GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

Documenti analoghi
Gruppo di lavoro per la tutela dei dati Articolo 29

SENATO DELLA REPUBBLICA XVI LEGISLATURA

Consiglio dell'unione europea Bruxelles, 23 ottobre 2017 (OR. en)

Parere 2/2018. relativo al progetto di elenco dell autorità di controllo competente del Belgio. riguardante

SENATO DELLA REPUBBLICA XVII LEGISLATURA

Gruppo di lavoro Articolo 29 Protezione dei dati

GARANTE EUROPEO DELLA PROTEZIONE DEI DATI

Direttiva del Consiglio 2004/82/CE. 29 aprile 2004

Diritti dell interessato.

GARANTE EUROPEO DELLA PROTEZIONE DEI DATI

SENATO DELLA REPUBBLICA XVII LEGISLATURA

IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: TRA DISCIPLINA EUROPEA E ADEGUAMENTO DELLA DISCIPLINA NAZIONALE

DECISIONE DELLA COMMISSIONE

Il risultato della votazione sull'atto legislativo in oggetto figura nell'allegato della presente nota. Documento di riferimento:

SENATO DELLA REPUBBLICA XVI LEGISLATURA

IT Unita nella diversità IT B8-1092/1. Emendamento. Sophia in 't Veld, Cecilia Wikström, Angelika Mlinar a nome del gruppo ALDE

GARANTE EUROPEO DELLA PROTEZIONE DEI DATI

REGOLAMENTO DELEGATO (UE) /... DELLA COMMISSIONE. del

Adottato il 4 dicembre Adottato

Parere 4/2018. riguardante

NUOVA DISCIPLINA DELLA PRIVACY. Vademecum per le micro e piccole imprese

Sintesi del parere sulla proposta di rifusione della direttiva relativa al riutilizzo dell informazione del settore pubblico

Informazioni relative al trattamento dei dati personali dei clienti

GARANTE EUROPEO DELLA PROTEZIONE DEI DATI

Parere 1/2018. relativo al progetto di elenco dell'autorità di controllo competente dell'austria. riguardante

REGOLAMENTO (CE) N. 473/2006 DELLA COMMISSIONE

ANA - Informativa privacy - Soci ANA, Aggregati e Amici degli Alpini. Ultimo aggiornamento: 20 novembre 2018

REGOLAMENTO DELEGATO (UE) /... DELLA COMMISSIONE. del

CONFERENZA PARLAMENTARE UNIONE EUROPEA PAESI DEL PATTO DI STABILITA TEMA III. La lotta contro la criminalità organizzata Combattere i traffici

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

DECISIONE DI ESECUZIONE (UE) / DELLA COMMISSIONE. del

Proposta di. REGOLAMENTO (CE) n.../... DELLA COMMISSIONE

SENATO DELLA REPUBBLICA XVII LEGISLATURA

DISPOSIZIONI OPERATIVE IN MATERIA DI INCIDENTI DI SICUREZZA E DI VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)

SENATO DELLA REPUBBLICA XVII LEGISLATURA

SENATO DELLA REPUBBLICA XVII LEGISLATURA

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

SENATO DELLA REPUBBLICA XVII LEGISLATURA

REGOLAMENTO (UE) N. 1219/2012 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

L 200/46 Gazzetta ufficiale dell Unione europea

Gazzetta ufficiale dell Unione europea L 110/39

Regolamento UE 02016/679 RGDP Regolamento generale sulla protezione dei dati DIRITTI DELL INTERESSATO. Articolo 7 Diritto di revocare il consenso

CONSIGLIO D EUROPA. Comitato dei Ministri RACCOMANDAZIONE N. R (92) 1

GARANTE EUROPEO DELLA PROTEZIONE DEI DATI

(Testo rilevante ai fini del SEE)

BANCA CENTRALE EUROPEA

L allegato è stato pubblicato per la prima volta nel dicembre 2006 e da allora è stato di norma aggiornato tre volte l anno 2.

REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016

INFORMATIVA. In tale ottica preghiamo di prendere visione della seguente informativa.

