno optato per un approccio che potrebbe essere definito maggiormente ‘garantista’ dei diritti alla riservatezza e alla protezione dei dati. In tali ordinamenti, come il Portogallo, l’inclinazione del legislatore è stata quella di stabilire criteri restrittivi circa l’inserimento, storage e scambio dei profili di DNA, restringendo dunque la disponibilità di informazioni da condividere mediante il meccanismo di Prüm. Soluzioni intermedie sono state invece adottate da Germania e Francia, seppure con differenze sostanziali – il primo attribuendo un maggior rilievo al ruolo dei giudici quanto alla determinazione dei criteri e dunque dei profili da inserire nello schedario nazionale –32. Di questo modello potrebbe far parte anche la disciplina italiana benché più recente e dal travagliato percorso attuativo33. Se dunque estrapolare una tassonomia delle diverse esperienze ordinamentali non deve condurre alla conclusione estrema e non conforme alla realtà che vede come statiche ed estremizzate le discipline normative dei differenti databases nazionali, lo sforzo di categorizzazione permette di cogliere quella disomogeneità di soluzioni – radicata, se si vuole, ben più in profondità, nelle tensioni maggiormente pro-securitarie o maggiormente garantiste dei diritti fondamentali che caratterizzano l’approccio degli Stati membri più in generale dinnanzi alle minacce alla sicurezza pubblica e nazionale – che non può che lasciare un segno nel funzionamento del “sistema di Prüm” e nella concreta realizzazione di quel principio di disponibilità dei dati che ne è alla base. Giungendo al secondo profilo di criticità, sopra indicato, l’efficacia del modello di circolazione e condivisione di dati nel contesto europeo ha risentito e risente tuttora del diverso livello di operatività e 32 Una utile panoramica dei diversi sistemi e normative in materia può essere riscontrata in F. SANTOS, H. MACHADO , S. SILVA, Forensic DNA databases in European countries: is size linked to performance?, in Life sciences, society and policy, 9, 2013, 1- 13; ma anche V. T OOM, R. GRANJA, A. LUDWIG , The Prüm Decisions as an aspirational regime: reviewing a decade of cross-border exchange and comparison of forensic DNA data, in Forensic science international: genetics, 41, 2019, 50-57. Per una comparazione delle esperienze di Regno Unito, Germania, Francia, Portogallo e Italia, si rimanda inoltre a L. SCAFFARDI, Giustizia genetica e tutela della persona, cit., spec. 69 ss. 33 Per una ampia analisi del modello italiano, sia consentito il rinvio a L. S CAFFARDI (a cura di), La Banca dati italiana del DNA, cit. 210 federalismi.it - ISSN 1826-3534 |n. 8/2021
connessione negli scambi di dati, che varia molto da Stato a Stato. Sempre tenendo in considerazione lo specifico ambito dello scambio di profili di DNA, «amongst the 25 operational States, the degree of connectivity considerably varies; the Netherlands exchanges DNA data with 24 countries, whereas Denmark exchanges with seven countries, Bulgaria with 12 countries, the UK with nine countries and Ireland with two countries only. Annex I demonstrates that nine years after the deadline indicated in Decision 2008/615/JHA, the implementation is still not fully complete and participating countries must continue broadening operational connectivity among themselves»34. Anche l’aspetto della effettiva operatività dello scambio di dati e di interazione tra sistemi differenti (quella che viene appunto denominata degree of connectivity with other Member States’s databases)35 diviene elemento importante di valutazione delle efficace implementazione del sistema Prüm e rappresenta uno degli elementi che, insieme alle differenze sostanziali in termini di operatività delle banche dati nazionali, ha spinto le Istituzioni dell’UE a riflettere sull’esigenza di cambiamenti e modifiche del meccanismo esistente. 4. Next generation Prüm e i possibili sviluppi del sistema di scambio e circolazione di dati: una nuova sfida per l’Unione europea Le inefficienze, i ritardi e le difficoltà operative ed applicative sopra evidenziate, unitamente al progresso tecnologico e all’affermarsi di nuove tecniche e strumenti di indagine fondati sull’impiego di dati – anche genetici e biometrici –, nonché le nuove sfide connesse al fenomeno del terrorismo, della criminalità organizzata e dei cyber-crimes, hanno portato le Istituzioni dell’UE, in particolare Consiglio e Commissione, a porre in essere iniziative, mediante la promozione di studi, ricerche, dibattiti tra esperti ed autorità degli Stati membri, volte a promuovere una modernizzazione delle Decisioni di Prüm (adottate nel 2008) e del relativo meccanismo di circolazione dei dati. Queste intenzioni emergono con chiarezza dalle Conclusioni del Consiglio sull’attuazione delle “Decisioni Prüm” a dieci anni dall’adozione (Conclusioni n. 11227/18 del 8 luglio 2018): in tale documento si legge infatti come, ai fini del raggiungimento degli obiettivi fissati nella Rinnovata strategia di sicurezza interna 2015-202036, il «ricorso effettivo ed efficace alle decisioni Prüm è considerato essenziale per intensificare lo scambio di informazioni e la cooperazione transfrontaliera tra le autorità di contrasto, accrescere la fiducia 34 POLICY DEPARTMENT FOR CITIZENS’ RIGHTS AND CONSTITUTIONAL A FFAIRS OF THE EUROPEAN PARLIAMEN T , Police information exchange, cit., 19. 