Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52014XX0222(01)

Sintesi del parere del Garante europeo della protezione dei dati sulle proposte di decisioni del Consiglio relative alla conclusione e alla firma dell’accordo tra il Canada e l’Unione europea sul trasferimento e sul trattamento dei dati del codice di prenotazione (Passenger Name Record — PNR)

GU C 51 del 22.2.2014, p. 12–14 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

22.2.2014   

IT

Gazzetta ufficiale dell'Unione europea

C 51/12

Sintesi del parere del Garante europeo della protezione dei dati sulle proposte di decisioni del Consiglio relative alla conclusione e alla firma dell’accordo tra il Canada e l’Unione europea sul trasferimento e sul trattamento dei dati del codice di prenotazione (Passenger Name Record — PNR)

(Il testo completo del presente parere è reperibile in EN, FR e DE sul sito web del GEPD http://www.edps.europa.eu)

(2014/C 51/06)

I.   Consultazione del GEPD

1.

Il 19 luglio 2013 la Commissione europea ha adottato le proposte di decisioni del Consiglio relative alla conclusione e alla firma dell’accordo tra il Canada e l’Unione europea sul trasferimento e sul trattamento dei dati del codice di prenotazione (Passenger Name Record — PNR) (1) (di seguito «le proposte»), che contengono il testo della proposta di accordo tra il Canada e l’Unione europea (di seguito «l’accordo»). Le proposte sono state trasmesse al GEPD il 23 luglio 2013.

2.

Il GEPD ha inoltre avuto la possibilità di fornire il proprio parere prima dell’adozione delle proposte. Il GEPD è lieto di essere stato previamente consultato. Tuttavia, poiché il parere del GEPD è stato richiesto a negoziati conclusi, non è stato possibile prendere in considerazione il suo contributo. Il presente parere si basa sulle osservazioni fornite in quell’occasione.

II.   Osservazioni generali

3.

Come affermato in precedenti occasioni (2), il GEPD mette in dubbio la necessità e la proporzionalità dei sistemi PNR e dei trasferimenti in massa di dati PNR a paesi terzi. Conformemente a quanto stabilito sia dalla Carta dei diritti fondamentali dell’Unione europea che dalla Convenzione europea dei diritti dell’uomo, devono essere soddisfatti entrambi i requisiti per eventuali limitazioni all’esercizio dei diritti fondamentali, tra cui il diritto al rispetto della vita privata e alla protezione dei dati di carattere personale (3). Secondo la giurisprudenza, non solo le ragioni addotte dall’autorità pubblica per giustificare tale limitazione devono essere pertinenti e sufficienti (4), ma occorre altresì dimostrare che non è possibile utilizzare metodi meno invasivi (5). Fino ad oggi, il GEPD non ha rilevato elementi convincenti che dimostrino la necessità e la proporzionalità del trattamento massivo e sistematico dei dati di passeggeri non sospetti a fini di contrasto.

4.

Ciononostante, il GEPD accoglie con favore le garanzie di protezione dei dati fornite nell’accordo, pur rammaricandosi del fatto che il periodo di conservazione sia stato prorogato rispetto al precedente accordo sui PNR con il Canada.

5.

Il GEPD accoglie inoltre con favore gli sforzi intrapresi dalla Commissione in materia di supervisione e ricorso nell’ambito dei vincoli imposti dalla natura dell’accordo. Tuttavia, è preoccupato per le limitazioni del controllo giurisdizionale e per il fatto che, in alcuni casi, per il ricorso amministrativo sia possibile adire un’autorità interna che non è indipendente. Il GEPD mette altresì in dubbio che un accordo esecutivo sia lo strumento appropriato per conferire diritti adeguati ed effettivi agli interessati.

6.

L’accordo disciplina l’utilizzo, da parte della «autorità canadese competente», di dati PNR trasferiti da vettori aerei dell’UE e di paesi terzi che effettuano voli in partenza dall’Unione (6). Il GEPD raccomanda di esigere la conferma che nessun’altra autorità canadese possa accedere direttamente ai dati PNR o farne richiesta a tali vettori, aggirando in tal modo l’accordo.

IV.   Conclusioni

47.

Come precedentemente affermato, il GEPD mette in dubbio la necessità e la proporzionalità dei sistemi PNR e dei trasferimenti in massa di dati PNR a paesi terzi. Contesta inoltre la scelta della base giuridica e raccomanda che le proposte si basino sull’articolo 16 del TFUE, in combinato disposto con gli articoli 218, paragrafo 5, e 218, paragrafo 6, lettera a), del TFUE.

48.

Il GEPD è inoltre preoccupato per la limitata disponibilità del ricorso amministrativo indipendente e del pieno ricorso giudiziario per i cittadini dell’UE non presenti in Canada e mette in dubbio che un accordo esecutivo sia idoneo a garantire tali diritti. Il GEPD raccomanda altresì di esigere la conferma che nessun’altra autorità canadese possa accedere direttamente ai dati PNR o farne richiesta ai vettori contemplati dall’accordo.

49.

