Parere del GEPD sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo ad un codice di comportamento in materia di sistemi telematici di prenotazione

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo ad un codice di comportamento in materia di sistemi telematici di prenotazione

(Pubblicato sulla GUUE n. C 233 del 11.9.2008)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41,

vista la richiesta di parere a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, ricevuta il 20 novembre 2007 dalla Commissione europea,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

Consultazione del garante europeo della protezione dei dati (GEPD)

1. La proposta di regolamento relativo ad un codice di comportamento in materia di sistemi telematici di prenotazione è stata trasmessa dalla Commissione al GEPD per consultazione, ai sensi dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 (in seguito «la proposta»).

2. La proposta attiene al trattamento dei dati dei passeggeri attraverso sistemi telematici di prenotazione (in seguito CRS) ed è strettamente legata ad altri sistemi di raccolta ed uso dei dati dei passeggeri, in seno all'UE o in relazione a paesi terzi. Tali sistemi rivestono un grande interesse per il GEPD, il quale si felicita che la Commissione lo consulti.

Contesto della proposta

3. L'obiettivo della proposta è aggiornare le disposizioni del codice di comportamento in materia di sistemi telematici di prenotazione stabilito nel 1989 con il regolamento (CEE) n. 2299/89 del Consiglio. Il codice sembra sempre più inadatto alle nuove condizioni del mercato e sarebbe necessario semplificarlo in modo tale da rafforzare la concorrenza, mantenendo nel contempo le fondamentali misure di salvaguardia e garantendo la fornitura di informazioni neutrali al consumatore.

4. L'attenzione principale della proposta non è rivolta alla protezione dei dati personali. Tuttavia, in considerazione del fatto che i CRS trattano una grande quantità di dati personali, un articolo specifico della proposta riguarda la protezione dei dati, nell'ottica di integrare le disposizioni della direttiva 95/46/CE che continua ad applicarsi quale lex generalis.

5. Anche altre disposizioni della proposta hanno conseguenze sulla protezione dei dati, nonostante il loro obiettivo principale sia garantire la parità informativa a tutti i soggetti interessati in un'ottica di concorrenza leale: la protezione dell'identità degli utenti, siano essi persone fisiche o imprese, è accolta favorevolmente anche ai fini della tutela della vita privata.

6. Il GEPD rileva che la proposta concerne soltanto le attività dei CRS in qualità di interfaccia tra compagnie aeree e agenzie di viaggio. Essa non riguarda la fornitura di altri servizi informatici quali l'hosting del sistema di prenotazione delle compagnie aeree. I dati personali trattati in tale contesto specifico non trarranno quindi vantaggio da talune misure di salvaguardia previste dal codice di comportamento. Tuttavia, tali dati saranno inclusi nel regime generale di protezione dei dati stabilito dalla direttiva 95/46/CE.

Punto centrale del parere

7. Il parere del GEPD tratterà innanzitutto la portata e le condizioni di applicazione della proposta in relazione all'applicazione della direttiva 95/46/CE. Si concentrerà quindi sul contenuto, analizzando gli articoli connessi a questioni relative alla protezione dei dati. Vengono quindi individuati gli aspetti positivi e suggeriti anche i possibili miglioramenti. Particolare attenzione sarà rivolta alle condizioni di esecuzione delle presenti disposizioni.

8. Infine, il parere va oltre le disposizioni concrete della proposta, trattando alcune implicazioni più ampie del trattamento dei dati dei passeggeri operato dai CRS sia in qualità di interfaccia per le agenzie di viaggio, sia quali fornitori di servizi nel settore delle TI. L'accesso da parte di paesi terzi ai dati dei passeggeri presenti nei CRS sarà oggetto di analisi specifica.

II. PORTATA E CONDIZIONI DI APPLICAZIONE

9. La proposta include disposizioni dettagliate in materia di protezione dei dati personali. Tali disposizioni «precisano e integrano» quelle della direttiva 95/46/CE e le lasciano impregiudicate ⁽¹⁾. L'evidente relazione tra questi due strumenti costituisce un elemento positivo.

