g-docweb-display Portlet

Parere su uno schema di decreto legislativo recante attuazione della direttiva (UE) 2017/2109, che modifica la direttiva 98/41/CE, relativa alla registrazione delle persone a bordo delle navi da passeggeri che effettuano viaggi da e verso i porti degli Stati membri della Comunità, e la direttiva 2010/65/UE, relativa alle formalità di dichiarazione delle navi in arrivo e/o in partenza da porti...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9277100]

Parere su uno schema di decreto legislativo recante attuazione della direttiva (UE) 2017/2109, che modifica la direttiva 98/41/CE, relativa alla registrazione delle persone a bordo delle navi da passeggeri che effettuano viaggi da e verso i porti degli Stati membri della Comunità, e la direttiva 2010/65/UE, relativa alle formalità di dichiarazione delle navi in arrivo e/o in partenza da porti degli Stati membri - 23 gennaio 2010

Registro dei provvedimenti
n. 9 del  23 gennaio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero delle infrastrutture e dei trasporti;

Visto l’articolo 36, par. 4, del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

1. Il Ministero delle infrastrutture e dei trasporti ha chiesto il parere del Garante in ordine a uno schema di decreto legislativo recante attuazione della direttiva (UE) 2017/2109 del Parlamento europeo e del Consiglio del 15 novembre 2017, che modifica la direttiva 98/41/CE, relativa alla registrazione delle persone a bordo delle navi da passeggeri che effettuano viaggi da e verso i porti degli Stati membri della Comunità, e la direttiva 2010/65/UE, relativa alle formalità di dichiarazione delle navi in arrivo e/o in partenza da porti degli Stati membri.

Il decreto legislativo è adottato in attuazione della delega contenuta nella legge 4 ottobre 2019, n. 117 (Legge di delegazione europea - v. Allegato A, n. 8) e, in particolare, dell’articolo 18 che individua specifici criteri per l’attuazione appunto della citata direttiva (UE) 2017/2109.

RILEVATO

2. Lo schema di decreto legislativo si propone di aggiornare, chiarire e semplificare gli attuali requisiti per il conteggio e la registrazione dei passeggeri e dei membri dell’equipaggio a bordo delle navi da passeggeri, rafforzando, al contempo, il livello di sicurezza della navigazione.

Come viene infatti espressamente previsto dall’articolo 1 dello schema, la  raccolta di dati effettuata a bordo delle navi è finalizzata a “migliorare il livello di sicurezza e accrescere la possibilità di salvataggio dei passeggeri e dei membri dell’equipaggio… nonché a garantire una gestione più efficace delle operazioni di ricerca e soccorso” anche nell’ottica di sfruttare, in attuazione della direttiva (UE) 2017/2109, le potenzialità della digitalizzazione nell’ambito della registrazione, trasmissione, disponibilità e protezione dei dati.

Tra le disposizioni dello schema, di particolare interesse sotto il profilo della protezione dei dati personali appaiono, innanzitutto, gli articoli 4 e 5, i quali prevedono che prima della partenza della nave, a cura dell’addetto alla registrazione dei passeggeri vengano registrate nell’”interfaccia unica nazionale”, oltre al conteggio delle persone a bordo (art. 4) anche le loro generalità e, se espressamente richiesto dal passeggero, i dati relativi alle eventuali cure e assistenza speciali necessarie in caso di emergenze con un numero di contatto del passeggero (art. 5).  L’interfaccia unica nazionale è il sistema informativo per la gestione amministrativa delle attività portuali (PMIS - Port management Information System) di cui all’articolo 8, comma 10, lettera b), del decreto legge 18 ottobre 2012, n. 179, c.d. “decreto crescita” (art. 2, comma 1, lett. g), dello schema).

L’articolo 6 dello schema prevede, inoltre, specifici obblighi ricadenti in capo alle società di gestione di una nave da passeggeri, tra i quali quelli di rendere disponibili i dati sulle persone di cui agli articoli 4 e 5 e di designare un addetto alla registrazione dei passeggeri responsabile di inserire le informazioni nell’interfaccia unica nazionale o nel sistema di identificazione automatica.

Il ruolo dell’addetto alla registrazione dei passeggeri – si legge nella relazione illustrativa - non è più quello di conservare i dati (come era invece ai sensi del D.M. 13 ottobre 1999, recante il recepimento della direttiva 98/41), bensì quello di curare la loro trasmissione ai sistemi informativi, avvalendosi del raccomandatario marittimo e del comandante della nave. In tale ottica, all’articolo 6, comma 5 dello schema viene espressamente previsto che la società debba provvedere affinché le informazioni riguardanti i passeggeri che hanno dichiarato di aver bisogno di cure o assistenza speciali in situazioni di emergenza, siano debitamente registrate e trasmesse al comandante della nave prima della partenza della stessa, in modo da essere immediatamente disponibili in caso di necessità.

L’articolo 8 dello schema prevede, inoltre, l’obbligo in capo alle suddette società di dotarsi di una procedura di registrazione dei dati personali che garantisca precisione delle dichiarazioni e rispetto delle tempistiche prescritte, tali comunque da non ritardare indebitamente l’imbarco e lo sbarco dei passeggeri e da evitare la presenza di più raccolte di dati sulla stessa rotta. È inoltre espressamente previsto che in caso di incidente o di emergenza, l’Autorità che coordina i soccorsi ha accesso immediato alle informazioni sulle persone a bordo, in modo da rendere i soccorsi più celeri ed efficaci.

