Eurodac (European dactylographic system) è il primo database biometrico introdotto in Europa nel 2000 con lo scopo di determinare lo Stato competente all’esame della domanda di asilo. Si tratta di uno strumento tecnico che per anni è stato quasi ignorato in letteratura, dall’opinione pubblica e dai mezzi di informazione e solo di recente gode di attenzione. Oltre ad Eurodac, il più risalente Sistema informativo Schengen (SIS) evolutosi anch’esso in un sistema biometrico con il SIS II, il più recente Sistema informativo Visti (VIS) e il sistema di registrazione degli ingressi e delle uscite dei cittadini di paesi terzi (Exit-Entry System) vengono tutti a comporre un quadro dove l’acquisizione e la conservazione di dati biometrici dei cittadini di Pesi terzi ha assunto un ruolo centrale come sistema di identificazione e di controllo della mobilità. Tutti i database sono gestiti dall’Agenzia Europea Eu-Lisa (European Agency for the operational management of large-scale IT systems in the area of freedom, security and justice) e sono oggetto di supervisione da parte del garante europeo per la protezione dei dati personale (EDPS – European Data Protection Supervisor). Tale unificazione gestionale e di supervisione conferma come, pur nella loro individualità, i database di gestione della mobilità dei cittadini di paesi terzi, siano espressione di un approccio unitario al governo del fenomeno migratorio.

Eurodac nello specifico, da strumento ancillare e tecnico del Sistema comune di Asilo si è progressivamente qualificato non solo come un elemento centrale dello stesso ma anche più in generale della gestione dei confini e della cosiddetta crisi migratoria: hotspot e procedure di ricollazione (su cui vedi i paragrafi che seguono) fanno infatti del rilevamento delle impronte digitali l’elemento cardine del loro stesso funzionamento.

L’architettura del sistema, i dati raccolti e il periodo di conservazione

In cosa consiste Eurodac e come funziona?

Il sistema si compone di una banca dati centrale informatizzata (denominata “Sistema Centrale”) e di una infrastruttura di comunicazione tra il sistema centrale e gli Stati membri, dotata di una rete virtuale cifrata dedicata ai dati Eurodac. Ogni Stato Membro, attraverso un singolo punto di accesso (il cd. focal point nazionale), invia i dati al sistema Centrale che in tempo reale effettua il controllo relativo alla presenza o meno delle impronte inserite nel sistema, indicando, se presenti, come sono state classificate e quando e dove le impronte della persona sono state già rilevate.

In Italia l’autorità responsabile per Eurodac è la Direzione Centrale Anticrime – Servizio di Polizia scientifica a Roma che costituisce il focal point nazionale. A livello decentrato i 14 Gabinetti regionali di Polizia scientifica sono i focal point che inseriscono le informazioni relative alle impronte e le trasmettono, attraverso l’interfaccia nazionale AFIS (Automated Fingerprint Identification System, in italiano Sistema Automatizzato di Identificazione delle Impronte), al focal point nazionale. È soltanto il focal point nazionale a trasmettere i dati al sistema Centrale di Eurodac.

In concreto quando l’operatore di pubblica sicurezza rileva le impronte digitali, queste vengono trasmette direttamente al Servizio Polizia scientifica di Roma che le invia al sistema centrale. Quest’ultimo restituisce l’informazione se le impronte sono già presenti nel sistema o meno, informazione che viene dal sistema nazionale ritrasmessa ai focal point locali. Quando le impronte son già presenti nel sistema, gli Stati Membri possono scambiarsi le informazioni relative alla persona attraverso la rete di scambio informativo, denominata Dublinet creata appositamente a tale scopo. Infatti, Eurodac, non contiene i dati anagrafici della persona ma esclusivamente le informazioni atte ad identificare la presenza o meno delle impronte nel sistema e solo successivamente a risalire, attraverso Dublinet, all’identità della persona e prendere così i provvedimenti previsti dal regolamento Dublino. Ciò conferma ulteriormente che Eurodac è stato pensato in origine solo come strumento amministrativo di gestione della competenza a gestire le domande di asilo, tanto che soltanto attraverso la rete Dublinet è possibile individuare i dati anagrafici della persona inserita nel sistema. Vi è una proposta di modifica del regolamento che modifica queste caratteristiche (vedi brevemente poco più avanti).