IT Unita nella diversità IT B8-0477/1. Emendamento

Videosorveglianza Decalogo e regole per la privacy

GARANTE EUROPEO DELLA PROTEZIONE DEI DATI

Gdpr: cosa c è da sapere sulla guida applicativa del Garante privacy

Garante europeo della protezione dei dati

III ATTI ADOTTATI A NORMA DEL TITOLO VI DEL TRATTATO UE

PARLAMENTO EUROPEO. Commissione per le libertà pubbliche, la giustizia e gli affari interni DOCUMENTO DI LAVORO

Cittadini più garantiti

TERRORISMO INTERNAZIONALE, PRIVACY E PROTEZIONE DEI DATI PERSONALI

C 101/6 Gazzetta ufficiale dell Unione europea

STUDIO LEGALE AVV.MARIELLA LA SPADA PRIVACY POLICY

1. Introduzione. 2. LA BCE e la Commissione amministrativa del riesame. 3. Composizione della Commissione amministrativa ECB-PUBLIC

Parere 8/2018. riguardante

Relazione in Consiglio Grande e Generale per la ratifica della Convenzione delle Nazioni Unite contro la criminalità organizzata transnazionale

SENATO DELLA REPUBBLICA XVII LEGISLATURA

PROCEDURA DIRITTI DELL'INTERESSATO AI SENSI DEGLI ARTICOLI DA 15 A 23 DEL REGOLAMENTO 679/2016

INFORMATIVA EX ARTT. 13 E 14 DEL REGOLAMENTO UE n. 679 del 2016 (Trattamento dati personali)

DOMANDA DI AUTORIZZAZIONE AL MUTAMENTO NELLA DENOMINAZIONE DI AGENZIA DI VIAGGIO E TURISMO (legge provinciale 17 marzo 1988, n. 9 - art.

There are no translations available.

INFORMATIVA AI SOGGETTI RICHIEDENTI IMPIEGO

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

REGOLAMENTO SUL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI E INDIVIDUAZIONE DELLE TIPOLOGIE DI DATI E DELLE OPERAZIONI SU DATI

MATERIALE DIDATTICO PILLOLA 8 COMPITI DEL TITOLARE: PRIVACY BY DESIGN E PRIVACY BY DEFAULT. in collaborazione con

Policy sulla conservazione dei Dati Personali

C O M U N E D I C O D O G N O. ( Provincia di Lodi ) REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Proposta di DECISIONE DEL CONSIGLIO

Alberto Colabianchi (2007)

Parere 5/2018. riguardante

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

Regolamento Europeo n. 2016/679 sulla protezione dei dati personali Percorso di adeguamento

La normativa sulla privacy è definita in Italia come normativa sulla PROTEZIONE DEI DATI PERSONALI

PROCEDURA DIRITTI DELL'INTERESSATO AI SENSI DEGLI ARTICOLI DA 15 A 23 DEL REGOLAMENTO 679/2016

Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali

10062/19 buc/ub 1 JAI.1

(Atti legislativi) REGOLAMENTI REGOLAMENTO (UE) 2017/458 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO. del 15 marzo 2017

Il trattamento di particolari categorie di dati da parte delle Agenzie di Viaggi: dati sensibili e giudiziari nel nuovo Regolamento Privacy 679/2016

INFORMATIVA EX ARTT. 13 E 14 DEL REGOLAMENTO UE n. 679 del 2016 (Trattamento dati personali)

Allegato alla Raccomandazione n. R(95)4

INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI (PRIVACY) SISTEMI VIDEOSORVEGLIANZA (Art Regolamento Europeo Privacy 679/2016)

INFORMATIVA EX ARTT. 13 E 14 DEL REGOLAMENTO UE n. 679 del 2016

La presente indagine è volta a presentare un quadro, il più possibile. completo, del rapporto tra il Primo e il Terzo Pilastro nell ambito del diritto

INFORMATIVA AI CLIENTI E AI FORNITORI POTENZIALI. IN MATERIA DI PROTEZIONE DEI DATI PERSONALI AI SENSI DELL ART. 12 e ss. REGOLAMENTO UE 679/2016

ANALISI TECNICO NORMATIVA

ALLEGATO 1. Istruzioni per i responsabili interni

Transcript:

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI 00664/11/IT WP 181 Parere 10/2011 sulla proposta di direttiva del Parlamento europeo e del Consiglio sull uso dei dati del codice di prenotazione a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi adottato il 5 aprile 2011 Il Gruppo di lavoro è stato istituito in virtù dell articolo 29 della direttiva 95/46/CE. È l organo consultivo indipendente dell UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all articolo 30 della direttiva 95/46/CE e all articolo 15 della direttiva 2002/58/CE. Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e cittadinanza dell Unione) della Commissione europea, direzione generale Giustizia, B-1049 Bruxelles, Belgio, ufficio MO-59 06/036. Sito Internet: http://ec.europa.eu/justice/policies/privacy/index_en.htm [NdT] Ai fini del presente parere, con responsabile del trattamento e con incaricato del trattamento si intendono rispettivamente il titolare e il responsabile di cui all articolo 4, lettera f) e lettera g) del decreto legislativo 30 giugno 2003, n. 196 (codice in materia di protezione dei dati personali).