10. Tuttavia, il GEPD rileva che il campo di applicazione del codice di comportamento non coincide con quello della direttiva 95/46/CE. Infatti, il criterio determinante per l'applicazione del codice di comportamento è l'utilizzo o l'offerta per l'uso del sistema nel territorio dell'UE ⁽²⁾. Le disposizioni della direttiva si applicano quando il responsabile del trattamento è stabilito nel territorio di uno Stato membro o quando è stabilito all'esterno dell'UE ma ricorre a strumenti situati nell'UE ⁽³⁾.

11. È perciò possibile prevedere diversi scenari relativamente all'applicazione del codice di comportamento e della direttiva:

— quando il CRS è stabilito nell'UE, si applicheranno sia il codice di comportamento che la direttiva, essendo soddisfatti i criteri di entrambi i testi,

— quando il CRS è stabilito all'esterno dell'UE, l'offerta di servizi nell'UE e il ricorso a strumenti situati nell'UE determineranno l'applicazione di entrambi gli strumenti giuridici.

Benché i criteri di applicazione del codice di comportamento e della direttiva siano diversi, nella pratica dovrebbe derivarne un'applicazione congiunta di entrambi gli strumenti: da un lato l'offerta di servizi dei CRS nell'UE determina l'applicazione del codice di comportamento, dall'altro l'offerta di servizi, che nella pratica avviene attraverso l'uso di strumenti (telematici) situati nell'UE, implica altresì l'applicazione della direttiva.

12. Un'altra conseguenza del vasto campo di applicazione del codice di comportamento e della direttiva è il loro effetto sulle compagnie aeree, che possono essere stabilite all'interno o all'esterno dell'UE. Le compagnie aeree stabilite all'esterno dell'UE non sono in via di principio soggette ai principi europei della protezione dei dati, tranne nel caso in cui ricorrano a strumenti situati nell'UE per il trattamento dei dati personali (applicazione della direttiva). Tale sarebbe il caso se, per esempio, ricorressero ad un CRS stabilito all'interno dell'UE in qualità di fornitore di hosting per un servizio di prenotazione. Occorre altresì rilevare che i dati relativi ai voli delle compagnie aeree sono soggetti alla legislazione dell'UE non appena vengono trattati da un CRS stabilito nell'UE o che offre servizi all'interno dell'UE (applicazione del codice di comportamento).

III. ANALISI DELLA PROPOSTA

Principi fondamentali della protezione dei dati

13. L'articolo 11 della proposta fornisce una lista delle garanzie relative al trattamento dei dati personali che comprende: limitazione delle finalità, necessità dei dati, protezione specifica dei dati sensibili, archiviazione limitata, diritti di accesso e di informazione da parte delle persone interessate.

14. L'articolo 11 fornisce inoltre una precisazione ben accetta circa le caratteristiche dei CRS, che devono essere considerati responsabili del trattamento relativamente all'esecuzione di prenotazioni e all'emissione di biglietti per servizi di trasporto. Le persone interessate sono quindi in grado di esercitare i loro diritti non solo nei confronti delle agenzie di viaggio e dei vettori aerei, ma anche, se opportuno, nei confronti dei CRS.

15. L'obbligo per i vettori aderenti e gli intermediari di assicurare l'accuratezza dei dati (sebbene non limitata ai dati personali), previsto dall'articolo 9, costituisce un chiaro riferimento alla direttiva 95/46/CE, secondo cui i dati personali devono essere accurati.

16. Occorre rilevare che dette disposizioni della proposta sono conformi alle osservazioni formulate dal Gruppo dell'articolo 29 nella raccomandazione n. 1/98 ⁽⁴⁾. Esse sono tanto più ben accette in quanto precisano alcune disposizioni della direttiva 95/46/CE: è fatto particolare riferimento al periodo limitato di archiviazione dei dati personali fuori linea (72 ore) e alla cancellazione delle informazioni dopo tre anni, con condizioni di accesso limitate e correlate alla finalità iniziale del trattamento (risoluzione delle controversie relative alla fatturazione). È altresì prevista la trasparenza del trattamento, con indicazione da parte dell'abbonato degli estremi del venditore di sistema e di informazioni circa l'esercizio dei diritti di accesso.

17. In aggiunta a detti elementi già presenti nella proposta, quest'ultima potrebbe essere ampliata in relazione a tre aspetti.

