Un po’ in sordina, a partire da oggi, 20 luglio 2015, ha cominciato ad applicarsi il nuovo Regolamento Eurodac (Regolamento UE n° 603/2013), approvato dal Parlamento europeo e dal Consiglio il 26 giugno 2013 contemporaneamente al nuovo Regolamento Dublino 3 (Regolamento UE n° 604/2013) che si applica invece già dal 1° gennaio 2014 (si veda la nostra Guida al Regolamento Dublino). 
Sempre da oggi sono di conseguenza abrogati il vecchio Regolamento Eurodac (Regolamento CE n° 2725/2000) e il suo regolamento applicativo (il Regolamento CE n° 407/2002).



Base giuridica: art. 78 par. 2 lett. e); art. 87 par. 2 lett. a); art. 88 par. 2 lett. a)

Il nuovo regolamento Eurodac è uno strumento molto più ampio del suo predecessore. Gli articoli sono passati da appena 27 a 46 e il preambolo consiste di ben 54 Considerando (rispetto ai 23 del vecchio regolamento). Inoltre, la necessità di individuare con maggiore precisione i dati da trasmettere, le modalità di trasmissione e conservazione degli stessi, nonché le nuove modalità di accesso a tali dati e i diritti dell’interessato, hanno dato vita a un atto giuridico estremamente complesso che in questa scheda analizziamo in maniera approfondita ma solo parziale, limitandoci a rispondere a quelle che ci sembrano le domande più interessanti ai nostri fini, senza addentrarci in un’analisi articolo per articolo.


Cos’è Eurodac e a cosa serve?




Eurodac è un sistema informatico che gestisce una banca dati che è stata creata nel 2000 per migliorare l’efficacia dell’applicazione dell’allora Convenzione di Dublino (oggi Regolamento Dublino), attraverso la raccolta e la comparazione delle impronte digitali di richiedenti asilo e persone che vengono intercettate al momento dell’ingresso irregolare di una frontiera esterna di uno Stato membro. Ciò, come si può intuire, è particolarmente utile al fine di verificare se una persona ha già presentato una domanda di asilo in un altro Paese e/o ha attraversato irregolarmente una frontiera esterna di un altro Stato membro e, dunque, all’individuazione della responsabilità per l’esame della domanda di protezione internazionale. 

In particolare, il Regolamento prevede:

  • l’obbligo degli Stati di procedere “tempestivamente al rilevamento delle impronte digitali di tutte le dita di ogni richiedente protezione internazionale di età non inferiore a 14 anni non appena possibile e in ogni caso entro 72 ore dalla presentazione della domanda”, salve alcune possibilità di proroga. I dati trasmessi (oltre alle impronte digitali, anche Stato di origine, sesso e altri) sono automaticamente confrontati con gli altri dati registrati nel sistema centrale, da cui viene inviata una risposta positiva (“HIT”: dato già registrato) o negativa (dato nuovo). Tali dati sono poi conservati presso il sistema centrale per 10 anni, salvo che l’interessato acquisisca prima di quella scadenza la cittadinanza di uno Stato membro.
  • l’obbligo degli Stati di procedere “tempestivamente al rilevamento delle impronte digitali di tutte le dita di cittadini di paesi terzi o apolidi di età non inferiore a 14 anni che siano fermati dalle competenti autorità di controllo in relazione all’attraversamento irregolare via terra, mare o aria della propria frontiera in provenienza da un paese terzo e che non siano stati respinti”. Anche questi dati (oltre alle impronte digitali, Stato di origine, sesso e altri) devono essere trasmessi entro 72 ore dopo la data del fermo, salve alcune possibilità di proroga. Tali dati sono conservati per 18 mesi (salvo che all’interessato sia rilasciato prima della scadenza un titolo di soggiorno, ovvero che lo stesso abbia lasciato il territorio degli Stati membri ovvero abbia acquisito la cittadinanza di uno Stato membro) per essere confrontati con i dati relativi ai richiedenti protezione internazionale che verranno trasmessi al sistema centrale successivamente.
  • la possibilità per gli Stati di trasmettere al sistema centrale i dati relativi alle impronte digitali rilevate a un cittadino di paese terzo o apolide di età non inferiore a 14 anni soggiornante irregolarmente nel loro territorio, al solo fine di stabilire se tale persona abbia precedentemente presentato domanda di protezione internazionale in un altro Stato membro. Tali dati non sono conservati nel sistema centrale.


