52003DC0826

COMUNICAZIONE DELLA COMMISSIONE AL CONSIGLIO E AL PARLAMENTO EUROPEO - Trasferimento di dati di identificazione delle pratiche (PNR): un approccio globale dell'UE

1. Introduzione e contesto

A seguito degli attacchi terroristici dell'11 settembre 2001, gli Stati Uniti hanno approvato, nel novembre 2001, una legislazione che esige dalle compagnie aeree che effettuano voli a destinazione o attraverso gli Stati Uniti di fornire alle dogane degli Stati Uniti l'accesso elettronico ai dati contenuti nei loro sistemi automatizzati di prenotazione e di partenza, noti come "Passanger Name Records (PNR, ossia codici di identificazione delle pratiche)". Pur riconoscendo i legittimi interessi in materia di sicurezza, la Commissione ha informato le autorità statunitensi, nel giugno 2002, che tali requisiti potrebbero entrare in conflitto con la legislazione comunitaria e degli Stati membri circa la protezione dei dati [1] e con alcune disposizioni del regolamento in materia di sistemi telematici di prenotazione (CRS) [2]. Le autorità statunitensi hanno ritardato l'entrata in vigore delle nuove disposizioni, ma non rinunciato all'imposizione di penali alle compagnie aeree che non le rispettassero dopo il 5 marzo 2003. Da allora, varie compagnie aeree dell'UE hanno consentito l'accesso ai loro dati PNR.

[1] Cfr., in particolare, la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, GU L 281 del 23.11.1995, pag. 31.

[2] Regolamento (CE n. 2299/89 del Consiglio, del 24 luglio 1989, relativo ad un codice di comportamento in materia di sistemi telematici di prenotazione, GU L 220 del 29.7.1989, pag. 1, modificato da ultimo dal regolamento (CE) n. 323/1999 del Consiglio dell'8 febbraio 1999, GU L 40 del 13.2.1999, pag. 1.

Il 18 febbraio 2003, la Commissione e l'amministrazione statunitense hanno rilasciato una dichiarazione comune in cui si è riaffermato il reciproco interesse a combattere il terrorismo, si sono definiti i requisiti iniziali di tutela dei dati convenuti con le dogane statunitensi e si è registrato l'accordo delle parti a continuare i negoziati al fine di consentire alla Commissione di adottare una decisione conformemente all'articolo 25, paragrafo 6, della direttiva 95/45/CE, relativa alla tutela dei dati, che riconosca come adeguata la protezione accordata ai dati trasmessi. Di conseguenza, i negoziati miravano a far sì che le modalità di utilizzazione e di protezione statunitensi dei dati PNR si avvicinassero alle norme europee.

Nel frattempo, altri paesi terzi, inclusi Canada e Australia, hanno chiesto o intendono chiedere l'accesso ai dati PNR. Alcuni Stati membri stanno inoltre esaminando la possibilità di utilizzare i dati PNR a fini di sicurezza in materia di aviazione e frontiere.

In due risoluzioni del 13 marzo 2003 [3] e del 9 ottobre 2003 [4] il Parlamento europeo ha invitato la Commissione a intraprendere una serie di azioni riguardo al trasferimento dei dati PNR agli Stati Uniti al fine di garantire che le preoccupazioni circa la protezione dei dati europei siano tenute nella dovuta considerazione.

[3] P5_TA(2003)0097

[4] P5_TA(2003)0429

La Commissione concorda con il Parlamento europeo sul fatto che sia urgente una soluzione ai problemi sollevati dai paesi terzi e, in particolare, dalle richieste statunitensi circa i dati PNR. Tale soluzione deve essere giuridicamente consistente e garantire non soltanto la tutela dei dati personali e della vita privata dei cittadini, ma anche la loro sicurezza fisica. Essa inoltre dovrà contemplare la necessità di combattere il terrorismo e il crimine organizzato internazionale e porre fine all'incertezza giuridica per le compagnie aeree - europee e non europee. Essa deve inoltre facilitare i viaggi legittimi. L'approccio europeo, peraltro, non può limitarsi a reagire alle iniziative di altri.

