Etias, la nuova autorizzazione ai viaggi in area Schengen - Riskmanagement

Normative europee

Come funziona l’Etias, il sistema di autorizzazione ai viaggi in Europa per i cittadini extracomunitari

Ogni cittadino non comunitario che vorrà viaggiare nell’area Schengen dovrà richiedere un’autorizzazione prima della partenza. Etias è destinato ai cittadini delle 60 nazioni attualmente esenti da visto per viaggiare all’interno dell’UE e di cui si può trovare un elenco aggiornato sul sito del Ministero degli Affari Esteri. Come verranno trattati i dati personali

03 Feb 2021

Alberto Stefani

data protection officer, consulente cybersecurity

Nel novembre 2016 la Commissione Europea decise di creare un sistema che potesse rafforzare la sicurezza e il controllo dei viaggi nello spazio Schengen per tutti i cittadini di quei paesi con cui l’Europa aveva raggiunto accordi di esenzione dal visto per l’ingresso nei propri stati. Su tali presupposti nacque l’Etias, acronimo di European Travel Information and Authorisation System, la cui finalità, fin dalla fondazione, è stata quella di effettuare controlli pre-viaggio per la sicurezza e i rischi di migrazione dei visitatori esenti dal visto.

Etias, la sicurezza delle reti e la protezione dei dati

A partire dal 2021 Etias sarà uno strumento utile per facilitare l’attraversamento delle frontiere, per la maggior parte dei viaggiatori che non rappresentano un rischio per l’Europa. Alla luce di questo, ogni cittadino non comunitario che vorrà viaggiare nell’area Schengen dovrà richiedere un’autorizzazione di viaggio attraverso Etias, prima della propria partenza. Sostanzialmente Etias sarà destinato ai cittadini delle 60 nazioni che sono attualmente esenti da visto per viaggiare all’interno dell’UE e di cui si può trovare un elenco aggiornato sul sito del Ministero degli Affari Esteri.

WHITEPAPER
Cosa fare per trovare, classificare e analizzare i dati in tempo reale?
Big Data
Cybersecurity

Tra i vari problemi relativi alla messa a regime di questo nuovo protocollo, un risvolto fondamentale sarà la sicurezza delle reti e la possibilità che informazioni e dati personali vengano rubati e utilizzati in modo improprio.

Ogni modulo o questionario online dovrà contenere vari dati personali del richiedente che potranno includere informazioni particolari come una storia medica o dettagli finanziari.

Sappiamo che informazioni apparentemente non rilevanti come un indirizzo di casa, un indirizzo e-mail o la data di nascita possono essere oggetto di attenzione da parte di hacker ed essere utilizzate per scopi criminali come frodi, furti di identità e trasferimenti illegali di denaro.

L’Etias tratterà le informazioni personali di milioni di viaggiatori ogni anno. Per tale motivo la protezione dei dati è stata una considerazione centrale durante lo sviluppo del sistema europeo di esenzione dal visto.

I viaggiatori che dovranno inviare i propri dati personali possono essere certi che le informazioni personali fornite saranno soggette a rigorosi livelli di protezione. La politica di protezione dei dati Etias sarà naturalmente in linea con il Diritto europeo e la Carta dei diritti fondamentali ma soprattutto con il GDPR che risulta essere uno dei pilastri fondamentali su cui basare la trattazione dei dati e oggetto di imitazione da vari stati esteri.

etias

Cosa dice il regolamento Etias

Il regolamento Etias stabilisce chiaramente come saranno soddisfatti i rigorosi requisiti di protezione dei dati dell’UE mantenendo i residenti e i visitatori europei al sicuro senza compromettere la privacy.

L’agenzia preposta a gestire il grande sistema tecnologico di Etias sarà eu-Lisa. L’Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-Lisa) è un’agenzia dell’Unione europea, con sede a Tallinn in Estonia. L’agenzia eu-Lisa è stata creata attraverso l’emanazione del Regolamento UE 1077/2011 del 25 ottobre 2011.