35 Sotto questo profilo, lo studio elaborato da Deloitte, sopra richiamato, ha messo in luce come l’efficacia ed effettività degli scambi di dati sia limitata anche da differenze in termini di qualità delle informazioni: «the existing automated data exchanges are well established and functional, but suffer from some technical inefficiencies, ranging from outdated and non-harmonised exchange standards to restrictive quota that impede the Prüm framework», DELOITTE, Study on the feasibility of improving information exchange under the Prüm Decisions, cit., 7. 36 La c.d. Agenda europea sulla sicurezza interna dell’UE, che propone una agenda ed obiettivi e priorità in tale ambito (COM (2015) 185 final del 28 aprile 2015). 211 federalismi.it - ISSN 1826-3534 |n. 8/2021
reciproca e fornire sostegno all’azione intesa a risolvere casi di reati gravi e condurre indagini sul terrorismo» (p. 2). Partendo da tali premesse, il Consiglio esprimeva la richiesta di considerare una revisione delle Decisioni Prüm esistenti per estenderne l’ambito di applicazione, aggiornare i requisiti tecnici e quelli giuridici necessari al funzionamento del meccanismo di scambio. Una discussione e valutazione ampia e dettagliata circa i possibili interventi di modifica e modernizzazione del regime esistente si è così aperta in seno al Working Party on Information Exchange and Data Protection (d’ora in avanti DAPIX)37, un organo preparatorio del Consiglio, che ha iniziato a vagliare, grazie all’apporto di specifici sottogruppi di esperti 38, la possibilità di addivenire a quello che è stato denominato il Next generation Prüm, senza tralasciare, in tale dibattito, la necessità di inserire adeguate misure a tutela del diritto alla protezione dei dati, anche considerando il particolare mutato contesto normativo caratterizzato dal GDPR e dalla Direttiva n. 2016/680, già evidenziato sopra. Le riflessioni sui necessari e possibili interventi si sono mosse, sin dall’inizio, su tre diversi fronti: a) innovare le regole in materia di circolazione e scambio di dati al fine di garantire un sistema più efficace ed efficiente; b) creare maggiori connessioni tra il sistema Prüm e altri meccanismi di cooperazioni in materia di indagine e lotta alla criminalità; c) ampliare le categorie di dati incluse nel meccanismo di scambio Prüm. Volendo procedere ad una analisi critica di tali modifiche proposte e al vaglio delle Istituzioni europee, un primo importante documento che ha segnato un concreto passo avanti verso i futuri sviluppi del meccanismo Prüm, è rappresentato dallo studio elaborato da Deloitte, su richiesta della Commissione, on the feasibility of improving information exchange under the Prüm Decisions, del maggio 2020. In tale rilevante documento sono state sottolineate le criticità del sistema esistente e le possibili soluzioni da adottare per 37 Come si legge sul sito del Consiglio UE, DAPIX (in italiano il Gruppo “Scambio di informazioni e protezione dei dati”) «gestisce i lavori relativi all’attuazione delle norme e delle politiche in materia di scambio di informazioni e protezione dei dati personali nel settore delle attività di contrasto. Inoltre collabora strettamente con Europol, in particolare per quanto riguarda la strategia di gestione delle informazioni in relazione alla razionalizzazione degli scambi di informazioni a livello transfrontaliero. Per quanto riguarda lo scambio di informazioni, il Gruppo si occupa di migliorare lo scambio di informazioni tra le autorità di contrasto degli Stati membri. Per quanto concerne la protezione dei dati, il Gruppo concentra le proprie attività al fine di garantire uno scambio di dati conforme ai principi e alle norme in vigore in materia di protezione dei dati personali», https://www.consilium.europa.eu/it/council-eu/preparatory- bodies/working-party-information-exchange-data-protection/ 38 Sono stati infatti istituiti quattro focus groups dedicati rispettivamente a valutare le possibili modifiche riguardanti lo scambio di dati genetici, impronte digitali, dati di immatricolazione dei veicoli e, infine – e ciò rappresenta una rilevante novità, di cui si parlerà ampiamente in seguito – dati biometrici relativi alla immagine del volto, da impiegare per l’utilizzo di sistemi di riconoscimento facciale. Merita sin da subito sottolineare come i quattro gruppi siano stati istituiti allo scopo di «setting out how to further develop the current information exchange mechanisms and to support the Commission’s feasibility study on improving information exchange under the Prüm Decisions. The three groups focused on the existing data types already exchanged, whereas facial recognition was the subject of a fourth group established by the Council (Document 13356/19, 30 October 2019, not publicly available», POLICY DEPARTMENT FOR CITIZENS’ RIGHTS AND CONSTITUTIONAL A FFAIRS OF THE EUROPEAN PARLIAMENT , Police information exchange, cit., 25. 212 federalismi.it - ISSN 1826-3534 |n. 8/2021
