21.5.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 132/1

1.

Il 29 ottobre 2009 la Commissione ha adottato una proposta di regolamento del Parlamento europeo e del Consiglio in materia di inchieste e prevenzione di incidenti e inconvenienti nel settore dell’aviazione civile (3). Il regolamento proposto mira a sostituire la direttiva 94/56/CE del Consiglio che stabilisce i principi fondamentali in materia di inchieste su incidenti e inconvenienti nel settore dell’aviazione civile (4).

2.

Il Garante europeo della protezione dei dati (GEPD) non è stato consultato a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001. Il presente parere si basa quindi sull’articolo 41, paragrafo 2, di detto regolamento. Il GEPD raccomanda di includere nel preambolo della proposta un riferimento al presente parere.

3.

Come osservazione generale, pur rammaricandosi di non essere stato consultato a tempo debito, il GEPD rileva con soddisfazione che la proposta comprende gli aspetti inerenti alla protezione dei dati. Alcune disposizioni insistono sul fatto che le misure previste lasciano impregiudicata la direttiva 95/46/CE, e la riservatezza dei dati costituisce un aspetto importante della proposta.

4.

Il GEPD ha nondimeno individuato alcune lacune e ambiguità per quanto riguarda la protezione dei dati personali. Dopo una descrizione del contesto e degli antefatti della proposta nella parte II, si sviluppano osservazioni al riguardo nella parte III.

5.

Scopo della proposta è aggiornare la normativa esistente in materia di indagini in caso di incidenti aerei. Le norme precedenti, adottate quindici anni fa, non possono più adattarsi al nuovo mercato comune dell’aviazione, né alle conoscenze richieste da sistemi di bordo sempre più complessi. Anche le crescenti divergenze in materia di capacità investigativa degli Stati membri giustificano l’adozione di un nuovo quadro a sostegno della collaborazione e del coordinamento tra autorità investigative nazionali.

6.

La proposta si concentra quindi sull’istituzione di una Rete delle autorità investigative sulla sicurezza nel settore dell’aviazione civile per favorire una cooperazione più strutturata. Prevede inoltre norme vincolanti le cui finalità principali sono definire i rispettivi diritti e obblighi delle autorità investigative nazionali e dell’Agenzia europea per la sicurezza aerea (AESA), garantire la protezione delle informazioni sensibili e stabilire criteri uniformi sotto il profilo dell’elaborazione delle raccomandazioni in materia di sicurezza.

7.

Il GEPD non ha rilievi da fare sull’obiettivo generale della proposta e sostiene pienamente l’iniziativa, che mira a migliorare l’efficienza delle inchieste e prevenire così il verificarsi di incidenti aeronautici in futuro. Le osservazioni riportate di seguito riguardano gli aspetti della proposta che incidono sulla protezione dei dati personali, compreso, in particolare, il trattamento dei dati contenuti negli elenchi dei passeggeri e dei dati riguardanti le vittime, le loro famiglie, i testimoni e il personale di bordo nelle diverse fasi dell’inchiesta e nell’ambito dello scambio di informazioni tra autorità investigative.

8.

Il considerando 3 e l’articolo 1 ribadiscono la limitazione già dichiarata nella relazione sulla proposta, ovvero che l’unico obiettivo delle inchieste sulla sicurezza è prevenire futuri incidenti e inconvenienti e non imputare colpe o responsabilità. Il GEPD accoglie con favore questa precisazione, conforme al principio di limitazione delle finalità di cui all’articolo 4 del regolamento (CE) n. 45/2001 e all’articolo 6 della direttiva 95/46/CE. Secondo tali disposizioni, i dati personali devono essere trattati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità.

9.

Sebbene questa limitazione delle finalità sia espressamente indicata all’inizio della proposta, è importante garantire che il principio non sia privato della sua sostanza da eventuali deroghe, come discusso nei punti da III.4 a III.6.

10.

Il GEPD fa notare che, oltre alla finalità principale di rafforzare la sicurezza aerea, la proposta di regolamento prevede anche la raccolta di dati personali nel contesto dell’assistenza alle vittime e alle loro famiglie (articolo 23). Il GEPD non rileva problemi di compatibilità tra questa finalità e quella delle inchieste sulla sicurezza. L’articolo 1 può tuttavia essere integrato in modo da rispecchiare entrambi gli aspetti del regolamento.

11.

La proposta descrive in modo dettagliato l’ampia serie di informazioni alle quali possono accedere i responsabili delle inchieste. Segnatamente, sono compresi i dati personali contenuti nei registratori di volo e qualsiasi altra registrazione, i risultati degli esami effettuati sui corpi delle vittime o su persone coinvolte nell’impiego dell’aeromobile e le dichiarazioni dei testimoni, ai quali può essere chiesto di presentare informazioni o prove pertinenti.

