la fine della negazione sistematica dei diritti alla protezione dei dati? –

L’Italia ha sistematicamente negato alle persone l’accesso ai dati che le riguardano, archiviati nel più grande database europeo di polizia e immigrazione, come dimostrano le statistiche ottenute da Statewatch. Gran parte dei dati in questione riguardano divieti di ingresso e ordini di espulsione. Sapere quali informazioni sono archiviate è fondamentale per il sostentamento delle persone e persino per la loro sopravvivenza. Le istituzioni dell’UE sanno da anni che i meccanismi per la protezione dei diritti individuali erano carenti. Ora, la vittoria in una lunga battaglia legale potrebbe costringere lo Stato italiano a rispettare i propri obblighi.

di Statewatch

La privacy e la protezione dei dati fanno parte dei diritti umani troppo spesso sospesi alle frontiere dell’Unione europea. Sono diritti, che emarginati, famiglie apolidi e comunità di migranti troppo spesso vedono scartati.

Queste le parole di Wojciech Wiewiorowski, capo della protezione dei dati dell’UE, in occasione della Giornata internazionale della protezione dei dati, il 28 gennaio dello scorso anno.

Il problema che Wiewi?rowski stava indicando è visibile nei dati ottenuti da Statewatch. Nel 2023, l’Italia ha negato tutte le richieste di persone che cercavano l’accesso ai dati su di loro memorizzati nel Sistema d’informazione Schengen, un’enorme banca dati dell’UE sulla polizia e sull’immigrazione.

Questa negazione sistemica impedisce alle persone di sapere quali dati sono memorizzati su di loro, come vengono utilizzati e se sono accurati o meno. È in contrasto con gli obblighi italiani in materia di protezione dei dati e le pratiche di altri Stati membri dell’UE. E’ chiaramente assurdo.

A seguito di una recente sentenza della più alta corte italiana, potrebbe anche essere necessario cambiare.

Ma per comprendere quel giudizio, è necessario comprendere il contesto – ed esaminare il Sistema d’Informazione Schengen, l’opacità dello Stato italiano, l’inazione dell’UE e il diritto dei cittadini di accedere ai propri dati.

Sistema d’informazione Schengen: uso e abuso

Il sistema d’informazione Schengen di seconda generazione (SIS II) è la più antica e più grande banca dati dell’UE per la polizia e l’immigrazione. Memorizza informazioni (“allerta”) su persone e oggetti, inseriti principalmente da polizia, migrazione e autorità giudiziarie.

La maggior parte degli avvisi SIS sulle persone sono divieti di ingresso e ordini di espulsione. Nel 2023, queste due categorie costituiscono il 66% del numero totale di avvisi sulle persone nel 2023. Ci sono più di 600.000 divieti di ingresso conservati nel SIS e più di 321.000 ordini di espulsione. I divieti di ingresso hanno lo scopo di impedire alle persone ritenute pericolose o indesiderate di recarsi in Italia o in qualsiasi altro stato di Schengen.

Tuttavia, esattamente chi è “pericoloso” o “indesiderato” è aperto all’interpretazione. Recentemente, le autorità francesi hanno posto un divieto di ingresso sul direttore di una ONG britannica. Il divieto era quello di impedirgli di presentare un rapporto critico sulle politiche antiterrorismo islamofobe della Francia.

La Germania ha vietato un’entrata su un chirurgo palestinese, Ghassan Abu Sitta, per impedirgli di partecipare a una conferenza che denuncia il genocidio a Gaza. Ci sono molti altri casi esplicitamente politici di divieti di ingresso noti a Statewatch.

Il diritto di accesso

Il garante europeo della protezione dei dati, l’autorità europea per la protezione dei dati, descrive il diritto di accesso ai dati come “uno degli elementi fondamentali della protezione dei dati”. È “un veicolo per la trasparenza e la responsabilità su come vengono elaborati i dati delle persone”.