Alcuni Stati membri hanno anche espresso il loro interesse in accordi efficaci per migliorare la sicurezza dell'aviazione e delle frontiere. L'approccio dell'UE dovrà servire da base ad un'iniziativa per definire una soluzione multilaterale, che costituisce l'unico modo pratico di risolvere le problematiche connesse con i viaggi aerei internazionali.

La presente comunicazione illustra gli elementi di un approccio europeo globale ritenuto necessario dalla Commissione.

2. Principali componenti dell'approccio globale dell'UE

Un approccio esaustivo ed equilibrato alla gamma completa di problematiche sollevate in particolare dalla legislazione statunitense che esige il trasferimento dei dati PNR, ma anche in grado di soddisfare le esigenze più ampie illustrate in precedenza deve tener dovuto conto di tutte le seguenti considerazioni:

- lotta al terrorismo e al crimine internazionale,

- diritto alla vita privata e alla protezione dei diritti civili fondamentali,

- esigenza per le compagnie aeree di potere rispettare vari requisiti giuridici ad un costo accettabile,

- relazione UE-Stati Uniti più ampia,

- sicurezza e comodità dei passeggeri,

- aspetti in materia di sicurezza delle frontiere,

- portata effettivamente internazionale, se non mondiale, di tali aspetti.

Qualsiasi approccio unilaterale o che non contempli tutti questi aspetti nel loro complesso non potrà essere equilibrato e sostenibile. Parallelamente, la ricerca di una soluzione effettivamente esaustiva non deve ritardare od ostacolare una soluzione giuridica al problema degli attuali trasferimenti dei dati PNR agli Stati Uniti - per non menzionare la crescente pressione esercitata sulle compagnie aeree dell'UE che non consentono tuttora l'accesso degli Stati Uniti ai loro PNR.

L'approccio multiforme della Commissione consiste quindi nelle seguenti componenti principali:

a. Un quadro giuridico per i trasferimenti attuali dei PNR agli Stati Uniti. Tale quadro assumerà la forma di una decisione della Commissione conformemente all'articolo 25, paragrafo 6 della direttiva sulla tutela dei dati (95/46/CE) abbinata ad un accordo internazionale bilaterale "di massima".

b. Informazioni complete, accurate e tempestive destinate ai passeggeri. Per garantire che i passeggeri siano pienamente e accuratamente informati prima di acquistare i loro biglietti circa le utilizzazioni fatte dei loro dati PNR e possano dare il loro consenso al trasferimento, si è intrapreso uno sforzo concertato che ha coinvolto la Commissione, le compagnie aeree, gli agenti di viaggio, i sistemi telematici di prenotazione e le autorità preposte alla tutela dei dati ed eventualmente le autorità di paesi terzi interessati.

c. Sostituzione del metodo "pull" (accesso diretto alle basi dati delle compagnie aeree da parte delle autorità statunitensi) con un metodo "push", abbinato ad adeguati filtri. Le discussioni tecniche della Commissione con il settore sono già a buon punto. La Commissione raccomanderà la rapida applicazione di un sistema "push" nel quadro di una politica comunitaria in merito.

d. Lo sviluppo di una posizione dell'UE circa l'utilizzazione dei dati relativi ai passeggeri, inclusi i dati PNR, in materia di aviazione e di sicurezza delle frontiere.

e. La creazione di un quadro multilaterale per il trasferimento dei dati PNR nell'ambito dell'Organizzazione internazionale dell'aviazione (ICAO).

3. Elementi dell'approccio globale dell'UE in maggiori dettagli

3.1. Risultato delle discussioni UE/Stati Uniti circa il trasferimento di dati PNR

Nella dichiarazione congiunta del febbraio 2003, la Commissione e gli Stati Uniti si sono impegnati a collaborare per una soluzione circa il trasferimento di dati PNR che rispetti la legislazione di entrambe le parti. La dichiarazione congiunta ha previsto che la ricerca di una soluzione si concentrerà sull'ottenimento di informazioni e di migliori impegni da parte degli Stati Uniti, il che consentirebbe alla Commissione di adottare un accertamento del livello di "protezione adeguata" conformemente all'articolo 25, paragrafo 6, della direttiva "tutela dei dati".