12.

Le suddette informazioni sono messe a disposizione dell’investigatore incaricato, nonché dei suoi esperti e consulenti e di quelli dei rappresentanti accreditati, sulla base del principio della necessità di conoscere. Anche l’AESA ha diritto ad accedere ad alcune di queste informazioni allorché partecipa all’inchiesta sotto il controllo dell’investigatore incaricato, salvo alcune eccezioni, compreso il caso in cui i testimoni non autorizzano la diffusione delle loro dichiarazioni.

13.

La proposta prevede inoltre le condizioni alle quali viene messo a disposizione l’elenco dei passeggeri. La finalità in questo caso non riguarda soltanto la conduzione dell’inchiesta, ma anche la necessità di contattare le famiglie e le unità mediche.

14.

Il GEPD si compiace del livello di dettaglio previsto dalla proposta per quanto riguarda le condizioni per la raccolta di dati personali in funzione della finalità perseguita, che è conforme al principio della necessità (5) di cui alla normativa in materia di protezione dei dati.

15.

Il GEPD comprende la necessità di raccogliere un’ampia serie di informazioni, inclusi dati personali, come sopra specificato, ma rileva che si devono prevedere regole rigorose in materia di conservazione e di diffusione di tali dati.

16.

Per quanto riguarda la conservazione, la proposta prevede, all’articolo 14, la necessità di proteggere i documenti, il materiale e le registrazioni per ovvi motivi legati alla conduzione dell’inchiesta. La proposta tuttavia non contiene alcuna disposizione relativa al periodo di conservazione di tali informazioni. Secondo i principi della protezione dei dati (6), i dati personali devono essere conservati «in modo da consentire l’identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono raccolti o successivamente trattati». Di conseguenza, in linea di principio i dati personali devono essere cancellati contestualmente alla conclusione dell’inchiesta, o conservati in una forma che li renda anonimi qualora non sia possibile provvedere alla loro completa cancellazione (7). Nel caso in cui si conservino dati identificabili per un periodo più lungo, occorre fornire una motivazione e indicare criteri che permettano di identificare i soggetti autorizzati a conservarli. Si dovrebbe inserire nella proposta una disposizione in tal senso, applicabile orizzontalmente a tutte le informazioni personali oggetto di scambi nell’ambito della rete.

17.

Sebbene la proposta si basi sul principio secondo cui le informazioni personali devono essere utilizzate esclusivamente ai fini dell’inchiesta e soltanto dalle autorità responsabili della stessa, il testo prevede alcune ampie deroghe (8).

18.

Tali deroghe riguardano le dichiarazioni dei testimoni, che possono essere messe a disposizione o utilizzate per scopi diversi dalle inchieste sulla sicurezza se il testimone ne autorizza la diffusione [articolo 15, paragrafo 1, lettera a)]. Il GEPD rammenta che il consenso del testimone deve essere libero, specifico e informato, e l’ulteriore uso delle informazioni non deve avvenire per scopi incompatibili con le inchieste sulla sicurezza. Se queste condizioni non sono rispettate, il consenso non può essere usato come base per l’ulteriore uso dei dati personali. Questa osservazione vale anche per quanto riguarda l’uso del consenso in deroga al principio di limitazione delle finalità nel caso delle registrazioni (articolo 16).

19.

L’articolo 15 della proposta prevede inoltre una deroga di ampia portata, che si applica a qualunque tipo di informazioni sensibili in materia di sicurezza (9). Tali informazioni, che in linea di principio godono di una protezione specifica contro gli abusi, possono comunque essere comunicate per scopi diversi dalle inchieste sulla sicurezza, se l’autorità competente per l’amministrazione della giustizia di uno Stato membro lo decide in considerazione di un prevalente interesse pubblico e del bilanciamento tra i vantaggi derivanti dalla comunicazione e l’impatto negativo nazionale e internazionale che tale decisione può avere sulle inchieste e sulla gestione della sicurezza dell’aviazione civile. Secondo il GEPD, questa deroga non garantisce una sufficiente certezza del diritto. In particolare, il concetto di «autorità competente per l’amministrazione della giustizia» può essere fonte di ambiguità. Una decisione amministrativa di un organo governativo (per esempio il ministero della Giustizia) non godrebbe della stessa legittimità di una decisione adottata da un autorità giurisdizionale in un caso specifico. Si dovrebbero stabilire condizioni rigorose anche nel caso di una decisione adottata da un tribunale: oltre al fatto che lo scopo deve essere autorizzato dalla legge e che sussista un prevalente interesse pubblico (10), occorre tenere conto degli interessi e dei diritti fondamentali delle persone interessate. In particolare, il fatto che le informazioni personali fornite da una persona nell’ambito di un’inchiesta sulla sicurezza potrebbero essere utilizzate contro la stessa in occasione di un procedimento giudiziario può influire sulla legittimità del trattamento di tali informazioni. Il GEPD chiede una precisazione di questa deroga e una procedura dettagliata che preveda salvaguardie più rigorose per quanto riguarda la protezione dei diritti fondamentali delle persone interessate.