L’Agenzia, che ha intrapreso le sue attività nel dicembre 2012, ha il compito di fornire una soluzione praticabile e a lungo termine per la gestione operativa dei sistemi IT su larga scala nell’area di competenza della Commissione europea in merito ai settori inerenti trasporti, sicurezza e giustizia.

Il cuore dell’attività è basato su una serie di banche dati che garantiscono la sicurezza nell’area Schengen, in particolare Eurodac, il sistema informativo dei visti (VIS) e il sistema informativo Schengen di seconda generazione (SIS II), che sono strumenti essenziali per l’attuazione delle politiche dell’Unione europea in materia di sicurezza, asilo, migrazione e gestione dei confini.

L’agenzia eu-Lisa coordina inoltre lo sviluppo di una serie di altri sistemi aggiuntivi, tra cui il sistema Entry-Exit (EES) e il sistema di pre-registrazione dei viaggiatori (Etias), oltre naturalmente a garantire che le informazioni siano gestite in modo sicuro e che i dati siano adeguatamente protetti.

Sebbene le informazioni siano raccolte dall’Etias per migliorare la sicurezza dei cittadini dell’UE, è essenziale che in tal modo vengano rispettati i diritti fondamentali di ciascun interessato.

Il regolamento Etias stabilisce altresì chiaramente come saranno trattati e archiviati i dati, nonché i diritti al risarcimento per un eventuale trattamento illecito degli stessi.

Come l’Etias garantisce il trattamento dei dati personali

L’unità centrale Etias e le unità nazionali eu-Lisa hanno la responsabilità di garantire che i dati personali siano trattati in modo sicuro e in conformità con la normativa europea.

Il Regolamento Etias, emanato con il numero 1240/2018, all’articolo 59 affronta il tema sicurezza della protezione dei dati in 15 punti essenziali, precisando che: “ fatti salvi l’articolo 22 del Regolamento (CE) n. 45/2001 e gli articoli 32 e 34 del Regolamento (UE) 2016/679, eu-Lisa, l’unità centrale Etias e le unità nazionali Etias adottano le misure necessarie, compresi un piano di sicurezza e un piano di continuità operativa e di ripristino in caso di disastro, al fine di:

  1. proteggere fisicamente i dati, tra l’altro mediante l’elaborazione di piani di emergenza per la protezione delle infrastrutture critiche;
  2. negare alle persone non autorizzate l’accesso al servizio web sicuro, al servizio di posta elettronica, al servizio di account sicuro, al portale per i vettori, allo strumento di verifica per i richiedenti e allo strumento di consenso per i richiedenti;
  3. negare alle persone non autorizzate l’accesso alle attrezzature usate per il trattamento di dati e alle strutture nazionali conformemente alle finalità dell’Etias;
  4. impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate;
  5. impedire che i dati siano inseriti senza autorizzazione e che sia presa visione senza autorizzazione dei dati personali registrati, o che gli stessi siano modificati o cancellati senza autorizzazione;
  6. impedire che persone non autorizzate usino sistemi di trattamento automatizzato di dati servendosi di attrezzature per la comunicazione dei dati;
  7. impedire che i dati siano trattati nel sistema centrale Etias senza autorizzazione e che i dati trattati nel sistema centrale Etias siano modificati o cancellati senza autorizzazione;
  8. provvedere affinché le persone autorizzate ad accedere al sistema d’informazione Etias abbiano accesso solo ai dati previsti dalla loro autorizzazione di accesso, tramite identità di utente individuali e uniche ed esclusivamente con modalità di accesso riservato;
  9. provvedere affinché tutte le autorità con diritto di accesso al sistema d’informazione Etias creino profili che descrivano le funzioni e le responsabilità delle persone autorizzate ad accedere ai dati e mettano tali profili a disposizione delle autorità di controllo;
  10. provvedere affinché sia possibile verificare e stabilire a quali organismi possono essere trasmessi dati personali mediante apparecchiature di comunicazione di dati;
  11. provvedere affinché sia possibile verificare e stabilire quali dati sono stati trattati nel sistema d’informazione Etias, quando, da chi e per quale scopo;
  12. impedire, in particolare mediante tecniche appropriate di cifratura, che, all’atto della trasmissione di dati personali dal sistema centrale Etias o verso il medesimo ovvero durante il trasporto dei supporti di dati, tali dati personali siano letti, copiati, modificati o cancellati senza autorizzazione;
  13. provvedere affinché, in caso di interruzione, i sistemi installati possano essere ripristinati;
  14. garantire l’affidabilità, accertandosi che eventuali anomalie nel funzionamento dell’Etias siano adeguatamente segnalate e che siano adottate le misure tecniche necessarie per assicurare che i dati personali possano essere recuperati in caso di danneggiamento a causa di un malfunzionamento dell’Etias;
  15. monitorare l’efficacia delle misure di sicurezza di cui al presente paragrafo e adottare le necessarie misure organizzative relative al monitoraggio interno per garantire l’osservanza del presente regolamento.