Le persone inserite nel sistema e i dati raccolti

I dati di quali soggetti sono inseriti in Eurodac? In base al Regolamento UE n.603/2013 sono tre le categorie di persone i cui dati possono essere inseriti nel sistema:

• i richiedenti protezione internazionali maggiori di anni 14 (articolo 9), identificati nel sistema come “Categoria 1”;

• le persone provenienti da paesi terzi o gli apolidi di età non inferiore a 14 anni, che siano fermati dalle competenti autorità di controllo in relazione all'attraversamento irregolare via terra, mare o aria della propria frontiera in provenienza da un paese terzo e che non siano stati respinti (articolo 14), identificate nel sistema come “Categoria 2”:

•le persone provenienti da Paesi terzi o gli apolidi di età non inferiore a 14 anni soggiornanti irregolarmente nel suo territorio, con l’obiettivo di stabilire se la persona ha già presentato una richiesta di asilo in altro Stato Membro (articolo 17). In questo ultimo caso, denominato “Categoria 3”, tale verifica di norma avviene quando la persona: a) dichiara di avere presentato una domanda di protezione internazionale, ma non indica lo Stato membro in cui l'ha presentata; b) non chiede protezione internazionale ma rifiuta di essere rimpatriato nel suo paese di origine affermando che vi si troverebbe in pericolo; c) cerca di evitare l’allontanamento con altri mezzi rifiutandosi di cooperare alla propria identificazione, in particolare non esibendo alcun documento di identità oppure esibendo documenti falsi.

Sia per i richiedenti protezione internazionale che per le persone fermate all’atto dell’attraversamento irregolare della frontiera vengono raccolte, oltre alle impronte delle dieci dita, complete della data del rilevamento, lo Stato di origine, la data e il luogo della domanda di protezione internazionale o del fermo, l’identificativo dell’operatore che ha operato il rilevamento e la data della trasmissione dei dati al Sistema Centrale. Per i richiedenti protezione internazionale vengono inoltre registrati anche i dati relativi a trasferimenti, allontanamento o altri movimenti che la persona ha effettuato nei casi descritti dall’articolo 10.

Vi è una proposta di modifica del regolamento avanzata dalla Commissione che aggiungerebbe ai dati oggi raccolti l’immagine del volto, nonché i dati anagrafici e la nazionalità, facendo così perdere a Eurodac le caratteristiche di un database che non contiene l’anagrafica del soggetto inserito. Inoltre si estende l’obbligo di inserimento ai minori di anni superiore ai 6.

Nel caso denominato categoria 3, invece, i dati relativi alle impronte digitali vengono trasmessi al Sistema Centrale al fine di verificare se la persona abbia precedentemente formulato una richiesta di protezione internazionale, ma non vi è alcuna registrazione e conservazione delle informazioni.

I dati inseriti permangono nel sistema per un cd. tempo di conservazione che cambia in base alla categoria di inserimento. I dati dei richiedenti asilo sono mantenuti nel sistema per 10 anni (articolo 12) e vengono cancellati prima del decorrere di tale periodo soltanto in caso di acquisizione della cittadinanza di uno Stato membro (articolo 13). Contrariamente a quanto la ratio originaria sottostante alla creazione Eurodac farebbe pensare, qualora il richiedente asilo venga riconosciuto titolare di protezione internazionale i suoi dati non vengono cancellati ma solo contrassegnati. Tale procedura determina che i dati rimangano nelle disponibilità delle autorità di polizia per tre anni per gli scopi di cui all’articolo 1, paragrafo 2. Decorsi i tre anni, i dati sono congelati e non sono più accessibili. Saranno cancellati una volta decorsi i 10 anni.