Dati sensibili

18. In primo luogo, per quanto concerne la possibilità per le persone interessate di consentire al trattamento dei dati sensibili, sarebbe necessario stabilire esplicitamente che il consenso deve basarsi su un'adeguata informazione. Nonostante l'articolo 2, lettera h), della direttiva 95/46/CE implichi che qualsiasi consenso deve essere «libero, specifico e informato», nella pratica ciò non sempre si verifica. L'articolo 11, paragrafo 3, potrebbe quindi essere così completato: «… il trattamento di tali dati è effettuato soltanto se la persona interessata ha dato il proprio consenso esplicito a tale trattamento con cognizione di causa».

Misure di sicurezza

19. In secondo luogo, per quanto concerne le questioni relative alla sicurezza, si presume che siano di applicazione i principi generali della direttiva 95/46/CE. Il GEPD raccomanda di integrare tali principi con obblighi più direttamente incentrati sulle specificità dei dati personali trattati dai CRS.

Poiché i CRS possono agire non soltanto in qualità di interfaccia globale per le compagnie aeree ma anche quali fornitori di servizi o di «hosting» per una determinata compagnia aerea, la grande quantità di dati trattati in seguito a queste due diverse funzioni dovrebbe ovviamente essere isolata, ricorrendo a «muraglie cinesi» e ad altre misure di sicurezza adeguate. Il GEPD raccomanda di integrare ciò come paragrafo aggiuntivo dell'articolo 11.

20. L'articolo 11 potrebbe quindi essere completato con un nuovo paragrafo, da inserire dopo il paragrafo 4, così formulato: «Qualora un CRS gestisca banche dati ricoprendo funzioni diverse come quelle di interfaccia o di fornitore di hosting per le compagnie aeree, è necessario adottare misure tecniche e organizzative per evitare qualsiasi interconnessione tra le banche dati e garantire che i dati personali siano accessibili soltanto per le finalità specifiche per le quali sono rilevati».

Informazioni di marketing

21. In terzo luogo, il GEPD si compiace delle condizioni di cui all'articolo 7 e all'articolo 11, paragrafo 5, circa il trattamento dei dati in un'ottica di analisi di mercato. I venditori di sistemi possono fornire tali dati a terzi soltanto in un formato non identificabile, riguardino essi organizzazioni, società o persone fisiche. Mentre in questo caso l'obiettivo principale è evitare l'identificazione delle agenzie di viaggio ⁽⁵⁾, si presume che l'anonimizzazione riguardi qualsiasi tipo di dati personali trattati durante una prenotazione e quindi anche i dati personali dei clienti delle agenzie di viaggio. Ciò dovrebbe essere specificato nella proposta, completando l'articolo 11, paragrafo 5, come segue: «L'anonimizzazione si applica a tutte le persone interessate coinvolte nella procedura di prenotazione, incluso il cliente finale».

IV. APPLICAZIONE

22. Come conseguenza dell'ampio ambito di applicazione del regolamento, la competenza della Commissione e delle autorità per la protezione dei dati a garantire l'adempimento degli obblighi da parte dei soggetti interessati è estesa ai responsabili del trattamento stabiliti all'esterno dell'UE. È fondamentale che la Commissione, esplicitamente menzionata nella proposta come responsabile dell'applicazione del codice di comportamento, disponga di mezzi efficaci per garantire il rispetto dei principi della protezione dei dati.

23. Per assicurare un'applicazione efficace del codice di comportamento, dovrebbero essere garantiti il controllo e la tracciabilità dei dati personali all'interno della rete dei CRS. I dati personali vengono infatti trasmessi e consultati da diversi soggetti, quali compagnie aeree e agenzie di viaggio, e trattati a diverso titolo dai CRS, che agiscono o meno per conto delle compagnie aeree.

24. Oltre alla necessità di distinguere in modo chiaro le diverse attività dei CRS, uno schema dei flussi di dati all'interno del sistema sembra costituire una condizione indispensabile per una visione chiara della circolazione dei dati personali tra compagnie aeree, agenzie di viaggio e CRS. Ciò è fondamentale per valutare le competenze delle diverse autorità incaricate dell'applicazione (autorità per la protezione dei dati e Commissione).

