Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta di una direttiva del Parlamento europeo e del Consiglio sull’uso dei dati del codice di prenotazione (<i>Passenger Name Record</i>, PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi

Parere del Garante europeo della protezione dei dati sulla proposta di una direttiva del Parlamento europeo e del Consiglio sull’uso dei dati del codice di prenotazione (Passenger Name Record, PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi

(Pubblicato sulla GUUE n. C 181 del 22.6.2011)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,

vista la Carta dei diritti fondamentali dell’Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹⁾,

vista la richiesta di parere a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001, del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁽² ⁾,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

I.1. Consultazione del garante europeo della protezione dei dati (GEPD)

1. Il 2 febbraio 2011, la Commissione ha adottato una proposta di una direttiva del Parlamento europeo e del Consiglio sull’uso dei dati del codice di prenotazione (Passenger Name Record, PNR) ai fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (nel prosieguo «la proposta»)⁽³⁾. La proposta è stata trasmessa al GEPD per consultazione il giorno stesso.

2. Il GEPD apprezza il fatto di essere stato consultato dalla Commissione. Già prima dell’adozione della proposta, il GEPD aveva avuto la possibilità di formulare osservazioni informali, alcune delle quali sono state prese in considerazione nella proposta; il GEPD rileva che nel complesso le garanzie per la protezione dei dati contenute nella proposta sono state rafforzate. Rimangono comunque delle preoccupazioni su una serie di questioni, in particolare in relazione alla portata e alle finalità della raccolta di dati personali.

I.2. Contesto della proposta

3. Il dibattito su un possibile sistema PNR all’interno dell’UE è in atto dal 2007, quando la Commissione ha adottato una proposta di decisione quadro del Consiglio sull’argomento ⁽⁴⁾. Lo scopo principale di un sistema PNR nell’UE è l’istituzione di un meccanismo che obblighi i vettori aerei che effettuano voli internazionali tra l’UE e paesi terzi a trasmettere alle autorità competenti i dati PNR di tutti i passeggeri, allo scopo di prevenire, accertare, indagare e perseguire reati di terrorismo e reati gravi. I dati sarebbero centralizzati e analizzati da unità d’informazione sui passeggeri e il risultato dell’analisi sarebbe trasmesso alle autorità nazionali competenti in ciascuno Stato membro.

4. Dal 2007, il GEPD segue da vicino gli sviluppi relativi a un possibile sistema PNR dell’UE, parallelamente agli sviluppi concernenti sistemi PNR di paesi terzi. Il 20 dicembre 2007, il GEPD ha adottato un parere sulla proposta della Commissione ⁽⁵ ⁾. In molte altre occasioni sono state fatte osservazioni rilevanti, non solo da parte del GEPD ma anche del Gruppo di lavoro dell’articolo 29⁽⁶⁾, sulla questione della conformità del trattamento di dati PNR nelle attività di contrasto con i principi di necessità e proporzionalità, nonché con altre misure di salvaguardia essenziali in materia di protezione dei dati.

5. La questione principale sollevata costantemente dal GEPD si incentra sulla giustificazione della necessità di un sistema PNR europeo in aggiunta a una serie di altri strumenti che consentono il trattamento di dati personali nelle attività di contrasto.

6. Il GEPD riconosce gli evidenti miglioramenti in termini di protezione dei dati contenuti nella presente proposta, rispetto alla versione sulla quale era stato consultato in precedenza. I miglioramenti si riferiscono in particolare al campo di applicazione della proposta, alla definizione del ruolo delle diverse parti interessate (unità d’informazione sui passeggeri), all’esclusione del trattamento di dati sensibili, allo spostamento verso un metodo «push» senza un periodo di transizione ⁽⁷⁾, e alla limitazione della conservazione dei dati.

7. Il GEPD si compiace inoltre degli ulteriori sviluppi nella valutazione dell’impatto in merito alle motivazioni per l’istituzione di un sistema PNR dell’UE. Tuttavia, pur essendo evidente la volontà di chiarire la necessità del sistema, il GEPD non riesce ancora a trovare in queste nuove giustificazioni un fondamento convincente per l’introduzione del sistema, soprattutto per quanto riguarda la «valutazione preventiva» su vasta scala di tutti i passeggeri. Necessità e proporzionalità vengono prese in esame nel capitolo II che segue. Il capitolo III si concentra su aspetti più specifici della proposta.

II. NECESSITÀ E PROPORZIONALITÀ DELLA PROPOSTA

II.1. Osservazioni preliminari su necessità e proporzionalità

8. La dimostrazione della necessità e della proporzionalità del trattamento dei dati è un presupposto indispensabile per l’istituzione del sistema PNR. Il GEPD ha già insistito in precedenti occasioni, segnatamente nel contesto di una possibile revisione della direttiva 2006/24/CE (la «direttiva sulla conservazione dei dati») sul fatto che la necessità di trattare o conservare ingenti quantità di informazioni si dovesse basare su una chiara dimostrazione del rapporto tra uso e risultato, e dovesse consentire la valutazione sine qua non del fatto che risultati paragonabili si potessero ottenere con mezzi alternativi e meno invasivi della privacy ⁽⁸ ⁾.