20.

Chiede inoltre la definizione di un tipo di informazioni sensibili in materia di sicurezza menzionato in detto articolo, cioè le informazioni di «tipo particolarmente sensibile e privato». La direttiva 95/46/CE prevede una definizione di dati sensibili, ma non è chiaro se la proposta faccia riferimento a tale definizione. Se l’obiettivo è comprendere e andare oltre i dati sensibili definiti nella direttiva 95/46/CE, una formulazione più appropriata potrebbe fare riferimento a informazioni di tipo particolarmente intimo e privato, compresi i dati sensibili ai sensi della direttiva 95/46/CE, nonché ad altri esempi di dati personali elencati nella definizione. Questa precisazione dovrebbe essere inserita nell’articolo 2 (definizioni), o nell’articolo 15 della proposta.

21.

In linea di principio le registrazioni godono di una protezione analoga, ma in alcuni casi possono essere messe a disposizione o utilizzate per scopi diversi, compreso l’uso a fini di aeronavigabilità o di manutenzione, se tali registrazioni sono rese anonime o se sono divulgate in condizioni di riservatezza. Queste eccezioni sono alternative, non cumulative. Il GEPD si chiede perché le registrazioni non debbano di regola essere private di dati identificativi, vale a dire rese anonime (11): la necessità del trattamento di dati personali identificabili a fini di aeronovigabilità o di manutenzione dovrebbe essere motivata. Inoltre la terza eccezione, che autorizza la diffusione in condizioni di riservatezza, è troppo vaga e non è proporzionata. Se non si specificano le finalità legittime, questa eccezione dovrebbe essere eliminata.

22.

Lo stesso principio di anonimizzazione dovrebbe applicarsi automaticamente alla comunicazione di informazioni di cui agli articoli 8, 17 e 18 della proposta, relativi alla rete e alla comunicazione di informazioni. In questo spirito il GEPD si compiace dell’obbligo di osservare il segreto professionale e dell’obbligo di comunicare alle parti interessate soltanto le informazioni pertinenti. Approva altresì il principio di cui all’articolo 19, paragrafo 2, secondo il quale la relazione di inchiesta garantisce l’anonimato delle persone coinvolte nell’incidente o nell’inconveniente.

23.

Infine, sono previste condizioni anche per la pubblicazione dell’elenco dei passeggeri. Il principio è che l’elenco può essere reso pubblico soltanto dopo che tutte le famiglie dei passeggeri sono state informate, e gli Stati membri possono decidere di tenere l’elenco riservato. A parere del GEPD, il principio andrebbe invertito. In linea di principio l’elenco andrebbe tenuto riservato, ma gli Stati membri dovrebbero poter decidere di pubblicarlo, in casi specifici e per motivi legittimi, dopo aver informato tutte le famiglie e avere ottenuto il loro consenso alla pubblicazione del nome dei familiari. Il GEPD raccomanda di modificare in tal senso l’articolo 22, paragrafo 3.

24.

Uno degli scopi principali della proposta di regolamento è l’istituzione di una rete che permetta lo scambio di informazioni ed esperienze tra le autorità investigative. Secondo l’articolo 8, paragrafo 6, della proposta, le autorità investigative sulla sicurezza che partecipano ai lavori della rete scambiano tutte le informazioni di cui dispongono nel contesto dell’applicazione del regolamento e adottano tutte le misure necessarie per garantire l'appropriato riserbo su tali informazioni, in conformità della vigente legislazione nazionale o comunitaria.

25.

Il GEPD accoglie con favore le misure previste per quanto riguarda la riservatezza delle informazioni, soprattutto l’obbligo di non divulgare informazioni che la Commissione considera riservate. Per quanto riguarda le informazioni personali elaborate nell’ambito della rete delle autorità, il GEPD ritiene che le suddette salvaguardie dovrebbero essere integrate da un obbligo di garantire l’accuratezza dei dati e la loro eventuale correzione e cancellazione sincronizzata da parte di tutti i membri della rete che trattano tali dati personali.

26.