Attraverso il diritto di accesso, gli individui possono richiedere informazioni in loro e rettificare o cancellare qualsiasi informazione errata o illegale. Il diritto può anche aiutare a comprendere le ragioni di una decisione (ad esempio, un divieto di ingresso) e ottenere l’accesso ai rimedi per illeciti.

Ad esempio, qualcuno che ha una richiesta di asilo rifiutato potrebbe chiedere l’autorità nazionale competente per il loro fascicolo. Ciò consentirebbe loro di comprendere gli argomenti e i fatti utilizzati nel loro caso per informare un ricorso.

L’ambito del diritto di accesso è una questione di controversia in corso. Un caso in corso presso la Corte di giustizia dell’UE si chiede se la concessione dell’accesso al fascicolo di asilo di un individuo debba significare anche “informazioni sul modo in cui tali informazioni sono state raccolte e ottenute”.

Una sentenza del 2014 ha fornito una risposta restrittiva a una domanda simile, ma è stata effettivamente invertita due anni dopo. È probabile che le lotte legali come queste diventino più frequenti man mano che le autorità raccolgono sempre più dati personali, in particolare dai non cittadini.

L’Italia ha scelto

Quasi due anni fa, sono state in vigore nuove leggi ampliando il sistema d’informazione Schengen. Le leggi hanno aumentato i tipi di dati raccolti e il numero di autorità con accesso. Tuttavia, hanno anche introdotto nuovi, anche se limitati, requisiti di trasparenza.

In base alle leggi rinnovate, le autorità nazionali nazionali in materia di protezione dei dati devono elaborare statistiche annuali sull’esercizio del diritto di accesso (di seguito heree qui).

Tali statistiche sono inviate al comitato europeo per la protezione dei dati (EDPB). Questo organismo è composto dal capo dell’autorità di protezione dei dati di ciascuno Stato membro dell’UE, nonché dal garante europeo della protezione dei dati. Il compito dell’EDPB è quello di garantire che la legge sulla protezione dei dati sia applicata in modo coerente in tutta l’UE.

L’anno scorso, Statewatch ha effettuato l’accesso alla richiesta di documenti per la prima serie di statistiche nazionali sul diritto di accesso inviato all’EDPB. La risposta contiene informazioni dei 18 Stati le cui pratiche si trovano nell’ultima legislazione del sistema d’informazione Schengen.

Secondo i dati, le singole richieste di accesso ai dati nel SIS hanno avuto successo in media del 65% di tutti i casi. Tuttavia, le autorità di due Stati avevano una sola risposta a ogni singola richiesta di accesso che ricevevano: no.

Questi due stati erano Cipro e l’Italia. Le autorità cipriote hanno ricevuto solo sei richieste nel 2023. L’Italia, tuttavia, negata l’accesso a 4.636 richieste. Nel 373 di questi casi è stato depositato un ricorso all’autorità nazionale per la protezione dei dati, ma nessuno ha avuto successo.

Più di 4.500 richieste di accesso, tutte negate. Nella maggior parte dei casi, le persone che presentavano tali richieste stavano cercando informazioni sui divieti di ingresso o sugli ordini di espulsione. Queste decisioni hanno un profondo impatto sui mezzi di sussistenza delle persone e, in alcuni casi, sulla loro sopravvivenza.

Per decenni, l’UE ha tenuto sotto controllo il numero di avvisi che ciascun paese registra nel SIS. L’Italia è sempre stata in cima al campionato, con almeno il 20% degli allarmi del sistema. Alla fine del 2023, 212.543 segnalazioni di persone nel SIS sono state registrate dalle autorità italiane.

In che modo un paese responsabile dell’archiviazione e della condivisione di così tante informazioni sulle persone nega loro sistematicamente il diritto di accedere ai propri dati, un diritto essenziale di protezione dei dati?

Mentre il numero di persone che cercano l’accesso sembra alto – 4.636 richieste nel 2023 – questo non può, di per sé, fornire una risposta. Avere a che fare con un gran numero di domande non è un motivo valido per negare l’accesso. In ogni caso, ciò equivale a poco più del 2% delle persone i cui dati sono registrati nel SIS dalle autorità italiane.