Il nuovo regolamento che si applica a partire da oggi introduce però anche un secondo obiettivo, quello di permettere – a certe condizioni – l’accesso ai dati contenuti nel sistema Eurodac anche alle autorità nazionali di contrasto al terrorismo o ad altri reati gravi nonché ad Europol

Accesso a Eurodac da parte delle autorità di contrasto del terrorismo e di Europol: cosa significa?

La prima – e senza dubbio più importante – differenza rispetto al testo del 2000 si trova già nel titolo del regolamento che non si limita più a istituire l’Eurodac per il confronto delle impronte digitali per l’efficace applicazione del regolamento Dublino, ma aggiunge “e per le richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il regolamento (UE) n° 1077/2011 che istituisce un’agenzia europea per la gestione operativa dei sitemi IT su larga scala nello spazio di libertà, sicurezza e giustizia”.
Detta altrimenti, la grande differenza rispetto alla precedente versione del Regolamento Eurodac  (su cui si è giocata larga parte dei negoziati tra Parlamento europeo e Consiglio UE) sta dunque nel fatto che viene introdotta la possibilità per 
1) le autorità “responsabili della prevenzione, dell’accertamento o dell’indagine di reati di terrorismo o altri reati gravi” (art. 5), designate da ciascuno Stato membro,
2) Europol (art. 7)

di chiedere, a determinate condizioni, accesso ai dati conservati nel sistema centrale di Eurodac. 

Cosa si intende per reati gravi? 

Ce lo spiega l’art. 2 lett. k) del regolamento, rimandando ai reati che danno luogo a consegna in base al mandato di arresto europeo (Decisione quadro 2002/584/GAI), “se punibili conformemente al diritto nazionale con una pena detentiva o una misura di sicurezza privativa della libertà personale per un periodo massimo di almeno tre anni”. 

Quali sono le condizioni che devono ricorrere per questo accesso?

L’art. 20 elenca le condizioni per l’accesso delle autorità designate dagli Stati membri. In particolare, si prevede che tali autorità possano chiedere alle autorità di verifica (cioè alle autorità degli Stati membri responsabili della prevenzione, dell’accertamento e dell’indagine di reati di terrorismo o di altri reati gravi: autorità designate e autorità di verifica possono anche far parte della medesima organizzazione ma l’autorità di verifica deve agire con indipendenza) il confronto di impronte digitali con i dati conservati nel sistema centrale di Eurodac, soltanto se hanno precedentemente (e senza esito) proceduto al confronto con: 
– banche dati nazionali dei dati dattiloscopici; 
– sistemi automatizzati d’identificazione dattiloscopica di tutti gli altri Stati membri (qualora tale confronto sia possibile); 
– il sistema VIS

Inoltre, è richiesto che 

  1. tale confronto sia necessario (“vale a dire esiste un interesse prevalente di sicurezza pubblica tale da rendere proporzionata l’interrogazione della banca dati”), 
  2. tale confronto sia necessario anche nel caso specifico (“vale a dire non si eseguono confronti sistematici”) e, inoltre, 
  3. esistono fondati motivi per ritenere che il confronto contribuisca in modo sostanziale alla prevenzione, all’individuazione o all’investigazione di uno dei reati in questione
    […] in particolare laddove sussista il sospetto fondato che l’autore presunto o effettivo oppure la vittima di un reato di terrorismo o di un altro reato grave rientri in una delle categorie contemplate dal presente regolamento”.

