presso le presso le Commissioni riunite I e II della Camera dei Deputati
(22 settembre 2016)
Ringrazio per l’opportunità offertami di analizzare l’impatto che il pacchetto di misure in esame ha sul diritto alla protezione dei dati personali, sancito come fondamentale dalla Carta di Nizza e dai Trattati.
Questo provvedimento enuncia, in tutta la sua complessità, la strategia europea di contrasto al terrorismo, non riducendo i molteplici aspetti del tema alla sola dimensione – pur prevalente ma certo non esclusiva – di una questione di ordine pubblico e qualificando l’impegno necessario come primaria responsabilità comune europea.
E questo proprio nel momento in cui – per la particolare esposizione al rischio di nuove stragi e con il ricordo ancora troppo recente di quelle subite – potrebbe essere forte la tentazione di cedere a una torsione involutiva nel rapporto tra libertà e sicurezza.
Intanto che gli Stati Uniti intraprendono una profonda revisione, anche sul modello europeo, della loro disciplina in materia di sicurezza pubblica e contrasto al terrorismo, è fondamentale che l’Europa sappia sfuggire il rischio di allontanarsi da se stessa e dai principi su cui si fonda la sua identità giuridico-politica, in primo luogo la difesa delle libertà anche nelle fasi di maggiore tensione sociale.
Ovviamente, la previsione di controlli più stringenti per fini di pubblica sicurezza comporta inevitabilmente una ulteriore interferenza nei diritti e nelle libertà fondamentali: interferenza che, come indicato all’articolo 8 della Convenzione europea, “in una società democratica … deve essere ridotta al minimo necessario per perseguire la finalità di interesse generale riconosciuta dall’ordinamento”.
E con riferimento al diritto alla protezione dei dati personali, esso certo può subire limitazioni – in base a previsioni legislative europee o nazionali – per quanto necessario ai fini di garantire esigenze di ordine e sicurezza pubblica, prevenzione, contrasto e repressione di reati nel rispetto di quanto prescritto dalla Convenzione europea sui diritti dell’uomo e dai trattati, come ha chiarito la Corte di giustizia annullando la disciplina della data retention per violazione del principio di proporzionalità.
E proprio alla Corte, ed ai principi da essa sanciti, è necessario che le Istituzioni europee (e gli Stati membri) guardino, sempre, per prevenire giudizi di non conformità delle diverse iniziative legislative.
Del resto, sull’esigenza di rispettare i principi richiamati dalla Carta di Nizza insistono sia l’Agenda per la sicurezza dell’aprile 2015 di cui la presente costituisce attuazione, sia quest’ultima, in conformità a quella sinergia tra “libertà, sicurezza e giustizia” che deve caratterizzare, secondo i trattati, l’ordinamento europeo.
E se la presente Comunicazione indica l'”Unione della sicurezza” quale obiettivo da perseguire, ribadisce – almeno formalmente – che ciò deve avvenire nel rispetto dei principi dello Stato di diritto e dunque dei diritti e delle libertà fondamentali.
Tra i quali assume un ruolo centrale la protezione dati, dal momento che pressoché tutte le libertà che si esercitano nell’era del digitale presuppongono la garanzia dei propri dati personali e dunque non vi è limitazione delle prime che non incida anche sulla seconda.
È significativo che ciascun capitolo della Comunicazione, nel delineare le azioni da intraprendere, implicitamente indichi misure incidenti, in misura maggiore o minore, sul diritto alla protezione dati.
E questo, a partire dall’esigenza di intensificazione (qualitativa e quantitativa) degli scambi informativi, necessaria a ridurre quella frammentazione nell’azione di contrasto che accresce le nostre vulnerabilità e a superare un’idea di cooperazione come funzionale alla sola sicurezza interna in favore della sicurezza dell’intera UE.
Così, per il monitoraggio dei movimenti – in entrata e in uscita – dei sospetti foreign fighters e la condivisione di tali informazioni (soprattutto verso il SIS II e il Centro europeo antiterrorismo dell’Europol), si annuncia una revisione del sistema informativo Schengen.