In tali discussioni, la Commissione si è quindi prefissa di ottenere le migliore norme possibili di tutela dei dati personali trasferiti dall'UE e di integrarle in un contesto giuridico adeguato. Nel contempo, la Commissione ha cercato di tener conto degli altri obiettivi politici già menzionati (cooperare con gli Stati Uniti nella lotta contro il terrorismo e crimini associati, facilitare gli spostamenti legittimi e garantire condizioni di funzionamento eque e fattibili per le compagnie aeree dell'UE). Essa ha inoltre vegliato a non pregiudicare lo sviluppo di una politica comunitaria di utilizzazione di dati di passeggeri internazionali nell'interesse dell'aviazione e della sicurezza delle frontiere dell'UE, tenendo altresì conto che gli Stati membri, nelle loro legislazioni, possono concedere deroghe a certi requisiti di tutela dei dati, ove ciò fosse necessario per motivi di sicurezza nazionale o di rispetto della legge, conformemente all'articolo 13 della direttiva "tutela dei dati".

La Commissione ha chiesto alle autorità statunitensi interessate di sospendere l'applicazione dei loro provvedimenti fino alla creazione di un quadro giuridico sicuro per tali trasferimenti. Alla luce del rifiuto statunitense, l'opzione di insistere sull'applicazione della legge da parte dell'UE sarebbe stata politicamente motivata, ma non sarebbe servita a raggiungere gli obiettivi sopra illustrati, in quanto avrebbe minato l'influenza di orientamenti più moderati e cooperativi da parte di Washington e imposto un "tour de force" quando invece esiste un genuino vantaggio strategico dovuto alla cooperazione tra le parti. Tale approccio ha portato i suoi frutti; dall'inizio della fase di cooperazione di tali discussioni (dichiarazione congiunta del 18 febbraio 2003), sono stati realizzati progressi rilevanti verso il raggiungimento di tutti gli obiettivi sopra menzionati.

In particolare, la Commissione ha negoziato con il Bureau of Customs and Border Protection (CBP) statunitense l'introduzione di miglioramenti sostanziali negli accordi di tutela dei dati per i dati PNR trasferiti negli Stati Uniti. Tali accordi formano la base di un quadro giuridico sotto forma di una decisione della Commissione che le consente di esercitare i suoi poteri conformemente all'articolo 25, paragrafo 6, della direttiva 95/46/CE in combinazione con un accordo internazionale che autorizza le compagnie aeree a trattare i requisiti degli Stati Uniti come requisiti giuridici dell'UE [5] e che vincola gli Stati Uniti a concedere la reciprocità e a garantire un "processo legale giusto" (due process) ai cittadini dell'UE.

[5] Oltre alla questione della "protezione adeguata" di cui all'articolo 25 della direttiva, occorre anche affrontare aspetti giuridici in base agli articoli 4, 6 e 7 della direttiva. Una decisione di accertamento dell'adeguatezza della protezione si limita solo a questo. Di conseguenza l'accordo internazionale proposto è necessario per trattare altre questioni giuridiche.

Dall'inizio delle discussioni nel marzo 2003, la Commissione è stata in grado di ottenere i seguenti compromessi da parte degli Stati Uniti:

- Chiari limiti della quantità di dati da trasferire. Si tratta di dati che riguardano unicamente i voli a destinazione, attraverso o in provenienza degli Stati Uniti. In luogo di tutti i dati contenuti nei PNR, la richiesta degli Stati Uniti è ora limitata a una lista chiusa di 34 voci. Come regola generale nella pratica, la maggior parte dei PNR individuali consiste in 10-15 elementi al massimo, e gli Stati Uniti si sono impegnati di non chiedere alle compagnie aeree di raccogliere dati nei casi in cui uno qualsiasi dei 34 campi possa essere vuoto.

