CE - IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI Parere 8/2004sull'informazione dei passeggeri in merito al trasferimento di schedenominative dei passeggeri aerei (PNR) sui voli tra l'Unione europea e gli StatiUniti d'America - wp97Adottato il 30 settembre 2004 IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI istituito con Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 19951, visti gli articoli 29 e 30, paragrafi 1, lettera (a) e 3 di detta Direttiva, visto il suo regolamento interno, in particolare gli articoli 12 e 14, ha adottato il presente Parere: Nella sua Decisione del 14 maggio 20042, la Commissione ha ritenuto che l'Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti (CBP) assicuri un livello adeguato di protezione dei dati contenuti nelle schede nominative dei passeggeri aerei (PNR) trasferiti dalla Comunità e relativi ai voli verso e da gli Stati Uniti. La presente decisione riguarda l'adeguatezza della tutela assicurata dal CBP al fine di soddisfare i requisiti dell'articolo 25, paragrafo 1, della Direttiva 95/46/CE.Essa non pregiudica altre condizioni o restrizioni che attuino altre disposizioni di detta direttiva attinenti al trattamento di dati personali negli Stati membri. Una di esse è l'obbligo da parte dei responsabili del trattamento di informare le persone interessate sui principali elementi del trattamento dei dati. Per tale motivo i responsabili del trattamento che effettuano il trattamento di dati PNR soggetti alla normativa nazionale degli Stati membri dell'UE adottata in forza della direttiva 95/46/CE sono tenuti a fornire ai passeggeri un'informazione completa e accurata sul trasferimento dei dati PNR al CBP in applicazione delle leggi nazionali adottate conformemente agli articoli 10 e 11 della direttiva. Il gruppo ha adottato le note informative riportate negli allegati 1 e 2 del presente parere. Esse dovrebbero servire da linee-guida per quanto concerne leinformazioni da fornirsi ai passeggeri sui voli transatlantici e andrebberousate nel modo più esteso possibile da parte delle compagnie aeree, degliagenti di viaggio e dei sistemi di prenotazione via computer facenti parte delcircuito di prenotazione dei voli. Fatto a Bruxelles, il 30 settembre 2004 Per il Gruppo
NOTE 1 Gazzetta ufficiale n. L 281 del 23/11/1995, pag. 31, disponibile su: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
Il segretariato è assicurato dalla Direzione generaleMercato interno, Direzione E (Servizi, Proprietà intellettuale e industriale,Media e protezione dei dati) della Commissione europea, B-1049 Bruxelles,Belgio, Ufficio N. C100-6/136. Website: www.europa.eu.int/comm/privacy
ALLEGATO 1 Nota sintetica per i voli tra l'Unione europea e gli Stati Uniti In virtù della normativadegli Stati Uniti, l'Ufficio delle dogane e della protezione delle frontieredegli Stati Uniti (U.S. Customs and Border Protection - CBP) riceve certeinformazioni relative al volo e alla prenotazione che vanno sotto il nome didati personali contenuti nelle schede nominative dei passeggeri aerei(Passenger Name Record – PNR) in merito ai passeggeri che volano tral'Unione europea e gli USA. Il CBP si è impegnato a usare tali dati PNR a fini di prevenzione e di lotta contro il terrorismo e di altri gravi crimini transnazionali. Il PNR può comprendere informazioni fornite nel processo di prenotazione o in possesso delle compagnie aeree o degli agenti di viaggio. Le informazioni sono conservate per almeno tre anni e sei mesi e possono essere condivise con altre autorità. Ulteriori informazioni su queste disposizioni, comprese le misure a tutela dei vostri dati personali possono essere ottenute presso la vostra compagnia aerea o il vostro agente di viaggio. [La compagnia aerea o l'agente di viaggio hafacoltà di fornire l'informazione nella sua versione integrale o di rinviaredirettamente al sito web del CBP]
ALLEGATO 2 Domande ricorrenti sul ricevimento ad opera dell'Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti di schede nominative dei passeggeri di voli tra l'Unione europea e gli Stati Uniti La normativa degli Stati Uniti impone alle compagnie aeree che effettuano voli verso e dagli Stati Uniti (USA) di fornire al loro Ufficio delle dogane e della protezione delle frontiere (Customs and Border Protection - CBP), facente capo al Ministero della sicurezza interna (Department of Homeland Security), certi dati relativi ai passeggeri atti a rendere più sicuri i viaggi e a garantire la sicurezzadegli USA. Ogni compagnia aerea deve attenersi a tali disposizioni. LaCommissione europea ha stabilito che il CBP assicura un livello adeguato diprotezione e ha quindi consentito il trasferimento di dati PNR agli USA. Perulteriori informazioni si rinvia al sito Per una spiegazione completa del modo in cui CBP tratta i dati PNR raccolti in relazione ai voli tra l'Unione europea (UE) e gli USA si rinvia agli impegni (Undertakings) del Department of Homeland Security, Customs and Border Protection ("PNR Undertakings") 1. PerchŽ la scheda nominativa del passeggero recante il mio nome è trasferita all'Ufficio delle dogane e della protezione delle frontiere degli USA precedentemente al viaggio verso, da o attraverso gli Stati Uniti? a. Il terrorismo e la criminalità correlata; 2. Qual è il quadro giuridico per il trasferimento di dati PNR? Con legge (Legal statute, title 49, United States Code, section 44909(c)(3)) e relativi regolamenti (provvisori) (title 19, Code of Federal Regulations, section122.49b), ciascuna compagnia aerea che effettua il trasporto di passeggeri surotte internazionali verso o da gli USA deve fornire al CBP un accessoelettronico ai dati PNR nella misura in cui questi sono raccolti e contenuti nei sistemi di prenotazione e/o di controllo delle partenze della compagni aerea. LaCommissione europea ha stabilito che il CBP è ritenuto fornire un livelloadeguato di protezione dei dati da trasferirsi. Tali trasferimenti sono copertida un accordo internazionale tra la Comunità europea e gli USA. La decisionedella Commissione si è basata sugli impegni assunti dal CBP. Un'eventualeinottemperanza potrebbe essere impugnata e, qualora persistesse, porterebbealla sospensione degli effetti di tale decisione. Le autorità competenti degliStati membri dell'UE possono esercitare i poteri di cui dispongono persospendere i flussi di dati in direzione del CBP per proteggere gli individuiper quanto concerne il trattamento dei loro dati personali qualora il CBP violigli standard applicabili di protezione quali prescritti dalla decisione dellaCommissione. 3. Che tipo di informazioni riceverà su di me il CBP tramite i dati PNR? Il CBP riceverà certi dati PNRconcernenti le persone che volano verso, da o attraverso gli USA. Le compagnieaeree creano dati PNR nei sistemi di prenotazione per ciascun itinerarioriservato per un passeggero. Questi dati PNR possono essere anche contenuti neisistemi di controllo delle partenze della compagnia aerea. I dati PNRcontengono una varietà di informazioni fornite durante il processo diprenotazione o in possesso delle compagnie aeree o degli agenti di viaggio,come il norme del passeggero, il recapito, informazioni sull'itinerario delviaggio (ad esempio, data del viaggio, origine e destinazione, numero del postooccupato e numero dei bagagli) nonchŽ particolari sulla prenotazione (ad esempio,l'agenzia di viaggio e il sistema di pagamento) o altre informazioni (adesempio, la partecipazione ad un programma Òfrequent flierÓ). 4. Il trasferimento dei datiPNR comporta anche dati sensibili? Certi dati PNR identificati in quanto ÒsensibiliÓ possonoessere inclusi nel PNR quando è trasferito dai sistemi di prenotazione e/o dipartenza della compagnia aerea nell'UE al CBP. Questi dati PNR ÒsensibiliÓcontengono di solito certe informazioni suscettibili di rivelare l'originerazziale o etnica del passeggero, le sue opinioni politiche, la sua religione,il suo stato di salute o i suoi orientamenti sessuali. Il CBP si è impegnato anon usare i dati PNR ÒsensibiliÓ che riceve dai sistemi di prenotazione o dicontrollo delle partenze delle compagnie aeree nell'UE. Il CBP installerà unprogramma automatico di filtro in modo da cancellare i dati PNR ÒsensibiliÓ. 5. PerchŽ i miei dati PNRvengono condivisi con altre autorità? I dati PNR ricevuti in relazione a voli tra l'UE egli USA possono essere condivisi con altre autorità governative domestiche ostraniere aventi funzioni di forza pubblica o di lotta contro il terrorismo, incasi specifici e con specifiche garanzie in materia di protezione dei dati, aifini di prevenzione e lotta contro il terrorismo e altri delitti gravi; altricrimini gravi, compreso il crimine organizzato, aventi natura transnazionale;nonchŽ i tentativi di sottrarsi a mandati di cattura o all'arresto per icrimini summenzionati. I dati PNR possono essere anche trasmessi ad altre autoritàgovernative pertinenti ove necessario per tutelare gli interessi vitali delpasseggero in questione o di altre persone, in particolare per quanto concernerischi sanitari significativi o secondo quanto altrimenti prescritto dallalegge. 6. Per quanto tempo il CBP conserverà i miei dati PNR? I dati PNR relativi a voli tra l'UE e gli USA sono conservati dal CBP per un periodo di tre anni e sei mesi, a meno che CBP consulti manualmente quei particolari dati PNR. In tal caso i dati PNR sono conservati dal CBP per altri otto anni. Inoltre, le informazioni correlate a un'indagine specifica sono conservate dalCBP fino a quando l'indagine è archiviata. 7. In che modo è assicurata la riservatezza dei miei dati PNR? Il CBP conserverà i dati PNR relativi a voli tra l'UE e gli USA in modo sicuro e riservato. Apposite salvaguardie, comprendenti opportuni controlli in materia di sicurezza dei dati e di accesso, assicureranno che i dati PNR non sianousati o consultati indebitamente. 