25. Ciò è ancor più necessario in considerazione dell'interconnessione tra i CRS e della complessità della loro rete. È necessario chiarire la misura in cui, per esempio, i dati personali inseriti tramite una compagnia aerea o un'agenzia di viaggio, cliente di un CRS, possono essere accessibili e trattati, ad uno stadio diverso, mediante un CRS diverso da quello iniziale.

26. Conformemente all'articolo 12 della proposta, la Commissione sarà competente ad avviare procedure di esecuzione in caso di infrazioni al regolamento. Spetterà quindi alla Commissione, tra l'altro, verificare il rispetto dei principi della protezione dei dati disciplinati dal regolamento.

27. Così facendo, il suo ruolo potrebbe entrare in contrasto con quello delle autorità nazionali per la protezione dei dati nella misura in cui le attività di un CRS o di un venditore di sistema rientrino nel campo di applicazione di una legislazione nazionale in materia di protezione dei dati. In tal caso, dovrebbero essere garantite procedure di esecuzione coerenti e collaborazione reciproca. Il Gruppo dell'articolo 29 potrebbe costituire una sede adeguata per agevolare tale coordinamento.

28. Inoltre, durante l'esercizio delle sue competenze, la Commissione gestirà fascicoli specifici contenenti tutti gli elementi di una presunta infrazione (p. es. l'accesso delle parti interessate ai fascicoli, oggetto dell'articolo 15 della proposta). I dati personali saranno inevitabilmente inclusi in tali fascicoli, il che implica, la competenza del GEPD a vigilare sul trattamento, quale aspetto delle sue mansioni nei confronti delle istituzioni europee conformemente al regolamento (CE) n. 45/2001, come per tutti gli altri casi in cui la Commissione agisce in qualità di responsabile del trattamento.

V. L'ACCESSO AI DATI DEI PASSEGGERI DA PARTE DI PAESI TERZI

29. L'accesso ai dati dei passeggeri da parte di paesi terzi ha portato alla conclusione di accordi specifici tra l'Unione Europea e detti paesi terzi, in particolare ad un accordo stipulato tra l'UE ed il Canada nel luglio 2005 e tra l'UE e gli Stati Uniti nel luglio 2007. Conformemente a tali accordi, i dati del codice di prenotazione (PNR) comunicati ad autorità straniere dalle compagnie aeree devono rispettare condizioni specifiche in materia di protezione dei dati.

30. In questo contesto, il ruolo dei CRS varia a seconda che agiscano in qualità di fornitore di hosting o di interfaccia per le compagnie aeree.

Il CRS quale fornitore di «hosting» per le compagnie aeree

31. Come già accennato, le compagnie aeree che non gestiscono un proprio sistema di prenotazione, sono solite esternalizzare questo servizio ad un terzo, che può essere un CRS. In tal caso, il CRS non agisce in qualità di interfaccia per le agenzie di viaggio, ma come fornitore di servizi per la compagnia aerea. In tale veste di fornitore di hosting, il CRS può comunicare informazioni relative al codice di prenotazione alle autorità di un paese terzo.

32. Secondo la Commissione ⁽⁶⁾, tale attività del CRS non rientra nel campo di applicazione del regolamento e quindi, in queste circostanze, i suoi obblighi relativamente ai trasferimenti a terzi non sono violati. Tuttavia, restano applicabili i principi generali in materia di protezione dei dati stabiliti dalla direttiva 95/46/CE, nonché quelli stabiliti dalla convenzione n. 108 del Consiglio d'Europa per quanto attiene alle condizioni di trasferimento a paesi terzi.

33. Il GEPD ritiene che le entità che forniscono tali servizi informatici sono responsabili del servizio che offrono e dell'ulteriore trasferimento dei dati a terzi. In tal senso, dovrebbero essere considerate come corresponsabili del trattamento insieme alle compagnie aeree interessate relativamente al servizio fornito. Ciò implica che il trasferimento dei dati dei passeggeri ad opera di un fornitore di servizi

— sia esso un CRS o altro fornitore di servizi informatici

— verso un paese terzo deve rispettare le condizioni stabilite da eventuali accordi internazionali stipulati con detto paese.