massimizzare l’efficacia della circolazione di dati, considerando anche il possibile positivo apporto di nuove e più sofisticate tecnologie. Partendo dalla prima delle tre aree di azione sopra menzionate, una delle soluzioni individuate è riscontrata nell’introduzione di nuove regole a livello europeo in materia di scambio di dati, in grado di rendere più efficace e semplice la condivisione e scambio automatizzato di dati, con particolare attenzione anche alla seconda fase del meccanismo delineato dal sistema di Prüm, ovvero quello che si verifica in caso di match tra il dato richiesto da uno stato membro e quello presente nei database di un altro Stato membro. Come si è visto, in quel caso – e solo in quel caso – vengono condivisi i dati personali del soggetto cui il dato appartiene. In questa fase, così delicata, la presenza di diversi standard e procedure – alcuni Stati richiedono l’intervento previo autorizzativo di autorità giudiziarie prima dell’invio del dato personale, altre ulteriori controlli etc. – ha rappresentato un ostacolo al corretto e rapido funzionamento del sistema. Per tale motivo una possibile soluzione è quella di incrementare l’automatismo della comunicazione dei dati personali, soprattutto per quanto concerne lo scambio di impronte digitali, qualora il rischio di c.d. falsi positivi sia ritenuto estremamente limitato. Anche la promozione di un central router39, in grado di ricevere e inviare con una gestione centralizzata appunto tutte le richieste pervenute dalle autorità competenti dei diversi Stati membri, va nella direzione di superare i rapporti bila terali sui quali si basano ad oggi le procedure di richiesta di matching tra gli Stati 40. A questo e in una logica di continuità, l’ulteriore obiettivo sopra richiamato che le Istituzioni stanno valutando per procedere ad un ammodernamento del meccanismo esistente è individuato nella possibilità di connettere il sistema Prüm ad altri sistemi di interoperabilità e circolazione di informazioni tra autorità 39 Su questo punto è interessante notare come tale soluzione sia stata ritenuta maggiormente opportuna rispetto alla creazione di un «centralised information system, which has been rejected due to legal constraints on storing such data outside the national territory, for various reasons; processing personal data at EU level will be avoided; accurate statistic al data at central level will be produced and technical difficulties posed by bilateral connections will be eliminated», POLICY DEPARTMENT FOR CITIZENS’ RIGHTS AND CONSTITUTIONAL A FFAIRS OF THE EUROPEAN PARLIAMENT, Police information exchange, cit., 9. 40 Un ulteriore profilo che è stato evidenziato negli studi predisposti sul tema è quello della inclusione della finalità di ricerca di persone scomparse tra gli scopi di attivazione ed utilizzo del meccanismo di Prüm: «new purposes will have to be added to the revised Prüm legal framework, so that searches with the aim of locating missing persons and identifying human bodies/remains could take place, even if no direct link to a criminal investigation exists». Ciò ovviamente impone la necessità di determinare regole specifiche quanto alla protezione dei dati relative appunto a persone scomparse: «the fact that missing persons may include vulnerable groups of individuals, such as elderly persons, persons with mental health issues or children, should be taken into account. As a result, concerns are raised about the handling of data concerning missing persons in the same systems that process information on convicted criminals. Therefore, additional safeguards are required in relation to the retention of such data on missing persons», POLICY DEPARTMENT FOR CITIZENS’ RIGHTS AND CONSTITUTIONAL A FFAIRS OF THE EUROPEAN PARLIAMENT, Police information exchange, cit., 27. Ciò fa comprendere la delicatezza del dibattito politico e legislativo che deve essere posto in essere, tenendo in considerazione l’importanza di accompagnare l’espansione e l’ammodernamento del sistema di Prüm, nell’ottica di un suo efficientamento, con la necessità di garantire un elevato grado di tutela dei diritti alla riservatezza e protezione dei dati e dei principi di necessità e proporzionalità che devono ispirare il trattamento di da ti personali, soprattutto quelli appartenenti a categorie particolari quali i dati biometrici e genetici. 213 federalismi.it - ISSN 1826-3534 |n. 8/2021
Puoi anche leggere
