CE - IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Adottato il 30 settembre 2004

IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito con Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995¹,

visti gli articoli 29 e 30, paragrafi 1, lettera (a) e 3 di detta Direttiva,

visto il suo regolamento interno, in particolare gli articoli 12 e 14,

ha adottato il presente Parere:

Nella sua Decisione del 14 maggio 2004², la Commissione ha ritenuto che l'Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti (CBP) assicuri un livello adeguato di protezione dei dati contenuti nelle schede nominative dei passeggeri aerei (PNR) trasferiti dalla Comunità e relativi ai voli verso e da gli Stati Uniti.

La presente decisione riguarda l'adeguatezza della tutela assicurata dal CBP al fine di soddisfare i requisiti dell'articolo 25, paragrafo 1, della Direttiva 95/46/CE. Essa non pregiudica altre condizioni o restrizioni che attuino altre disposizioni di detta direttiva attinenti al trattamento di dati personali negli Stati membri. Una di esse è l'obbligo da parte dei responsabili del trattamento di informare le persone interessate sui principali elementi del trattamento dei dati. Per tale motivo i responsabili del trattamento che effettuano il trattamento di dati PNR soggetti alla normativa nazionale degli Stati membri dell'UE adottata in forza della direttiva 95/46/CE sono tenuti a fornire ai passeggeri un'informazione completa e accurata sul trasferimento dei dati PNR al CBP in applicazione delle leggi nazionali adottate conformemente agli articoli 10 e 11 della direttiva.

Il gruppo ha adottato le note informative riportate negli allegati 1 e 2 del presente parere. Esse dovrebbero servire da linee-guida per quanto concerne le informazioni da fornirsi ai passeggeri sui voli transatlantici e andrebbero usate nel modo più esteso possibile da parte delle compagnie aeree, degli agenti di viaggio e dei sistemi di prenotazione via computer facenti parte del circuito di prenotazione dei voli.

Fatto a Bruxelles, il 30 settembre 2004

Per il Gruppo
Il Presidente
Peter Schaar

ALLEGATO 1

Nota sintetica per i voli tra l'Unione europea e gli Stati Uniti

In virtù della normativa degli Stati Uniti, l'Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti (U.S. Customs and Border Protection - CBP) riceve certe informazioni relative al volo e alla prenotazione che vanno sotto il nome di dati personali contenuti nelle schede nominative dei passeggeri aerei (Passenger Name Record – PNR) in merito ai passeggeri che volano tra l'Unione europea e gli USA.

Il CBP si è impegnato a usare tali dati PNR a fini di prevenzione e di lotta contro il terrorismo e di altri gravi crimini transnazionali. Il PNR può comprendere informazioni fornite nel processo di prenotazione o in possesso delle compagnie aeree o degli agenti di viaggio.

Le informazioni sono conservate per almeno tre anni e sei mesi e possono essere condivise con altre autorità.

Ulteriori informazioni su queste disposizioni, comprese le misure a tutela dei vostri dati personali possono essere ottenute presso la vostra compagnia aerea o il vostro agente di viaggio. [La compagnia aerea o l'agente di viaggio ha facoltà di fornire l'informazione nella sua versione integrale o di rinviare direttamente al sito web del CBP]

ALLEGATO 2

Domande ricorrenti sul ricevimento ad opera dell'Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti di schede nominative dei passeggeri di voli tra l'Unione europea e gli Stati Uniti

La normativa degli Stati Uniti impone alle compagnie aeree che effettuano voli verso e dagli Stati Uniti (USA) di fornire al loro Ufficio delle dogane e della protezione delle frontiere (Customs and Border Protection - CBP), facente capo al Ministero della sicurezza interna (Department of Homeland Security), certi dati relativi ai passeggeri atti a rendere più sicuri i viaggi e a garantire la sicurezza degli USA. Ogni compagnia aerea deve attenersi a tali disposizioni. La Commissione europea ha stabilito che il CBP assicura un livello adeguato di protezione e ha quindi consentito il trasferimento di dati PNR agli USA. Per ulteriori informazioni si rinvia al sito http://www.europa.eu.int/comm/internal_market/privacy/adequacy_en.htm.

Per una spiegazione completa del modo in cui CBP tratta i dati PNR raccolti in relazione ai voli tra l'Unione europea (UE) e gli USA si rinvia agli impegni (Undertakings) del Department of Homeland Security, Customs and Border Protection ("PNR Undertakings") http://www.dhs.gov/interweb/assetlibrary/CBP-DHS_PNRUndertakings5-25-04.pdf.