L’art. 21 elenca invece le condizioni per l’accesso di Europol. In particolare, prevede che l’autorità designata da Europol possa chiedere all’autorità di verifica (composta sempre da funzionari di Europol ma che agisce in maniera indipendente) il confronto di impronte digitali con i dati conservati nel sistema centrale di Eurodac soltanto se il confronto con i dati conservati nei sistemi accessibili ad Europol non ha consentito di stabilire l’identità dell’interessato. Inoltre, è richiesto che sussistano tutti gli elementi di cui ai punti 1), 2) e 3) di cui sopra. 

Si noti che, “in casi eccezionali di urgenza ove sia necessario per prevenire un pericolo imminente associato a reati di terrorismo o ad altri reati gravi“, è possibile per l’autorità di verifica trasmettere subito i dati relativi alle impronte digitali e verificare solo a posteriori se siano state rispettate tutte le condizioni di cui sopra, “compresa l’effettiva sussistenza di un caso eccezionale di urgenza“. (art. 19 par. 3)

Come si procede al rilevamento delle impronte digitali?

Il regolamento Eurodac rimanda alle “prassi nazionali dello Stato membro interessato” ma dispone in ogni caso che tale rilevamento debba avvenire “in conformità delle salvaguardie previste dalla Carta dei dritti fondamentali dell’Unione europea, dalla Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e dalla Convenzione delle Nazioni Unite sui diritti del fanciullo” (art. 3 par. 5)

La gestione di Eurodac

E’ affidata all’Agenzia europea per la gestione operativa dei sitemi IT su larga scala nello spazio di libertà, sicurezza e giustizia. Si tratta di un’altra novità introdotta dal nuovo regolamento, in quanto l’Agenzia ha avviato i suoi lavori nel 2012.  A tale scopo, l’art. 38 del nuovo regolamento Eurodac contiene alcune disposizioni di modifica del regolamento UE n° 1077/2011 (che istituisce appunto l’Agenzia IT).
L’Agenzia deve garantire il funzionamento del sistema h 24, sette giorni su sette

Il regolamento prevede poi una serie di disposizioni sulla responsabilità in materia di trattamento dei dati, trasmissione dei dati e modalità di effettuazione dei confronti e di trasmissione dei risultati, diritti dell’interessato, vigilanza delle autorità nazionali di controllo e del garante europeo della protezione dei dati, nonché sulla sicurezza dei dati e sul divieto di trasferirli a Paesi terzi, organizzazioni internazionali o soggetti di diritto privato.

E’ prevista una prima valutazione di questo regolamento da parte della Commissione europea (entro il 20 luglio 2018) sui risultati conseguiti rispetto agli obiettivi e l’impatto sui diritti fondamentali. Gli Stati membri ed Europol predispongono invece una relazione annuale sull’efficacia del confronto dei dati relativi alle impronte digitali con i dati Eurodac ai fini di contrasto del terrorismo o altri reati gravi. (art. 40)


NB: il presente regolamento ha avuto un percorso travagliato. La prima proposta di rifusione del regolamento 2725/2000 risale infatti a dicembre 2008 e fu modificata una prima volta nel settembre 2009. In quell’occasione comparve la possibilità di accesso ai dati da parte delle autorità di contrasto del terrorismo e di altri reati gravi. La proposta del 2009 venne però ritirata per motivi tecnici e, in una successiva del 2010, si ritenne di eliminare tale possibilità. Infine, nel 2012, la Commissione avanzò un’altra proposta che la reintroduceva, ritenendola necessaria per avanzare nei negoziati e arrivare all’approvazione di tutti gli strumenti rinnovati del sistema europeo comune di asilo nei termini previsti. 
Il regolamento 603/2013 si applica anche a Regno Unito e Danimarca, mentre l’Irlanda ha scelto di non esserne vincolata, rimanendo però vincolata alla versione precedente. Altresì vincolati sono gli Stati “associati” Schengen: Islanda, Norvegia, Svizzera, Liechtenstein.