L’”European Data Protection Supervisor” (EDPS) ha emanato questo parere in ottemperanza ai propri ruoli di informatore delle istituzioni dell’Unione europea sulla protezione dei dati e sulle implicazioni dell’effetto delle loro politiche e connessa responsabilizzazione – ovvero per il “facilitare la responsabilità e la politica informata”.
L’EDPS commenta così la proposta di regolamento per la gestione operativa di sistemi di larga scala che concernono liberà, sicurezza e giustizia di giugno 2017 sull””eu-LISA” (European Agency in charge of the operational management of large-scale IT Systems in the area of freedom, security and justice) ovvero sull’”Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia” (istituita con Reg. 1077/2011/UE ) e più nota come, Agenzia IT dell’UE, che aveva già proposto:
(i) di effettuare la gestione operativa degli esistenti e futuri sistemi IT su larga scala nel settore della libertà, della sicurezza e della giustizia,
(ii) sviluppando alcuni aspetti dell’interoperabilità di questi sistemi,
(iii) svolgendo attività di ricerca e progetti pilota e
(iv) di sviluppare, gestire e ospitare un sistema IT comune per un gruppo di Stati membri che optino per una soluzione centralizzata in base volontaria attuazione di aspetti tecnici della legislazione dell’UE sui sistemi decentrati in tema di libertà, sicurezza e giustizia (il tutto mira a sopperire l’attuale mancanza di un sistema interoperabile).
Tale agenzia di regolamentazione ha sede a Tallinn (Estonia), dove la scorsa settimana è iniziato il “Tallinn Digital Summit” in cui i vertici degli Stati membri si sono incontrati per discutere sullimpatto della trasformazione digitale del 21esimo secolo.
Tuttavia l’Agenzia operativamente svolge attività anche in altri sedi poiché i compiti relativi allo sviluppo tecnico e alla preparazione per la gestione operativa del SIS II (sistema d’informazione Schengen di seconda generazione, istituito con regolamento (CE) n. 1987/2006) e del VIS (sistema d’informazione visti, istituito con decisione 2004/512/CE) sono svolti a Strasburgo (Francia) ed un sito di riserva (backup site) per tali sistemi IT è stato installato a Sankt Johann im Pongau (Austria).
L’agenzia si occupa anche della gestione di Eurodac (per il confronto delle impronte digitali in applicazione della convenzione di Dublino).
A seguito della valutazione sull’operato triennale dell’Agenzia la Commissione europea ha ritenuto opportuno nel 2016 che fossero attuati miglioramenti per potenziarne efficienza in termini di costi ed efficacia in termini di operatività. Il report lo si trova qui.
Sempre in giugno 2017 è stata effettuata una proposta di regolamento (vedi sopra) ed ora dunque l’EDPS ha emanato il proprio parere.
L’ EDPS, in particolare, raccomanda di effettuare una valutazione d’impatto dettagliata per rendere più facile valutare quanto la proposta dell’eu-LISA possa incidere sui diritti fondamentali, in particolare nel riferimento alla concentrazione di sistemi informatici su larga scala dell’UE in una sola Agenzia prendendo in considerazione anche il fatto che vi sono più proposte contemporanee di Enti che mirano ad esprimersi in merito ai sistemi informatici su larga scala. Inoltre secondo l’EDPS l’architettura del sistema non dovrebbe essere modificata solo sulla base di un preventivo accordo tra l’”eu-LISA” stessa ed uno sparuto gruppo di Stati membri ed in ogni caso tale modifica non dovrebbe venire effettuata se non a seguito della modifica della Direttiva 2016/681/Ue sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi.
Infine un’attenzione particolare dovrebbe essere rivolta a:
– statistiche generate dal sistema;
– monitoraggio interno;
– gestione dei rischi per la sicurezza informatica.