COMMISSIONE EUROPEA
Bruxelles, 27.9.2019
COM(2019) 420 final
ALLEGATO
della
Raccomandazione
di
DECISIONE DEL CONSIGLIO
che autorizza l'avvio di negoziati per la conclusione di un accordo tra l'Unione europea e il Giappone sul trasferimento e sull'uso dei dati del codice di prenotazione (Passenger Name Record, PNR) al fine di prevenire e combattere il terrorismo e altri reati gravi di natura transnazionale
ALLEGATO
Direttive di negoziato per un accordo tra l'Unione europea e il Giappone sul trasferimento e sull'uso dei dati del codice di prenotazione (Passenger Name Record, PNR) al fine di prevenire e combattere il terrorismo e altri reati gravi di natura transnazionale
Nel corso dei negoziati la Commissione europea dovrebbe cercare di conseguire gli obiettivi esposti dettagliatamente qui di seguito.
(1)L'obiettivo dell'accordo dovrebbe essere quello di definire la base giuridica, le condizioni e le garanzie per il trasferimento dei dati PNR al Giappone.
(2)L'accordo dovrebbe tenere debitamente conto della necessità e dell'importanza dell'uso dei dati PNR nella prevenzione e nella lotta contro il terrorismo e altri reati gravi di natura transnazionale.
(3)A tal fine, l'obiettivo del presente accordo dovrebbe essere quello di regolamentare il trasferimento e l'uso dei dati PNR al solo scopo di prevenire e combattere il terrorismo e altri reati gravi di natura transnazionale, nel pieno rispetto della tutela della vita privata, dei dati personali e dei diritti e delle libertà fondamentali delle persone alle condizioni da stabilire nell'accordo.
(4)L'accordo dovrebbe altresì riconoscere il trasferimento dei dati PNR al Giappone come elemento di promozione della cooperazione giudiziaria e di polizia, che sarà realizzata attraverso il trasferimento di informazioni analitiche provenienti dai dati PNR. L'accordo dovrebbe pertanto garantire il trasferimento di informazioni analitiche provenienti dalle autorità competenti del Giappone alle autorità di polizia e giudiziarie degli Stati membri, nonché a Europol ed Eurojust nell'ambito delle rispettive competenze.
(5)Per garantire il rispetto del principio della limitazione delle finalità, l'accordo dovrebbe limitare il trattamento dei dati PNR esclusivamente alla prevenzione, all'accertamento, all'indagine o all'azione penale in materia di terrorismo e di altri reati gravi di natura transnazionale, sulla base delle definizioni contenute nei pertinenti strumenti dell'UE.
(6)L'accordo dovrebbe assicurare il pieno rispetto dei diritti e delle libertà fondamentali sanciti dall'articolo 6 del trattato sull'Unione europea, in particolare il diritto alla protezione dei dati di carattere personale sancito dall'articolo 16 del trattato sul funzionamento dell'Unione europea e dall'articolo 8 della Carta dei diritti fondamentali dell'UE. Dovrebbe inoltre garantire il pieno rispetto dei principi di necessità e proporzionalità per quanto riguarda il diritto alla vita privata e familiare e la protezione dei dati di carattere personale ai sensi degli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea, come interpretato dalla Corte di giustizia nel suo parere 1/15 sul previsto accordo PNR tra l'UE e il Canada.
(7)L'accordo dovrebbe garantire la certezza del diritto, in particolare per i vettori aerei, fornendo loro una base giuridica per il trasferimento dei dati PNR contenuti nei loro sistemi automatizzati di prenotazione e di controllo delle partenze.
(8)L'accordo dovrebbe definire chiaramente e precisamente le salvaguardie e i controlli necessari per la protezione dei dati personali, dei diritti e delle libertà fondamentali delle persone, indipendentemente dalla nazionalità e dal luogo di residenza, nel contesto del trasferimento dei dati PNR al Giappone. Tali salvaguardie dovrebbero assicurare quanto segue:
(a)Le categorie di dati PNR da trasferire dovrebbero essere specificate in modo esaustivo e in modo chiaro e preciso, in linea con le norme internazionali. I trasferimenti di dati dovrebbero essere limitati al minimo necessario e proporzionati allo scopo specifico dell'accordo.
(b)I dati sensibili ai sensi del diritto dell'UE, compresi i dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché riguardanti la salute e la vita o l'orientamento sessuale di una persona, non dovrebbero essere trattati.
(c)L'accordo dovrebbe includere disposizioni in materia di sicurezza dei dati, in particolare consentendo l'accesso ai dati PNR soltanto a un numero limitato di persone specificamente autorizzate e prevedendo l'obbligo di notificare senza indugio alle autorità europee di controllo della protezione dei dati ogni violazione della sicurezza dei dati che riguardi i dati PNR, a meno che sia improbabile che la violazione in questione presenti un rischio per i diritti e le libertà delle persone fisiche, nonché facendo riferimento a sanzioni efficaci e dissuasive.
(d)L'accordo dovrebbe contenere disposizioni per fornire ai passeggeri informazioni adeguate e trasparenti in relazione al trattamento dei loro dati PNR, nonché per garantire loro il diritto di notifica individuale in caso di utilizzo dopo l'arrivo, accesso e, se del caso, rettifica e cancellazione.