1. PerchŽ la scheda nominativa del passeggero recante il mio nome è trasferita all'Ufficio delle dogane e della protezione delle frontiere degli USA precedentemente al viaggio verso, da o attraverso gli Stati Uniti? L'obiettivo precipuo di raccogliere dati PNR precedentemente all'effettuarsi del volo è di assicurare la sicurezza del viaggio tra l'UE e gli USA e di tutelare la sicurezza degli USA. Il CBP usa i dati PNR relativi a voli tra gli UE e gli USA per prevenire e combattere:

2. Qual è il quadro giuridico per il trasferimento di dati PNR? Con legge (Legal statute, title 49, United States Code, section 44909(c)(3)) e relativi regolamenti (provvisori) (title 19, Code of Federal Regulations, section 122.49b), ciascuna compagnia aerea che effettua il trasporto di passeggeri su rotte internazionali verso o da gli USA deve fornire al CBP un accesso elettronico ai dati PNR nella misura in cui questi sono raccolti e contenuti nei sistemi di prenotazione e/o di controllo delle partenze della compagni aerea. La Commissione europea ha stabilito che il CBP è ritenuto fornire un livello adeguato di protezione dei dati da trasferirsi. Tali trasferimenti sono coperti da un accordo internazionale tra la Comunità europea e gli USA. La decisione della Commissione si è basata sugli impegni assunti dal CBP. Un'eventuale inottemperanza potrebbe essere impugnata e, qualora persistesse, porterebbe alla sospensione degli effetti di tale decisione. Le autorità competenti degli Stati membri dell'UE possono esercitare i poteri di cui dispongono per sospendere i flussi di dati in direzione del CBP per proteggere gli individui per quanto concerne il trattamento dei loro dati personali qualora il CBP violi gli standard applicabili di protezione quali prescritti dalla decisione della Commissione.

3. Che tipo di informazioni riceverà su di me il CBP tramite i dati PNR? Il CBP riceverà certi dati PNR concernenti le persone che volano verso, da o attraverso gli USA. Le compagnie aeree creano dati PNR nei sistemi di prenotazione per ciascun itinerario riservato per un passeggero. Questi dati PNR possono essere anche contenuti nei sistemi di controllo delle partenze della compagnia aerea. I dati PNR contengono una varietà di informazioni fornite durante il processo di prenotazione o in possesso delle compagnie aeree o degli agenti di viaggio, come il norme del passeggero, il recapito, informazioni sull'itinerario del viaggio (ad esempio, data del viaggio, origine e destinazione, numero del posto occupato e numero dei bagagli) nonchŽ particolari sulla prenotazione (ad esempio, l'agenzia di viaggio e il sistema di pagamento) o altre informazioni (ad esempio, la partecipazione ad un programma Òfrequent flierÓ).

4. Il trasferimento dei dati PNR comporta anche dati sensibili? Certi dati PNR identificati in quanto ÒsensibiliÓ possono essere inclusi nel PNR quando è trasferito dai sistemi di prenotazione e/o di partenza della compagnia aerea nell'UE al CBP. Questi dati PNR ÒsensibiliÓ contengono di solito certe informazioni suscettibili di rivelare l'origine razziale o etnica del passeggero, le sue opinioni politiche, la sua religione, il suo stato di salute o i suoi orientamenti sessuali. Il CBP si è impegnato a non usare i dati PNR ÒsensibiliÓ che riceve dai sistemi di prenotazione o di controllo delle partenze delle compagnie aeree nell'UE. Il CBP installerà un programma automatico di filtro in modo da cancellare i dati PNR ÒsensibiliÓ.

5. PerchŽ i miei dati PNR vengono condivisi con altre autorità? I dati PNR ricevuti in relazione a voli tra l'UE e gli USA possono essere condivisi con altre autorità governative domestiche o straniere aventi funzioni di forza pubblica o di lotta contro il terrorismo, in casi specifici e con specifiche garanzie in materia di protezione dei dati, ai fini di prevenzione e lotta contro il terrorismo e altri delitti gravi; altri crimini gravi, compreso il crimine organizzato, aventi natura transnazionale; nonchŽ i tentativi di sottrarsi a mandati di cattura o all'arresto per i crimini summenzionati. I dati PNR possono essere anche trasmessi ad altre autorità governative pertinenti ove necessario per tutelare gli interessi vitali del passeggero in questione o di altre persone, in particolare per quanto concerne rischi sanitari significativi o secondo quanto altrimenti prescritto dalla legge.

6. Per quanto tempo il CBP conserverà i miei dati PNR?

I dati PNR relativi a voli tra l'UE e gli USA sono conservati dal CBP per un periodo di tre anni e sei mesi, a meno che CBP consulti manualmente quei particolari dati PNR. In tal caso i dati PNR sono conservati dal CBP per altri otto anni. Inoltre, le informazioni correlate a un'indagine specifica sono conservate dal CBP fino a quando l'indagine è archiviata.

7. In che modo è assicurata la riservatezza dei miei dati PNR?

Il CBP conserverà i dati PNR relativi a voli tra l'UE e gli USA in modo sicuro e riservato. Apposite salvaguardie, comprendenti opportuni controlli in materia di sicurezza dei dati e di accesso, assicureranno che i dati PNR non siano usati o consultati indebitamente.