Il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito con direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, visto l articolo 29 e l articolo 30, paragrafo 1, lettera a), e paragrafo 3, della suddetta direttiva, e l articolo 15, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, visto il proprio regolamento interno, ha adottato il seguente parere: 1. Introduzione Il 2 febbraio 2011 la Commissione europea ha pubblicato una proposta di direttiva sull uso dei dati del codice di prenotazione a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. Il Gruppo di lavoro ha formulato un parere sulla precedente proposta PNR dell UE (proposta di decisione quadro del Consiglio sull uso dei dati del codice di prenotazione (Passenger Name Record, PNR) nelle attività di contrasto), presentata dalla Commissione il 6 novembre 2007 1. In pareri precedenti il Gruppo di lavoro si è inoltre ampiamente espresso sui vari accordi PNR esistenti tra l UE e alcuni paesi terzi nonché sull approccio adottato dalla Commissione nella comunicazione del 21 settembre 2010 2. Il Gruppo di lavoro ha altresì ribadito le proprie preoccupazioni sulle problematiche PNR in varie lettere inviate al commissario Barrot, alla commissaria Malmström, al direttore generale Faull e alla commissione LIBE del Parlamento europeo. Il presente parere è rivolto ai soggetti coinvolti nella discussione e nello sviluppo dell ultima proposta, ossia la Commissione, il gruppo per le questioni generali, valutazione compresa (GENVAL) del Consiglio e il Parlamento europeo. 2. Necessità e proporzionalità La proposta del 2011 è accompagnata da una valutazione d impatto volta a illustrare più dettagliatamente la motivazione alla base della proposta e le sue disposizioni. Il Gruppo di lavoro ritiene che la lotta contro il terrorismo e la criminalità organizzata sia necessaria e legittima e che i dati personali, in particolare determinati dati dei passeggeri, possano risultare utili per valutare i rischi e per prevenire e combattere il terrorismo e la criminalità organizzata. Tuttavia, nel caso di un sistema europeo di dati PNR è necessario giustificare qualsiasi limitazione dei diritti e delle libertà fondamentali e dimostrarne chiaramente la necessità affinché sia possibile trovare un giusto equilibrio tra l esigenza di tutelare la sicurezza pubblica e quella di limitare il diritto alla privacy. Il Gruppo di lavoro ha costantemente messo in discussione la necessità e la proporzionalità dei sistemi PNR e continua a farlo con la proposta del 2011. Pur apprezzando le informazioni 1 2 WP 145 parere comune adottato congiuntamente con il Gruppo di lavoro per la cooperazione giudiziaria e di polizia. Pareri WP 103 (Canada), WP 138 (USA), WP 151 (USA informazione dei passeggeri) e WP 178 (approccio globale della Commissione). 2