34. Gli obblighi potrebbero includere la soluzione di aspetti pratici, quali le modalità per il trasferimento dei dati e la transizione da un sistema «push» ad un sistema «pull», il che implica il controllo da parte del servizio informatico delle condizioni di trasferimento e della qualità dei dati trasferiti. Sarebbe altresì necessario tenere conto degli obblighi di trasparenza, di concerto con le compagnie aeree e nella misura in cui i servizi di prenotazione delle compagnie aeree sono effettivamente svolti dal servizio informatico. La persona interessata, inoltre, dovrebbe poter ricorrere contro il CRS in seguito al trattamento di dati da esso effettuato nel contesto di un trasferimento a terzi.

Il CRS in qualità di interfaccia

35. Indipendentemente dai casi in cui i CRS agiscono in qualità di fornitori di servizi e devono tenere conto degli accordi internazionali stipulati tra l'UE e i paesi terzi, si dovrebbero prendere in considerazione i casi in cui agiscono in qualità di interfaccia: in questi casi, ogni richiesta di dati personali proveniente da terzi rientra nelle condizioni stabilite dal regolamento e, in via di principio, il trasferimento non dovrebbe essere autorizzato. Infatti, conformemente all'articolo 11, paragrafo 4, della proposta, l'accesso ai dati presenti nei CRS è consentito solo per controversie sulla fatturazione. Rilevante è il fatto che detta disposizione si applica indipendentemente dall'ubicazione del CRS (all'interno dell'UE o negli Stati Uniti), nella misura in cui i servizi sono offerti per l'uso nel territorio della Comunità.

VI. CONCLUSIONE

36. Il GEPD si compiace dell'integrazione nella proposta dei principi della protezione dei dati, che precisano le disposizioni della direttiva 95/46/CE. Tali disposizioni rafforzano la certezza del diritto e potrebbero essere proficuamente completate da misure di salvaguardia sotto tre aspetti: garantire il consenso pienamente informato delle persone interessate per quanto concerne il trattamento dei dati sensibili; prevedere misure di sicurezza che tengano conto dei diversi servizi forniti dai CRS e proteggere le informazioni di marketing (cfr. punti 18-21 del presente parere).

37. In relazione al campo di applicazione della proposta, i criteri che la rendono applicabile ai CRS stabiliti in paesi terzi sollevano la questione della sua applicazione pratica, coerentemente con l'applicazione della lex generalis, ossia la direttiva 95/46/CE (cfr. punti 9-12).

38. Al fine di garantire l'effettiva attuazione della proposta, il GEPD ritiene che vi sia la necessità di una visione chiara e completa sull'intera problematica dei CRS, che tenga conto della complessità della rete dei CRS e delle condizioni di accesso ai dati personali da essi trattati da parte dei terzi.

39. Anche se tali questioni vanno oltre le disposizioni concrete della proposta, si ritiene tuttavia fondamentale collocare la questione dei CRS nel suo contesto globale e tenere presenti le implicazioni e le sfide derivanti dal trattamento di una così grande quantità di dati personali, alcuni dei quali sensibili, all'interno di una rete globale accessibile in pratica alle autorità di paesi terzi.

40. È quindi fondamentale che le autorità competenti per l'esecuzione, ovvero la Commissione, come previsto dalla proposta, e le autorità per la protezione dei dati, garantiscano l'effettiva osservanza degli obblighi per quanto concerne non solo gli aspetti della proposta legati alla concorrenza nella proposta, ma anche i principi della protezione dei dati (cfr. punti 22-35).

Fatto a Bruxelles, addì 11 aprile 2008.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE
(1) Articolo 11, paragrafo 9, della proposta.

(2) Articolo 1 della proposta.

(3) Articolo 4, paragrafo 1, lettere a) e c), della direttiva 95/46/CE.

(4) Raccomandazione del 28 aprile 1998 in materia di sistemi telematici di prenotazione nel trasporto aereo, WP10.

(5) Relazione, punto 5. Informazioni supplementari, «Illustrazione dettagliata della proposta».

(6) Documento C(2005) 652/1 relativo alla compatibilità dell'accesso da parte delle autorità statunitensi ai dati relativi al codice di prenotazione (PNR) con il regolamento (CEE) n. 2299/89 relativo ad un codice di comportamento in materia di sistemi telematici di prenotazione.