Statewatch ha chiesto all’autorità italiana per la protezione dei dati perché nega sistematicamente le richieste di accesso alle segnalazioni nel sistema d’informazione Schengen. Non hanno risposto.

Esercizio del diritto di accesso: un vecchio problema

La pratica italiana non viene dal nulla.

Nel 2014, le autorità di protezione dei dati hanno lamentato che la maggior parte dei paesi non ha fornito motivi per rifiutare l’accesso ai dati memorizzati nel SIS. Ci sono casi in cui è necessario un rifiuto generale di accedere ai dati, redatti in termini generali, soprattutto nel contesto di indagini in corso.

“Tuttavia, si consiglia di effettuare sempre una valutazione preliminare caso per caso, al fine di evitare rifiuti di massa per impostazione predefinita”, ha detto il loro rapporto.

Hanno chiesto che le decisioni che rifiutano l’accesso siano “deviamente motivate e rese disponibili per le autorità nazionali di protezione dei dati, se richieste per l’esecuzione dei loro compiti di vigilanza”.

In una sentenza del 2023, la Corte di giustizia dell’UE (CGUE) ha chiarito l’incertezza. Ha stabilito che i rifiuti generali di accesso alle richieste erano ingiustificabili. Le autorità nazionali devono documentare perché è stata invocata una restrizione, anche nei casi di sicurezza nazionale.

La sentenza afferma inoltre che è necessario un dialogo tra le forze dell’ordine e le autorità di protezione dei dati per valutare la proporzionalità delle restrizioni. Inoltre, i giudici nazionali dovrebbero poter valutare tutti i motivi invocati dall’autorità per il trattamento dei dati e di limitarne l’accesso.

L’EDPB si è adoperata per incoraggiare l’esercizio dei diritti di accesso dell’interessato in relazione al SIS. Nel 2021 ha lanciato una campagna di informazione sul SIS e il diritto di accesso. Nel 2023 pubblicò una guida sull’esercizio del diritto di accesso.

Tuttavia, la guida ha carenze. Non spiega i tipi di informazioni che le autorità preposte all’applicazione della legge dovrebbero fornire alle autorità di protezione dei dati e ai singoli per giustificare un rifiuto di accesso. Questo ignora anche l’elefante nella stanza rivelata dai dati del 2023: in alcuni paesi, come l’Italia, l’accesso ai dati è una promessa mai concessa.

Ci sono preoccupazioni più ampie sul ruolo dell’EDPB. Gli accademici Lisette Mustert e Cristiana Santos sostengono che, poiché le linee guida dell’EDPB mancano di qualsiasi forza vincolante, possono creare “varie interpretazioni” della legge sulla protezione dei dati dell’UE.

L’EDPB è tenuto a trasmettere la sua relazione sul diritto di accesso alla Commissione europea, al Consiglio dell’UE e al Parlamento europeo. Non vi è .

Garantire il diritto di accesso: chi è il responsabile?

Quando Statewatch ha chiesto all’EDPB il rifiuto generale delle richieste di accesso delle autorità italiane, l’EDPB ha dichiarato di non essere “in grado di rispondere a questa domanda”. Hanno raccomandato di indirizzare qualsiasi domanda all’autorità italiana per la protezione dei dati.

La Commissione europea, che è in ultima analisi responsabile di garantire l’applicazione del diritto dell’UE, potrebbe anche dare seguito alla questione.

Nel 2003 la Commissione ha avviato un’azione giudiziaria contro la Spagna su una questione analoga.

Le autorità spagnole hanno rifiutato le domande di visto presentate da familiari di cittadini dell’UE non UE. Essi giustificavano il rifiuto in base al fatto che tali familiari fossero elencati nel sistema d’informazione Schengen.

Nel caso presentato dalla Commissione, la Grande Camera della CGUE ha stabilito, nel 2006, che la Spagna avrebbe dovuto verificare se i motivi della segnalazione fossero reali, presenti e sufficientemente gravi.