In questi quindici punti appena citati troviamo numerosi elementi che sono diventati dei pilastri portanti del GDPR e che sono a garanzia dei diritti di tutti gli interessati.

etias

Modalità di comunicazione dei dati Etias e paesi terzi e altre organizzazioni

L’articolo 65 del regolamento Etias afferma chiaramente che le informazioni personali archiviate nell’unità centrale non saranno messe a disposizione di un’organizzazione internazionale o di un privato ad eccezione dell’Interpol.

L’Interpol svolge un ruolo chiave nel pre-screening dei viaggiatori diretti in Europa, pertanto il trasferimento dei dati all’Interpol è necessario per tutelare il territorio europeo.

L’articolo 65 del Regolamento spiega inoltre in dettaglio le circostanze in cui le autorità per l’immigrazione possono accedere alle informazioni da trasferire ad un paese terzo. Ciò può verificarsi solo quando vengono soddisfatte determinate condizioni.

Altre eccezioni possono verificarsi in casi urgenti quando esiste un pericolo imminente di attività terroristica o una minaccia alla vita associata a un reato grave.

Chi può accedere ai dati dell’Etias

Come accennato in precedenza, consentire solo alle persone autorizzate di accedere ai dati personali è fondamentale per mantenere le informazioni sui viaggiatori Etias sicure e protette dall’uso improprio.

Le Autorità di contrasto ed Europol potranno consultare i dati Etias a condizioni rigorose. Dovrebbero richiedere l’accesso solo quando vi sono ragionevoli motivi per suggerire che ciò li aiuterà a svolgere i loro ruoli.

eu-Lisa sarà responsabile della conservazione dei registri di tutte le operazioni di trattamento dei dati Etias annotando per ogni accesso:

  • il motivo per accedere ai dati;
  • la data e l’ora dell’operazione;
  • il collaboratore che ha eseguito l’operazione;

Inoltre, eu-Lisa conserverà le registrazioni dei membri del personale autorizzati a inserire e recuperare i dati, ancora una volta per impedire l’accesso non necessario o illegale alle informazioni.

Per quanto tempo vengono conservati i dati personali da Etias

I dati personali saranno archiviati da Etias solo temporaneamente, per il periodo di validità dell’autorizzazione al viaggio quando la domanda sia stata approvata e per 5 anni dall’ultimo rifiuto, revoca o annullamento dell’autorizzazione ai viaggi.

A condizione che il richiedente dia il proprio consenso, i dati possono essere conservati per 3 anni dopo la scadenza dell’autorizzazione in modo da semplificare e velocizzare una successiva richiesta. Dopo questo periodo, le informazioni verranno automaticamente cancellate dal sistema centrale Etias.

Le frontiere intelligenti e la protezione dei dati

Il sistema di ingressi / uscite (EES), gestito anch’esso da eu-Lisa, sarà presto implementato alle frontiere dell’UE. Il sistema registrerà i dati dei cittadini di paesi terzi che attraversano le frontiere esterne dell’area Schengen.