Essa dovrebbe prevedere, in particolare:
– l’inserimento in tale banca dati delle informazioni sui rimpatri dei migranti irregolari e sui divieti di ingresso;
– l’uso dell’immagine facciale a fini di identificazione biometrica; nonché
– nuovi tipi di segnalazioni di persone sconosciute ricercate.
Entro metà 2017 verrà inoltre aggiunta:
– una funzione automatizzata di ricerca delle impronte digitali, parallelamente all’inserimento nel sistema, da parte degli Stati membri, di segnalazioni inerenti misure di allontanamento o espulsione ovvero divieto di reingresso e
– più incisivi controlli integrati e sistematici (biometrici, su banche dati e “fonti aperte”), svolti nei confronti degli ospiti degli hotspot.
È poi in discussione la previsione, nel codice frontiere Schengen, dell’obbligo di effettuare controlli sistematici, sulle pertinenti banche dati delle forze dell’ordine, di coloro che attraversano le frontiere esterne, compresi i cittadini dell’UE.
Ciascuna di queste misure – che si aggiungono a quelle, pur incisive, già previste per il controllo delle frontiere – avrà, ovviamente, un impatto significativo sul diritto alla protezione dati degli interessati, giustificabile solo se non sostituibile da misure meno invasive.
L’Unione europea in questi 10 anni ha approvato circa 230 misure, in materia di sicurezza e contrasto al terrorismo, di cui un terzo aventi natura vincolante.
Da una recente verifica presentata al Parlamento europeo risulta che tali misure hanno avuto un bassissimo tasso di attuazione da parte degli Stati membri.
In questo senso, considerando anche che le misure proposte dalla Commissione si intrecciano con le proposte formulate per il controllo delle frontiere (smart borders) il Gruppo dei Garanti europei ha analizzato entrambi i documenti ed è in procinto di inviare una nota alle tre istituzioni UE in cui ricorda i principi che devono essere rispettati prima di convertire un atto di indirizzo in concrete proposte legislative.
Il Gruppo chiede:
– una attenta analisi, basata su elementi oggettivamente misurabili, circa la reale necessità di nuove raccolte di dati e la creazione di ulteriori banche dati, in assenza di alcuna valutazione rispetto alla concreta efficacia di quelle già esistenti;
– di operare con maggiore selettività rispetto all’uso di dati biometrici ed all’accesso delle forze dell’ordine a basi di dati europee che sono state autorizzate dal legislatore per finalità diverse (VIS, EURODAC in primis).
In particolare, è indispensabile garantire l’esattezza dei dati trattati, dal momento che anche un solo errore può incidere su status soggettivi, determinando ad esempio un diniego di ingresso.
Peraltro assicurare l’effettiva qualità dei dati è un presupposto fondamentale, considerato che dati inesatti, non aggiornati o incompleti rischiano di compromettere la funzionalità stessa delle diverse banche dati.
Andrebbe poi valutata l’effettiva necessità di acquisire sistematicamente dati biometrici ulteriori (in particolare immagine facciale) rispetto a quelli già utilizzati, soprattutto nei confronti dei minori di sei anni.
Infine, sarebbe necessario consentire la verifica della legittimità degli accessi da parte di un’autorità che sia effettivamente indipendente, così come differenziare i dati trattati in ragione dell’eventuale condizione processuale dell’interessato (vittima, testimone, indagato ecc.) come previsto dalla direttiva sul trattamento dei dati per fini di prevenzione e accertamento dei reati, cui pure la Comunicazione sembra attribuire importanza.
Perplessità riguardano, poi, la possibilità di trasferimento dei dati a Paesi terzi, a causa dell’ampio potere discrezionale riconosciuto alle autorità nazionali nel comunicare i dati trattati.