9. Nell’intento di giustificare il sistema, la proposta, in particolare nella valutazione d’impatto, fornisce ampia documentazione e argomenti giuridici per dimostrare che il sistema è necessario ed è conforme ai requisiti in materia di protezione dei dati. Inoltre, dichiara che il sistema offre un valore aggiunto in termini di armonizzazione delle norme relative alla protezione dei dati.

10. In seguito all’analisi di questi elementi, il GEPD ritiene che il contenuto attuale della proposta non soddisfi i requisiti di necessità e proporzionalità imposti dall’articolo 8 della Carta dei diritti fondamentali dell’Unione, dall’articolo 8 della CEDU e dall’articolo 16 del TFUE. Il ragionamento alla base di questa considerazione è sviluppato nei paragrafi che seguono.

II.2. Documenti e statistiche forniti dalla Commissione

11. Il GEPD rileva che la valutazione d’impatto comprende ampie spiegazioni e statistiche intese a giustificare la proposta. Tuttavia, questi elementi non sono convincenti. A titolo illustrativo, la descrizione della minaccia del terrorismo e reati gravi nella valutazione d’impatto e nella relazione della proposta ⁽⁹⁾ cita il dato di 14 000 reati penali ogni 100 000 abitanti negli Stati membri nel 2007. Pur essendo sicuramente impressionante, questa cifra si riferisce a tipologie indifferenziate di reati e non può essere addotta a sostegno di una proposta intesa a contrastare un’unica tipologia limitata di gravi reati transnazionali e di terrorismo. Sempre a titolo di esempio, il fatto di citare una relazione sul «fenomeno» della droga senza collegare i dati al tipo di traffico di stupefacenti interessato dalla proposta non costituisce, secondo il parere del GEPD, un riferimento valido. Lo stesso vale per le indicazioni relative alle conseguenze dei reati, che citano il «valore dei beni rubati» e l’impatto psicologico e fisico sulle vittime, che non sono dati direttamente correlati allo scopo della proposta.

12. Come ultimo esempio, la valutazione d’impatto indica che il Belgio «ha riferito che il 95 % di tutti i sequestri di stupefacenti del 2009 è dipeso esclusivamente o prevalentemente dal trattamento di dati PNR». Occorre sottolineare tuttavia che il Belgio non dispone (ancora) di un meccanismo per l’uso sistematico di dati PNR, paragonabile al sistema previsto nella proposta. Questo potrebbe significare che i dati PNR possono essere utili in casi specifici, cosa che non viene messa in dubbio dal GEPD. Piuttosto, è la raccolta di dati su vasta scala al fine di una valutazione sistematica di tutti i passeggeri che solleva serie preoccupazioni in merito alla protezione dei dati.

13. Secondo il parere del GEPD, non esiste una documentazione di riferimento sufficientemente pertinente e accurata che dimostri la necessità dello strumento.

II.3. Condizioni per la limitazione di un diritto fondamentale

14. Pur rilevando l’interferenza delle misure di trattamento dei dati con i diritti sanciti dalla Carta, dalla CEDU e dall’articolo 16 del TFUE, il documento si riferisce direttamente alle possibili limitazioni di tali diritti e conclude che «poiché le azioni proposte sono intese al fine di combattere il terrorismo e altri reati gravi e contenute in un atto legislativo, sono chiaramente conformi a tali requisiti, purché siano necessarie in una società democratica e rispettino il principio di proporzionalità» ⁽¹⁰ ⁾. Tuttavia, manca una chiara dimostrazione del fatto che si tratti di misure essenziali e che non esistano alternative meno invasive.

15. In tal senso, il fatto che finalità aggiuntive, quali contrasto dell’immigrazione, «no-flight list» e sicurezza sanitaria fossero inizialmente previste e successivamente non incluse a causa di considerazioni di proporzionalità non significa che «limitare» il trattamento dei dati PNR a reati gravi e terrorismo sia de facto proporzionato perché meno invasivo. L’opzione di limitare il sistema alla lotta al terrorismo, senza comprendere altri reati, come previsto in precedenti sistemi PNR, segnatamente nel precedente sistema australiano, non è stata neppure valutata. Il GEPD sottolinea che in questo precedente sistema, sul quale il Gruppo di lavoro dell’articolo 29 ha adottato un parere favorevole nel 2004, le finalità erano limitate all’identificazione dei «passeggeri che potrebbero presentare una minaccia di terrorismo o di attività criminale connessa» ⁽¹¹ ^). Il sistema australiano non prevedeva nemmeno la conservazione dei dati PNR, salvo per specifici passeggeri identificati come minaccia specifica ^(
1²⁾.