L’EES registra i dati biometrici dei viaggiatori Etias e di coloro che arrivano con un visto. Queste informazioni sono considerate particolarmente sensibili dato che le scansioni facciali di una persona sono uniche e possono essere utilizzate da sole per identificare un individuo.

L’EES è stato riesaminato e rivisto, sulla base delle raccomandazioni del Garante europeo della protezione dei dati (GEPD) per garantire che i processi in atto siano conformi alla legge.

Guardando al futuro, il maggiore uso dell’intelligenza artificiale al controllo delle frontiere dell’UE porterà a ulteriori sfide in materia di protezione dei dati. La natura delicata di tali dati significherà per le Autorità, in particolare il GEPD, uno sforzo ulteriore per garantire il mantenimento del diritto fondamentale alla protezione dei dati.

Entrata a regime nel corso del 2021

Nel corso del 2021, quindi tutti viaggiatori che dovranno utilizzare Etias dovranno inviare i propri dati tramite un modulo online.

Il modulo per l’istituzione della pratica richiederà di fornire i dati personali nonché le informazioni relative al lavoro, ai piani di viaggio, alla salute e ai precedenti penali. Si prevede che circa il 95% di tutte le domande saranno automaticamente accettate, mentre quelle che non passeranno il controllo potranno essere presentate in appello.

Tali ricorsi saranno gestiti da un’unità nazionale Etias nei paesi che sono membri del programma. Per i cittadini di “paesi terzi” (paesi al di fuori dell’Unione europea) i dati del richiedente verranno inviati direttamente all’unità centrale Etias che opererà 24 ore su 24, 7 giorni su 7. Questi due organismi, periferico e centrale, saranno responsabili della raccolta e della valutazione delle informazioni e della decisione sull’approvazione o meno della domanda.

Le unità nazionali Etias saranno responsabili della gestione delle domande non accolte e della conduzione di una valutazione manuale del rischio del richiedente, quindi avallare o revocare la decisione. Le unità nazionali forniranno anche informazioni sulla procedura di ricorso.

L’unità centrale Etias sarà invece il centro di archiviazione e sdoganamento di tutte le informazioni e dei dati presentati dai richiedenti. Con il supporto dato dall’Agenzia europea della guardia di frontiera e costiera, le funzioni dell’unità centrale saranno:

  • garantire che i dati registrati e archiviati siano aggiornati e corretti;
  • verificare l’identità del richiedente e delle informazioni fornite nella domanda;
  • valutare ed eventualmente revisionare i rischi o gli indicatori specifici di rischio e sicurezza;
  • monitorare la gestione delle richieste e i conseguenti risvolti in materia di privacy, diritti fondamentali e protezione dei dati.

Una volta che le informazioni di un richiedente saranno verificate e archiviate nell’unità centrale, potranno essere consultate da una serie di agenzie di sicurezza e verificate rispetto ai loro database. Tra le Agenzie e le istituzioni autorizzate ci saranno:

  • il sistema di informazione visti (VIS)
  • il sistema d’informazione Schengen (SIS)
  • il sistema di ingresso / uscita (EES)
  • Eurodac
  • Europol
  • Interpol

Conclusioni

Ancora una volta l’uso della tecnologia e dei big data consentirà il monitoraggio costante di enormi database al fine di creare un sistema di controllo dedicato che impostato su specifici parametri di rischio riuscirà a rafforzare e migliorare la sicurezza interna e le frontiere dell’Unione Europea per il bene e la sicurezza di tutti i cittadini.

WHITEPAPER
Governance, rischio e compliance: come proteggere dati, perdite finanziarie e di reputazione?
Finanza/Assicurazioni
Legal
@RIPRODUZIONE RISERVATA
S
Alberto Stefani
data protection officer, consulente cybersecurity

Articolo 1 di 5