Diversamente per i soggetti inseriti a sistema come “Categoria 2”, in quanto stranieri intercettati al momento dell’attraversamento irregolare della frontiera, la conservazione dei dati dura 18 mesi (articolo 16). I dati possono essere cancellati prima del decorso di tale termine, oltre che nel caso, improbabile, di acquisizione della cittadinanza, anche in caso di rilascio di permesso di soggiorno (si pensi ad esempio al caso, anch’esso improbabile, di rilascio di un permesso di soggiorno a seguito di un provvedimento di regolarizzazione) e soprattutto se si ha notizia della partenza dal Paese. Ci si riferisce in questi ultimi casi alla situazione in cui lo straniero si allontana dal Paese volontariamente o viene da questo espulso.

Lo Stato è tenuto a rilevare le impronte digitali non appena possibile e in ogni caso, salvo casi eccezionali, entro 72 ore dalla presentazione della domanda di protezione internazionale ai sensi dell’art. 20 par. 2 del regolamento n. 604/2013/UE (articolo 13).

Analogo termine è definito per le persone fermate nell’attraversamento irregolare della frontiera. In questo caso il termine di 72 ore decorre dalla data del fermo, qualora le persone si trovino in stato di custodia, reclusione o trattenimento per oltre 72 ore il rilevamento delle impronte deve avvenire prima della loro liberazione (articolo 14).

La ratio di tale termine contenuto discende dalla necessità di evitare il protrarsi di una situazione di mancata identificazione.

I diritti dell’interessato 

I diritti della persona i cui dati sono inseriti in Eurodac sono definiti dall’art.  29 del Regolamento  UE n. 603/2013 , risultato delle criticità sollevate dalle ispezioni dell’Eurodac Supervision Coordination Group (SCG).

Nella sua prima ispezione, condotta nel 2007, l’Eurodac SCG aveva individuato significative anomalie negli accessi ad Eurodac da parte degli interessati. Risultavano infatti numerosi accessi (nell’ordine di diverse centinaia) contrassegnati dalla cat.9 - che indicava gli accessi in base all’art. 18 Regolamento UE n. 2725/2000 e indica oggi gli accessi in base all’art. 29 del vigente regolamento - a fronte di un numero di richieste di accesso documentate molto basso. L’ispezione aveva permesso di verificare come l’accesso in base alla cat. 9 fosse stato usato dalle autorità per rimediare a errati inserimenti o per errori nella procedura di accesso e aveva al contempo evidenziato un numero di richieste di accesso da parte degli aventi diritto prossimo allo zero. L’autorità di supervisione decide quindi di assumere maggiori informazioni su come gli Stati Membri forniscono informazioni agli interessati.

Nel rapporto del 2009 l’Eurodac SCG evidenzia un quadro molto variegato tra gli Stati membri e diversi aspetti critici. Innanzitutto le informazioni sono fornite in momenti diversi, in alcuni Stati all’inizio della procedura, in altri quando le impronte vengono acquisite. Inoltre le informazioni vengono in alcuni casi date in più momenti senza chiarezza rispetto al contenuto delle stesse, in particolare se si tratti di informazioni ripetute o di informazioni diverse fornite “a spizzichi e bocconi”. Le informazioni sono fornite oralmente o per scritto o persino in entrambi i modi a seconda degli Stati Membri. Ma gli aspetti più preoccupanti riguardano la scarsa qualità delle informazioni fornite. Si registra una mancanza pressoché totale di verifica sulla effettiva comprensione delle informazioni fornite e il contenuto delle stesse risulta poco chiaro. Nello specifico le informazioni inerenti ai diritti relativi al sistema Eurodac sono inserite, quando fornite, nelle informazioni relative al procedimento di asilo. Ciò determina una mancanza di completezza delle informazioni e gli aspetti relativi alla protezione dei dati personali, su cui l’informativa dovrebbe svolgersi, sono spesso non considerati. Infine, proprio la commistione tra le informazioni fornite sulla procedura di asilo e Eurodac, evidenzia una particolare carenza informativa nei confronti delle persone intercettate nell’attraversamento irregolare della frontiera, la cd. Categoria 2.