- Tutte le categorie di dati sensibili quali definiti all'articolo 8, paragrafo 1 della direttiva "tutela dei dati" [6] saranno soppresse. La Commissione ha ottenuto dagli Stati Uniti le garanzie necessarie affinché tutti i dati personali che rivelino l'origine razziale o etnica (ad esempio, preferenze alimentari), salute, ecc. saranno filtrati e soppressi.

[6] L'articolo 8 della direttiva fissa protezioni complementari per categorie speciali di dati. Esse sono definite all'articolo 8, paragrafo 1 come "dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché ... dati relativi alla salute e alla vita sessuale".

- Le utilizzazioni di cui i dati potrebbero formare oggetto sono state precisate e drasticamente ridotte. È stata finalmente accolta l'insistente richiesta della Commissione (e del Parlamento europeo) affinché le utilizzazioni fossero limitate al terrorismo e ai crimini connessi o meno al terrorismo, ad esclusione dei crimini "nazionali".

- Si è ottenuto un miglioramento significativo per quanto riguarda il periodo di memorizzazione dei dati. Da un periodo proposto inizialmente di 50 anni, gli Stati Uniti hanno convenuto di limitare il periodo a tre anni e mezzo. Tale periodo è connesso con la scadenza di tutto l'accordo dopo tre anni e mezzo. La durata del periodo di conservazione è quindi connessa con la durata dell'accordo.

- Il Congresso ha chiesto l'istituzione di un Chief Privacy Officer (CPO) presso il Department of Homeland Security (DHS) con il compito di riferire annualmente al Congresso e le cui conclusioni sono vincolanti per il DHS. Il CPO ha convenuto di ricevere e di trattare in modo rapido le rappresentanze delle autorità di protezione dei dati dell'UE per conto dei cittadini che ritengono che i loro ricorsi non siano stati risolti in modo soddisfacente dal DHS. I cittadini dell'UE hanno quindi una maggiore garanzia di un trattamento equo.

- Il CBP ha convenuto di partecipare, con una équipe dell'UE presieduta dalla Commissione, ad una revisione congiunta annuale dell'applicazione degli impegni assunti dagli Stati Uniti. Ciò fornirà un'opportunità inestimabile per osservare le pratiche degli Stati Uniti e verificare se tale paese agisce in conformità con gli impegni assunti. Il processo di revisione potrebbe inoltre essere la base di una futura cooperazione più stretta con gli Stati Uniti su tali aspetti.

Il "Department of Homeland Security" ha manifestato il suo interesse perché il sistema informatizzato di preselezione dei passeggeri (Computer Assisted Passenger Pre-Screening System o CAPPS II) della TSA (Transportation Security Administration) fosse contemplato dal quadro giuridico convenuto. La Commissione ha resistito con successo a tale pressione adducendo il motivo che essa può assumere una posizione unicamente dopo che i processi interni degli Stati Uniti sono stati completati e quando sia evidente che le preoccupazioni del Congresso in materia di "privacy" riguardo al CAPPS II siano state soddisfatte. La questione del CAPPS II sarà quindi affrontata soltanto in una seconda fase delle discussioni.

Inoltre, la Commissione ha proposto, e gli Stati Uniti sono stati d'accordo, che qualsiasi quadro giuridico debba essere limitato nel tempo e rinnovato soltanto se entrambe le parti sono d'accordo. La durata dell'accordo (accertamento dell'adeguatezza più accordo internazionale "di massima") è di tre anni e mezzo. Tale periodo crea le condizioni adeguate per un esame approfondito, alla luce delle esperienze con la sua applicazione e gli sviluppi intervenuti nel frattempo, che dovrebbe essere iniziato circa un anno prima della scadenza dell'accordo. Per allora, l'UE avrà sviluppato la sua propria politica circa l'utilizzazione dei dati PRN per finalità di trasporto e di sicurezza delle frontiere, mentre si sarà anche evoluto il dibattito statunitense circa la riservatezza dei dati. Infine, per allora potrebbe anche essere stato instaurato un quadro multilaterale.