Tra le misure funzionali al contrasto dei foreign fighters la Comunicazione indica anche l’attuazione della direttiva sul PNR, che pure presenta diverse criticità, manifestate in particolare dal Gruppo dei Garanti europei, e che sembrano ora confermate dalle Conclusioni presentate in Corte di giustizia dall’Avvocato Generale Mengozzi, in relazione all’accordo UE-Canada sul PNR.
Al di là della discussa efficacia della raccolta di tali dati a fini di prevenzione e repressione del terrorismo, la direttiva legittima comunque un trattamento massivo di dati personali afferenti a 40 diversi campi nei sistemi informativi, che vengono conservati per 5 anni a prescindere dal coinvolgimento dell’interessato in illeciti penali; ne consente l’acquisizione per fini di contrasto non solo di delitti di terrorismo o criminalità organizzata ma anche per reati minori, non necessariamente transnazionali e non connotati da sufficiente gravità o comunque non frequentemente connessi ai primi.
Rilevante sarà il ruolo di vigilanza del Garante sulla corretta implementazione della direttiva sul PNR, nel rispetto dei principi introdotti dal nuovo pacchetto di protezione dei dati (da attuare entro il 2018), nonché di prescrizione delle misure ed accorgimenti adeguati al rischio del trattamento, a garanzia degli interessati, così come previsto dal nostro Codice.
Ai fini della cooperazione investigativa e giudiziaria la Comunicazione invoca anzitutto – oltre l’approvazione delle direttive sul terrorismo e sull’estensione del sistema europeo di informazione sui casellari giudiziari (ECRIS) ai cittadini di Paesi terzi – la rapida attuazione di quella sul trattamento dei dati personali per scopi di prevenzione e repressione di reati (che con il Regolamento fa parte del nuovo pacchetto di protezione dei dati sopra richiamato).
Tuttavia è utile segnalare che quest’ultima direttiva, nel fornire un quadro organico di garanzie per i dati dei cittadini trattati per tali fini (anche in ambito nazionale) per favorire lo scambio informativo tra le autorità competenti, presenta alcuni limiti.
E infatti, dal suo campo di applicazione sono esclusi i trattamenti dei dati per fini di sicurezza nazionale.
Benché conseguente alla carenza di competenza dell’Unione europea in tale materia – attratta ancora nell’esclusivo monopolio statuale – tale esclusione depotenzia molto l’efficacia dell’atto, anche perché proprio in questo campo si effettuano spesso i trattamenti più invasivi.
E persino regressivi appaiono profili quali ad esempio l’esclusione di attribuzioni delle autorità di controllo rispetto ai trattamenti svolti dall’autorità giudiziaria, ove ordinamenti quali il nostro avevano invece radicato la competenza del Garante.
La Comunicazione richiama anche l’accordo quadro UE-USA (c.d. ombrello) sulla protezione dei dati trasferiti per fini di prevenzione e repressione dei reati, siglato il 2 giugno in un testo su cui il Parlamento europeo e il Gruppo dei Garanti europei hanno già espresso diverse riserve, in particolare perché ritenuto sostanzialmente equivalente a una decisione di adeguatezza pur in assenza di garanzie equivalenti a quelle necessarie per tali decisioni, come richieste dalla sentenza Schrems.
Si osserva infatti come l’accordo limiti la legittimazione all’esperimento di ricorsi a tutela dei propri diritti solo ai cittadini degli Stati membri, laddove il diritto alla protezione dati non è un diritto di cittadinanza ma fondamentale, dunque da riconoscere a ciascuna persona per il sol fatto di essere tale, prescindendo dalla cittadinanza.
Inoltre l’ambito di cognizione da parte della Corte di giustizia risulta più limitato rispetto a quello inerente le decisioni di adeguatezza, in quanto l’atto ha natura di accordo internazionale.
Da ciò deriva inoltre la sua prevalenza sul diritto europeo derivato (pertanto anche sulla citata direttiva) e in particolare sulle sue norme inerenti il trasferimento dei dati, benché non ovviamente sul diritto europeo primario.