16. Inoltre, per quanto concerne la prevedibilità della sorveglianza dei soggetti interessati non è certo che la proposta della Commissione soddisfi i requisiti di una solida base giuridica ai sensi del diritto dell’UE: la «valutazione» dei passeggeri (in precedenza definita «valutazione del rischio») sarà effettuata sulla base di criteri in costante evoluzione e non trasparenti. Come dichiarato esplicitamente nel testo, la finalità principale del sistema non è il tradizionale controllo alla frontiera, bensì l’attività di intelligence ^{( 1}³⁾ e l’arresto di persone che non sono sospette prima che venga commesso un crimine. Lo sviluppo di un simile sistema su scala europea, che comporta la raccolta di dati di tutti i passeggeri e decisioni basate su criteri di valutazione sconosciuti e in evoluzione, solleva serie preoccupazioni in materia di trasparenza e proporzionalità.

17. L’unica finalità che, secondo il GEPD, sarebbe conforme ai requisiti di trasparenza e proporzionalità, è l’uso di dati PNR caso per caso, come indicato nell’articolo 4, paragrafo 2, lettera c), ma solo nel caso di una grave e concreta minaccia individuata da indicatori concreti.

II.4. Rischio di «function creep» (estensione indebita delle funzionalità)

18. L’articolo 4, paragrafo 2, lettera b), prevede che le unità d’informazione sui passeggeri effettuino valutazioni sui passeggeri e nello svolgimento di tale attività possano confrontare i dati PNR con «banche dati pertinenti». Tuttavia, nella disposizione non viene indicato quali siano le banche dati pertinenti. La misura non è pertanto conforme al requisito della prevedibilità ai sensi della Carta e della CEDU. Inoltre, nella disposizione si solleva la questione della sua compatibilità con il principio della limitazione della finalità: secondo il GEPD, dovrebbe essere esclusa ad esempio per una banca dati come Eurodac, costituita per scopi diversi ^{( 1}⁴ ⁾. Inoltre, dovrebbe essere possibile solo in presenza di un’esigenza specifica, in un caso particolare dove esiste già un sospetto su una persona dopo che è stato commesso un reato. A titolo di esempio, la verifica della banca dati del sistema di informazione visti (VIS) ^{( 1}⁵⁾ su base sistematica a fronte di tutti i dati PNR sarebbe eccessiva e sproporzionata.

II.5. Il valore aggiunto della proposta in termini di protezione dei dati

19. L’idea secondo la quale la proposta migliorerebbe la protezione dei dati fornendo condizioni uniformi per quanto concerne i diritti dei singoli è opinabile. Il GEPD riconosce il fatto che, ove siano confermate la necessità e la proporzionalità del sistema, la presenza di norme uniformi nell’UE, ivi compresa la protezione dei dati, migliorerebbe la certezza giuridica. Tuttavia, nella sua attuale formulazione, al considerando 28, la proposta recita che «la presente direttiva non pregiudica la possibilità che gli Stati membri istituiscano, ai sensi della legislazione nazionale, un sistema di raccolta e trattamento dei dati PNR per finalità diverse da quelle previste nella presente direttiva ovvero presso vettori diversi da quelli precisati nella presente direttiva, riguardante i voli nazionali (…)».

20. L’armonizzazione introdotta dalla proposta è pertanto limitata: si può riferire ai diritti dei titolari dei dati, ma non alla limitazione della finalità, e si può presumere che ai sensi di questa formulazione i sistemi PNR già utilizzati per combattere, ad esempio, l’immigrazione illegale possano continuare a farlo a norma della direttiva.

21. Questo significa che, da un lato, persisterebbero delle differenze tra gli Stati membri che hanno già messo a punto un sistema PNR e dall’altro l’ampia maggioranza degli Stati membri che non raccolgono sistematicamente dati PNR (21 Stati membri su 27) sarebbe obbligata a farlo. Il GEPD ritiene che, da questa prospettiva, qualunque valore aggiunto in termini di protezione dei dati sia fortemente discutibile.

22. Per contro, le conseguenze del considerando 28 sono una grave violazione del principio della limitazione della finalità. Secondo il parere del GEPD, la proposta dovrebbe prevedere esplicitamente che i dati PNR non possano essere utilizzati per altri scopi.

23. Il GEPD giunge a una conclusione analoga a quella tratta dalla valutazione della direttiva sulla conservazione dei dati: in entrambi i contesti, l’assenza di una reale armonizzazione va di pari passo con l’assenza di certezza giuridica. Inoltre, meccanismi aggiuntivi di raccolta e trattamento di dati personali diventano obbligatori per tutti gli Stati membri dove l’effettiva necessità del sistema non è stata confermata.

II.6. Collegamento con la comunicazione sulla gestione delle informazioni nello spazio di libertà, sicurezza e giustizia

24. Il GEPD rileva inoltre che gli sviluppi relativi ai dati PNR sono collegati alla valutazione generale di tutti gli strumenti dell’UE nel campo della gestione e dello scambio di informazioni varata dalla Commissione nel gennaio 2010 e sviluppata nella recente comunicazione sul panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia ⁽¹⁶ ⁾. Effettivamente, esiste una chiara connessione con il dibattito in corso sulla strategia europea di gestione delle informazioni. A tale proposito, il GEPD ritiene che nel valutare la necessità di un sistema PNR nell’UE si dovrebbero prendere in considerazione i risultati dell’attuale lavoro sul modello europeo di scambio delle informazioni attesi per il 2012.