La Commissione avvierà tra breve le procedure necessarie per l'adozione di una decisione ai sensi dell'articolo 25, paragrafo 6 della direttiva e per la conclusione di un accordo internazionale. Nell'ottica delle procedure fissate, la Commissione mira a completare tali processi nel marzo 2004, sebbene il calendario sarà realizzabile soltanto con la piena cooperazione di tutte le parti interessate.

3.2. Informazioni per i passeggeri

I servizi della Commissione hanno elaborato, sulla base delle informazioni fornite dalle autorità di tutela dei dati [7] e dal CBP degli Stati Uniti, un testo che viene attualmente trasmesso alle compagnie aeree, in particolare attraverso la IATA, come modello per le informazioni che tali compagnie e/o i loro agenti dovrebbero fornire ai passeggeri prima dell'acquisto di biglietti aerei per gli Stati Uniti. Si sta anche cercando di ottenere la cooperazione dei CRS per garantire la massima copertura delle vendite di biglietti, specialmente attraverso le agenzie di viaggi.

[7] Quantunque si siano chieste osservazioni dell'autorità di protezione dei dati e molte di esse siano state incorporate, il gruppo "Articolo 29" si è rifiutato di adottare o di approvare il testo, dato che i trasferimenti di dati PNR verso gli Stati Uniti sono in ogni caso illegali e niente dovrebbe oscurare tale fatto.

La fornitura di informazioni complete, corrette e tempestive è un requisito importante della tutela dei dati in generale e, più in particolare, nei casi in cui sia necessario un consenso. Quest'ultimo può essere considerato valido unicamente se la persona interessata dispone delle informazioni necessarie. La giurisprudenza e le migliori pratiche richiedono inoltre che, perché il consenso sia valido, la persona interessata abbia libera scelta.

Nella situazione attuale, il gruppo "Articolo 29" ha ritenuto, nel suo parere 6/2002 del 24 ottobre 2002, che il consenso non è affidabile e che la deroga al requisito di "livello di protezione adeguata" previsto all'articolo 26, paragrafo 1, lettera a) della direttiva ("la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto") non offre quindi una valida soluzione giuridica. La Commissione è d'accordo che una soluzione giuridica basata interamente sul consenso sarebbe insufficiente dal punto di vista della tutela dei dati, ma ritiene che le informazioni e una decisione consapevole da parte dei passeggeri sono nondimeno un elemento essenziale del pacchetto globale.

3.3. Sviluppo di un sistema "push" con filtri

L'introduzione di un sistema "push" basato su filtri è un altro elemento chiave di un approccio globale. Tali sistemi consentirebbero ai flussi di dati provenienti dalle compagnie aeree o dai sistemi di prenotazione e trasmessi alle autorità di sicurezza statunitensi di essere controllati nell'UE e, una volta raggiunto l'accordo sugli elementi dei dati, di limitare il trasferimento a quanto strettamente necessario per fini di sicurezza. La Commissione ritiene che il rapido sviluppo e l'introduzione di filtri e di tecnologie "push" siano necessari, ed anche il Parlamento, nella sua risoluzione del 9 ottobre, ha invitato la Commissione a "adottare le necessarie misure per facilitare l'attuazione di sistemi informatizzati basati su filtri".

I servizi della Commissione hanno intrattenuto dialoghi regolari con le compagnie aeree per parecchi mesi circa l'attuazione di tali sistemi, ed hanno anche consultato esperti tecnici di varie organizzazioni e imprese TI. Le compagnie aeree sono favorevoli all'idea di applicare sistemi informatizzati basati su filtri (cosiddetti sistemi "push"). I servizi della Commissione stanno analizzando le varie soluzioni tecniche possibili, inclusa la proposta austriaca cui fa riferimento la risoluzione del Parlamento europeo.