(e)L'accordo dovrebbe garantire diritti di ricorso effettivo in sede amministrativa e giudiziaria su una base non discriminatoria, indipendentemente dalla nazionalità o dal luogo di residenza, per le persone i cui dati sono trattati secondo quanto stabilito dall'accordo, in linea con l'articolo 47 della Carta dei diritti fondamentali dell'UE.
(f)L'accordo dovrebbe garantire che il trattamento automatizzato si basi su criteri prestabiliti specifici, obiettivi, non discriminatori e affidabili, e che non sia utilizzato come base esclusiva per decisioni che comportino conseguenze giuridiche negative per l'interessato o lo danneggino in modo significativo. I dati PNR andrebbero messi a confronto soltanto con banche dati pertinenti ai fini previsti dall'accordo, affidabili e aggiornate.
(g)L'uso dei dati PNR da parte dell'autorità competente giapponese al di là dei controlli di sicurezza e dei controlli di frontiera dovrebbe basarsi su nuove circostanze ed essere soggetto a condizioni sostanziali e procedurali basate su criteri oggettivi. In particolare, tale uso dovrebbe essere soggetto a un controllo preventivo effettuato da un giudice o da un organo amministrativo indipendente, salvo in casi di urgenza debitamente accertata.
(h)Il periodo di conservazione dei dati PNR dovrebbe essere limitato e non essere superiore a quanto necessario per l'obiettivo originario perseguito. La conservazione dei dati PNR dopo la partenza dal Giappone dei passeggeri del trasporto aereo dovrebbe essere conforme ai requisiti stabiliti nella giurisprudenza della Corte di giustizia. L'accordo dovrebbe prevedere che, allo scadere del periodo di conservazione, i dati siano cancellati oppure resi anonimi in modo tale che la persona interessata non sia più identificabile.
(i)L'accordo dovrebbe garantire che l'ulteriore divulgazione dei dati PNR ad altre autorità pubbliche all'interno dello stesso paese o in altri paesi possa avvenire solo secondo determinate condizioni e garanzie e sia valutata caso per caso. In particolare, la divulgazione può avvenire solo se l'autorità ricevente esercita funzioni connesse alla lotta al terrorismo o a reati gravi di natura transnazionale e garantisce le stesse tutele stabilite dall'accordo. I trasferimenti successivi alle autorità competenti di altri paesi terzi dovrebbero essere limitati ai paesi con i quali l'UE ha stipulato un accordo PNR equivalente o per i quali l'UE ha adottato una decisione di adeguatezza ai sensi del diritto dell'UE in materia di protezione dei dati che include le autorità cui sono destinati i dati PNR.
(9)L'accordo dovrebbe garantire un sistema di vigilanza da parte di un'autorità pubblica indipendente responsabile della protezione dei dati e dotata di poteri effettivi di indagine, intervento e applicazione tali da poter esercitare un controllo sulle autorità pubbliche che utilizzano i dati PNR. Tale autorità indipendente dovrebbe essere competente a trattare i reclami di singoli individui, in particolare per quanto riguarda il trattamento dei loro dati PNR. Le autorità pubbliche che usano i dati PNR devono rispondere del rispetto delle regole in materia di protezione dei dati personali previste dall'accordo.
(10)L'accordo dovrebbe prevedere che i dati siano trasferiti esclusivamente sulla base di un sistema "push".
(11)L'accordo dovrebbe garantire che la frequenza e il calendario delle trasmissioni dei dati PNR non creino un onere eccessivo per i vettori e che si limitino a quanto strettamente necessario.
(12)L'accordo dovrebbe garantire che i vettori non siano tenuti a raccogliere dati supplementari rispetto a quelli che raccolgono già o a raccogliere determinati tipi di dati, bensì soltanto a trasmettere i dati che raccolgono già nell'ambito della loro attività.
(13)L'accordo dovrebbe includere disposizioni per un riesame periodico comune di tutti gli aspetti dell'attuazione dell'accordo, compresi l'affidabilità e l'aggiornamento dei modelli e dei criteri prestabiliti e delle banche dati, e comprendente una valutazione della proporzionalità dei dati conservati basata sul loro valore ai fini della prevenzione e della lotta al terrorismo e ad altri reati gravi di natura transnazionale.
(14)L'accordo dovrebbe prevedere un meccanismo di risoluzione delle controversie per quanto riguarda l'interpretazione, l'applicazione e l'attuazione dell'accordo stesso.
(15)L'accordo dovrebbe essere concluso per un periodo di 7 anni e dovrebbe comprendere una disposizione che preveda la possibilità di prorogarlo per un periodo di tempo analogo a meno che una delle parti vi ponga termine.
(16)L'accordo dovrebbe comprendere una clausola relativa alla sua applicazione territoriale.
(17)L'accordo dovrebbe fare fede nelle lingue bulgara, ceca, croata, danese, estone, finlandese, francese, greca, inglese, italiana, lettone, lituana, maltese, neerlandese, polacca, portoghese, rumena, slovacca, slovena, spagnola, svedese, tedesca e ungherese, e dovrebbe comprendere una clausola linguistica a tale scopo.