Potrebbe risultare utile l’annunciata proposta della Commissione di una disciplina volta ad agevolare e armonizzare gli strumenti per l’acquisizione in sede giudiziaria di prove digitali (spesso detenute da società situate oltre i confini della giurisdizione dello Stato procedente), in ragione dell’insufficienza delle attuali procedure di assistenza giudiziaria e degli accordi internazionali di settore.
In linea con le conclusioni del Consiglio giustizia e affari interni sul cybercrime, la Comunicazione invoca poi l’elaborazione di più adeguati criteri di collegamento per la competenza esecutiva nel cyberspazio.
È questa la nuova frontiera in cui si dispiegano i conflitti nel mondo.
La dimensione in cui le infrastrutture degli Stati sono più vulnerabili, quella su cui dovremmo investire di più per garantire protezione dei sistemi e quindi protezione delle persone.
La Comunicazione richiama inoltre – in linea con le conclusioni del Consiglio UE del 9-10 giugno – alla piena attuazione della decisione di Prüm del 2008 (che prevede un rilevante trattamento di dati anche genetici per fini di contrasto del terrorismo) e un uso più sistematico e coerente della banca dati di Interpol sui documenti di viaggio rubati e smarriti, a fini d’identificazione di sospetti terroristi.
A questo proposito vorrei evidenziare il ruolo importante che la nostra Autorità ha svolto con riferimento alla Banca nazionale del DNA ed al relativo Laboratorio centrale (sul cui schema di regolamento abbiamo, peraltro, espresso uno specifico parere per fornire indicazioni e rilievi puntuali per accrescerne la sicurezza).
Tra le misure indicate per il contrasto della radicalizzazione, in particolare on-line, la Comunicazione segnala quelle fondate sulla cooperazione intergovernativa e sul partenariato pubblico-privato per limitare l’accessibilità dei materiali terroristici e i discorsi di odio sul web, promuovendo contro-argomentazioni efficaci.
In questo senso un esempio importante è costituito dall’accordo del 30 maggio scorso tra l’UE e i gestori di molti social network, impegnatisi nel contrasto dell’hate speech.
Questi, in sintesi, gli aspetti più rilevanti della Comunicazione, che tra luci e ombre delinea una strategia quantomeno organica e multisettoriale di contrasto del terrorismo, per il quale obiettivo la misura più importante è senza dubbio la cooperazione e la condivisione delle informazioni, purché all’interno di un comune quadro di regole sull’utilizzo dei dati che favorisca, lungi dall’indebolire, la sicurezza.
Tuttavia, per quanto la Comunicazione oggetto della presente audizione si ponga obiettivi significativi nella lotta al terrorismo e alle altre minacce alla sicurezza dell’Unione, è necessario vigilare attentamente sulle diverse misure di attuazione delle disposizioni previste dalla suddetta Comunicazione.
Infatti, il richiamo alla protezione dei dati ed ai suoi principi in un momento in cui le tecnologie moderne consentono – anche e soprattutto alle pubbliche autorità – di utilizzare metodi sempre più avanzati di controllo e forme di monitoraggio particolarmente invasive, non può essere puramente formale, quasi un “atto dovuto”.
Esso deve piuttosto tradursi in concrete e rigorose misure di tutela integrate nelle disposizioni e rappresentare – in sostanza – l’elemento chiave attraverso il quale valutare l’effettiva necessità, proporzionalità degli interventi proposti.
In ogni caso molte misure previste da questa comunicazione richiederanno a livello nazionale specifiche norme di attuazione sulle quali il Garante esprimerà naturalmente i pareri puntuali previsti dal nostro ordinamento.
La sinergia tra privacy, libertà dei cittadini europei e sicurezza rappresenta un elemento essenziale e, in questa ottica, va ricordato che un’adeguata legislazione sulla protezione dati è stata sempre la condizione posta ai vari Governi (il nostro per primo) per far parte dello spazio Schengen.