supplementari contenute nella valutazione d impatto, riteniamo che non forniscano una valutazione adeguata dell uso dei dati PNR e che non dimostrino la necessità delle misure proposte. La proposta dovrebbe indicare chiaramente se è finalizzata a combattere i reati gravi (di natura transnazionale), tra cui anche il terrorismo, o se il suo obiettivo è esclusivamente la lotta contro il terrorismo e i reati legati al terrorismo. Il capitolo 3.2 della valutazione d impatto Osservazioni in materia di diritti fondamentali si limita ad affermare che è stata utilizzata la Check-list diritti fondamentali, ma non fornisce altre informazioni che giustifichino le conclusioni emerse dalla valutazione. Questo capitolo contiene inoltre un ragionamento circolare per l ingerenza nel diritto al rispetto della vita privata sancito dall articolo 8 della Convenzione per la salvaguardia dei diritti dell uomo e delle libertà fondamentali e dagli articoli 7 e 8 della Carta dei diritti fondamentali dell Unione europea. Il prerequisito giuridico per l ingerenza in tale diritto è che essa sia necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui, oltre a essere necessaria in una società democratica, nel rispetto del principio di proporzionalità. Il fatto che l obiettivo della proposta sia la prevenzione del terrorismo e dei reati gravi non significa che la proposta sia indubbiamente conforme a tali requisiti; la necessità e la proporzionalità devono ancora essere dimostrate. La comunicazione della Commissione sul panorama dei sistemi di gestione delle informazioni 3 afferma: Necessità L ingerenza di un autorità pubblica nel diritto di ciascuno al rispetto della vita privata può essere una misura necessaria alla sicurezza nazionale, alla pubblica sicurezza e alla prevenzione dei reati. La giurisprudenza della Corte europea dei diritti dell uomo stabilisce tre condizioni che giustificano tali restrizioni: se sono previste dalla legge, se perseguono un obiettivo legittimo e se sono necessarie in una società democratica. L ingerenza nell esercizio del diritto al rispetto della vita privata è considerata necessaria se risponde a un esigenza sociale impellente, se è proporzionata all obiettivo perseguito e se le ragioni avanzate dall autorità pubblica per giustificarla risultano pertinenti e sufficienti. In tutte le proposte future, la Commissione valuterà l impatto stimato dell iniziativa sul diritto di ciascuno al rispetto della vita privata e alla protezione dei dati personali e preciserà perché tale impatto è necessario e per quale motivo la soluzione proposta è proporzionata all obiettivo legittimo del mantenimento della sicurezza interna nell Unione europea, della prevenzione dei reati o della gestione dell immigrazione. Il Gruppo di lavoro ritiene che, per quanto riguarda la proposta PNR dell UE, la Commissione non abbia rispettato gli impegni assunti nella suddetta dichiarazione. Sono di seguito esaminate altre considerazioni relative alla necessità e alla proporzionalità. 2.1. Rafforzamento della sicurezza La proposta e la valutazione d impatto affermano che un sistema PNR a livello dell UE garantirebbe la sicurezza ed eviterebbe le falle causate dall abolizione dei controlli alle frontiere interne ai sensi della convenzione Schengen. Si tratterebbe di un obiettivo legittimo, 3 Panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia (COM(2010) 385 definitivo). 3

se fosse opportunamente giustificato; il Gruppo di lavoro, tuttavia, non ha ancora riscontrato elementi di prova sufficienti a dimostrare che il trattamento dei dati PNR in tutti gli Stati membri eviterebbe le falle nella sicurezza derivanti dal trattamento di questi dati solo in alcuni Stati membri. A livello dell UE esistono già sistemi e strumenti volti a compensare l abolizione dei controlli alle frontiere tra i paesi Schengen, basati sul cosiddetto acquis di Schengen; pertanto, qualora permangano falle nella sicurezza, si dovrebbe innanzitutto analizzare il corretto funzionamento dei sistemi esistenti. 2.2. Strumenti, sistemi e metodi di cooperazione esistenti La comunicazione della Commissione sul panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia non ha valutato l efficacia dei vari sistemi esistenti né ha esaminato se, nel complesso, essi costituiscano gli strumenti adeguati per la lotta contro il terrorismo e la criminalità organizzata evidenziando, in caso contrario, le eventuali lacune. Il Gruppo di lavoro ritiene che tale valutazione sia necessaria prima di imporre altre misure analoghe, quali un sistema PNR a livello dell UE. Oltre a determinare una sovrapposizione degli obblighi incombenti sui vettori e la raccolta di dati già disponibili attraverso altri sistemi, la proposta di PNR presenta un serio rischio di function creep (slittamento di funzione). La direttiva API, per esempio, obbliga i vettori a comunicare in anticipo le informazioni relative alle persone trasportate e prevede che l uso dei dati non sia limitato ai controlli di frontiera, ma possa avvenire anche per finalità di applicazione normativa. Pur avendo affrontato più volte la questione con la Commissione, il Gruppo di lavoro constata che non è ancora stata effettuata una valutazione adeguata dell efficacia della direttiva API e della sua attuazione a livello nazionale, e contesta la necessità di continuare ad avvalersene qualora venga introdotto un sistema PNR a livello dell UE. Il Gruppo di lavoro si chiede se tutte le forme di cooperazione giudiziaria e di polizia esistenti nell UE volte a prevenire e a reprimere la criminalità, compresa la lotta contro il terrorismo e i reati gravi, non rappresentino strumenti adeguati per il fine che la proposta di PNR dell UE intende perseguire. La valutazione d impatto non svolge questa analisi. Il Gruppo di lavoro riconosce che taluni Stati membri non Schengen non possono beneficiare di alcuni strumenti e sistemi esistenti, il che potrebbe incidere sul parametro della necessità per questi paesi. Tali Stati membri, tuttavia, possono applicare la direttiva API, opportunità di cui, di fatto, si avvalgono, e occorre valutare se un migliore utilizzo dei sistemi esistenti e una migliore cooperazione tra questi Stati membri e gli altri permettano in realtà di ottenere le informazioni necessarie per le finalità pertinenti. È altresì opportuno sottolineare che il fatto che i dati PNR verranno utilizzati come strumento di intelligence, come indicato nella valutazione d impatto, aumenta inoltre il livello dei requisiti per quanto riguarda le garanzie in materia di protezione dei dati. 2.3. Proporzionalità Ai sensi della proposta verrà raccolta un enorme quantità di dati personali relativi a tutti i passeggeri, sospetti o meno, in volo da e per l UE. La raccolta e il trattamento dei dati PNR al fine di combattere il terrorismo e i reati gravi non devono permettere il monitoraggio e il 4

