GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29

Parere 9/2006 - WP127
sull'attuazione della direttiva 2004/82/CE del Consiglio concernente l'obbligo dei vettori di comunicare i dati relativi alle persone trasportate
adottato il 28 settembre 2006

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995

visti l'articolo 29 e l'articolo 30, paragrafo 1, lettera a), e paragrafo 3 della suddetta direttiva e l'articolo 15, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002,

visto il suo regolamento interno, in particolare gli articoli 12 e 14,

Il 29 aprile 2004 il Consiglio ha adottato la direttiva 2004/82/CE concernente l'obbligo dei vettori di comunicare anticipatamente i dati relativi alle persone trasportate su richiesta delle autorità responsabili dei controlli alle frontiere esterne dell'Unione europea. La direttiva è complementare alle disposizioni della convenzione Schengen, poiché anche queste ultime sono finalizzate a controllare i flussi migratori e a combattere l'immigrazione illegale. La direttiva avrebbe dovuto essere recepita nel diritto interno degli Stati membri dell'Unione europea entro il 5 settembre 2006.

Il Gruppo di lavoro Articolo 29 constata che diversi Stati membri non hanno rispettato questa scadenza e che la normativa nazionale che dovrebbe recepire la direttiva è ancora in fase di esame. Non si sa ancora se tutti gli Stati membri attueranno la direttiva entro la fine del 2006. Altri Stati membri potrebbero avere la necessità di definire misure pratiche necessarie per la sua attuazione.

Va sottolineato che nell'interesse non soltanto dei passeggeri, ma anche dei vettori la direttiva dovrebbe essere attuata il più rapidamente possibile in modo uniforme e armonizzato, per evitare che esistano normative divergenti in seno all'Unione europea.

Tutte le persone imbarcate su voli diretti nell'Unione europea dovrebbero beneficiare dello stesso trattamento e degli stessi diritti. Occorre evitare di sottoporre i passeggeri ad un trattamento differenziato.

Il Gruppo di lavoro ritiene inoltre che le disposizioni della direttiva dovrebbero essere interpretate e applicate rispettando il diritto alla vita privata, in piena osservanza dei principi sulla protezione dei dati previsti nella direttiva 95/46/CE, e considerando che la protezione dei dati è un diritto fondamentale di tutti da un capo all'altro dell'Unione europea.

Tenendo conto di questo obiettivo, il Gruppo di lavoro ha ritenuto opportuno adottare alcuni orientamenti per l'interpretazione e l'attuazione della direttiva che potrebbero aiutare gli Stati membri a recepirne le disposizioni e ad elaborare meccanismi operativi.

Il Gruppo di lavoro Articolo 29 è perfettamente consapevole della crescente importanza attribuita in tutto il mondo all'uso dei dati API (informazioni preventive sui passeggeri) per il controllo dei passeggeri. Rammenta inoltre il parere¹ espresso precedentemente secondo cui a medio e lungo termine sarà necessario elaborare un metodo più coerente per lo scambio dei dati sui passeggeri per garantire la sicurezza del traffico aereo, la lotta contro l'immigrazione illegale e il rispetto dei diritti umani su scala mondiale.

1) Limitazione delle finalità

1a) Finalità del trattamento: l'obiettivo della raccolta dei dati è indicato chiaramente all'articolo 1, paragrafo 1, della direttiva: migliorare i controlli alle frontiere e combattere l'immigrazione illegale. A tal fine, le "competenti autorità nazionali" possono ricevere dai vettori i dati indicati all'articolo 3, paragrafo 2, della direttiva.

Il Gruppo di lavoro rammenta che è essenziale che l'attuazione della direttiva rispetti il principio della limitazione delle finalità. Pertanto, gli obiettivi del trattamento in questione devono essere indicati chiaramente nella normativa nazionale e devono essere limitati a quanto previsto all'articolo summenzionato della direttiva.