8. Chi controllerà che siano rispettati gli impegni relativi ai dati PNR? Il responsabile della protezione della vita privata presso il Ministero della Sicurezza interna (Department of Homeland Security Chief Privacy Officer) è tenuto per legge ad assicurare che tutti gli uffici di detto ministero trattino le informazioni personali in modo conforme alla normativa pertinente. Taleresponsabile è indipendente dalle direzioni facenti capo al ministero e le sueconclusioni sono vincolanti per il ministero stesso. Il responsabile ha compitidi supervisione del programma per assicurare che il CBP vi sia attengascrupolosamente e per verificare che siano poste in atto adeguate misure disalvaguardia. 9. Posso chiedere copia dei miei dati PNR raccolti dal CBP? Ogni passeggero può chiedere maggiori informazioni sui tipi di dati PNR trasmessi al CBP e può chiedere copia dei propri dati PNR contenuti nelle basi di dati del CBP. Conformemente a quanto consentito dalla legge sulla libertà di informazione (Freedom of Information Act) e da altri strumenti, regolamenti e prassi degli USA, il CBP prende in considerazione la richiesta di un passeggero relativa a documenti, compresi i documenti PNR in suo possesso, indipendentemente dalla nazionalità o dal paese di residenza del passeggero stesso. Il CBP può negare in certecircostanze o rinviare a data successiva la comunicazione, in toto o in parte,di una scheda PNR (ad esempio, se ci si può ragionevolmente aspettare che ciòinterferisca con un'indagine in corso o che ciò rischi di far conoscere le tecnichee le procedure usate nel corso di operazioni investigative). Qualora il CBP neghi l'accesso a dati PNR sulla base di una deroga in virtù della legge sulla libertà di informazione, avverso tale decisione è possibile presentare ricorso amministrativo presso il Chief Privacy Officer del Ministero dellaSicurezza interna, che è responsabile sia della tutela della privacy che dellapolitica di comunicazione di detto ministero. Una decisione amministrativafinale può essere impugnata giuridicamente in forza del diritto statunitense. 10. Posso chiedere che si apportino correzioni alla mia scheda PNR? Sì. I passeggeri possono chiedere di rettificare i loro dati PNR contenuti nella base di dati del CBP rivolgendosi ai funzionari indicati al successivo punto 12. Il CBP prenderà nota delle correzioni di cui accerti la fondatezza e che sianoadeguatamente comprovate. 11. Chi posso contattare negli USA per quanto concerne questo programma? Informazioni generali sui dati PNR o richieste di informazioni sui miei dati PNR Se desiderate informarvi sui dati PNR trasmessi al CBP o se volete avere accesso ai dati PNR che il CBP detiene in merito a voi, potete inviare una richiesta a: Freedom of Information Act (FOIA) Request, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C. 20229. Per ulterioriinformazioni relative alle procedure per formulare tale richiesta si rinvia a:section 19 Code of Federal Regulations, section 103.5 ( Domande, problemi e richieste di correzioni Se volete trasmettere una domanda su questioni che vi preoccupano, sollevare un problema o chiedere la correzione di dati PNR potete inviare tale domanda a: Assistant Commissioner, CBP Office of Field Operations, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C. 20229. Le decisioni prese dal CBP possono essere riesaminate dal Chief Privacy Officer of the Department of Homeland Security, Washington, DC 20528. Una domanda, un problema o una richiesta di correzione di dati PNR può anche essere deferita da un passeggero all'autorità preposta alla protezione dei dati (Data ProtectionAuthority - DPA) nel loro Stato membro dell'UE per ulteriore esame, ove opportuno. 12. A chi posso rivolgermi se il mio ricorso non è risolto? In caso di ricorso che non possa essere risolto dal CBP, il ricorso può essere indirizzato, per iscritto, al Chief Privacy Officer, Department of HomelandSecurity, Washington, DC 20528. Il Chief Privacy Officer riesamina la situazione e si adopera per risolvere il ricorso. Il Chief Privacy Officer è impegnato a trattare i ricorsi ricevuti dalle autorità preposte alla protezione dei dati degli Stati membri dell'Unione europea per conto di una persona residente nell'UE, nella misura in cui tale persona abbiaautorizzato il DPA ad agire a suo nome, con procedura d'urgenza. 13. A chi mi posso rivolgere per avere maggiori informazioni? Potete ottenere ulteriori informazioni sui trasferimenti di dati PNR verso gli USA mettendovi in contatto con l'autorità preposta alla protezione dei dati (DPA) del vostro paese. Per [NOME dello Stato membro dell'UE], l'autorità da contattare è la seguente: [Indicazione di punti di contatto della DPA in ciascuno Stato membro dell'UE] |