controllo di massa di tutti i viaggiatori. Il Gruppo di lavoro ritiene che raccogliere e conservare tutti i dati di tutti i passeggeri di tutti i voli sia una misura sproporzionata e pertanto non in linea con l articolo 8 della Carta dei diritti fondamentali. Come precedentemente indicato, la valutazione d impatto non fornisce prove convincenti al riguardo. Le proposte formulate a livello dell UE devono essere specifiche e mirate ad affrontare un problema preciso e, nel contesto attuale, eventuali proposte devono concentrarsi sui rischi posti dal terrorismo e dai reati gravi. Il Gruppo di lavoro nutre seri dubbi sulla proporzionalità del confronto sistematico dei dati di tutti i passeggeri sulla base di alcuni criteri prestabiliti e di banche dati pertinenti non precisate. Non è chiaro come dovranno essere definiti questi criteri prestabiliti e le banche dati pertinenti, se i dati PNR verranno utilizzati per creare o aggiornare i criteri e in quale misura tutti i riscontri diventeranno automaticamente oggetto di ulteriori indagini. Il Gruppo di lavoro desidera altresì ricordare che in alcuni Stati membri metodi di polizia analoghi sono costituzionalmente ammissibili e disponibili alle forze di polizia solo previa autorizzazione dell autorità giudiziaria e in circostanze specifiche, quali una minaccia precisa. Il sistema PNR proposto renderebbe questo metodo eccezionale uno strumento ordinario per il lavoro di polizia. Le misure che non sono in grado di garantire la protezione dei diritti e delle libertà dei viaggiatori sono proporzionate solo se vengono introdotte come provvedimento temporaneo per far fronte a una minaccia specifica, il che non avviene nel caso della proposta in esame. L intrusione nella vita privata dei viaggiatori deve essere proporzionata ai vantaggi per la lotta contro il terrorismo e i reati gravi. Al Gruppo di lavoro non sono ancora pervenute statistiche che illustrino il rapporto tra il numero di viaggiatori innocenti di cui sono stati raccolti dati PNR e il numero di risultati ottenuti a livello repressivo grazie alla raccolta di tali dati PNR. In sintesi, il Gruppo di lavoro è ancora del parere che la necessità del sistema non sia stata dimostrata e che le misure proposte non siano in linea con il principio di proporzionalità. Ciononostante, ritiene costruttivo formulare osservazioni anche su altri aspetti della proposta di direttiva, quali evidenziati di seguito. 3. Finalità La proposta di direttiva delinea due obiettivi generali per il trattamento dei dati, articolati su quattro attività specifiche. I dati PNR possono essere trattati esclusivamente a fini di: - prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, valutando i passeggeri prima dell arrivo o della partenza attraverso il confronto dei loro dati PNR con le banche dati pertinenti (obiettivo 1, attività 1) nonché rispondendo alle richieste delle autorità competenti in casi specifici (obiettivo 1, attività 2); e - prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi di natura transnazionale, valutando i passeggeri prima dell arrivo o della partenza sulla base di criteri specifici (obiettivo 2, attività 3) nonché analizzando i dati PNR per aggiornare i criteri o definirne di nuovi (obiettivo 2, attività 4). 5