1b) Deroga per "finalità di applicazione normativa": a norma dell'articolo 6, paragrafo 1, ultimo comma, della direttiva e in deroga al principio summenzionato, i dati possono essere usati anche per "finalità di applicazione normativa", in conformità con la legislazione nazionale degli Stati membri e fatte salve le disposizioni sulla protezione dei dati di cui alla direttiva 95/46/CE. La direttiva 2004/82/CE, tuttavia, non definisce tali finalità di applicazione normativa. Il Gruppo di lavoro giudica necessario che gli Stati membri applichino la deroga in maniera restrittiva, fissando in modo chiaro i casi specifici in cui è possibile servirsi dei dati in questione per finalità di applicazione normativa. In particolare, il Gruppo di lavoro ritiene che si possa ammettere tale uso esclusivamente per l'investigazione di reati gravi, in casi specifici e con precise salvaguardie di protezione dei dati per prevenire un eventuale uso abusivo dei dati stessi. È indispensabile assicurare che i diritti relativi alla protezione dei dati siano garantiti anche quando questi vengono utilizzati da autorità diverse da quelle a cui erano originariamente destinati.

1c) Esclusivamente i voli diretti nell'Unione europea: occorre inoltre menzionare che la direttiva si riferisce solo ai voli diretti in uno Stato membro dell'Unione europea (vedere l'articolo 3, paragrafo 1) e non attribuisce agli Stati membri il diritto di raccogliere e trasmettere anticipatamente i dati sui passeggeri dei voli all'interno dell'Unione europea.

2) Portata della raccolta dei dati: minimizzazione, pertinenza, proporzionalità

2a) Categorie di dati previste dalla direttiva: la direttiva definisce chiaramente la portata dei dati che possono essere comunicati dai vettori aerei alle autorità nazionali competenti per le finalità menzionate sopra (articolo 3, paragrafo 2). Si tratta dei dati che vanno considerati necessari e sufficienti alla luce delle finalità della direttiva (miglioramento del controllo delle frontiere e lotta all'immigrazione illegale).

2b) Obblighi supplementari e/o categorie di dati, compresi i dati biometrici: il considerando 8 della direttiva prevede che gli Stati membri possano richiedere ai vettori di comunicare su richiesta ulteriori categorie di dati. Il considerando 9 menziona il possibile inserimento, tra le informazioni che i vettori sono tenuti a fornire, di "elementi biometrici", sulla base inoltre dell'"innovazione tecnologica"; in relazione a ciò, occorre sottolineare che la direttiva non fornisce alcuna definizione per gli elementi biometrici, lasciando alle autorità nazionali il compito di determinare quali elementi biometrici vadano trasmessi e quando tale trasmissione vada considerata tecnicamente possibile. Secondo il Gruppo di lavoro, la raccolta di elementi e dati supplementari, in particolare i dati sui biglietti di ritorno di cui al considerando 8, sarebbe eccessiva in relazione all'obiettivo perseguito; l'utilizzo dei dati biometrici sarebbe ancora più problematico in mancanza di disposizioni chiare sulle finalità per cui i dati sarebbero raccolti e trattati e sugli elementi biometrici considerati sia necessari che proporzionati per dette finalità (vedere le considerazioni sul trattamento dei dati biometrici nei documenti n. 80, n. 96, e n. 112 del Gruppo di lavoro).

2c) Contesto internazionale e norme specifiche del settore: è necessario che gli Stati membri tengano conto della portata dei dati che i vettori devono trasmettere conformemente alle norme internazionali fissate dagli organismi competenti come l'ICAO (International Civil Aviation Organisation), l’Organizzazione mondiale doganale e IATA (International Air Transport Association). Tali organismi hanno elaborato precise definizioni dei dati API per fissare norme armonizzate e pratiche uniformi. Dette norme sono state recentemente ribadite anche dalla Conferenza europea dell’aviazione civile (ECAC), che l'8 aprile 2006 ha adottato una dichiarazione di principi per i sistemi API di cui gli Stati membri sono invitati a tenere conto "nell'introdurre un sistema API". In particolare, viene chiaramente dichiarato che "per dati API si intendono i dati che appaiono nella zona a lettura ottica del documento di viaggio". Gli orientamenti raccomandano che i dati API non vadano al di là dei dati indicati negli orientamenti stessi. Il Gruppo di lavoro desidera sottolineare che gli Stati membri violerebbero la direttiva 95/46/CE se richiedessero tutti i dati sui passeggeri contenuti nei registri dei nomi dei passeggeri (PNR — Passenger Name Records) o negli elenchi di controllo delle partenze dei vettori aerei, dato che entrambi superano di gran lunga i dati menzionati dagli orientamenti e da altre norme internazionali pertinenti; occorre ricordare inoltre che i dati dei registri dei nomi dei passeggeri non sono necessari per il controllo delle frontiere.

