Garante per la protezione
    dei dati personali

Newsletter

IMMIGRAZIONE CLANDESTINA: DATI DEI PASSEGGERI AEREI NEL RISPETTO DELLA PRIVACY

L’Italia ha recepito la direttiva comunitaria sull’obbligo per le compagnie aeree di comunicare alla polizia di frontiera i dati relativi ai passeggeri aerei

Con il decreto legislativo (144/2007), pubblicato in Gazzetta Ufficiale lo scorso 5 settembre, l’Italia ha recepito la direttiva comunitaria 2004/82 riguardante l’obbligo per i vettori aerei di comunicare alla polizia di frontiera i dati relativi alle persone trasportate (dati API — Advance Passenger Information). Nell’attività di recepimento si è tenuto conto dei rilievi formulati dall’Autorità in sede di lavori preparatori e il testo consente un bilanciamento tra protezione dei dati personali, tutela delle frontiere e lotta all’immigrazione clandestina.

Il decreto prevede l’obbligo per le compagnie aeree di comunicare alle autorità competenti in materia di controlli di polizia di frontiera, prima del termine del check-in, e solo su richiesta delle autorità stesse, alcuni dati relativi ai passeggeri: i dati corrispondono alle informazioni denominate "API" e sono specificati in misura tassativa.

Il testo fissa poi alcune modalità relative alla raccolta, cancellazione e conservazione dei dati in oggetto. Va sottolineato che i dati API comprendono sostanzialmente le informazioni delle quali le compagnie aeree dispongono al momento del check-in (diversamente dai dati PNR, che riguardano, ad esempio, anche informazioni sulle modalità di pagamento, sull’assegnazione del posto, sulla natura di "frequent flyer" del passeggero, sui bagagli al seguito, ecc.)

Le osservazioni del Garante italiano, che hanno trovato riscontro nel decreto, si basavano in larga parte sulla posizione assunta dall’Autorità nell’ambito del Gruppo dei Garanti europei a Bruxelles (Parere 9/2006 — WP127, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp127_it.pdf).

Il Gruppo dei Garanti europei aveva ribadito, in primo luogo, la necessità che le norme nazionali di recepimento non prevedessero finalità ulteriori rispetto a quelle indicate nella direttiva per quanto concerne l’utilizzazione dei dati API — ossia, migliorare i controlli alle frontiere e combattere l’immigrazione illegale. Tale indicazione è stata rispettata nella norma italiana, ove si stabilisce chiaramente che lo scopo della raccolta consiste nel "migliorare i controlli alle frontiere e combattere l’immigrazione illegale" — in tal senso escludendo utilizzazioni ulteriori dei dati se non (come prevede l’art. 4) "a seguito di specifica segnalazione" per cui i dati si rendano "indispensabili" in relazione a finalità specifiche (prevenzione di pericoli per l’ordine pubblico, la sicurezza nazionale, o attività di indagine in corso). Inoltre, le attività di raccolta riguardano soltanto le persone trasportate "nel territorio italiano", si esclude cioè (secondo quanto indicato dal Gruppo Art. 29) la possibilità di estendere la raccolta ai dati di passeggeri su voli genericamente svolti all’interno dell’Unione europea.

Le osservazioni del Gruppo Articolo 29 si erano appuntate anche sulla necessità di limitare il periodo di conservazione dei dati. In questo senso il decreto prevede che i dati richiesti dovranno essere comunicati dalle compagnie aeree per via telematica alle competenti autorità, le quali li registrano "in via provvisoria" provvedendo a cancellarli entro 24 ore qualora non risultino "necessari" per il contrasto dell’immigrazione illegale. I dati che invece risultino necessari a tale scopo, nei termini sopra indicati, potranno essere conservati per non oltre sei mesi. Anche le compagnie aeree sono tenute a cancellare i dati da esse comunicati, entro 24 ore dall’arrivo del volo.

Netta delimitazione poi delle categorie di dati oggetto di comunicazione. Si tratta delle sole categorie indicate nella direttiva, che pure sembrava lasciare agli Stati membri un certo margine di manovra rispetto all’inclusione di dati ulteriori (ad esempio, biometrici). Restano fermi, inoltre, gli obblighi di informare i passeggeri ai sensi del Codice privacy e di osservare ogni altra disposizione sul trattamento dei dati; in particolare, si fa specificamente menzione del rispetto dei principi di proporzionalità, finalità e conservazione limitata nel tempo.

Un decreto interministeriale che dovrà essere adottato entro il 20 dicembre 2007 (con il parere favorevole del Garante) definirà le modalità tecniche ed operative per la comunicazione dei dati API (anche con riguardo alle idonee misure di sicurezza). Il Garante vigilerà sull’attuazione del decreto e sull’effettivo rispetto delle misure a tutela della riservatezza in esso previste.