Non è chiaro in che cosa consistano questi obiettivi nella pratica. L obiettivo 1, attività 1, sembra comportare il confronto con elenchi di controllo, banca dati SIS o altre banche dati a livello UE o nazionale. L obiettivo 1, attività 2, sembra comportare la condivisione di informazioni, caso per caso, in seguito a una richiesta specifica. L obiettivo 2, attività 3, sembra comportare il confronto dei dati PNR con determinati profili al fine di identificare eventuali passeggeri implicati in reati specifici, mentre l obiettivo 2, attività 4, sembra comportare l utilizzo dei dati PNR per lo sviluppo di tali profili. Un principio essenziale della protezione dei dati è la definizione rigorosa degli obiettivi e delle attività. Anche le banche dati pertinenti devono essere definite in maniera più specifica, eventualmente aggiungendole all elenco di autorità competenti che ogni Stato membro sarà tenuto a fornire alla Commissione. In ogni caso le banche dati utilizzate devono essere quelle istituite per le medesime finalità, ossia prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. La normativa di attuazione, inoltre, deve essere chiara per quanto riguarda le limitazioni all utilizzo di queste banche dati. Il Gruppo di lavoro ricorda altresì l importanza di assicurarsi che gli eventuali criteri di valutazione utilizzati dagli Stati membri per l analisi dei dati siano specifici, necessari, giustificati e vengano rivisti periodicamente. 3.1. Definizioni La proposta definisce reati di terrorismo i reati ai sensi del diritto nazionale di cui agli articoli da 1 a 4 della decisione quadro 2002/475/GAI del Consiglio. Sono definiti reati gravi e reati gravi di natura transnazionale i reati ai sensi del diritto nazionale di cui all articolo 2, paragrafo 2, della decisione quadro 2002/584/GAI del Consiglio. Il Gruppo di lavoro sottolinea l importanza di definizioni concrete in quest ambito; tuttavia, la definizione di reati gravi è piuttosto ampia e il Gruppo di lavoro mette in dubbio la necessità e la proporzionalità di utilizzare i dati PNR per alcuni di questi reati. A tale proposito, il considerando 12 della proposta afferma che gli Stati membri possono escludere i reati minori per i quali il trattamento dei dati PNR non sia conforme al principio di proporzionalità; la scelta, tuttavia, è a discrezione degli Stati membri. Questa possibilità determinerà probabilmente una situazione in cui i reati verranno inclusi in uno Stato membro ed esclusi in un altro. Non è chiaro a chi spetti decidere sulla proporzionalità e se tale decisione debba essere comunicata alla Commissione, né chi potrebbe essere responsabile di garantire la coerenza e la corretta applicazione del principio di proporzionalità. Le preoccupazioni del Gruppo di lavoro riguardo alla portata potenzialmente ampia della definizione di reati gravi sono pertinenti anche per le disposizioni della proposta di direttiva sulla condivisione dei dati con altre autorità sia all interno che all esterno dell UE. 4. Conservazione I periodi di conservazione proposti sono chiaramente ridotti rispetto alla proposta precedente e ai vari accordi PNR a livello dell UE. Il Gruppo di lavoro, tuttavia, continua a ritenere sproporzionata la proposta di conservare i dati, ancorché mascherati, per cinque anni. Una preoccupazione che viene da sempre nutrita riguardo ai sistemi PNR è che tutti i dati relativi a tutti i viaggiatori vengono conservati per lo stesso periodo di tempo e che questo periodo di 6