25. In questo contesto e alla luce delle carenze della proposta e in particolare della sua valutazione d’impatto, il GEPD ritiene che occorra una valutazione d’impatto specifica in materia di privacy e protezione dei dati in casi come questo, dove la sostanza della proposta influisce sui diritti fondamentali alla privacy e alla protezione dei dati. Una valutazione generale non è sufficiente.

III. COMMENTI SPECIFICI

III.1. Campo di applicazione

26. All’articolo 2, lettere g), h) e i) della proposta sono definiti i reati di terrorismo, i reati gravi e i reati gravi di natura transnazionale. Il GEPD si compiace del fatto che le definizioni — e la loro portata — siano state migliorate, con una differenziazione tra reati gravi e reati gravi transnazionali. Questa distinzione è gradita soprattutto perché implica un diverso trattamento dei dati personali, che esclude la valutazione a fronte di criteri predeterminati quando si tratta di reati gravi che non sono transnazionali.

27. Secondo il parere del GEPD, la definizione di reato grave comunque è ancora troppo ampia; se ne dà atto anche nella proposta, dove si prevede che gli Stati membri possano ancora escludere i reati minori rientranti nella definizione di reati gravi ⁽¹⁷⁾ ma che non sarebbero conformi al principio di proporzionalità. Questa formulazione implica che la definizione contenuta nella proposta può includere i reati minori per i quali il trattamento dei dati sarebbe sproporzionato. Che cosa si dovrebbe intendere esattamente con reati minori non è chiaro. Il GEPD ritiene che, invece di lasciare agli Stati membri la facoltà di limitare l’ambito di applicazione, la proposta dovrebbe elencare esplicitamente i reati che dovrebbero essere inclusi nel suo campo di applicazione e quelli che dovrebbero essere esclusi, in quanto dovrebbero essere considerati minori e non rispondenti ai criteri di proporzionalità.

28. La stessa preoccupazione riguarda la possibilità lasciata aperta nell’articolo 5, paragrafo 5, di procedere al trattamento dei dati relativi a qualsiasi genere di reato, qualora siano individuati durante un’azione di contrasto, nonché la possibilità menzionata nel considerando (28) di estendere l’ambito di applicazione a finalità diverse da quelle previste nella proposta, ovvero ad altri vettori.

29. Il GEPD è anche preoccupato in merito alla possibilità prevista all’articolo 17 di includere i voli interni nel campo di applicazione della direttiva, alla luce dell’esperienza maturata dagli Stati membri che già raccolgono tali dati. Un simile ampliamento del campo di applicazione del sistema dei dati PNR rappresenterebbe una minaccia ancora maggiore per i diritti fondamentali delle persone e dovrebbe essere considerato solo a seguito di un’adeguata analisi che comprenda una valutazione d’impatto generale.

30. In conclusione, il fatto di lasciare aperto il campo di applicazione dando agli Stati membri la possibilità di ampliare le finalità è contrario al requisito che i dati si possano raccogliere solo per finalità specifiche ed esplicite.

III.2. Unità d’informazione sui passeggeri

31. Il ruolo delle unità d’informazione sui passeggeri e le garanzie in merito al trattamento dei dati PNR sollevano interrogativi specifici, in particolare poiché le unità d’informazione sui passeggeri ricevono i dati di tutti i passeggeri dai vettori aerei e, secondo il testo della proposta, dispongono di ampie competenze per il loro trattamento, che comprendono la valutazione del comportamento di passeggeri non sospettati di alcun reato e la possibilità di confrontare i dati PNR con banche dati non precisate ⁽¹⁸⁾. Il GEPD rileva che nella proposta sono previste condizioni per un «accesso limitato», ma ritiene che non siano sufficienti, in considerazione delle ampie competenze delle unità d’informazione sui passeggeri.

32. In primo luogo, la natura dell’autorità designata come unità d’informazione sui passeggeri e la sua composizione restano poco chiare. La proposta cita la possibilità che i membri del personale possano essere funzionari «distaccati delle autorità pubbliche competenti», ma non offre garanzie in termini di competenza e integrità del personale dell’unità. Il GEPD raccomanda di includere tali requisiti nel testo della direttiva, tenendo conto del carattere sensibile del trattamento effettuato dalle unità d’informazione sui passeggeri.

33. In secondo luogo, la proposta prevede la possibilità di designare un’unica unità d’informazione sui passeggeri per diversi Stati membri. Questo apre la porta al rischio di abusi e di trasmissioni di dati al di fuori delle condizioni della proposta. Il GEPD riconosce che la necessità di unire le forze potrebbe essere dettata da motivi di efficienza, in particolare per gli Stati membri più piccoli, ma raccomanda di includere nel testo delle condizioni specifiche per questa opzione, che dovrebbero trattare argomenti quali la collaborazione con autorità competenti, nonché la vigilanza, in particolare per quanto concerne l’autorità per la protezione dei dati competente del controllo e per quanto concerne l’esercizio dei diritti degli interessati, in quanto diverse autorità possono essere competenti per la supervisione di un'unità d’informazione sui passeggeri.

34. Esiste il rischio di estensione indebita delle funzionalità collegato agli elementi sopra citati e in particolare in considerazione della qualità del personale competente per l’analisi dei dati e della «condivisione» di un’unica unità tra diversi Stati membri.

35. In terzo luogo, il GEPD contesta le misure di salvaguardia previste contro l'abuso. Gli obblighi di registrazione sono graditi, ma non sufficienti. L’autocontrollo dovrebbe essere integrato da un controllo esterno, in modo più strutturato. Il GEPD suggerisce che si organizzino audit in modo sistematico ogni quattro anni. Si dovrebbe mettere a punto una serie completa di norme di sicurezza da imporre orizzontalmente a tutte le unità.

III.3. Scambio di dati tra Stati membri

36. L’articolo 7 della proposta prevede numerosi scenari che consentono lo scambio di dati tra unità d’informazione sui passeggeri in situazioni normali, o tra autorità competenti di uno Stato membro e unità d’informazione in situazioni eccezionali. Le condizioni diventano anche più severe a seconda che sia richiesto l’accesso alla banca dati di cui all’articolo 9, paragrafo 1, dove i dati vengono conservati nei primi 30 giorni, o alla banca dati di cui all’articolo 9, paragrafo 1 dove i dati vengono conservati per altri cinque anni.

37. Le condizioni di accesso sono definite più rigorosamente quando la richiesta di accesso va al di là della normale procedura. Il GEPD rileva tuttavia, che la formulazione utilizzata genera confusione: l’articolo 7, paragrafo 2, si applica «in relazione a un caso specifico di prevenzione, accertamento, indagine o azione penale nei confronti di reati di terrorismo o di reati gravi»; l’articolo 7, paragrafo 3, cita «casi eccezionali per rispondere a una minaccia specifica o nell’ambito di un’indagine o di un’azione penale specifica connessa a reati di terrorismo o a reati gravi», mentre l’articolo 7, paragrafo 4, riguarda «una minaccia grave o immediata alla sicurezza pubblica» e l’articolo 7, paragrafo 5, cita «una minaccia specifica e reale connessa a reati di terrorismo o reati gravi». Le condizioni di accesso delle diverse parti interessate alla banca dati variano in base a questi criteri. Tuttavia, non è chiara la differenza tra una minaccia specifica, una minaccia grave o immediata e una minaccia specifica e reale. Il GEPD sottolinea la necessità di specificare ulteriormente le condizioni precise in base alle quali sarà concesso il trasferimento dei dati.

III.4. Legge applicabile

38. La proposta si riferisce come base giuridica generale per i principi in materia di protezione dei dati alla decisione quadro del Consiglio 2008/977/GAI, estendendone l’ambito di applicazione al trattamento dei dati a livello nazionale.

39. Il GEPD ha evidenziato già nel 2007 ⁽¹⁹⁾ le carenze della decisione quadro in merito ai diritti delle persone interessate. Tra gli elementi mancanti nella decisione quadro, si segnalano in particolare alcuni requisiti per le informazioni alla persona interessata nel caso di una richiesta di accesso ai suoi dati: le informazioni dovrebbero essere fornite in forma comprensibile, dovrebbe essere indicata la finalità del trattamento e occorrono garanzie più complete in caso di ricorso presso l’autorità per la protezione dei dati, ove sia negato l’accesso diretto.

40. Il riferimento alla decisione quadro comporta delle conseguenze anche per quanto concerne l’identificazione dell’autorità per la protezione dei dati competente per il controllo dell’applicazione della futura direttiva, in quanto può non essere necessariamente la stessa autorità competente per le questioni dell’(ex) primo pilastro. Secondo il GEPD non è sufficiente basarsi esclusivamente sulla decisione quadro nel contesto post-Lisbona, quando uno degli obiettivi principali è l’adeguamento del quadro giuridico per garantire un livello elevato e armonizzato di protezione in tutti gli (ex) pilastri. A suo parere, sono necessarie ulteriori disposizioni nella proposta per integrare il riferimento alla decisione quadro del Consiglio laddove si siano individuate delle carenze, in particolare in relazione alle condizioni di accesso ai dati personali.

41. Queste preoccupazioni sono pienamente fondate anche per quanto concerne le disposizioni sul trasferimento dei dati a paesi terzi. La proposta fa riferimento all’articolo 13, paragrafo 3, punto (ii) della decisione quadro, che comprende ampie eccezioni alle garanzie per la protezione dei dati: in particolare, è prevista una deroga al principio di adeguatezza «per interessi legittimi superiori, soprattutto importanti interessi pubblici». Questa eccezione presenta una formulazione vaga, che potrebbe potenzialmente applicarsi in molti casi di trattamento di dati PNR, ove sia interpretata in senso ampio. Il GEPD ritiene che la proposta dovrebbe esplicitamente impedire l’applicazione delle eccezioni della decisione quadro nel contesto del trattamento dei dati PNR e mantenere l’obbligo di una rigorosa valutazione dell’adeguatezza.

III.5. Conservazione dei dati

42. La proposta prevede un periodo di 30 giorni di conservazione dei dati, con un periodo aggiuntivo di cinque anni in archivio. Questo periodo di conservazione è notevolmente ridotto rispetto a precedenti versioni del documento, che prevedevano cinque anni più otto aggiuntivi.

43. Il GEPD si compiace della riduzione a 30 giorni del primo periodo di conservazione, ma contesta l’ulteriore periodo di conservazione di 5 anni: non è chiaro se esista la necessità di conservare ulteriormente i dati in una forma che renda ancora possibile l’identificazione delle persone.

44. Il GEPD sottolinea inoltre una questione terminologica nel testo che implica importanti conseguenze legali: l’articolo 9, paragrafo 2, indica che i dati dei passeggeri saranno «mascherati», e pertanto «resi anonimi». Tuttavia, nel seguito del testo si afferma che è ancora possibile «l’accesso integrale ai dati PNR». Se esiste questa possibilità, significa che i dati PNR non sono mai stati resi completamente anonimi: pur essendo stati mascherati, restano comunque identificabili. Di conseguenza, il quadro normativo per la protezione dei dati resta pienamente applicabile e fa sorgere la questione fondamentale della necessità e proporzionalità in merito alla conservazione di dati identificabili di tutti i passeggeri per un periodo di cinque anni.

45. Il GEPD raccomanda che la proposta venga riformulata, mantenendo il principio del reale anonimato, che escluda la possibilità di ritornare a dati identificabili e pertanto non consenta indagini retroattive. Questi dati devono poter essere utilizzati esclusivamente per finalità generali di intelligence basate sull’identificazione di modelli di reati di terrorismo e reati connessi nei flussi migratori. Occorre tuttavia operare una distinzione con la conservazione di dati in forma identificabile, soggetta a determinate garanzie, nei casi che hanno dato origine a un sospetto concreto.

III.6. Elenco di dati PNR

46. Il GEPD apprezza il fatto che i dati sensibili non siano compresi nell’elenco dei dati soggetti al trattamento. Tuttavia, sottolinea che la proposta prevede comunque la possibilità di inviare tali dati all’unità d’informazione sui passeggeri, che in seguito ha l’obbligo di cancellarli (articolo 4, paragrafo 1, articolo 11). Non è chiaro dalla formulazione se le unità d’informazione sui passeggeri mantengano l’obbligo di routine di filtrare i dati sensibili trasmessi dalle compagnie aeree, o se siano tenute a farlo solo nel caso eccezionale in cui le compagnie aeree li abbiano trasmessi per errore. Il GEPD raccomanda di modificare il testo per chiarire che le compagnie aeree non dovrebbero trasmettere dati sensibili all’inizio del processo di trattamento dei dati.

47. A parte i dati sensibili, l’elenco di dati che possono essere trasferiti rispecchia in larga misura l’elenco di dati PNR degli Stati Uniti, che è stato criticato perché eccessivamente ampio in vari pareri del Gruppo di lavoro dell’articolo 29 ⁽²⁰ ⁾. Secondo il GEPD, l’elenco dovrebbe essere ridotto conformemente al parere del Gruppo di lavoro ed eventuali aggiunte dovrebbero essere motivate. In particolare, è il caso del campo «osservazioni generali» che dovrebbe essere escluso dall’elenco.

III.7. Singole decisioni automatizzate

48. Ai sensi dell’articolo 4, paragrafo 2, lettere a) e b), la valutazione delle persone a fronte di criteri prestabiliti o di banche dati pertinenti può comportare un trattamento automatizzato, che tuttavia dovrebbe essere verificato singolarmente con mezzi non automatizzati.

49. Il GEPD apprezza i chiarimenti apportati a questa nuova versione del testo. L’ambiguità della precedente portata della disposizione, in relazione a decisioni automatizzate che comportino «una conseguenza giuridica negativa per l’interessato o lo danneggino in modo significativo (…)» è stata sostituita da una formulazione più esplicita. Ora è chiaro che ogni eventuale riscontro positivo sarà verificato singolarmente.

50. Inoltre, nella nuova versione è chiaro che in nessun caso la valutazione si può basare sull’origine razziale o etnica, sulle convinzioni religiose o filosofiche, sulle opinioni politiche, sull’appartenenza sindacale, sullo stato di salute o sull’orientamento sessuale di una persona. In altre parole, al GEPD risulta evidente da questa nuova formulazione che nessuna decisione, nemmeno parziale, può essere presa sulla base di dati sensibili. Si tratta di una scelta apprezzabile e coerente con la disposizione secondo cui le unità d’informazione sui passeggeri non possono trattare dati sensibili.

III.8. Riesame e statistiche

51. Il GEPD considera della massima importanza che venga effettuata una valutazione approfondita dell’attuazione della direttiva come previsto nell’articolo 17. A suo parere, il riesame non dovrebbe solo valutare la conformità generale con le norme in materia di protezione dei dati, bensì in modo più fondamentale e specifico se i sistemi PNR costituiscono una misura necessaria. Le statistiche citate nell’articolo 18 svolgono un ruolo importante in quest’ottica. Secondo il GEPD, queste informazioni dovrebbero comprendere il numero di azioni di contrasto, come previsto nel progetto, ma anche il numero di effettive condanne che ne sono derivate o meno. Si tratta di dati essenziali affinché i risultati del riesame siano conclusivi.

III.9. Relazione con altri strumenti

52. La proposta non pregiudica gli accordi esistenti con paesi terzi (articolo 19). Il GEPD ritiene che questa disposizione dovrebbe riferirsi più esplicitamente all’obiettivo di un quadro generale che fornisca garanzie di protezione dei dati armonizzate in materia di PNR, all’interno e all’esterno dell’UE, come richiesto dal Parlamento europeo e ripreso dalla Commissione nella sua comunicazione del 21 settembre 2010 «sull’approccio globale al trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) verso paesi terzi».

53. In tal senso, gli accordi con paesi terzi non dovrebbero comprendere disposizioni al di sotto della soglia di protezione dei dati prevista dalla direttiva. Si tratta di un aspetto particolarmente importante ora che gli accordi con Stati Uniti, Australia e Canada sono in fase di rinegoziazione nella prospettiva di un quadro globale e armonizzato.

IV. CONCLUSIONI

54. Lo sviluppo di un sistema PNR dell’UE, unitamente alla negoziazione di accordi PNR con paesi terzi, è un progetto che si protrae da tempo. Il GEPD riconosce che, rispetto alla proposta di decisione quadro del Consiglio del 2007 sull’uso dei dati PNR nell’UE, sono stati apportati evidenti miglioramenti al progetto di testo. Sono state aggiunte garanzie per la protezione dei dati, attingendo alle discussioni e ai pareri di diverse parti interessate, ivi compresi in particolare il Gruppo di lavoro dell’articolo 29, il GEPD e il Parlamento europeo.

55. Il GEPD si compiace di questi miglioramenti e, in particolare, degli sforzi per limitare il campo di applicazione della proposta e le condizioni per il trattamento dei dati PNR. Tuttavia, si trova costretto ad osservare che il requisito essenziale per la messa a punto di un sistema PNR, ossia la conformità ai principi di necessità e proporzionalità, non viene soddisfatto nella proposta. Il GEPD ricorda che a suo parere i dati PNR potrebbero sicuramente rilevarsi necessari in attività di contrasto in casi specifici e nel rispetto degli obblighi di protezione dei dati. Le preoccupazioni specifiche riguardano il loro uso sistematico e indiscriminato con riferimento a tutti i passeggeri.

56. La valutazione d’impatto fornisce elementi intesi a giustificare la necessità di dati PNR per la lotta alla criminalità, ma la natura di queste informazioni è troppo generale e non serve a motivare il trattamento su vasta scala di dati PNR per finalità di intelligence. Secondo il parere del GEPD, l’unica misura conforme ai requisiti di protezione dei dati sarebbe l’uso di dati PNR caso per caso, nel caso di una grave minaccia individuata da indicatori concreti.

57. Oltre a questa carenza fondamentale, i commenti del GEPD riguardano i seguenti aspetti:

— il campo di applicazione dovrebbe essere molto più limitato per quanto concerne il tipo di reati interessati. Il GEPD contesta l’inserimento nella proposta di reati gravi non collegati al terrorismo. In ogni caso, i reati minori dovrebbero essere definiti esplicitamente ed esclusi. Il GEPD raccomanda di escludere la possibilità per gli Stati membri di ampliare il campo di applicazione

— non è stata definita adeguatamente la natura delle diverse minacce che consentono lo scambio di dati tra unità d’informazione sui passeggeri o con Stati membri

— i principi applicabili in materia di protezione dei dati non dovrebbero basarsi solo sulla decisione quadro 2008/977/GAI del Consiglio, che presenta delle carenze, in particolare in termini di diritti delle persone interessate e trasferimenti a paesi terzi. La proposta dovrebbe prevedere un livello più elevato di garanzie, basato sui principi della direttiva 95/46/CE

— i dati non dovrebbero essere conservati per più di 30 giorni in forma identificabile, salvo nei casi che giustifichino ulteriori indagini

— l’elenco dei dati PNR da trattare dovrebbe essere ridotto, conformemente a precedenti raccomandazioni del Gruppo di lavoro dell’articolo 29 e del GEPD. In particolare, si dovrebbe escludere il campo «osservazioni generali»

— la valutazione della direttiva dovrebbe basarsi su dati esaurienti, comprensivi del numero di persone effettivamente condannate, e non soltanto perseguite, sulla base del trattamento dei loro dati.

58. Il GEPD raccomanda inoltre che gli sviluppi concernenti il sistema PNR dell’UE vengano valutati in una prospettiva più ampia, che comprenda la valutazione generale in atto di tutti gli strumenti dell’UE in materia di gestione dello scambio di informazioni, varata dalla Commissione nel gennaio 2010. In particolare, nella valutazione della necessità di un sistema PNR dell’UE si dovrebbero prendere in considerazione i risultati dell’attuale lavoro sul modello europeo di scambio delle informazioni, attesi per il 2012.

Fatto a Bruxelles, il 25 marzo 2011.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) COM(2011) 32 definitivo.

( 4 ) COM(2007) 654 definitivo.

( 5 ) Parere del GEPD del 20 dicembre 2007 relativo al progetto di decisione quadro del Consiglio sull’uso dei dati del codice di prenotazione (Passenger Name Record, PNR) nelle attività di contrasto, GU C 110 del 1.5.2008, pag. 1.

( 6 ) Parere del 19 ottobre 2010 sulla comunicazione della Commissione sull’approccio globale al trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) verso paesi terzi, disponibile all’indirizzo http://www.edps.europa.eu/EDPSWEB/ edps/Consultation/OpinionsC/OC2010 — I pareri del Gruppo di lavoro dell’articolo 29 sono disponibili al seguente link: http://ec.europa.eu/justice/policies/privacy/ workinggroup/wpdocs/index_en.htm#data_transfers

( 7 ) Questo significa che i dati PNR saranno trasmessi attivamente dalle compagnie aeree, e non «estratti» dalle autorità pubbliche mediante l’accesso diretto alla banca dati delle compagnie.

( 8 ) Cfr. «The moment of truth for the Data Retention Directive» (Il momento della verità per la direttiva sulla conservazione dei dati), discorso di Peter Hustinx alla conferenza «Taking on the Data Retention Directive», Bruxelles, 3 dicembre 2010, disponibile all’ indirizzo http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/ shared/Documents/EDPS/Publications/Speeches/2010/10-12-03_ Data_retention_speech_PH_EN.pdf

( 9 ) Valutazione d’impatto, capitolo 2.1.1, e Relazione, capitolo 1, primo paragrafo.

( 10 ) Valutazione d’impatto, capitolo 3.2, secondo paragrafo.

( 11 ) Parere 1/2004 del 16 gennaio 2004 sul livello di protezione garantito in Australia per la trasmissione dei dati delle registrazioni dei nomi dei passeggeri da parte delle compagnie aeree, WP85.

( 12 ) Il parere del Gruppo di lavoro dell’articolo 29 spiega inoltre che «per quanto riguarda la conservazione dei dati PNR, non esistono per le dogane obblighi giuridici in questo senso. La legislazione non vieta nemmeno alle dogane di memorizzare tali dati. I dati PNR dei passeggeri considerati come soggetti di rischio poco elevato dal software di analisi automatizzata del profilo (95-97 % del totale) non sono memorizzati e non viene conservata alcuna traccia di tali informazioni. La politica generale applicata dalle dogane consiste quindi nel non conservare tali dati. Nel caso dello 0,05-0,1 % di passeggeri segnalati alle dogane per una valutazione ulteriore, i dati PNR delle compagnie aeree sono conservati temporaneamente — ma non memorizzati — in attesa della valutazione effettuata alla frontiera. Successivamente, i dati PNR sono cancellati dal PC del funzionario della PAU in questione e non vengono introdotti nelle basi dati australiane.»

( 13 ) Relazione, Capitolo 1. Contesto della proposta, Coerenza con gli altri obiettivi e politiche dell’Unione.

( 14 ) Lo scopo di Eurodac è «concorrere alla determinazione dello Stato membro competente, ai sensi della convenzione di Dublino, per l’esame di una domanda di asilo presentata in uno Stato membro e di facilitare inoltre l’applicazione di tale convenzione secondo le disposizioni del presente regolamento», a norma dell’articolo 1, paragrafo 1, del regolamento (CE) n. 2725/2000 del Consiglio, dell’11 dicembre 2000, che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione della convenzione di Dublino, GU L 316 del 15.12.2000, pag. 1.

( 15 ) «Il VIS ha lo scopo di migliorare l’attuazione della politica comune in materia di visti, la cooperazione consolare e la consultazione tra le autorità centrali competenti per i visti, agevolando lo scambio di dati tra Stati membri in ordine alle domande di visto e alle relative decisioni», a norma dell’articolo 2 del regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (regolamento VIS), GU L 218 del 13.8.2008, pag. 60.

( 16 ) COM(2010) 385 definitivo.

( 17 ) Come definite nelle decisioni quadro del Consiglio 2008/841/GAI e 2002/584/GAI.

( 18 ) Sulle unità d’informazione sui passeggeri cfr. anche il parere del GEPD del 20 dicembre 2007.

( 19 ) Terzo parere del garante europeo della protezione dei dati del 27 aprile 2007 relativo alla proposta di decisione quadro del Consiglio sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale, GU C 139 del 23.6.2007, pag. 1.

( 20 ) Parere del 23 giugno 2003 sul livello di protezione assicurato negli Stati Uniti per quanto riguarda la trasmissione di dati relativi ai passeggeri, WP78. Questo e i successivi pareri formulati dal gruppo di lavoro sulla questione sono reperibili all’indirizzo: http://ec.europa. eu/justice_home/fsj/privacy/workinggroup/wpdocs/index_en. htm#data_transfers