Per quanto riguarda le disposizioni specifiche dell’accordo, il GEPD accoglie con favore le garanzie fornite in materia di protezione dei dati. Ciononostante, l’accordo deve:

escludere completamente il trattamento di dati sensibili,

prevedere la cancellazione o l’anonimizzazione dei dati subito dopo l’analisi e al massimo entro 30 giorni dalla loro ricezione e, in ogni caso, ridurre e giustificare il periodo di conservazione proposto, che è stato prorogato rispetto al precedente accordo sui PNR con il Canada,

limitare le categorie di dati PNR da trattare,

indicare espressamente che sarà un’autorità indipendente ad avere la responsabilità della supervisione generale.

50.

Il GEPD raccomanda inoltre di specificare, nell’accordo o nei documenti annessi, quanto segue:

restringere e chiarire ulteriormente i concetti che definiscono le finalità dell’accordo,

precisare quali tipi di discriminazione «legittima» saranno possibili,

prevedere l’obbligo di notificare le violazioni dei dati alla Commissione europea e alle autorità di protezione dei dati,

completare le disposizioni sulla trasparenza,

estendere il divieto di decidere soltanto sulla base del trattamento automatizzato dei dati PNR a tutte le decisioni che danneggiano i passeggeri sulla base dell’accordo,

indicare a quali autorità canadesi possono essere ulteriormente trasferiti i dati PNR, aggiungendo il requisito della previa autorizzazione giudiziaria o dell’esistenza di una minaccia immediata, prevedendo l’obbligo di includere adeguate garanzie di protezione dei dati negli accordi o nelle intese con altri/e paesi o autorità destinatari/e nonché la loro notifica alla Commissione europea e alle autorità di protezione dei dati dell’UE,

nominare le autorità competenti e stabilire sanzioni dissuasive per il mancato rispetto dell’accordo,

indicare quali meccanismi hanno a disposizione le persone non residenti in Canada per chiedere il controllo giurisdizionale ai sensi del diritto canadese,

chiarire se il diritto al controllo giurisdizionale può essere esercitato anche se la decisione o azione pertinente non è stata comunicata alla persona interessata, in particolare qualora siano violate disposizioni dell’accordo diverse da quelle riguardanti l’accesso e la rettifica/l’annotazione,

specificare a quale «altro rimedio che consenta il risarcimento dei danni» si riferisce l’articolo 14, paragrafo 2,

indicare la frequenza delle verifiche dell’attuazione dell’accordo, il loro contenuto (che deve comprendere anche la valutazione della sua necessità e proporzionalità) e includere espressamente nel gruppo di verifica dell’Unione europea le autorità di protezione dei dati dell’UE.

Fatto a Bruxelles, il 30 settembre 2013

Peter HUSTINX

Garante europeo della protezione dei dati

(1)  COM(2013) 529 final.

(2)  Cfr. il parere del GEPD del 9 dicembre 2011 sulla proposta di decisione del Consiglio relativa alla conclusione dell’accordo tra gli Stati Uniti d’America e l’Unione europea sull’uso e sul trasferimento del codice di prenotazione (Passenger Name Record — PNR) al Dipartimento per la sicurezza interna degli Stati Uniti, GU C 35 del 9.2.2012, pag. 16, il parere del GEPD del 15 luglio 2011 sulla proposta di decisione del Consiglio relativa alla conclusione dell’accordo tra l’Unione europea e l’Australia sul trattamento e sul trasferimento dei dati del codice di prenotazione (Passenger Name Record — PNR) da parte dei vettori aerei all’Agenzia australiana delle dogane e della protezione di frontiera, GU C 322 del 23.12.2011, pag. 1, il parere del GEPD del 25 marzo 2011 sulla proposta di una direttiva del Parlamento europeo e del Consiglio sull’uso dei dati del codice di prenotazione (Passenger Name Record, PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, il parere del GEPD del 19 ottobre 2010 sulla comunicazione della Commissione sull’approccio globale al trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) verso paesi terzi, il parere del GEPD del 20 dicembre 2007 relativo al progetto di decisione quadro del Consiglio sull’uso dei dati del codice di prenotazione (Passenger Name Record, PNR) nelle attività di contrasto, GU C 110 dell’1.5.2008, pag. 1, il parere del GEPD del 15 giugno 2005 sulla proposta di decisione del Consiglio relativa alla conclusione di un accordo tra la Comunità europea e il governo del Canada sul trattamento delle informazioni anticipate sui passeggeri (Advance Passenger Information, API) e dei dati delle pratiche passeggeri (Passenger Name Record, PNR), GU C 218 del 6.9.2005, pag. 6 (tutti disponibili all’indirizzo http://www.edps.europa.eu/EDPSWEB/edps/cache/bypass/Consultation/OpinionsC). Cfr. anche i pareri del gruppo di lavoro «articolo 29» sui dati del codice di prenotazione (Passenger Name Record, PNR), disponibili all’indirizzo http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

(3)  Cfr. gli articoli 7, 8 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (GU C 83 del 30.3.2010, pag. 389) e l’articolo 8 della Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (STE n. 5), Consiglio d’Europa, 4.11.1950.

(4)  Corte europea dei diritti dell’uomo, sentenza 4 dicembre 2008, S. e Marper/Regno Unito.

(5)  Corte di giustizia dell’Unione europea, sentenza 9 novembre 2010, causa C-92/09 Volker und Markus Schecke GbR/Land Hessen, e causa C-93/09 Eifert/Land Hessen e Bundesanstalt für Landwirtschaft und Ernährung.

(6)  Cfr. la relazione delle proposte e l’articolo 3, paragrafo 1, dell’accordo.

Top