Il 13 novembre i servizi della Commissione hanno avuto una seconda riunione tecnica con gli esperti del settore e vari fornitori di tecnologia. È risultato che tali sistemi sono tecnicamente fattibili, ma non sono ancora chiare le migliori possibilità di applicazione o di supervisione. Alla riunione ci si è inoltre resi conto che l'applicazione di sistemi "push" non potrebbe da sola risolvere il problema; occorrerebbe anche installare filtri. Questi ultimi comportano spese rilevanti per le compagnie aeree, il che significa che sarebbe auspicabile un obbligo giuridico in modo da garantire che tutte le compagnie aeree fossero tenute a rispettare gli stessi requisiti. Le compagnie aeree inoltre hanno indicato una preferenza per un sistema centralizzato.

Sarebbe difficile prevedere di obbligare le compagnie aeree, comprese quelle statunitensi, ad adottare un sistema del genere, senza adottare un relativo obbligo giuridico. Attualmente non esistono legislazioni europee né politiche comunitarie che obbligano le compagnie aeree a trasferire dati PNR in tale modo. Un quadro possibile per l'istituzione di un tale sistema potrebbe essere rappresentato da una politica comunitaria riguardante la raccolta di dati PNR per fini di sicurezza e/o di immigrazione. Conformemente al calendario previsto per lo sviluppo di un quadro politico in questo contesto (cfr. sezione 3.4), sarebbe possibile definire il cammino da seguire per adottare i sistemi "push" con filtri per la metà del 2004.

3.4. Sviluppo di una posizione UE circa l'utilizzazione dei dati PNR

Le discussioni con i paesi terzi circa il trasferimento di dati PNR dovrebbero essere completate e, nei limiti del possibile, precedute dallo sviluppo di una politica dell'UE sull'utilizzazione più generale dei dati PNR e/o dei passeggeri nell'ambito dell'Unione. Tale politica dovrebbe essere equilibrata e tener conto di tutti gli interessi coinvolti, in particolare tra le problematiche legittime della sicurezza e la tutela dei diritti fondamentali, tra cui quello alla vita privata.

In questo contesto, il principio della "limitazione della finalità" convenuto con gli Stati Uniti sembra essere una valida base per portare avanti i lavori su un approccio dell'UE, che contempli la lotta contro il terrorismo, ma anche il crimine organizzato con implicazioni internazionali. L'elenco di elementi di dati sembra inoltre sufficientemente vasto per contemplare le esigenze di applicazione della legge nell'UE. Di conseguenza, sembra che non esista alcunché negli accordi conclusi con gli Stati Uniti che possa pregiudicare lo sviluppo di una politica comunitaria adeguata.

Come rilevato alla fine della sezione 3.3, esiste anche un collegamento possibile tra una futura politica dell'UE sull'utilizzazione di dati PNR o altri dati sui viaggiatori per fini di sicurezza e di applicazione della legge e lo sviluppo di un sistema "push" con filtri, specialmente se esso verrà istituito su base centralizzata. Una tale struttura centralizzata nell'ambito dell'UE potrebbe fornire le necessarie garanzie per quanto riguarda l'affidabilità (esattezza dei dati), la sicurezza (mezzi tecnologici, filtri) e la supervisione (ad esempio un comitato di supervisione congiunto) nonché offrire un valore aggiunto per attività analoghe condotte a livello nazionale in seno all'UE.

Infine, qualsiasi scambio eventuale d'informazioni con le autorità statunitensi dovrebbe basarsi sul principio della reciprocità nel trasferimento di dati tra UE e Stati Uniti, considerando nel contempo la possibilità di raccogliere e controllare il trasferimento di dati PNR attraverso un organismo centrale europeo.

L'elaborazione di una politica dell'UE è tuttora ai primi passi. Al fine di avviare la preparazione di una posizione dell'UE, il 9 ottobre 2003 la Commissione ha organizzato una riunione di esperti sui dati PNR, cui hanno partecipato i servizi della Commissione e autorità di applicazione della legge e di tutela dei dati degli Stati membri. Nelle prossime settimane e nei prossimi mesi sono previste altre riunioni con autorità nel settore dell'applicazione della legge. Le discussioni verteranno sui vantaggi e gli svantaggi di un punto centralizzato di contatto per gli scambi di dati con paesi terzi, gli elenchi di dati da ritenersi pertinenti e necessari, le condizioni minime richieste per la tutela dei dati, la valutazione generale dei rischi e i sistemi d'elaborazione del profilo di criminali.

Per la metà del 2004, si prevede di presentare una proposta di decisione quadro sulla tutela dei dati in cooperazione con il settore preposto all'applicazione della legge, al fine di istituire una valida base per la selezione di dati commerciali ai fini dell'applicazione della legge, rispettando nel contempo le considerazioni in materia di tutela dei dati nell'ambito della legislazione dell'UE.

Tale decisione quadro costituirà la base per l'elaborazione di una "politica dell'informazione" destinata alle autorità preposte all'applicazione della legge, che formerà il nucleo centrale di una politica di prevenzione nel campo del crimine organizzato e del terrorismo, volta in particolare a garantire la salvaguardia dei sistemi di elaborazione dei dati e la reciprocità degli scambi di dati.

3.5. Istituzione di un quadro multilaterale per il trasferimento di dati PNR nell'ambito dell'Organizzazione internazionale dell'aviazione civile (ICAO)

Il trasferimento di dati PNR è un problema in effetti internazionale, e non soltanto bilaterale. Di conseguenza, la Commissione è del parere che la soluzione migliore debba essere multilaterale e che l'ICAO rappresenti il contesto più adeguato per avviare un'iniziativa multilaterale.

Nel settembre 2003, la Commissione ha deciso di accelerare i lavori sullo sviluppo di un accordo internazionale per i trasferimenti di dati PNR nell'ambito dell'ICAO. I servizi della Commissione hanno elaborato un documento di lavoro a tal fine, che verrà presentato tra breve all'ICAO da parte della Comunità e dei suoi Stati membri.

Tenendo conto dei requisiti di sicurezza nel settore dell'aviazione, del controllo delle frontiere e della tutela dei dati personali, nonché della proliferazione delle iniziative di trasferimento di dati PNR tra gli Stati membri dell'ICAO il documento di lavoro affronterà gli aspetti seguenti:

- campo d'applicazione dei dati eventualmente utilizzati per tal fine;

- pratiche da seguire eventualmente per la raccolta e l'elaborazione di tali dati;

- implicazioni tecniche rispetto ai sistemi utilizzati per l'acquisizione, l'elaborazione, la memorizzazione e il trasferimento di tali dati.

Ovviamente il documento di lavoro non dovrà pregiudicare lo sviluppo di una politica dell'UE in questo campo (cfr. sezione precedente) ma essere piuttosto da essa guidato. L'iniziativa richiederà comunque un consenso di tutte le parti partecipanti all'ICAO e sarà quindi necessario del tempo.

4. Applicazione del regolamento (CE) n. 2299/89 della Commissione

Per quanto riguarda il regolamento circa i sistemi telematici di prenotazione (CRS), i servizi della Commissione hanno esaminato per parecchi mesi la situazione al fine di valutare esattamente il funzionamento dell'attuale sistema di accesso ai dati da un punto di vista tecnico e fino a che punto i sistemi CRS sono coinvolti, secondo modalità che rientrano nel campo d'applicazione del regolamento 2299/89 in un codice di comportamento per sistemi telematici di prenotazione. Dal riesame, culminato in una seconda riunione col settore il 13 novembre 2003, si è riscontrato che i CRS possono elaborare i dati come contraenti per conto di compagnie aeree piuttosto che agire come CRS per tali scopi. Occorrerà chiarire tale aspetto in modo più approfondito prima di formulare un parere definitivo circa l'applicabilità del regolamento.

Peraltro, dato che la Commissione ha ricevuto una denuncia ai sensi dell'articolo 11 del regolamento (avvio delle procedure al fine di far cessare un'infrazione), la Commissione sta operando ai sensi dell'articolo 12 (la Commissione può raccogliere tutte le informazioni necessarie presso le imprese) e ha inviato lettere ai CRS con la richiesta di essere informata se i venditori di sistemi rispettano le disposizioni del regolamento relativamente alla tutela dei dati.

5. Conclusioni

Data la complessità della natura multidimensionale degli aspetti trattati, la Commissione intende adottare un approccio globale per quanto riguarda il trasferimento di dati PNR che contempli la totalità dei vari elementi individuali sopra delineati.

* Essa attribuisce particolare importanza all'istituzione tempestiva di un valido quadro giuridico per i trasferimenti di dati PNR al "Department of Homeland Security" (Bureau of Customs and Border Protection) degli Stati Uniti.

* Sulla base dei risultati delle discussioni con l'amministrazione statunitense e come parte del pacchetto di misure che costituiscono l'approccio globale, la Commissione intende proporre tale quadro giuridico sotto forma di accertamento dell'adeguatezza conformemente all'articolo 25, paragrafo 6, della direttiva "tutela dei dati" abbinata ad un accordo internazionale con gli Stati Uniti sulla base dell'articolo 300, paragrafo 3, primo comma, del trattato. Il Parlamento europeo sarà consultato su entrambi gli elementi di tale soluzione, entrambi soggetti ad adeguati limiti di tempo.

* La Commissione proseguirà le sue discussioni con altri paesi terzi per applicare, il più rapidamente possibile, soluzioni adeguate per eliminare eventuali incompatibilità giuridiche.

* La Commissione proseguirà fattivamente la sua cooperazione con le compagnie aeree e le loro organizzazioni rappresentative, nonché con i CRS, al fine di consentire che i passeggeri siano pienamente ed esattamente informati prima di acquistare i loro biglietti circa le utilizzazioni fatte dei loro dati PNR ed essere così in grado di fare una scelta consapevole. Le Commissione incoraggerà vivamente gli operatori ad ottenere sistematicamente il consenso dei passeggeri al trasferimento dei loro dati, nei limiti del possibile, ma ritiene che sia necessario istituire un quadro giuridico basato non soltanto sul consenso. La Commissione rammenta il suo diritto d'iniziativa per proporre il regolamento sul consenso a livello dell'UE qualora gli operatori non fossero in grado di applicare soluzioni efficaci in un ragionevole lasso di tempo.

* La Commissione riafferma il suo incondizionato supporto alla rapida applicazione della tecnologia "push" abbinata a filtri adeguati per la trasmissione di dati PNR a paesi terzi. Essa ritiene che, in termini di efficacia e di costi, un approccio centralizzato o raggruppato presenti chiari vantaggi rispetto ad un approccio delle singole compagnie aeree. Essa continuerà ad esplorare, come elemento prioritario, eventuali opzioni con il settore. Se del caso, essa è disposta ad adottare iniziative adeguate per assegnare stanziamenti, nell'ambito delle risorse esistenti del bilancio comunitario, per favorire lo sviluppo di un sistema del genere. La Commissione intende inoltre, entro la metà del 2004 al più tardi, identificare il cammino da seguire. Un'opzione da tenere in considerazione potrebbe essere l'applicazione di un sistema "push" nell'ambito di un approccio dell'UE relativamente all'utilizzazione dei dati riguardanti i passeggeri per fini di sicurezza delle frontiere e dell'aviazione (cfr. di seguito).

* La Commissione, come fattore prioritario, continuerà le discussioni già iniziate con gli Stati membri e altre parti interessate, ad esempio Europol, al fine di presentare una prima proposta per la metà del 2004 circa l'approccio dell'UE per l'utilizzazione di dati relativi a passeggeri, per fini di sicurezza delle frontiere e del settore dell'aviazione, nonché per altri obiettivi inerenti all'applicazione della legge. Tale quadro politico dovrà equilibrare gli aspetti della sicurezza, da un lato, e la tutela di dati e altri aspetti relativi alle libertà civili, dall'altro.

* La Commissione sta avviando un'iniziativa internazionale per quanto riguarda i trasferimenti di dati PNR sotto gli auspici dell'ICAO. A tal fine sta per essere presentata una proposta al Consiglio.