Nel caso spagnolo, la questione non riguardava la protezione dei dati, ma l’ottenimento di un rimedio efficace per il rifiuto del visto. Tuttavia, in entrambi i casi, i motivi di sicurezza nazionale sono presentati come una giustificazione sufficiente per rifiutare una richiesta di un cittadino di un paese terzo per ulteriori informazioni.

Ma i giorni passati sono i giorni in cui la Commissione persegue attivamente gli Stati per aver violato la legge, attraverso quelli che sono noti come procedimenti di infrazione. Il numero di casi presentati contro gli Stati membri dell’UE è crollato.

Secondo uno studio, gli studiosi R. Daniel Kelemen e Tommaso Pavone: “Tra il 2004 e il 2018, le infrazioni aperte dalla Commissione sono diminuite del 67% e le infrazioni deferite alla Corte di giustizia dell’UE sono diminuite dell’87%”.

Ciò è stato particolarmente preoccupante per i casi che toccano il rispetto dello stato di diritto, secondo uno studio dell’accademico Kim Lane Scheppele. Ci sono problemi simili in relazione alle leggi sull’immigrazione dell’UE, secondo Maciej Grzekowiak.

Un documento ottenuto da Statewatch offre uno sguardo su come le carenze nel rispetto della legge siano affrontate dalle istituzioni dell’UE.

Una valutazione 2021 dell’acquis di Schengen (l’insieme di norme che regolano l’abolizione del controllo delle frontiere tra gli Stati membri dell’UE) ha identificato diverse carenze in Italia. In particolare, la relazione raccomanda alle autorità italiane di modificare la risposta standard fornita alle persone che cercano l’accesso ai dati memorizzati su di loro nel SIS.

La risposta standard delle autorità italiane è stata che “l’interessato non ha divieti di ingresso nel territorio Schengen”. La valutazione descritta come “fuorviante” nei casi in cui le informazioni erano detenute, ma è stata negata “ad esempio a causa di minacce alla sicurezza pubblica o nazionale”.

Quindi, non solo le persone erano di fronte a divieti di ingresso o ordini di espulsione a cui è stato negato l’accesso ai loro dati senza giustificazione, ma è stato anche detto loro che non c’erano informazioni memorizzate su di loro.

Tre anni dopo che questa relazione è approdita sulla scrivania della Commissione europea, la pratica è rimasta la stessa. Migliaia di persone sono state mentite e le è stato negato l’accesso al risarcimento.

La giustizia finalmente in Italia

Una delle eccezioni al diritto di accesso al proprio fascicolo riguarda le questioni di “sicurezza nazionale”.

Questa eccezione ha recentemente affrontato il controllo nella più alta corte d’appello italiana. In un caso che è durato più di 15 anni ed è finito alla Corte di Cassazione, Muhamed Dihani ha vinto.

Dihani è stato arrestato dalle autorità marocchine nel 2009. Fu accusato di incitamento al terrorismo perché fece una campagna per l’indipendenza del Sahara occidentale, un territorio sotto occupazione marocchina illegale. Il Sahara occidentale è un territorio indipendente la cui popolazione ha il diritto all’autodeterminazione riconosciuta dalle Nazioni Unite.

È stato detenuto per quattro anni in Marocco, dove è stato torturato. Dopo essere stato rilasciato, lasciò il paese e cercò di raggiungere l’Italia, per cercare cure e riabilitazione.

Dove è andato Dihani, le autorità marocchine hanno inviato informazioni per seguirlo. Ha chiesto un visto per entrare in Italia, ma è stato rifiutato a causa di un allarme nel sistema d’informazione Schengen: è stato considerato una minaccia per la sicurezza nazionale a causa del suo coinvolgimento nel terrorismo.

Per anni, le autorità italiane si sono rifiutate di dare accesso al fascicolo, il che gli avrebbe permesso di contestare l’accusa. Ai giudici coinvolti nel caso è stato negato anche l’accesso alle informazioni.

