Dopo aver illustrato nel precedente numero della nostra newsletter gli impatti del Regolamento UE 679/2016 (il “GDPR”) nell’ordinamento italiano, è ora opportuno evidenziare come, contestualmente al GDPR, siano state emanate le Direttive UE 2016/680[1] e 2016/681[2].
Tali Direttive fanno parte, insieme al GDPR, dello stesso pacchetto di riforma UE sulla protezione dei dati, collocandosi nello specifico e delicatissimo alveo dei trattamenti di dati personali svolti nelle attività di indagine per il perseguimento dei reati. Sebbene passate inosservate a causa dell’attenzione principalmente rivolta al GDPR, queste due Direttive non sono meno rilevanti ai fini della tutela sul trattamento dei dati personali.
In particolare, la Direttiva n. 2016/681 si occupa del trattamento dei dati del c.d. “codice di prenotazione (Passenger Name Record – PNR)”, contenente le informazioni relative al viaggio aereo di ciascun passeggero, ivi compresi i dati delle prenotazioni effettuate da qualunque persona o per suo conto, a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati di similare gravità.
Per quanto di nostro interesse in questa sede, verranno quindi posti in correlazione i contenuti di cui alla Direttiva 2016/681 - sulla gestione dei PNR dei passeggeri - con il GDPR, anche al fine di valutarne l’effetto congiunto.
La Direttiva 2016/681 sull'uso dei dati del PNR a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, obbliga le compagnie aeree a registrare e conservare a lungo termine i dati dei passeggeri.
In particolare, i PNR sono schede di registrazione dei dati del passeggero, acquisite e memorizzate all’interno dei Computerized Reservation Systems (“CRS”), sistemi telematici realizzati apposita-mente per lo scambio di informazioni tra i vettori.
I dati PNR riguardano dunque le informazioni fornite dai passeggeri e raccolte dalle compagnie aeree durante la prenotazione dei voli e le procedure di check-in, come: data di viaggio, itinerario, finalità del viaggio, informazioni relative al biglietto, indirizzo ed estremi dei passeggeri, informazioni relative al bagaglio, informazioni relative alle modalità di pagamento, informazioni relative a specifiche richieste (assistenza speciale, pasti speciali, ecc.).
Come evidente, trattasi di informazioni che le compagnie acquisiscono in via massiva e trattano a fini commerciali; la Direttiva precisa, però, che il trattamento può estendersi alle finalità di prevenzione, accertamento e repressione dei reati di terrorismo e similari.
A differenza delle misure adottate in precedenza a livello europeo, quali la Direttiva Advance Pas-senger Information (“API”) e il Sistema d’informazione Schengen (“SIS II”), che non consentivano alle autorità di identificare i sospetti “sconosciuti” alle autorità, la Direttiva PNR prevede invece la raccolta sistematica, l’uso, l’archiviazione e la conservazione dei dati PNR dei passeggeri dei voli inter-nazionali. I dati PNR, secondo la Commissione Europea, consentono infatti di individuare, tramite algoritmi, quali soggetti tra quelli non conosciuti alle forze dell’ordine possono costituire una minaccia terroristica. Pertanto, il confine tra trattamento lecito - in presenza di un concreto rischio per l’incolumità pubblica - e trattamento non lecito (potenzialmente riscontrabile soprattutto nel contesto dell’attività preventiva, laddove non sussista una minaccia imminente), risulta alquanto labile.
Ai sensi della Direttiva PNR, le compagnie aeree devono fornire alle autorità i dati PNR relativi ai voli extra-UE, con la facoltà per gli Stati Membri di raccogliere anche i dati PNR relativi a voli intra-UE, no-tificandolo per iscritto alla Commissione Europea. I Paesi dell’UE possono inoltre decidere di proce-dere con la raccolta e il trattamento dei dati PNR provenienti da operatori economici diversi dalle compagnie aree, come le agenzie di viaggio e gli operatori turistici, che forniscono allo stesso modo servizi di prenotazione di voli.
In particolare, i dati PNR sono inviati dalle compagnie (o dagli altri operatori) ad una Passenger Information Unit (“PIU - Unità d’informazione”) dello Stato membro interessato, di regola non oltre ventiquattro ore prima dell’orario previsto per il decollo, o immediatamente dopo la salita a bordo dei passeggeri o la chiusura delle porte[3][4].
La PIU sarà responsabile della raccolta, conservazione e trattamento dei dati PNR, nonché del trasferimento alle autorità competenti e dello scambio con le Unità d’informazione sui passeggeri di altri Stati membri e con Europol. La PIU dovrà anche nominare un responsabile della protezione dei dati incaricato di sorvegliare il trattamento dei dati PNR e di applicare le relative garanzie; l’accesso alla serie integrale di dati PNR, che consente l’identificazione diretta dell’interessato, dovrebbe essere concesso soltanto a condizioni molto rigorose e limitate. Tutti i trattamenti dei dati PNR devono essere registrati o documentati; gli Stati membri devono comunque vietare un trattamento dei dati PNR che riveli l’origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l’appartenenza sindacale, lo stato di salute, la vita o l’orientamento sessuale dell’interessato (il che non sempre è possibile, specialmente con riferimento alla salute: si pensi, ad esempio, ai dati relativi alla richiesta di assistenza speciale di un passeggero con mobilità ridotta).
Il periodo di conservazione dei dati PNR è fissato a cinque anni a partire dal trasferimento degli stessi alle PIU. Nei sei mesi successivi alla scadenza del termine predetto si dovrà procedere alla deperso-nalizzazione dei dati PNR raccolti, che saranno resi anonimi mediante la mascheratura di alcune in-formazioni, come il nome, l’indirizzo e i contatti, elementi che potrebbero servire a identificare diret-tamente il passeggero.