L’art. 29 Regolamento UE n. 603/2013 stabilisce che la persona debba essere informata «per iscritto, e dove necessario oralmente in una lingua che la persona comprende o che ragionevolmente si suppone a lei comprensibile» di quanto segue:

a) dell’identità del responsabile del trattamento

b) dello scopo per cui i suoi dati saranno conservati in Eurodac, compresa una descrizione delle finalità del Regolamento UE n. 604/2013 (cd. Dublino III) conformemente al diritto all’informazione disciplinato nell’art. 4 Regolamento UE n. 604/2013, nonché una spiegazione, in forma accessibile e con un linguaggio semplice e chiaro della possibilità di accesso delle autorità di polizia degli Stati membri e di Europol;

a) dei destinatari dei dati;

b) dell’esistenza di un obbligo di rilevamento delle impronte digitali per le persone che ricadono nelle categorie 1 e 2;

c) del diritto di accesso ai dati che la riguardano e del diritto di chiedere che i dati inesatti che la riguardano siano rettificati o che i dati che la riguardano trattati illecitamente siano cancellati, nonché del diritto di ottenere informazioni sulle procedure da seguire per esercitare tali diritti, compresi gli estremi del responsabile del trattamento e delle autorità nazionali di controllo di cui all'articolo 30, paragrafo 1.

Le informazioni per le persone che ricadono nelle categorie 1 e 2 vanno fornite all’atto del rilevamento delle impronte digitali e in caso di minore le informazioni vanno comunicate in modo consono alla sua età.

Deve inoltre essere redatto un opuscolo comune contenente almeno le informazioni relative ai diritti dell’interessato nonché quelle relative al diritto all’informazione del richiedente protezione internazionale, ai sensi dell’art. 4 par. 1 regolamento 604/2013. L’opuscolo deve essere redatto in modo semplice e chiaro in una lingua che la persona comprende o che ragionevolmente si suppone a lei comprensibile. Deve inoltre essere realizzato in modo da consentire agli Stati membri di completare le informazioni con quelle specifiche proprie del singolo Stato (ad esempio le indicazioni relative al Garante nazionale per la protezione dei dati personali).

Infine l’art. 29, par. 11 del Regolamento UE n. 603/2013 stabilisce che debba essere conservata copia della richiesta effettuata dal titolare dei dati e delle modalità della sua presentazione sotto forma di documento scritto, che possa essere messo a disposizione delle autorità nazionali di controllo.

Le modifiche inserite nel 2013 vanno certamente nella direzione di meglio garantire i diritti della persona sottoposta a rilievi dattiloscopi e inserita in Eurodac. Lo stesso Garante nella sua opinione del 2012 relativa alla emendata proposta di regolamento sottolinea come le modifiche effettuate vadano nella medesima direzione della generale riforma della disciplina in materia di dati personale e l’introduzione dell’opuscolo risponda pienamente ai rilievi critici effettuati nel 2009 dallo Eurodac SCG.

Si tratta quindi di una norma che certamente contiene tutte le necessarie previsioni per garantire i soggetti titolari dei dati inseriti nel sistema informativo.

A fronte di tale centralità del diritto all’informazione i dati forniti dal report annuale sul funzionamento di Eurodac redatto da EU-Lisa restituiscono un quadro molto lontano da quello a cui le norme farebbero pensare.

Come si può vedere dalla tabella il numero di richieste di accesso da parte del titolare dei dati è più che insignificante in rapporto al numero di impronte presenti nel sistema. Inoltre la maggioranza delle richieste proviene sempre da uno Stato membro, la Francia , le cui richieste sono dovute alla presenza di una organizzazione non governativa nella regione di Calais che assisteva le persone nella formulazione delle richieste di accesso.