Impronte e database. I primi provvedimenti del Garante Privacy

1. La banca dati FAED: dalle origini alle prime criticità

Le banche dati costituiscono una preziosa fonte di informazioni, specialmente sul versante investigativo. Esse si sono sviluppate nel tempo, creando però al contempo anche delle situazioni di criticità.

Ne è un esempio il Fichier Automatisé des Empreintes Digitales (FAED), noto database francese per le impronte digitali. Esso fu creato con il decreto n. 87-249, dell’8 aprile 1987, ma diviene definitamente operativo nel 1994. Detta normativa, più volte oggetto di riforme, ha come scopo quello di individuare i fini del FAED ed il suo funzionamento. Originariamente, il suo utilizzo era previsto soltanto, in maniera piuttosto generica, per l’identificazione degli autori dei singoli reati. Ma, l’art. 1, contenente detto scopo, è stato oggetto di numerose riforme[1], che ne hanno esteso la portata, prevedendo, in aggiunta, l’uso del fichier per facilitare le ricerche di persone scomparse, per l’identificazione giudiziaria di persone gravemente ferite o decedute, per l’identificazione extragiudiziaria di persone decedute, per la verifica dell’identità[2] e per l’identificazione di persone straniere. Per quanto riguarda il contenuto della banca dati, l’articolo 3, modificato nel 2015, ha ampliato le ipotesi previste nella formulazione originaria[3], perseguendo il fine dell’art. 1 ed estendendosi anche verso la cooperazione internazionale. Da un punto di vista giuridico, esso è sottoposto al controllo del procuratore generale presso la Corte d’appello di Lione, sebbene la parte di alimentazione, consultazione e gestione spetti principalmente alle forze di polizia. Ma, da un punto di vista operativo, si registra una prima ampia problematica di ordine tecnico-scientifico. Infatti, detta banca dati ha una limitazione sul numero di tracce inseribili, specialmente per la sezione TNR (Traces non résolues), in quanto essa può contenere un massimo di 350.000 tracce papillari, costringendo i gestori a decidere, di volta in volta, la mole di elementi probatori da far permanere all’interno. Questa scelta sarà basata sull’importanza della traccia medesima, in relazione all’indagine, creando un’eccessiva discrezionalità negli operatori stessi.

2. Le criticità in materia di protezione dei dati: dall’accertamento alla sanzione

Essendo proprio i dati ad alimentare il FAED, con la delibera n. 2019-004C, si è promosso un procedimento di accertamento nei confronti del Ministero dell’Interno, per verificare il rispetto delle disposizioni in materia di tutela dei dati personali[4]. Nell’ambito di tale procedura, sono emerse criticità nella gestione del fascicolo automatizzato. L’indagine ha fatto luce sull’illecita conservazione – oltre i tempi stabiliti dalla legge, che è già di per sé una condizione di illiceità[5] – di informazioni non destinate a comparire nel database e in generale ad essere raccolte[6] (es: nome della vittima), o ancora la conservazione di dati appartenenti a persone prosciolte, assolte o licenziate senza processo[7]. Le preoccupazioni sembrano, però, impennarsi dinanzi ad un ulteriore riscontro relativo all’insufficiente robustezza della misura di sicurezza – password – posta a protezione di questo sistema che è stata valutata tenendo conto della particolare sensibilità dei dati che tratta.

Nel settembre del 2021, l’Autorità amministrativa per la Protezione dei dati personali (CNIL), ha richiamato all’ordine il suddetto Ministero  – seppur la deliberazione[8] non ha ancora assunto la qualifica di esecutività piena – richiedendo l’intervento di rafforzamento delle misure di sicurezza, la cancellazione dei dati la cui raccolta non è prevista o il cui tempo di conservazione è ormai obsoleto, l’adozione di procedure per informare le persone interessate del trattamento, ossia raccolta e conservazione[9] e per concludere la distruzione dei soli archivi cartacei i cui dati non possono più figurare nell’archivio automatizzato[10].

Bibliografia essenziale

1. BAUER-C. SOULLEZ, Les fichiers de Police et de Gendarmerie, II ed., Parigi, 2011, p. 50 ss.; J. BECK, Accès aux fichiers et remontée des stats, in Civique, 2010, n. 189, p. 14 ss.; COMMISSION NATIONAL DE L’INFORMATIQUE ET DES LIBERTÉS, Délibération SAN-2021-016 du 24 septembre 2021, in www.legifrance.gouv.fr, 24 settembre 2021;F. DAOUST, Sur le traces de la Police Technique et Scientifique. Questions judiciaires, Parigi, 2020, p. 243 ss.; C. DIAZ, La Police Technique et Scientifique, I ed., Parigi, 2000, p. 72 ss.; J. R. DEMARCHI, Les preuves scientifiques et le procès pénal, Parigi, 2012, p. 158 ss.; B. DURUPT, La Police judiciaire. La scène de crime, Évreux, 2000, p. 72 ss.; B. GRAVET, Police Technique et Scientifique et pratiques professionnelles, in Les cahiers de la sécurité intérieure, 1995, n. 21, p. 27 ss.; C. JALBY, La Police Technique et Scientifique, IV ed., Parigi, 2018, p. 63 ss.; A. LEVY, La Police scientifique. La technologie de pointe au service des enquêteurs, Parigi, 2008, p. 114 ss.; R. PLATT, Scène de Crime, Hong Kong, 2003, p. 47 ss.

[1] In particolare, è stato ampliato mediante il decreto n. 2015-1580, del 2 dicembre 2015, prevedendo una pluralità di casistiche per il suo utilizzo, in aggiunta allo scopo identificativo.

[2] Prevista dall’articolo 78-3 c.p.p., somigliante all’art. 349 del c.p.p. italiano.

[3] Originariamente erano previste soltanto le tracce e le impronte digitali rilevate a seguito di un’indagine preliminare, di flagranza di reato e di un mandato dell’autorità giudiziaria, oltre a quelle dei detenuti.

[4] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio; Legge n. 78-17 del 6 gennaio 1978 e successive modifiche relative all’informatica, ai file e alle libertà; Direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio.

[5] L’articolo 5 del decreto relativo al FAED prevede la conservazione delle impronte digitali per un tempo non superiore ai 15 anni (10 anni per le impronte dei minori) e con decisione dell’Autorità giudiziaria o per la qualificazione del reato sono destinate ad essere conservate per non oltre 25 anni (15 per i minori).

[6] L’articolo 4 del decreto n. 87-249 stabilisce che la registrazione delle impronte digitali può essere accompagnata da informazioni aggiuntive come il nome, la data e il luogo di nascita, la natura del caso, le fotografiche antropometriche, etc. Per quanto riguarda le tracce, la registrazione avviene con informazioni aggiuntive, quali data e luogo di registrazione, etc.

[7] Questo tipo di informazioni erano riscontrabili all’interno del FAED per mancanza di comunicazione tra il Tribunale e il gestore dell’AEDF.

[8] Délibération SAN-2021-016 du 24 septembre 2021;

[9] Queste operazioni devono concludersi entro il 31 dicembre del 2021.

[10] Questa operazione deve avvenire entro il 31 dicembre del 2022.