“Prüm II”: prove tecniche per un’infrastruttura biometrica europea?

Credit photo: https://claudeai.wiki/category/ai-blog/

Il Consiglio europeo ha approvato la proposta di Regolamento “Prüm II” sullo scambio di dati automatizzato per scopi di cooperazione transfrontaliera nella lotta alla criminalità e al terrorismo. La proposta mira ad implementare ed automatizzare le procedure di scambio di dati personali – compresi i dati biometrici – tra le autorità di pubblica sicurezza degli Stati membri. Al cuore della proposta c’è la creazione di un router europeo che fungerà da “cinghia di trasmissione” tra i database di dati personali, compresi quelli biometrici, detenuti dalle forze dell’ordine degli Stati europei.

Senza la previsione di adeguati contrappesi, il rischio è, però, che “Prüm II” consegni alle autorità di pubblica sicurezza uno strumento di controllo senza precedenti.

Lo scorso 8 aprile 2022 il Consiglio europeo ha approvato la proposta di Regolamento sullo scambio di dati automatizzato per scopi di cooperazione transfrontaliera nella lotta alla criminalità e al terrorismo. La proposta – denominata “Prüm II” – intende porsi come aggiornamento del cd.  “quadro di Prüm”, un framework giuridico adottato dagli Stati dell’Unione europea a partire dagli anni Duemila con l’obiettivo di sostenere la cooperazione giudiziaria e di polizia a livello transfrontaliero in relazione a questioni penali, prevedendo lo scambio automatizzato di dati specifici (profili DNA, impronte digitali, immatricolazione di veicoli etc.) tra le autorità competenti per la prevenzione, l’indagine e l’accertamento di reati.

Muovendo dal presupposto che «la consultazione e il raffronto di dati relativi a DNA, impronte digitali e immatricolazione di veicoli nelle banche dati di altri Stati membri ai fini della prevenzione dei reati e delle indagini penali sono di fondamentale importanza per proteggere la sicurezza interna dell’UE e la sicurezza dei suoi cittadini», la proposta di Regolamento intende colmare le rilevate lacune dell’attuale quadro di Prüm, in special modo nel settore dello scambio di informazioni, estendendo e semplificando la condivisione dei dati personali tra le autorità di pubblica sicurezza europee.

Tra gli aspetti di maggiore rilievo della proposta vi è l’implementazione delle procedure automatizzare di condivisione transfrontaliera di dati personali (impronte digitali, dati del DNA, dati di immatricolazione dei veicoli, registri di polizia e immagini biometriche), a cui si accompagna il parallelo ridimensionamento delle attuali garanzie procedurali che regolano lo scambio di dati sensibili da parte delle autorità di polizia.

Stando a quanto riportato all’art. 35 della proposta di Regolamento, le banche dati detenute dalle singole autorità di sicurezza degli Stati membri non confluiranno in un unico database centrale a livello europeo, bensì le singole piattaforme nazionali saranno collegate attraverso la creazione di router centrali, i quali fungeranno «da intermediari di messaggi che inoltrano le operazioni di consultazione e le risposte ai sistemi nazionali, senza creare nuove elaborazioni di dati, ampliare i diritti di accesso né sostituire le banche dati nazionali».

In sostanza, le autorità di pubblica di sicurezza avranno la possibilità di interrogare il router europeo trasmettendo uno o più dati biometrici (DNA, immagini facciali e dati dattiloscopici) relativi ad un certo soggetto. Ricevuta la richiesta, il router invierà la domanda di interrogazione agli Stati membri, i quali provvederanno ad interrogare le proprie banche dati «in modo automatizzato e senza indugio». Una vota ricevuti eventuali riscontri positivi da parte di una o più banche dati, il router classificherà le risposte in base al punteggio della corrispondenza, inviando all’autorità pubblica richiedente l’elenco dei dati biometrici per i quali è stata riscontrata una corrispondenza e i relativi punteggi.

All’indomani dalla sua pubblicazione, Prüm II ha già sollevato forti critiche, sia da parte di attori istituzionali che da esponenti della società civile.

Il Garante europeo per la protezione dei dati ha, in particolare, richiamato l’attenzione sulle ricadute negative che il “sistema Prüm II” potrebbe avere rispetto al godimento di diritti e libertà fondamentali. Per il Garante europeo, i rischi associati al trattamento dei dati personali delle persone in ambito penale – così come la necessità e la proporzionalità delle misure previste – dovrebbero essere chiaramente dimostrate, in modo da non pregiudicare il livello di protezione delle persone garantito dal diritto dell’UE. Inoltre, il Garante ha richiamato l’attenzione anche sulla mancata preventiva definizione degli elementi che possono giustificare un’interrogazione a livello europeo: stante la delicatezza degli interessi coinvolti risulterebbe, invece, particolarmente importante assicurare che la ricerca automatizzata dei profili DNA e delle immagini facciali venga resa possibile solo nell’ambito di indagini individuali su reati gravi e non su qualsiasi reato, come invece previsto nella proposta.

Tali ordini di criticità si incrociano con i rischi di biosorveglianza connessi all’indiscriminato utilizzo di tale dispositivo. Secondo Ella Jakubowska, consulente politico dell’ONG European Digital Rights (EDRi), Prüm II  costituirà «l’infrastruttura di sorveglianza biometrica più ampia che avremo mai visto al mondo», di fatto normalizzando l’utilizzo di dispositivi di riconoscimento biometrico da parte delle autorità di pubblica sicurezza (sui rischi di biosorveglianza abbiamo parlato qui e qui).

Per l’ONG EDRi, inoltre, le misure contenute nell Proposta Prum II rischiano anche di amplificare ulteriormente gli impatti discriminatori di cui i programmi di riconoscimento facciale per scopi di sicurezza pubblica si sono già dimostrati capaci rispetto a minoranze etniche della popolazione (sugli impatti discriminatori degli algoritmi di riconoscimento facciale abbiamo già discusso qui e qui).

Anche se la Commissione ha già garantito che non si utilizzeranno sistemi di riconoscimento facciale in tempo reale e che Prüm II non sarà adoperato per mettere in atto controlli generalizzati sulla popolazione, si tratta di una rassicurazione che rischia di restare lettera morta, soprattutto tenuto conto dell’ampio margine di manovra – quanto ai soggetti da controllare ed ai relativi dati sensibili da estrarre – che la proposta di Regolamento lascia alle singole autorità di sicurezza degli Stati membri.

Di fatto, in assenza di una normativa dettagliata che disciplini condizioni e limiti di accesso all’infrastruttura centralizzata, Prüm II finisce per consegnare alle forze di polizia un patrimonio cognitivo senza precedenti quanto a capillarità e accuratezza delle informazioni. Risvolto, quest’ultimo, tanto più preoccupante tenuto conto della tendenza espansiva che i meccanismi di sorveglianza pubblica.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale

Credit photo: https://claudeai.wiki/category/ai-blog/