In un recente report l’Hermes Center for Transparency and Digital Human Rights ha analizzato le procedure di identificazione e categorizzazione dei migranti, rifugiati o richiedenti asilo da parte dello Stato italiano, evidenziando numerose criticità, su cui è corretto chiedersi quali tutele privacy abbiamo già posto e quali servirebbero.
Tutelare i dati di rifugiati e migranti, per proteggerli: ecco come fare
Il report
Nel report intitolato “Tecnologie per il controllo delle frontiere in Italia”, l’Hermes Center for Transparency and Digital Human Rights ha analizzato le procedure di individuazione e schedatura dei dati dei migranti in Italia.
I dati più rilevanti sono due: l’inserimento dei dati di ogni straniero nell’AFIS (Automated Fingerprint Identification System) e l’impiego di tecnologie di riconoscimento facciale (SARI, sistema automatico di ricerca dell’identità).
Nella sostanza, migranti, rifugiati o richiedenti asilo vengono schedati secondo un modello che prevede l’associazione tra impronte digitali e foto segnaletiche, raccolte addirittura dal momento in cui inizia la sorveglianza in mare.
Nel report si sottolinea come venga impiegata una tecnologia “riservata” a criminali e che non vi sia un adeguato controllo indipendente sulla quantità dei dati raccolti secondo queste procedure.
La “denuncia” riguarda la “datificazione” della società in generale ed il fatto che i migranti, di fatto, sono costretti a cedere dati personali e biometrici in cambio di accoglienza; la tecnologia di raccolta dati, in conclusione, non sarebbe mai neutra, ma porterebbe sempre con sé implicazioni politiche e sociologiche molto rilevanti.
In conclusione, il dato più rilevante è la confusione tra i dati di migranti che chiedono semplicemente accoglienza nel nostro Paese e soggetti schedati in ragione di procedimenti penali pendenti.
AFIS, SARI e Garante per il trattamento dei dati personali
L’impiego di AFIS e SARI è stato oggetto di numerosi interventi e pareri da parte del Garante per il trattamento dei dati personali.
In particolare, il 26 luglio 2018 – dopo l’entrata in vigore del GDPR e l’adozione del decreto legislativo 51 del 2018, attuativo della Direttiva UE 16/680) – il Garante si è espresso “in riscontro alla richiesta di chiarimenti del Garante, il Ministero ha precisato che il sistema è destinato ad affiancare il sistema AFIS-SSA, per fornire all’operatore un efficiente supporto informatico che ne agevoli l’attività di indagine. Il sistema AFIS-SSA, attualmente in uso, consente di effettuare ricerche nell’archivio dei soggetti fotosegnalati (AFIS), tramite l’opera manuale di un operatore, che deve inserire nei campi presenti nella maschera di interrogazione informazioni anagrafiche, connotati e contrassegni (ad esempio, colore dei capelli, degli occhi, di tatuaggi), al fine di individuare la presenza nell’archivio AFIS del soggetto ricercato. Il data base AFIS ed il sistema AFIS-SSA sono previsti nel decreto del Ministro dell’interno 24 maggio 2017, recante l’individuazione dei trattamenti di dati personali effettuati dal Centro elaborazione dati del Dipartimento della pubblica sicurezza o da Forze di polizia sui dati destinati a confluirvi, ovvero da organi di pubblica sicurezza o altri soggetti pubblici nell’esercizio delle attribuzioni conferite da disposizioni di legge o di regolamento, effettuati con strumenti elettronici e i relativi titolari, in attuazione dell’art. 53, comma 3, del decreto legislativo 30 giugno 2003, n. 196, la cui scheda 19 contiene la descrizione del sistema e indica le numerose fonti normative di riferimento, di rango legislativo e regolamentare”.
I paletti del Garante privacy sul riconoscimento facciale
Il Garante ha affermato la liceità del sistema SARI, osservano anche che “il trattamento dei dati biometrici ricavabili anche dall’immagine facciale, effettuato dalle forze di polizia a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, è previsto e disciplinato da una pluralità di fonti normative (quali l’art. 4 del T.U.L.P.S., approvato con regio decreto 18 giugno 1931, n. 773 e art. 7 del relativo regolamento di esecuzione, approvato con regio decreto 6 maggio 1940, n. 635; l’art. 349 del codice di procedura penale; l’art. 11 del decreto legge 21 marzo 1978, n. 59, convertito in legge 18 maggio 1978, n. 191; l’art. 5 del decreto legislativo 25 luglio 1998, n. 286)”.
Con questo provvedimento il Garante ha dato parere favorevole all’impiego del SARI Enterprise, previa valutazione di impatto (DPIA).