3) Conservazione dei dati

Il Gruppo di lavoro desidera sottolineare che, come precisato dalla direttiva, i dati raccolti dalle autorità incaricate di effettuare i controlli alle frontiere esterne possono essere conservati per più di 24 ore solo qualora i dati siano necessari alle suddette autorità per l'esercizio delle loro funzioni regolamentari. La direttiva non precisa tuttavia per quanto tempo sia possibile conservare tali dati, quando vengano trasmessi a dette autorità conformemente alla deroga di cui all'articolo 6, paragrafo 1. Nei casi eccezionali rispetto alla regola secondo cui i dati non possono essere conservati per più di 24 ore, la conservazione per un periodo più lungo è possibile solo in casi specifici, ad esempio quando non si possa accertare l'identità dei viaggiatori o i passeggeri non dispongano dei documenti di viaggio appropriati. Gli Stati membri devono provvedere affinché i dati non siano conservati oltre il tempo assolutamente necessario per detti scopi specifici.

4) Informazione delle persone interessate

L'articolo 6, paragrafo 2, della direttiva prevede che i vettori aerei informino i passeggeri in conformità con la direttiva 95/46/CE. Il Gruppo di lavoro Articolo 29 sottolinea in proposito di aver adottato in data 30 settembre 2004 il Parere 97, relativo alle informazioni da fornire ai passeggeri sulla trasmissione dei dati PNR dei voli tra l'Unione europea e gli Stati Uniti d'America, e in data 25 novembre 2004 il Parere 100, riguardante norme più armonizzate in materia di informazione. Entrambi i modelli possono essere utilizzati per informare i passeggeri in modo completo e trasparente. I vettori aerei sono invitati a tenere conto dei due modelli per rispettare pienamente gli obblighi stabiliti dalla direttiva 95/46/CE. Gli Stati membri devono provvedere affinché i passeggeri siano informati della possibile trasmissione ulteriore dei loro dati alle autorità di controllo per le finalità specifiche previste dalla legge nazionale, con un approccio il più possibile armonizzato.

Il Gruppo di lavoro Articolo 29 appoggia pienamente l'obiettivo di ridurre l'immigrazione illegale per mezzo di controlli più efficaci sui voli diretti nell'Unione europea, come previsto dalla direttiva 2004/82/CE del Consiglio. Il Gruppo di lavoro insiste tuttavia perché il recepimento di detta direttiva nell'ordinamento nazionale avvenga nel modo più armonizzato e coerente possibile, tenendo conto dei principi di protezione dei dati di cui alla direttiva 95/46/CE, che sono espressamente fatti salvi dalla direttiva del Consiglio in questione.

Per le ragioni menzionate, nel presente Parere il Gruppo di lavoro ha elaborato alcuni orientamenti di attuazione e interpretazione per contribuire a prevenire interpretazioni discordanti degli Stati membri che potrebbero sorgere a causa della mancanza di indicazioni dettagliate in alcune disposizioni della direttiva menzionata. Il Gruppo di lavoro invita i legislatori degli Stati membri e tutte le autorità nazionali competenti a tenere conto degli orientamenti nell'elaborazione e nell'applicazione della normativa nazionale di recepimento della direttiva.

Fatto a Bruxelles, 27 settembre 2006

Il Presidente
Peter Schaar