conservazione è a sua volta sproporzionato. Il Gruppo di lavoro non ha riscontrato elementi di prova sufficienti a dimostrare la necessità di conservare i dati relativi a tutti i viaggiatori e della necessità di conservarli per cinque anni. 4.1. Mascheramento dei dati Benché la proposta affermi che i dati verranno mascherati dopo 30 giorni e che, in generale, saranno accessibili solo a taluni membri del personale delle Unità d informazione sui passeggeri incaricati di elaborare profili e /modalità di viaggio, sarà possibile avere pieno accesso a tutti i dati per l intero periodo di conservazione. Benché il mascheramento costituisca un tentativo di minimizzazione dei dati e di controllo dell accesso, che sono importanti principi della protezione dei dati, il Gruppo di lavoro continua a interrogarsi sulla necessità di conservare tutti i dati relativi a tutti i viaggiatori e ritiene che i dati riguardanti i viaggiatori non sospetti debbano essere cancellati. Qualora il legislatore dovesse decidere di conservare i dati per un periodo di tempo limitato, sarà necessario proteggere le informazioni in questione in modo tale che gli elementi di identificazione non vengano rivelati. Occorrerà garantirne la protezione al più tardi all arrivo del volo. L accesso ai dati protetti per recuperare elementi di identificazione dovrà essere assoggettato a una decisione giurisdizionale caso per caso nell ambito di specifiche indagini penali. Il Gruppo di lavoro desidera inoltre sottolineare con forza la necessità di utilizzare un linguaggio preciso che non confonda e non induca in errore. La proposta cita sia il mascheramento che l anonimizzazione. Si tratta di due misure diverse ed è evidente che è al mascheramento che si intende fare riferimento, non all anonimizzazione, in quanto è ancora possibile recuperare facilmente gli elementi identificativi di una persona. La proposta non deve, volontariamente o meno, confondere o indurre in errore né formulare promesse che forse non sarà in grado di mantenere. 5. Diritti in materia di protezione dei dati personali La proposta contiene disposizioni specifiche in materia di protezione dei dati. A parere del Gruppo di lavoro è indispensabile che tutte le proposte dell UE che incidono sui diritti e sulle libertà fondamentali delle persone contengano disposizioni riguardanti i diritti di accesso, rettifica, compensazione e ricorso degli interessati. Tuttavia, i diritti ai quali fa riferimento la proposta in esame sono quelli della decisione quadro 2008/977/GAI, non della direttiva 95/46/CE. Di conseguenza, i diritti sono più limitati. Non è chiaro se i diritti si applicano esclusivamente ai dati trasferiti a un altra autorità o se includono i dati in possesso dell autorità nazionale. In alcuni Stati membri che attualmente utilizzano i dati PNR le persone beneficiano di diritti di accesso, rettifica e ricorso conformemente alla normativa nazionale di attuazione della direttiva 95/46/CE; se la proposta di direttiva sull uso dei dati PNR entrerà in vigore, questi diritti verranno ridotti. Inoltre, l attività di profilazione può comportare il rischio di discriminazione; questo sistema, infatti, prende in considerazione i passeggeri aerei come gruppo. Ai passeggeri non vengono fornite informazioni sui criteri in base ai quali vengono valutati e questa lacuna pregiudica l esercizio dei diritti delle persone direttamente interessate dall attività di profilazione. 7

Il Gruppo di lavoro ricorda l importanza di inserire misure e garanzie adeguate in materia di protezione dei dati nelle proposte dell UE che incidono sui diritti e sulle libertà fondamentali delle persone, quali norme relative alla riservatezza e alla sicurezza del trattamento, obblighi di informare le persone e divieti di trasferimento dei dati a privati; fa inoltre presente che le decisioni non devono essere prese esclusivamente sulla base del trattamento automatizzato dei dati. Il Gruppo di lavoro sottolinea altresì l importanza di includere autorità nazionali di controllo incaricate dell attuazione della legislazione UE a livello nazionale. Per quanto riguarda i dati sensibili, la proposta afferma che dovranno essere filtrati e cancellati dall Unità d informazione sui passeggeri. Nei pareri formulati sui vari accordi PNR dell UE con paesi terzi, il Gruppo di lavoro si è sempre espresso a favore del divieto di trattamento dei dati sensibili in questo contesto e ribadisce con forza l opinione sostenuta da lungo tempo per cui il processo di filtraggio deve essere effettuato dal vettore prima che i dati siano trasmessi (con il metodo push ) all autorità ricevente. Il Gruppo di lavoro sottolinea l importanza di assicurarsi che le proposte dell UE che incidono sui diritti e sulle libertà fondamentali delle persone prevedano requisiti di sorveglianza e revisione, quali la registrazione dei trattamenti e delle richieste di dati, ai fini della verifica della legalità del trattamento, dell autocontrollo e per garantire l integrità e la sicurezza dei dati da parte delle autorità nazionali di protezione dei dati. Tuttavia, è importante capire come funzioneranno tali sistemi nella pratica e come una registrazione e una documentazione efficaci rispetteranno i principi di minimizzazione dei dati precedentemente menzionati. 6. Elementi di dati A differenza dei dati API, i dati PNR non sono verificati e, di conseguenza, sono meno attendibili. Gli elementi di dati elencati nell allegato alla proposta sono gli stessi 19 elementi contenuti negli accordi PNR UE-USA e UE-Canada. Il Gruppo di lavoro ribadisce la propria posizione, secondo cui non esistono elementi di prova sufficienti a dimostrare quali campi si sono rivelati necessari e, pertanto, tale elenco è sproporzionato. Le categorie sono generali e alcune sono costituite da ulteriori sottoinsiemi di dati. Benché la proposta preveda il divieto di trattamento dei dati personali sensibili, nell elenco degli elementi di dati figura il campo osservazioni generali, che potrebbe contenere qualunque tipo di informazioni, quali richieste di pasti, richieste di servizi speciali e così via. Il Gruppo di lavoro non ha ancora riscontrato prove sufficienti a dimostrare quali elementi di dati PNR si sono rivelati necessari o sono stati utilizzati efficacemente a fini di contrasto. Inoltre, non tutti i vettori raccolgono dati PNR. 7. Autorità competenti e trasferimenti successivi La proposta afferma che gli Stati membri devono notificare alla Commissione l elenco delle proprie autorità competenti entro dodici mesi dall entrata in vigore della direttiva e che tale elenco sarà pubblicato nella Gazzetta ufficiale. Il Gruppo di lavoro sostiene le misure di trasparenza che indicano chiaramente chi è autorizzato a ricevere e a trattare i dati. Tuttavia, i ruoli (responsabile del trattamento/incaricato del trattamento) delle autorità competenti e delle Unità d informazione sui passeggeri non sono chiari. 8