I dati PNR sono oggi riconosciuti tra le categorie più sensibili di dati personali; pertanto, è evidente l’esigenza di coordinare la disciplina dettata dalla Direttiva PNR con le disposizioni del GDPR e, più in generale, con la normativa sulla protezione dei dati personali delle persone fisiche.
Come noto, l’art. 5 del GDPR stabilisce i principi che regolano il trattamento dei dati personali [5].
In relazione al trattamento dei dati PNR, assume rilevanza, in particolare, il principio di trasparenza in virtù del quale i dati raccolti devono essere trattati in modo lecito e con modalità tali da consentire agli interessati di conoscere in che modo i loro dati sono raccolti, trattati o trasferiti a terzi. Di conse-guenza, le compagnie aeree (o gli altri operatori coinvolti), in qualità di titolari del trattamento, do-vranno attenersi al principio di trasparenza e, a tal fine, fornire ai passeggeri ogni informazione utile relativa al trasferimento dei dati PNR che li riguardano alle PIU, prima che avvenga il trasferimento stesso.
Oltre al principio di trasparenza, il trattamento dei dati PNR dovrà avvenire nel rispetto del principio c.d. di Accountability, il quale impone di trattare i dati conformemente alle disposizioni contenute nel GDPR, stabilendo l’onere della prova di tale conformità a carico del titolare. Ciò significa che le com-pagnie aeree (o gli altri operatori coinvolti), in qualità di titolari del trattamento, dovranno trattare i dati PNR coordinando entrambe le discipline dettate dalla Direttiva 2016/681 e dal GDPR e assicurare che i dati PNR raccolti non eccedano quanto necessario ai fini della prenotazione del viaggio (c.d. “principio di proporzionalità”).
Inoltre, tutte le compagnie aeree, in considerazione del trattamento abituale e su larga scala di dati personali, quali sono i dati PNR, dovranno nominare un Data Protection Officer (DPO) che abbia le ca-pacità necessarie per interpretare e applicare la disciplina contenuta nel GDPR. Non a caso, la International Air Transport Association (“IATA”) ha imposto a tutti i suoi membri di nominare un DPO e di rivolgersi ad un avvocato specializzato ogni qual volta sorgano dubbi o questioni che debbano essere risolte mediante una consulenza legale.
Trattandosi poi di dati potenzialmente “sensibili”, bisognerà di volta in volta verificare se il tratta-mento non sia vietato e, quindi, su quale base esso sia consentito e, in caso positivo, assoggettarlo al-le norme del GDPR che regolano il trattamento delle categorie particolari di dati personali.
Il rischio che il trattamento dei dati dei passeggeri sconfini le esigenze di raccolta e, con esse, i princi-pi stabiliti dal GDPR è sicuramente alquanto elevato, soprattutto se il contrapposto interesse in gioco è la prevenzione e la repressione di reati gravissimi connessi al terrorismo internazionale.
Non è un caso che il Garante Europeo della Privacy abbia espresso qualche dubbio sulla conformità della Direttiva PNR alle disposizioni contenute nel GDPR[6] , fondando le proprie perplessità sulla ca-renza di “ragioni e prove tali da giustificare la creazione di un database senza precedenti in Europa”. Ciò di cui si discute è fino a che punto sia necessaria una raccolta di dati di massa, indiscriminatamen-te su tutta la popolazione e in che modo questo strumento possa coordinarsi con il principio di pro-porzionalità sancito a chiare lettere dal GDPR. L’accento si sposta, infine, sulla reale efficacia di misure di questo tipo quando invece, secondo il Garante Europeo, “gli stessi risultati si potrebbero ottenere con misure più circoscritte, meno costose e meno invasive della privacy”.
D’altronde, non sarebbe il primo caso in cui la tutela dei dati personali retroceda rispetto ad altri in-teressi, considerati più rilevanti all’esito di un cauto bilanciamento. Si pensi alle ipotesi di divulgazione di per sé illecita di dati personali ottenuti senza il consenso dell’interessato, informazioni che, tuttavia, possono legittimamente assurgere, a determinate condizioni, ad elemento probatorio all’interno di un processo penale.
Non resta che attendere e verificare se i destinatari cui la Direttiva PNR si rivolge saranno concreta-mente in grado di restare confinati all’interno dei principi regolatori del trattamento dei dati perso-nali, individuando altresì le modalità con le quali potranno legittimamente svincolarsi nell’ottica del perseguimento di interessi più alti.
Il contenuto di questo articolo ha valore solo informativo e non costituisce un parere professionale.
Per ulteriori informazioni contattare Filippo Di Peio o Ilaria Todaro.
[1]Recepita in Italia con D. Lgs. 18.5.2018, n° 51.
[2]Recepita in Italia con D. Lgs. 21.5.2018, n° 53
[3]La PIU è incaricata della memorizzazione, analisi e trasmissione dei dati alle autorità competenti; in ogni caso, gli Stati membri hanno il diritto di richiedere i dati PNR anche alla PIU di un altro Stato, se utile ai fini di una specifica indagine.
[4]Nel caso di voli con più scali, ad esempio, i dati PNR di tutti i passeggeri dovranno essere trasmessi soltanto alle PIU de-gli Stati membri coinvolti.
[5]In particolare, i dati personali devono essere:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato;
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al consegui-mento delle finalità per le quali sono trattati;
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
[6]Si veda www.repubblica.it/tecnologia/2016/04/14/news/privacy_buttarelli-137648874/