8. Chi controllerà che siano rispettati gli impegni relativi ai dati PNR?

Il responsabile della protezione della vita privata presso il Ministero della Sicurezza interna (Department of Homeland Security Chief Privacy Officer) è tenuto per legge ad assicurare che tutti gli uffici di detto ministero trattino le informazioni personali in modo conforme alla normativa pertinente. Tale responsabile è indipendente dalle direzioni facenti capo al ministero e le sue conclusioni sono vincolanti per il ministero stesso. Il responsabile ha compiti di supervisione del programma per assicurare che il CBP vi sia attenga scrupolosamente e per verificare che siano poste in atto adeguate misure di salvaguardia.

9. Posso chiedere copia dei miei dati PNR raccolti dal CBP?

Ogni passeggero può chiedere maggiori informazioni sui tipi di dati PNR trasmessi al CBP e può chiedere copia dei propri dati PNR contenuti nelle basi di dati del CBP.

Conformemente a quanto consentito dalla legge sulla libertà di informazione (Freedom of Information Act) e da altri strumenti, regolamenti e prassi degli USA, il CBP prende in considerazione la richiesta di un passeggero relativa a documenti, compresi i documenti PNR in suo possesso, indipendentemente dalla nazionalità o dal paese di residenza del passeggero stesso. Il CBP può negare in certe circostanze o rinviare a data successiva la comunicazione, in toto o in parte, di una scheda PNR (ad esempio, se ci si può ragionevolmente aspettare che ciò interferisca con un'indagine in corso o che ciò rischi di far conoscere le tecniche e le procedure usate nel corso di operazioni investigative).

Qualora il CBP neghi l'accesso a dati PNR sulla base di una deroga in virtù della legge sulla libertà di informazione, avverso tale decisione è possibile presentare ricorso amministrativo presso il Chief Privacy Officer del Ministero della Sicurezza interna, che è responsabile sia della tutela della privacy che della politica di comunicazione di detto ministero. Una decisione amministrativa finale può essere impugnata giuridicamente in forza del diritto statunitense.

10. Posso chiedere che si apportino correzioni alla mia scheda PNR?

Sì. I passeggeri possono chiedere di rettificare i loro dati PNR contenuti nella base di dati del CBP rivolgendosi ai funzionari indicati al successivo punto 12. Il CBP prenderà nota delle correzioni di cui accerti la fondatezza e che siano adeguatamente comprovate.

11. Chi posso contattare negli USA per quanto concerne questo programma?

Informazioni generali sui dati PNR o richieste di informazioni sui miei dati PNR

Se desiderate informarvi sui dati PNR trasmessi al CBP o se volete avere accesso ai dati PNR che il CBP detiene in merito a voi, potete inviare una richiesta a: Freedom of Information Act (FOIA) Request, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C. 20229. Per ulteriori informazioni relative alle procedure per formulare tale richiesta si rinvia a: section 19 Code of Federal Regulations, section 103.5 (www.dhs.gov/foia).

Domande, problemi e richieste di correzioni

Se volete trasmettere una domanda su questioni che vi preoccupano, sollevare un problema o chiedere la correzione di dati PNR potete inviare tale domanda a: Assistant

Commissioner, CBP Office of Field Operations, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C. 20229.

Le decisioni prese dal CBP possono essere riesaminate dal Chief Privacy Officer of the Department of Homeland Security, Washington, DC 20528. Una domanda, un problema o una richiesta di correzione di dati PNR può anche essere deferita da un passeggero all'autorità preposta alla protezione dei dati (Data Protection Authority - DPA) nel loro Stato membro dell'UE per ulteriore esame, ove opportuno.

12. A chi posso rivolgermi se il mio ricorso non è risolto?

In caso di ricorso che non possa essere risolto dal CBP, il ricorso può essere indirizzato, per iscritto, al Chief Privacy Officer, Department of Homeland Security, Washington, DC 20528. Il Chief Privacy Officer riesamina la situazione e si adopera per risolvere il ricorso.

Il Chief Privacy Officer è impegnato a trattare i ricorsi ricevuti dalle autorità preposte alla protezione dei dati degli Stati membri dell'Unione europea per conto di una persona residente nell'UE, nella misura in cui tale persona abbia autorizzato il DPA ad agire a suo nome, con procedura d'urgenza.

13. A chi mi posso rivolgere per avere maggiori informazioni?

Potete ottenere ulteriori informazioni sui trasferimenti di dati PNR verso gli USA mettendovi in contatto con l'autorità preposta alla protezione dei dati (DPA) del vostro paese.

Per [NOME dello Stato membro dell'UE], l'autorità da contattare è la seguente:

[Indicazione di punti di contatto della DPA in ciascuno Stato membro dell'UE]