Il Gruppo di lavoro ribadisce le proprie preoccupazioni in merito all ampia definizione di reati gravi, in particolare riguardo ai trasferimenti successivi, sia all interno che all esterno dell UE. 8. Riesame e reciprocità La proposta prevede il riesame della direttiva entro quattro anni dalla sua entrata in vigore nonché un riesame speciale dell eventuale estensione del suo campo di applicazione ai voli intraeuropei entro due anni dalla sua entrata in vigore. Il Gruppo di lavoro sottolinea la necessità che i processi di revisione legislativa dell UE prevedano criteri chiari per valutare la necessità e l efficacia di un sistema. Il Gruppo di lavoro ribadisce altresì l importanza di includere le autorità nazionali di protezione dei dati in tutti i processi di revisione, tanto più poiché si tratta di una disposizione prevista da altri strumenti dell Unione, quali gli accordi PNR dell UE con paesi terzi. Il Gruppo di lavoro sottolinea l importanza che, nell elaborazione delle proposte dell UE, siano prese in considerazione le implicazioni di eventuali requisiti di reciprocità. Un modello europeo PNR potrebbe dare luogo all imposizione di requisiti analoghi da parte di paesi non democratici o di paesi che non garantiscono un adeguato livello di protezione dei diritti e delle libertà fondamentali, compresi i dati personali e la vita privata. È evidente che, qualora tali paesi dovessero ricevere dati PNR dall UE, le conseguenze per gli interessati potrebbero essere gravi. 9. Conclusione Il Gruppo di lavoro ritiene che non sia stata ancora dimostrata la necessità di istituire un sistema PNR a livello dell UE e che le misure proposte non siano in linea con il principio di proporzionalità, in particolare perché il sistema prevede la raccolta e la conservazione di tutti i dati di tutti i passeggeri di tutti i voli. Il Gruppo di lavoro nutre inoltre seri dubbi sulla proporzionalità del confronto sistematico dei dati di tutti i passeggeri sulla base di criteri prestabiliti. Il Gruppo di lavoro raccomanda innanzitutto di valutare i sistemi e i metodi di cooperazione esistenti e la loro compatibilità al fine di individuare falle nella sicurezza. Qualora vengano riscontrate lacune in tal senso, il passo successivo da compiere consisterà nell analizzare il modo migliore per colmarle, che non comporterà necessariamente l introduzione di un sistema del tutto nuovo. Si potrebbero sfruttare e migliorare ulteriormente i meccanismi esistenti. Qualora entri in vigore, la proposta di direttiva in esame dovrà assicurare misure e garanzie adeguate in materia di protezione dei dati. La Commissione dovrà inoltre valutare l opportunità di abrogare, di conseguenza, sistemi esistenti quali la direttiva API, al fine di evitare la sovrapposizione di misure. 9

Il Gruppo di lavoro continuerà a seguire attentamente gli sviluppi della situazione e accoglie con favore tutte le opportunità di illustrare e chiarire ulteriormente le proprie posizioni alle varie parti interessate coinvolte nella proposta. Il Gruppo di lavoro continuerà inoltre a formulare pareri ove opportuno e necessario. Fatto a Bruxelles, il 5 aprile 2011 Per il Gruppo di lavoro Il presidente Jacob KOHNSTAMM 10

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back