I Garanti europei hanno richiesto il rispetto dei principi generali della protezione dei dati per l'inserimento dei dati biometrici nei permessi di soggiorno e nei visti rilasciati ai cittadini extracomunitari ed hanno espresso la loro perplessità sulla proposta di creare un database dei visti centralizzato a livello europeo, il cosiddetto VIS, Visa Information System. Secondo i Garanti, i documenti che ne prevedono l'istituzione, come ad esempio la Decisione del Consiglio UE dell'8 giugno 2004, contengono indicazioni troppo generiche sulle garanzie e le salvaguardie da applicare. Il Gruppo dei Garanti europei con proprio parere n.7/04, ha ribadito che i principi generali debbono essere, comunque, rispettati prevedendo un formato uniforme a livello UE per i visti ed i permessi di soggiorno, comprendente identificatori biometrici (impronte di due dita + foto dell'interessato) registrati in formato digitale su chip elettronico. I Garanti hanno ricordato che l'inserimento di dati biometrici nei visti e nei permessi di soggiorno standardizzati a livello europeo postula il rispetto dei principi di protezione dati fissati nella Direttiva 95/46/CE, per garantire i diritti fondamentali degli interessati. I Garanti hanno sottolineato il fatto che i dati biometrici, di per sé, hanno un elevato potenziale identificativo e permettono di raccogliere informazioni sugli interessati anche a loro insaputa (si pensi, appunto, alle impronte digitali). Rispettare i principi di protezione dei dati, quindi, significa garantire che i dati siano raccolti per scopi specifici, espliciti e legittimi e non trattati ulteriormente per scopi incompatibili con quelli della loro raccolta. I dati devono essere, inoltre, pertinenti ed adeguati alle finalità del trattamento, specificando, con chiarezza, all’interessato le finalità per cui si trattano dati biometrici prima di procedere alla loro raccolta, in modo da garantire la legittimità della procedura. I Garanti hanno espresso perplessità sulla proposta di memorizzare i dati biometrici in un archivio centralizzato, il VIS, per condurre eventuali, successive verifiche su soggetti che entrino illegalmente nel territorio dell’Unione europea: l’approccio non appare proporzionato alle finalità perseguite (identificazione dei richiedenti permesso di soggiorno) e contrasta con uno dei principi fondamentali della Direttiva europea in materia di protezione dei dati (principio di proporzionalità). Per quanto riguarda i Regolamenti del Consiglio UE del settembre 2003, relativi ad un formato uniforme per i visti e le richieste di soggiorno, il Gruppo dei Garanti ha sottolineato che occorre: garantire agli extracomunitari, richiedenti un visto o un permesso di soggiorno, la possibilità di accedere ai dati biometrici memorizzati nel chip, per verificarne i contenuti, prevedere particolari garanzie per chi non sia in grado di fornire i dati biometrici richiesti e garantire un’elevata affidabilità del sistema. In caso di respingimento la persona interessata deve sapere come opporsi alla decisione e far valere il proprio punto di vista (la Direttiva UE sulla protezione dei dati fa divieto, infatti, di prendere qualsiasi decisione rilevante per la vita dell’interessato che si basi soltanto su "trattamenti automatizzati" di dati personali). Per quanto riguarda la prevista "interoperabilità", ossia la possibilità per altre autorità di accedere ai dati memorizzati nel chip, nessuna modifica di tali dati deve essere possibile se non all’autorità che ha rilasciato il visto/il permesso di soggiorno. Inoltre, l’interessato deve sapere che il dato è oggetto di accesso, e soltanto i soggetti pubblici autorizzati devono avere la possibilità di accedervi. Le informazioni disponibili non devono andare oltre quelle indispensabili allo svolgimento delle funzioni alle quali la singola autorità è preposta. Rispetto al VIS, il Gruppo delle autorità europee di protezione dati, oltre ad esprimere in via generale le perplessità sopra sintetizzate, ha ritenuto di fornire alcune raccomandazioni più specifiche in attesa della definizione (da parte di un’apposita Commissione) dei criteri che dovranno regolamentare il funzionamento del sistema. Ricordiamo, in particolare, la necessità di meglio precisare le finalità perseguite con l’istituzione del sistema, che in parte sembrano sovrapporsi a quelle previste per il "nuovo" Sistema di informazione Schengen (SIS II), l’inopportunità di concedere alle autorità di Paesi terzi di accedere al VIS, anche per non violare il principio (sancito dalla Direttiva UE 95/46) secondo cui è possibile trasferire dati personali verso Paesi terzi soltanto se questi ultimi garantiscono un livello "adeguato" di protezione dei dati personali, la necessità di prevedere un termine massimo (e non minimo) di conservazione dei dati pari a cinque anni, e comunque di differenziare la conservazione a seconda della natura dei dati in oggetto e l’esigenza di garantire un adeguato controllo del VIS da parte del Garante europeo per la protezione dei dati, recentemente divenuto operativo, con la collaborazione delle autorità nazionali per quanto riguarda i trattamenti effettuati in ambito nazionale. I Garanti hanno, infine, ricordato il proprio impegno per garantire un approccio uniforme a livello europeo rispetto alle molte iniziative attuali e future (quali la prevista creazione di un passaporto UE contenente dati biometrici) che hanno riflessi sulla protezione dei dati personali. È stata ribadita, in particolare, la necessità di una consultazione tempestiva del Gruppo in merito a tutte le iniziative di questo tipo, quale unica strada percorribile per consentire alle autorità di protezione di svolgere appieno il compito loro assegnato dalla Direttiva UE.