Si dovrebbe chiarire il ruolo del repertorio di cui all’articolo 15, paragrafo 3, in relazione con la circolazione di informazioni nell’ambito della rete. In particolare, occorre precisare, come già comunicato al GEPD a livello informale, che il repertorio centrale non è collegato in alcun modo alla rete e non contiene dati personali. Al riguardo il GEPD rileva che informazioni quali il numero del volo possono permettere l’identificazione indiretta di persone coinvolte in incidenti o inconvenienti aerei. Come minimo il regolamento dovrebbe specificare che le informazioni conservate nel repertorio non possono essere utilizzate per rintracciare persone coinvolte in incidenti o inconvenienti aerei.

27.

Il GEPD prende atto del fatto che osservatori ed esperti, che potrebbero comprendere rappresentanti di compagnie aeree o di produttori di aeromobili, possono essere invitati a partecipare alla rete. Tali osservatori ed esperti avrebbero accesso allo stesso tipo di informazioni a disposizione dei membri della rete, salvo i casi specifici in cui la Commissione decide che le informazioni sono riservate e che l’accesso alle stesse deve essere limitato. Se tali dati non sono considerati riservati, questa disposizione può permettere a terzi di accedere a dati personali riguardanti, per esempio, le vittime o i testimoni. Secondo il GEPD, nel contesto della proposta i dati personali dovrebbero sempre essere considerati riservati. In caso contrario, l’accesso a dati personali da parte di terzi deve essere limitato.

28.

Ciò è tanto più importante se gli esperti o gli osservatori rappresentano paesi terzi o se l’inchiesta è condotta con investigatori di paesi terzi che non garantiscono un livello adeguato di protezione. Si potrebbe inserire nella proposta una disposizione per rammentare che i dati personali non possono essere trasferiti a rappresentanti di paesi terzi che non garantiscono un livello adeguato di protezione, a meno che non siano rispettate determinate condizioni (12). Ciò vale, in particolare, per l’articolo 8 relativo alla Rete e l’articolo 18 relativo alle condizioni per la comunicazione di informazioni.

29.

Queste osservazioni ribadiscono la necessità di un principio generale secondo il quale i dati personali sono resi anonimi in una fase precoce del processo, non appena l’identificazione non è più necessaria ai fini dell’inchiesta, come già indicato al punto III.3.

30.

Il GEPD prende atto del fatto che la Commissione e l’AESA sono coinvolte nei lavori della rete (articoli 7 e 8) e in certa misura avranno diritto a partecipare alle inchieste sulla sicurezza (articolo 9). Il GEPD rammenta che il trattamento di dati personali da parte di detti organismi è soggetto al rispetto del regolamento (CE) n. 45/2001 e al controllo del GEPD. Si dovrebbe inserire nel regolamento una disposizione al riguardo.

31.

Il GEPD chiede di specificare in quale misura la rete sarà gestita dalla Commissione e tramite l’infrastruttura tecnica dell’Unione europea. Qualora lo scopo sia usare una rete già esistente, eventuali programmi intesi a garantire l’interoperabilità con le banche dati esistenti devono essere specificati e motivati. Il GEPD sottolinea la necessità di creare una rete sicura, alla quale possano accedere soltanto i legittimi interessati ai fini descritti nella proposta. I rispettivi ruoli e responsabilità della Commissione e dell’AESA (13), e di eventuali altri organismi dell’Unione coinvolti nella gestione della rete, devono essere precisati nel testo per motivi di certezza del diritto.

32.

Il GEPD si compiace del fatto che il regolamento si applichi espressamente senza pregiudicare la direttiva 95/46/CE e che, di conseguenza, in certa misura tenga conto dei principi relativi alla protezione dei dati. Considerando il contesto nel quale vengono elaborati i dati personali, ritiene tuttavia necessario inserire disposizioni specifiche al fine di garantire un corretto trattamento di tali dati.

33.

Ciò è tanto più necessario se si tiene conto delle circostanze in cui vengono elaborati tali dati: per la maggior parte si tratterà di persone direttamente o indirettamente coinvolte in un incidente grave e/o che hanno perso un familiare. È dunque evidente la necessità di garantire una tutela efficace dei loro diritti e di limitare rigorosamente il trasferimento e la pubblicazione dei dati personali.

34.

Considerando che la finalità della proposta è agevolare la conduzione di inchieste su incidenti o inconvenienti e che i dati personali sono rilevanti soltanto ai fini dell’inchiesta, in linea di principio tali dati dovrebbero essere cancellati o resi anonimi quanto prima possibile, non soltanto in sede di relazione finale. Per garantire che ciò avvenga è necessario inserire una disposizione orizzontale nel regolamento.

35.

Il GEPD raccomanda inoltre di: