30.12.2010   

IT

Gazzetta ufficiale dell'Unione europea

C 357/7

1.

Il 21 settembre 2010 la Commissione ha adottato una comunicazione sull’approccio globale al trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) verso paesi terzi (3). La comunicazione è stata trasmessa al GEPD per consultazione lo stesso giorno.

2.

Il GEPD si compiace di essere stato consultato dalla Commissione. Già prima dell’adozione della comunicazione il GEPD aveva avuto la possibilità di formulare osservazioni informali, alcune delle quali sono state prese in considerazione nella versione definitiva del documento; altri punti continuano invece a suscitare preoccupazioni in materia di protezione dei dati.

3.

L’approccio globale ai dati PNR presentato dalla Commissione nella sua comunicazione è volto a fornire un quadro coerente per il trasferimento dei dati del codice di prenotazione verso paesi terzi. Oltre alla necessità di garantire la certezza del diritto sviluppata nella comunicazione, questo approccio armonizzato è stato fortemente sostenuto anche dal Parlamento europeo, al quale è stato attribuito il potere di ratifica degli accordi PNR con i paesi terzi nell’ambito del nuovo quadro istituzionale (4).

4.

La comunicazione è integrata da raccomandazioni relative ai negoziati per gli accordi PNR con paesi terzi specifici. Tali raccomandazioni hanno una portata limitata e non vengono analizzate nel presente parere. Al capo II vengono tuttavia formulate osservazioni sulla relazione tra la comunicazione generale e le raccomandazioni.

5.

Oltre all’approccio globale al trasferimento dei dati PNR verso paesi terzi, la Commissione sta anche sviluppando un approccio per l’UE rivisto ai dati PNR. In precedenza, prima dell’entrata in vigore del trattato di Lisbona, la proposta di adottare un tale modello dell’Unione europea era stata oggetto di approfondite discussioni in seno al Consiglio nell’ambito dell’ex terzo pilastro (5). Tali discussioni non avevano condotto ad un consenso su una serie di elementi fondamentali del sistema PNR, quale ad esempio l’uso della banca dati creata nell’ambito del sistema stesso. Il programma di Stoccolma aveva successivamente esortato la Commissione a presentare una nuova proposta, senza però precisare gli elementi essenziali che essa avrebbe dovuto contenere. Una proposta di direttiva sulla definizione di un regime dell’Unione europea per i dati PNR è prevista per l’inizio del 2011.

6.

Il presente parere verte sulla comunicazione della Commissione. La prima parte analizza la comunicazione nel contesto degli attuali sviluppi in materia di protezione dei dati, mentre la seconda affronta la legittimità del regime PNR e la terza si concentra su questioni più specifiche di protezione dei dati trattate nella comunicazione.

7.

Il GEPD accoglie con favore l’approccio orizzontale della comunicazione, in linea con le richieste formulate di recente dal Parlamento europeo in merito alla realizzazione di un’analisi approfondita dei regimi PNR esistenti e previsti e all’adozione di un approccio coerente in materia. Riuscire a garantire un livello di protezione elevato ed uniforme applicabile a tutti questi regimi è un obiettivo che dovrebbe essere sostenuto con forza.

8.

Il GEPD mette tuttavia in discussione la tempistica generale delle varie iniziative direttamente o indirettamente connesse al trattamento dei dati PNR.

9.

Benché la comunicazione faccia riferimento agli accordi internazionali sui regimi PNR e all’iniziativa per l’adozione di un sistema PNR dell’UE, le norme da essa proposte riguardano esclusivamente gli accordi internazionali. Il quadro per l’UE verrà discusso e sviluppato in una fase successiva.

10.

Il GEPD ritiene che un’agenda più logica e opportuna avrebbe incluso una riflessione approfondita su un eventuale regime UE comprendente misure di salvaguardia per la protezione dei dati conformi al quadro giuridico dell’Unione europea, sulla cui base sviluppare un approccio per gli accordi con i paesi terzi.

11.

Il GEPD evidenzia inoltre il lavoro attualmente in corso in merito all’accordo generale UE-USA sullo scambio di informazioni a fini dell’applicazione della legge (6), finalizzato a definire un insieme di principi che garantiscano un elevato livello di protezione dei dati personali quale condizione per lo scambio di tali dati con gli Stati Uniti. L’esito dei negoziati UE-USA deve fungere da riferimento per ulteriori accordi bilaterali conclusi dall’Unione europea e dai suoi Stati membri, compreso l’accordo PNR UE-USA.

12.

Un altro elemento che deve essere preso in considerazione in questo contesto è la riflessione generale sul quadro UE per la protezione dei dati condotta attualmente dalla Commissione al fine di presentare entro la fine del 2010 una comunicazione cui farà seguito una proposta per un nuovo quadro normativo nel corso del 2011 (7). Questo processo di revisione viene attuato nel quadro «post-Lisbona», che ha un impatto diretto sull’applicazione orizzontale dei principi di protezione dei dati agli ex pilastri dell’UE, compresa la cooperazione di polizia e giudiziaria in materia penale.

13.

A fini di coerenza, l’UE dovrebbe definire i suoi strumenti interni e, sulla base di tali strumenti interni, dovrebbe negoziare accordi con i paesi terzi. L’agenda globale deve pertanto concentrarsi prima sul quadro generale dell’UE per la protezione dei dati, poi sull’eventuale necessità di un regime dell’Unione europea per i dati PNR e, infine, sulle condizioni di scambio con i paesi terzi, sulla base del quadro aggiornato dell’UE. In questa fase si dovrebbero prendere in considerazione anche le garanzie previste in un futuro accordo UE-USA, stabilendo al contempo le condizioni per il trasferimento di dati PNR verso paesi terzi.

14.

Pur essendo consapevole del fatto che, per motivi procedurali e politici di diversa natura, questo ordine ideale non viene seguito nella pratica, il GEPD ritiene che i diversi attori della Commissione, del Consiglio e del Parlamento europeo dovrebbero tenere presente la logica sottesa alle varie fasi descritte sopra. Poiché, parallelamente, proseguono i progressi, in particolare sul quadro UE e sui negoziati UE-USA, occorrerebbe tenere nella debita considerazione questa necessità di coerenza e di un approccio armonizzato alle misure di salvaguardia per la protezione dei dati nell’UE e nell’ambito dei trasferimenti. Più concretamente, ciò implicherebbe, in particolare:

15.

Il GEPD solleva infine la questione del collegamento tra la comunicazione e gli orientamenti elaborati dalla Commissione, interrogandosi sulla misura in cui debbano essere indicate garanzie e condizioni specifiche nelle norme sviluppate nella comunicazione o negli orientamenti stabiliti per ciascun paese: se l’obiettivo generale è armonizzare le condizioni di trattamento e scambio dei dati PNR, il GEPD ritiene che il margine di manovra per ogni accordo internazionale dovrebbe essere quanto più limitato possibile e che le norme dovrebbero definire un quadro preciso. Le norme dovrebbero avere un impatto effettivo sul contenuto degli accordi. Diverse osservazioni riportate di seguito illustrano la necessità di una maggiore precisione in tal senso.

16.

Il GEPD e il gruppo di lavoro «articolo 29» hanno già insistito in numerosi pareri (8) sulla necessità di una chiara giustificazione per lo sviluppo di regimi PNR, all’interno dell’UE od al fine dello scambio di dati con i paesi terzi. La necessità di tali misure deve essere definita e suffragata da prove concrete e dovrebbe essere successivamente valutata e bilanciata in base al livello di intrusione nella vita privata delle persone, al fine di garantire un esito commisurato e meno invasivo. Il fatto che i recenti progressi tecnologici rendano attualmente possibili tale ampio accesso e analisi, come si afferma alla fine del punto 2.2 della comunicazione, non è in sé una giustificazione per lo sviluppo di un sistema finalizzato al controllo di tutti i viaggiatori. In altre parole, la disponibilità di mezzi non dovrebbe giustificare il fine.

17.

Come precisato di seguito, il GEPD ritiene che il trasferimento di grandi quantitativi di dati di persone innocenti ai fini della valutazione del rischio sollevi seri problemi di proporzionalità. In particolare, il GEPD mette in discussione l’uso proattivo dei dati PNR. Mentre l’uso «reattivo» dei dati non suscita gravi preoccupazioni, nella misura in cui rientri nell’ambito di un’indagine relativa a un reato già commesso, l’uso in tempo reale e proattivo dei dati conduce ad una valutazione più critica.

18.

Conformemente alla formulazione della comunicazione, anche in un «contesto di tempo reale», i dati PNR saranno «usati per impedire un crimine, svolgere indagini o arrestare persone prima che un reato sia commesso», sulla base di «indicatori di rischio fattuali predeterminati» (9). L’idea principale di adottare misure nei confronti di persone prima che sia commesso un reato sulla base di indicatori di rischio è, a parere del GEPD, una misura proattiva il cui uso, nel contesto di attività di contrasto, è tradizionalmente ben definito e limitato.

19.

Inoltre, né il concetto di indicatori di rischio né quello di «valutazione del rischio» sono sufficientemente sviluppati e quest’ultimo potrebbe essere facilmente confuso con il concetto di «elaborazione di profili». Tale analogia è addirittura rafforzata dall’obiettivo affermato, ossia la creazione di «modelli di spostamento e comportamento basati su fatti». Il GEPD mette in discussione il collegamento tra i fatti originali e i modelli dedotti da tali fatti. Obiettivo del processo è sottoporre una persona a una valutazione del rischio, applicandole eventualmente misure coercitive, sulla base di fatti non correlati a tale persona. Come già affermato nel suo precedente parere su una proposta di un sistema PNR dell’UE, la principale preoccupazione del GEPD è legata al fatto che «le decisioni relative alle persone saranno prese sulla base di modelli e criteri stabiliti utilizzando i dati relativi ai passeggeri in generale. Pertanto le decisioni riguardanti una singola persona potrebbero essere prese utilizzando come riferimento (almeno parzialmente) modelli derivati dai dati di altre persone. Le decisioni saranno quindi prese in relazione ad un contesto astratto, il che può avere ripercussioni enormi sugli interessati. È estremamente difficile, per i singoli, difendersi da tali decisioni» (10).

20.

L’utilizzo su larga scala di queste tecniche, che prevedono il controllo di tutti i passeggeri, solleva dunque seri problemi di rispetto dei principi fondamentali di protezione della vita privata e dei dati personali, tra cui quelli sanciti dall’articolo 8 della CEDU, dagli articoli 7 e 8 della Carta e dall’articolo 16 del TFUE.

21.

Qualsiasi decisione definitiva sulla legittimità dei regimi PNR dovrebbe tenere conto di questi elementi, che dovrebbero essere analizzati e sviluppati nella valutazione d’impatto realizzata nel quadro del progetto di un sistema PNR dell’UE. L’agenda deve essere redatta in modo tale che nell’elaborazione dei requisiti generali dei regimi PNR si possano tenere nella debita considerazione i risultati di tale valutazione d’impatto.

22.

Fatte salve le precedenti osservazioni fondamentali sulla legittimità dei regimi PNR, il GEPD accoglie con favore l’esaustivo elenco di norme, visibilmente ispirato ai principi dell’UE in materia di protezione dei dati, che sotto diversi aspetti rafforzeranno la protezione prevista da accordi specifici. Di seguito vengono esaminati il valore aggiunto e le lacune individuate in tali norme.

23.

Dalla formulazione della comunicazione il GEPD deduce che la valutazione dell’adeguatezza può sia basarsi sul quadro generale per la protezione dei dati del paese destinatario che essere contestuale, a seconda degli impegni giuridicamente vincolanti inseriti in un accordo internazionale che disciplina il trattamento dei dati personali. Alla luce del ruolo decisivo svolto dagli accordi internazionali per le valutazioni dell’adeguatezza, il GEPD sottolinea la necessità di definirne chiaramente il carattere vincolante degli accordi per tutte le parti interessate e ritiene che tale puntualizzazione dovrebbe essere integrata da una precisazione tesa a indicare espressamente che gli accordi garantiranno diritti direttamente applicabili agli interessati. Il GEPD reputa che tali elementi costituiscano un aspetto essenziale della valutazione dell’adeguatezza.

24.

I primi due punti dell’elenco di principi si riferiscono alla limitazione della finalità. Al sottotitolo «uso dei dati», il primo punto indica fini di contrasto e sicurezza, facendo successivamente riferimento al terrorismo e ad altri reati gravi di natura transnazionale, così definiti in base al «metodo di» definizione seguito negli strumenti giuridici dell’UE. Il GEPD contesta questa formulazione, che potrebbe portare a ritenere che gli accordi futuri non sarebbero basati esattamente su tali definizioni, bensì da esse ispirati. Per ragioni di certezza del diritto è indispensabile definire con esattezza le nozioni di terrorismo e reati gravi di natura transnazionale e individuare gli strumenti dell’UE ai quali fa riferimento la comunicazione. Il GEPD ricorda inoltre che, per essere inseriti nel regime PNR, i diversi tipi di reati devono superare, quale condizione preliminare, una verifica di necessità e proporzionalità.

25.

Il secondo punto sembra fare riferimento più alla portata (la natura dei dati raccolti) che al principio di limitazione delle finalità. Il GEPD rileva che la comunicazione non riporta un elenco dei dati che potrebbero essere oggetto di trasferimenti, in quanto lascia determinare a ogni accordo specifico le categorie di dati da scambiare. Al fine di evitare divergenze e l’inclusione di categorie sproporzionate di dati in taluni accordi con i paesi terzi, il GEPD ritiene che alle norme debba essere aggiunto un elenco comune ed esaustivo di categorie, in linea con l’obiettivo dello scambio di dati. Il GEPD fa riferimento ai pareri formulati al riguardo dal gruppo di lavoro «articolo 29», che indicano le categorie di dati ammissibili e quelle ritenute eccessive in relazione ai diritti fondamentali delle persone interessate (11). Le categorie di dati che devono essere escluse sono segnatamente quelle che possono essere considerate dati sensibili (e che sono protette dall’articolo 8 della direttiva 95/46/CE), i dati SSR/SSI (Special Service Request/Information), i dati OSI (Other Service-Related Information), i campi di testo aperti o liberi (come quelli riservati alle «osservazioni generali» in cui possono figurare dati di natura sensibile), nonché le informazioni riguardanti i viaggiatori frequenti e i «dati comportamentali».

26.

La comunicazione indica che i dati sensibili non possono essere usati, se non in circostanze eccezionali. Il GEPD deplora questa eccezione. Ritiene che le condizioni della deroga siano eccessivamente ampie e non assicurino alcuna garanzia: l’uso dei dati caso per caso viene indicato solo come esempio; la limitazione delle finalità, inoltre, deve essere un principio generale applicabile a tutti i trattamenti dei dati PNR, non solo una garanzia che si applica ai dati sensibili. Il GEPD ritiene che, consentendo il trattamento di dati sensibili, seppure in casi limitati, si allineerebbe il livello di protezione di tutti i regimi PNR al regime meno rispettoso della protezione dei dati anziché a quello più virtuoso in tal senso. Come principio, il GEPD chiede pertanto la completa esclusione del trattamento dei dati sensibili.

27.

L’obbligo generale di sicurezza sviluppato nella comunicazione viene ritenuto soddisfacente. Il GEPD è tuttavia del parere che potrebbe essere integrato da un obbligo di informazione reciproca in caso di violazione della sicurezza: i destinatari sarebbero responsabili per l’informazione delle rispettive controparti in caso di divulgazione illecita dei dati. Ciò contribuirebbe a una maggiore responsabilità in vista di un trattamento sicuro dei dati.

28.

Il GEPD sostiene il sistema di supervisione previsto nella comunicazione, comprese le misure di supervisione e responsabilizzazione, ed è altrettanto estremamente favorevole al diritto di qualunque individuo a un ricorso effettivo, in sede amministrativa e giudiziaria. Per quanto riguarda i diritti di accesso, il GEPD comprende l’impossibilità di prevedere limitazioni e accoglie favorevolmente tale impostazione. Qualora, in casi eccezionali, risultasse indispensabile prevedere una limitazione, le norme dovrebbero indicarne chiaramente la portata precisa e le garanzie necessarie, tra cui in particolare un diritto di accesso indiretto.

29.

Il GEPD ritiene adeguata la restrizione che prevede che i trasferimenti successivi avvengano caso per caso, sia ad altre autorità governative che verso paesi terzi. Ritiene che, oltre a questo principio, la limitazione della finalità applicabile ai trasferimenti verso paesi terzi debba essere applicata anche ai trasferimenti all’interno del paese terzo verso altre autorità governative. Ciò dovrebbe evitare ogni eventuale ulteriore utilizzo o controllo incrociato dei dati PNR con informazioni trattate per finalità diverse. Il GEPD è preoccupato in particolare per il rischio di controlli incrociati con informazioni provenienti da altre banche dati quali l’ESTA per quanto riguarda gli Stati Uniti. Rileva che la recente decisione USA di introdurre un’imposta sull’ESTA comporti la raccolta di informazioni di carta di credito dei viaggiatori. Il GEPD chiede di imporre una limitazione chiara al fine di evitare associazioni inadeguate di dati che esulano dall’ambito di applicazione dell’accordo PNR.

30.

Il periodo di conservazione dei dati non è soggetto a un’effettiva armonizzazione. Il GEPD ritiene che, in linea di principio, i dati PNR debbano essere cancellati se i controlli effettuati in occasione della loro trasmissione non hanno dato luogo a un’azione di contrasto. Qualora il contesto nazionale giustifichi la necessità di prevedere un periodo limitato di conservazione, il GEPD ritiene che nelle norme dovrebbe essere stabilito un periodo massimo di conservazione. Occorrerebbe inoltre rafforzare il principio della limitazione nel tempo dei diritti di accesso dei funzionari e considerare un obbligo, anziché un esempio, la graduale anonimizzazione dei dati.

31.

Il GEPD sostiene il trasferimento esclusivamente in base al sistema «push» per la trasmissione dei dati. Chiede garanzie concrete volte ad assicurare che «push» sia effettivamente l’unico sistema utilizzato nella pratica. In base all’esperienza e alle ispezioni condotte dalle autorità preposte alla protezione dei dati è di fatto emerso che, nonostante gli obblighi previsti dagli accordi già in vigore, in particolare per quanto riguarda quello siglato sui PNR con gli Stati Uniti, è ancora effettivo un sistema «pull» residuo e che, parallelamente al sistema «push», le autorità USA hanno un più ampio accesso ai dati PNR attraverso i sistemi telematici di prenotazione. Misure giuridiche e legali dovrebbero essere adottate al fine di evitare eventuali elusioni del sistema «push».

32.

La frequenza («ragionevole») delle trasmissioni da parte delle compagnie aeree dovrebbe essere definita e dovrebbe essere stabilito un numero massimo di trasmissioni. I regimi esistenti, le cui disposizioni assicurano la massima tutela della vita privata, dovrebbero fungere da riferimento in tal senso.

33.

Il GEPD invita inoltre a una maggiore precisione per quanto riguarda gli elementi essenziali dell’attuazione degli accordi PNR. Il periodo di durata degli accordi («determinato», «opportuno») e il loro riesame («periodico») dovrebbero essere ulteriormente definiti in una prospettiva orizzontale. In particolare, potrebbe essere specificata la periodicità delle verifiche congiunte così come l’obbligo di condurre un primo riesame entro un termine preciso dopo l’entrata in vigore degli accordi: si potrebbe indicare un massimo di tre anni.

34.

Il GEPD accoglie con favore l’approccio orizzontale presentato dalla Commissione nella sua comunicazione. Si tratta di un passo essenziale verso un quadro generale per lo scambio dei dati PNR. Questa valutazione generale è tuttavia mitigata da alcune importanti preoccupazioni.

35.

I regimi PNR presentati nella comunicazione non rispondono di per sé ai criteri di necessità e proporzionalità sviluppati in questo e in precedenti pareri del GEPD e del gruppo di lavoro «articolo 29». Per essere ammissibili, le condizioni per la raccolta e il trattamento dei dati personali dovrebbero essere notevolmente limitate. Il GEPD è preoccupato in particolare per l’utilizzo dei regimi PNR ai fini della valutazione del rischio o dell’elaborazione di profili.

36.

La definizione di norme sui dati PNR dovrebbe tenere conto del quadro generale per la protezione dei dati e degli sviluppi giuridici ad esso correlati all’interno dell’UE, nonché della negoziazione di accordi sullo scambio di dati a un livello più generale, specialmente con gli Stati Uniti. Occorrerebbe garantire che un futuro accordo sui PNR con gli Stati Uniti rispetti l’accordo generale sulla protezione dei dati con gli USA. Anche gli accordi siglati con altri paesi terzi in materia di dati PNR dovrebbero essere coerenti con questo approccio.

37.

È essenziale che tutti gli accordi con i paesi terzi tengano conto dei nuovi requisiti in materia di protezione dei dati sviluppati nel quadro istituzionale post-Lisbona.

38.

Il GEPD invita inoltre a una maggiore precisione nell’approccio globale alle garanzie minime applicabili a tutti gli accordi: condizioni più rigorose dovrebbero esser applicate, specialmente per quanto riguarda il trattamento dei dati sensibili, il principio di limitazione della finalità, le condizioni dei trasferimenti successivi e la conservazione dei dati.

39.

Il GEPD insiste infine sul fatto che tutti gli accordi dovrebbero garantire diritti direttamente applicabili agli interessati. L’efficacia delle procedure di contrasto, da parte sia degli interessati sia delle autorità di controllo, è una condizione essenziale per valutare l’adeguatezza di qualsiasi accordo.

—

Stati Uniti: accordo tra l’Unione europea e gli Stati Uniti d’America sul trattamento e sul trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) da parte dei vettori aerei al Dipartimento per la sicurezza interna degli Stati Uniti (DHS) (Accordo PNR del 2007) (GU L 204 del 4.8.2007, pag. 18),

—

Canada: accordo tra la Comunità europea e il governo del Canada sul trattamento delle informazioni anticipate sui passeggeri e dei dati delle pratiche passeggeri (GU L 82 del 21.3.2006, pag. 15),

—

Australia: accordo tra l’Unione europea e l’Australia sul trattamento e sul trasferimento dei dati del codice di prenotazione (Passenger Name Record — PNR) originari dell’Unione europea da parte dei vettori aerei all’amministrazione doganale australiana (GU L 213 dell’8.8.2008, pagg. 49-57).