PRUM II: assenza di proporzionalità e rischio sorveglianza

Autore: Gabriele Ientile

Il Regolamento Prum II – attualmente in consultazione al Consiglio dell’Unione europea – intende rafforzare lo scambio di dati tra forze di polizia all’interno dell’UE. Allo stato attuale la proposta comporta seri rischi per i diritti e le libertà dei cittadini.

Cos’è il Regolamento PRUM II e cosa prevede

Prum II ha lo scopo di aggiornare l’attuale framework per lo scambio di informazioni tra le autorità di polizia dell’Unione (Prum I) che, secondo quanto rappresentato dalla istituzioni, è antiquato e inefficace a causa di alcune lacune. Lo scopo è migliorare le operazioni di polizia a livello internazionale al fine di poter contrastare fenomeni criminali che sempre più spesso si estendono oltre un unico confine. Il Regolamento, inoltre, abbraccia le nuove modalità di prevenzione dei reati.

Il Regolamento «stabilisce le condizioni e le procedure per la consultazione automatizzata di profili DNA, dati dattiloscopici, immagini del volto, estratti del casellario giudiziale e determinati dati di immatricolazione dei veicoli, nonché le norme relative allo scambio di dati di base a seguito di una corrispondenza».

Oggetto di questa norma sono pertanto dati biometrici come profili del DNA e immagini del volto opportunamente elaborati ed associati ad un identificativo univoco, dati giudiziari come il certificato del casellario giudiziario, dati dattiloscopici indicizzati e dati sull’immatricolazione dei veicoli.

Il processo prende il via su iniziativa di uno stato membro che richiede un “riscontro” rispetto ai dati di specifici “candidati”. Viene inoltre richiesto di associare la richiesta ad una “giustificazione”, ossia l’indicazione della “finalità dell’interrogazione compreso un riferimento al caso specifico o all’indagine specifica e […] l’indicazione dell’eventualità che l’indicazione intenda identificare uno sconosciuto o ottenere maggiori informazioni su una persona sconosciuta”.

Ulteriori garanzie vengono poste a tutela dei dati personali. Ad esempio, i dati oggetto di una richiesta di rettifica da parte degli interessati saranno contrassegnati con uno specifico bollino. Inoltre, la norma specifica che il trattamento è limitato al perseguimento delle finalità di prevenzione dei reati. Sono anche previste indicazioni sulle misure di sicurezza, come l’utilizzo di crittografia a livello del trasporto e la pseudonimizzazione di alcune informazioni.

Lo scambio avviene in modo automatizzato tramite l’utilizzo di un’infrastruttura ibrida, in parte centralizzata (ossia router o indici centralizzati che possano fungere da punto di connessione) e in parte decentrallizzata (per la parte di archiviazione dei dati). 

Un ruolo rilevante viene giocato anche dell’Europol, in quanto “consentirà agli Stati membri di controllare automaticamente i dati biometrici provenienti da paesi terzi conservati presso Europol, [e] potrebbe confrontare i dati provenienti da paesi terzi con le banche dati nazionali degli Stati membri”.

Le perplessità del Garante Europeo

L’European Data Protection Supervisor – l’autorità di controllo europea che viene interrogata in queste circostanze – ha espresso il proprio parere su questa proposta ritenendo che non siano state adottate sufficienti garanzie per gli individui e che il trattamento dei dati di sproporzionato rispetto alle finalità perseguite.

Ciò che preoccupa è la possibilità di avviare ricerche automatiche di dati biometrici all’interno di quello che si comporterebbe come un gigantesco database. Manca una precisa indicazione degli elementi essenziali sottoposti allo scambio di dati come, ad esempio, le tipologie di reati che possano giustificare una richiesta. Ne consegue che sarebbe legittimo accedere ai dati biometrici di un individuo (DNA e mappatura del volto!) anche solo per il perseguimento di reati minori.

Si rileva, inoltre, che all’interno del sistema potrebbero confluire dati riferiti non solo a soggetti con precedenti penali. Questa criticità deriva da un altro grande problema della proposta: un eccessivo affidamento sulla normativa nazionale degli stati membri. In questo caso, è stato rilevato che alcuni archivi di dati biometrici potrebbero contenere dati di soggetti diversi, come vittime di alcune reati o persone scomparse.

Le normative nazionali sono infatti disomogenee e, in alcuni casi, non del tutto compatibili con i valori democratici, come, ad esempio, nei casi di Polonia e Ungheria dove lo Stato di diritto è in una profonda crisi.

Alcune considerazioni finali

Non sembra che la proposta ponga sufficienti tutele per i cittadini. Lo scambio di informazioni dovrebbe essere limitato solo ad alcune tipologie di reati individuati sulla base della pena, per evitare di processare dati biometrici di individui che hanno commesso reati minori. Anche la tipologia di bene giuridico tutelato (ossia l’interesse che la norma penale intende tutelare) dovrebbe essere presa in considerazione. Dovrebbero essere esclusi tutti i reati che potrebbero essere sfruttati per perseguire oppositori politici limitandosi, ad esempio, a reati contro la persona e contro il patrimonio. 

Il tutto, inoltre, dovrebbe inserirsi in un quadro di maggiori tutele a livello unionale. L’utilizzo di sistemi di riconoscimento facciale non fornisce sufficienti garanzie e può facilmente comportare la discriminazione di minoranze etniche o sociali. Non a caso, le autorità europee competenti per la protezione dei dati hanno chiesto che venissero vietati . 

Sempre a livello unionale, dovrebbero essere individuate ulteriori armonizzazioni in tema di terrorismo. E’ stato molto discussa, infatti, la definizione del fenomeno fornita all’interno del regolamento TERREG perché potrebbe condurre ad abusi da parte delle autorità.

Ancora, il richiamo alla disciplina dei singoli stati membri rischia di estromettere qualsiasi controllo da parte dell’autorità giudiziaria. Se uno stato non prevedesse un sufficiente controllo giurisdizionale sulle operazioni di polizia, allora i dati di milioni di cittadini potrebbero essere trattati senza supervisione.

Date queste premesse, il framework di Prum II allo stato attuale potrebbe diventare uno strumento di discriminazione e sorveglianza di massa. Occorre ricordare, infatti, che tutte le tecnologie sono solo strumenti dell’agire umano e, come tali, soggetti ad errori e alla volontà, non sempre allineata con i nostri interessi, dei loro utilizzatori. Per questa ragione, le norme e le soluzioni tecniche devono essere complementari e pensate per costruire dei limiti invalicabili agli abusi. 

In definitiva, dietro a Prum II si nasconde un problema che tiene svegli molti professionisti della protezione dei dati: il bilanciamento tra diritti degli individui ed esigenze di altri soggetti (i corpi di polizia in questo caso). Da un lato la necessità di tutelare la riservatezza e la capacità di formazione di una volontà autonoma e indipendente degli individui; dall’altro la tutela di interessi altri come il perseguimento dei reati o lo sviluppo economico. Un bilanciamento che non è possibile senza una profonda revisione secondo le linee guida delineate dell’European Data Protection Board e dagli altri portatori di interessi.