Nell’aprile 2021, invece, il Garante per il trattamento dei dati personali ha bloccato l’adozione del sistema SARI Real Time, molto più impattante del precedente strumento del 2018; la versione Real Time, infatti, altro non sarebbe che uno strumento generalizzato di riconoscimento facciale in luoghi pubblici.
Con un emendamento al decreto capienze, entrato in vigore i 7 dicembre scorso, è stato introdotto un divieto generale di impiego di tecnologie di riconoscimento facciale fino al 31 dicembre 2023, salvo che il legislatore non regoli prima la materia.
Fotosegnalamento e migranti
Il fotosegnalamento è previsto, nel nostro ordinamento, dall’ articolo 5, comma 2 bis e 4 bis, del decreto legislativo numero 286/98, ossia il Testo unico sull’immigrazione.
Una circolare ministeriale del 2014 prevede l’inserimento nella banca dati AFIS dei dati dei migranti.
Sul fronte dell’Unione Europea la fonte di riferimento è il Regolamento UE 2003/63, che ha modificato il precedente Regolamento UE 2000/2725, istitutivo dell’EURODAC.
L’EURODAC (European Dactyloscopie, Dattiloscopia europea), “è il database europeo delle impronte digitali per coloro che richiedono asilo politico e per le persone fermate mentre varcano irregolarmente una frontiera esterna dell’Unione Europea. Confrontando le impronte, gli Stati membri possono verificare se un richiedente asilo o un cittadino straniero, che si trova illegalmente sul suo territorio, ha già presentato una domanda in un altro Stato membro o se un richiedente asilo è entrato irregolarmente nel territorio dell’Unione”.
Secondo il sito del Dipartimento per le politiche europee del Consiglio dei ministri, “oltre alle impronte digitali, i dati trasmessi dagli Stati membri indicano lo Stato membro d’origine, il luogo e la data dell’eventuale domanda d’asilo, il sesso, un numero d’identificazione, nonché la data in cui sono state prese le impronte digitali e la data in cui sono stati trasmessi i dati ad EURODAC. Le impronte sono rilevate per ogni persona di più di 14 anni.
Per i richiedenti asilo, i dati sono conservati per dieci anni, salvo se l’interessato ottiene la cittadinanza di uno degli Stati membri; in tal caso gli elementi che lo riguardano devono essere immediatamente cancellati non appena ottenuta la cittadinanza. Per i cittadini stranieri fermati in occasione dell’attraversamento irregolare di una frontiera esterna, sono conservati per due anni a decorrere dalla data alla quale le impronte digitali sono state rilevate.
Essi vengono invece cancellati immediatamente, prima dello scadere dei due anni, se lo straniero:
- ottiene un permesso di soggiorno;
- ha lasciato il territorio degli Stati membri;
- ha acquisito la cittadinanza di uno Stato membro.
Per i cittadini stranieri che si trovano illegalmente sul territorio di uno Stato membro, EURODAC permette soltanto il confronto delle impronte con quelle contenute nella base di dati centrale per verificare se l’interessato non abbia presentato una domanda d’asilo in un altro Stato membro. Queste impronte, una volta trasmesse per il confronto, non vengono più conservate da EURODAC”( Dipartimento per le Politiche Europee – EURODAC).
Conclusioni
Il rapporto dell’Hermes Center for Transparency and Digital Human Rights denuncia fatti ampiamente noti, discussi e di cui gli organi dello Stato danno conto in modo espresso e trasparente (basta saper effettuare la ricerca in modo corretto e riuscire a comprendere la pur complessa normativa di riferimento: è tutto online).
L’attuale situazione riguardante la raccolta dei dati fotosegnaletici e biometrici dei migranti è frutto di scelte politiche e normative risalenti nel tempo e ormai consolidate: il vero snodo futuro è l’impiego del riconoscimento facciale di massa.
Il SARI Enterprise, infatti, è riservato unicamente alle forze dell’ordine e serve a comparare le fotografie nel database; per questo il suo impiego è stato autorizzato – previa DPIA – dal Garante nel 2018.
L’impiego del SARI Real Time, invece, avrebbe di fatto aperto le porte all’impiego generalizzato del riconoscimento facciale e ci avrebbe catapultato in Cina senza passare dal via.
Plauso al Garante per averne, quindi, impedito l’entrata in servizio.
Allo stato – per quanto la normativa nazionale e le politiche dell’Unione siano improntate al divieto delle tecnologie di riconoscimento facciale massificato – non vi è una scelta contraria definitiva: è un momento interlocutorio, i cui sviluppi andranno seguiti con attenzione.