Alla fine di gennaio, la Corte di cassazione italiana ha stabilito che il divieto d’ingresso dovrebbe essere scartato a causa della sua base nelle informazioni inviate dalle autorità marocchine.

In una sentenza dello scorso anno nel caso di Dihani, la Corte d’Appello dello scorso anno aveva già stabilito che le autorità giudiziarie avrebbero dovuto avere il “potere di vigilare e verificare il trattamento dei dati, anche in contesti legati alla sicurezza nazionale”.

Ilaria Masinara, responsabile dell’ufficio delle campagne di Amnesty International Italia, ha dichiarato:

“Dopo questo giudizio, che potrebbe avere anche un valore importante per altre persone appartenenti a paesi terzi e che vivono nel territorio italiano, Dihani potrà finalmente accedere e chiedere la cancellazione di informazioni e dati che, fino ad ora, hanno gettato una lunga ombra sul suo presente e futuro”.

Modifiche lunghe in ritardo

Quando gli Stati che hanno firmato l’accordo di Schengen hanno abolito i controlli alle frontiere, hanno anche accettato lo scambio transfrontaliero di dati. Inoltre, hanno concordato di garantire la sicurezza dei dati e dei diritti di protezione dei dati delle persone. Ogni paese che firmava la convenzione doveva istituire un quadro di protezione dei dati e un’autorità di controllo indipendente.

I diritti di accesso, rettifica e cancellazione sono stati stabiliti nella convenzione di attuazione dell’accordo di Schengen (articoli 109, 110 e 111, rispettivamente). Ma le autorità di contrasto sono state lasciate ai propri dispositivi nell’attuazione delle norme.

Il fondatore ed ex direttore di Statewatch, Tony Bunyan, ha scritto nel 2009 che “nessun sondaggio o revisione è mai stato effettuato dalla Commissione o da qualsiasi altro organismo sui diritti e le protezioni o le limitazioni [per quanto riguarda il SIS] che esistono da stato a stato secondo le leggi nazionali”.

Le prime statistiche mai prodotte sull’efficacia del diritto di accesso nel Sistema Informativo Schengen – le statistiche che mostrano la generale negazione dell’accesso dell’Italia – sono dannate. Il paese che ha creato più avvisi su individui di qualsiasi altro ha completamente ignorato i diritti di protezione dei dati.

I legislatori dell’UE hanno rivisto la legislazione che disciplina il SIS tre volte da quando il sistema è stato istituito per la prima volta. Ma una maggiore trasparenza e riparazione sono arrivati solo attraverso il lavoro scrupoloso di individui che lottano per i loro diritti in tribunale.

Il giudizio di Dihani è una testimonianza del fatto che le vittorie individuali rimangono vitali, in particolare quando hanno effetti più ampi, come l’ampliamento del diritto delle persone di accedere ai loro file.

Il giudizio è atteso da tempo, ma è anche tempestistico. Arriva in un momento in cui le autorità nazionali e dell’UE stanno raccogliendo quantità crescenti di dati sui non cittadini, aumentando la condivisione dei dati con le autorità non UE e quando le autorità di protezione dei dati hanno ricevuto nuove responsabilità per supervisionare l’uso della tecnologia di intelligenza artificiale da parte delle autorità di polizia e dell’immigrazione.

La legge sulla protezione dei dati può aiutare gli individui a comprendere la burocrazia spesso sfacciata dello stato, a comprendere il suo funzionamento interno e le ragioni dietro le decisioni che li riguardano. Si tratta di una preoccupazione crescente in un ambiente di sospetto sempre più .

Dello stesso autore: Romain Lanneau

Grafica: Ida Flik

I dati di dati

La documentazione

Documenti ricevuti in risposta a una richiesta di accesso ai documenti depositati da Statewatch presso il Comitato europeo per la protezione dei dati (pdfs):

Osservatorio Repressione è una Aps-Ets totalmente autofinanziata. Puoi sostenerci donando il tuo 5×1000 

News, aggiornamenti e approfondimenti sul canale telegram e canale WhatsApp