All’articolo 9, lo schema prevede che venga fornita ai passeggeri una specifica “informativa”, tramite il biglietto o direttamente dalla società che assume l’esercizio della nave. In tal modo il passeggero è informato sui motivi posti alla base della raccolta dei dati (finalità) e sulla facoltà di indicare eventuali informazioni utili nel caso di cure particolari o assistenza speciale in caso di emergenza, nonché in merito alla circostanza che i dati personali sono conservati solo per il tempo strettamente necessario.

L’articolo 10 disciplina le attività di controllo, prevedendo che l’autorità marittima possa effettuare controlli, anche a campione e non programmati, presso le società o nelle biglietterie, nelle strutture portuali o attraverso i sistemi informatici, al fine di accertare il rispetto delle disposizioni riguardanti il conteggio e la registrazione, nell’ambito delle competenze già attribuite al Corpo delle Capitanerie di porto in tema di sicurezza della navigazione.

L’articolo 11 dello schema introduce un sistema sanzionatorio teso ad assicurare il rispetto delle prescrizioni e dei comportamenti posti a tutela della sicurezza della navigazione e a salvaguardia della vita umana in mare. In particolare, si prevede una sanzione pecuniaria per chiunque non osservi le previsioni inerenti il conteggio delle persone a bordo e i dati dei passeggeri e per la società che non disponga di una procedura di registrazione dei dati o che non designi un addetto alla registrazione passeggeri.

È poi prevista una specifica sanzione pecuniaria per “chiunque contravvenga ai divieti o non rispetti gli obblighi di riservatezza di cui all’articolo 12” del presente decreto (comma 4).

L’articolo 12 dello schema di decreto è espressamente dedicato al trattamento dei dati personali, disponendo che i dati personali raccolti ai sensi dell’articolo 5 siano conservati dalla società solo per il tempo necessario al raggiungimento delle finalità previste all’articolo 1 del decreto e, in ogni caso, fino al momento in cui il viaggio della nave sia terminato (in sicurezza), ma in nessun caso oltre sessanta giorni dalla partenza della nave, oppure, in caso di emergenza o in seguito a un incidente, fino al completamento di un’indagine o di un procedimento giudiziario. Si prevede inoltre che nel rispetto delle previsioni del Codice e del decreto legislativo 18 maggio 2018, n. 51, le informazioni che non sono più necessarie siano cancellate automaticamente e senza ritardo.

Sempre al medesimo articolo, al comma 4, è stabilito che i dati personali raccolti per le finalità di cui all’articolo 1 del presente schema, siano “altresì, utilizzati per i controlli di frontiera di cui al regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio del 9 marzo 2016, che istituisce un codice unionale relativo al regime di attraversamento delle frontiere da parte delle persone (codice frontiere Schengen)”.

RITENUTO

3. Esaminato lo schema di decreto legislativo, per gli aspetti di propria competenza relativi alla protezione dei dati personali, il Garante ritiene necessario svolgere le considerazioni di seguito riportate, volte a rendere pienamente conforme il decreto ai principi e alle regole del Regolamento.

3.1. Finalità del trattamento.

Lo schema di decreto legislativo recepisce la richiamata direttiva europea del 2017 con l’obiettivo di armonizzare, aggiornandoli, i requisiti previsti per la raccolta di informazioni sul numero delle persone a bordo di una nave passeggeri e sulla loro identità.

Come viene infatti espressamente previsto dall’articolo 1 dello schema, la  raccolta di dati effettuata a bordo delle navi è finalizzata a “migliorare il livello di sicurezza e accrescere la possibilità di salvataggio dei passeggeri e dei membri dell’equipaggio… nonché a garantire una gestione più efficace delle operazioni di ricerca e soccorso” anche nell’ottica di sfruttare, in attuazione della direttiva (UE) 2017/2109, le potenzialità della digitalizzazione nell’ambito della registrazione, trasmissione, disponibilità e protezione dei dati.

La direttiva 98/41/CE, come modificata dalla predetta direttiva (UE) 2017/2109 oggetto di attuazione, all’articolo 11-bis stabilisce che il trattamento di dati personali è effettuato in conformità del Regolamento (UE) 2016/679 (che deve essere opportunamente citato nel preambolo del decreto).

In base a tale normativa europea e, in particolare, al principio di “limitazione delle finalità” del trattamento, i dati devono essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” (art. 5, par. 1, lett. b), Reg.).

Al riguardo, si osserva che l’articolo 12 dello schema di decreto, dopo aver correttamente previsto, al comma 1, che “i dati personali raccolti ai sensi dell’art. 5 sono conservati dalla società solo per il tempo necessario per le finalità di cui al presente decreto (…)”, al comma 4 stabilisce, invece, che i medesimi dati siano altresì “utilizzati per i controlli di frontiera di cui al Regolamento Ue 2016/399 del Parlamento europeo e del Consiglio del 9 marzo 2016, che istituisce un codice unionale relativo al regime di attraversamento delle frontiere da parte delle persone (codice frontiere Schengen)”.

Non solo, ma in relazione a tale ulteriore utilizzo delle informazioni, il medesimo articolo 12, al comma 5, stabilisce che la disciplina delle modalità tecniche relative a trattamento, conservazione, tipologia e formato dei dati e trasferimento al Ministero dell’interno, nonché quelle relative al raffronto informatico dei dati con quelli conservati nelle altre banche dati nazionali, europee e internazionali contenenti informazioni utili al controllo delle frontiere, vengano stabilite con decreto del Ministro dell’interno, di concerto con il Ministro delle infrastrutture e dei trasporti e previa acquisizione del parere del Garante. Il che sembra preludere, peraltro, alla creazione di un nuovo database dedicato a tale scopo e interconnesso ad altre banche dati, senza alcuna specifica indicazione circa la effettiva necessità di tale ulteriore archivio per finalità di controllo delle frontiere Schengen.

L’ulteriore finalità di utilizzo delle informazioni sui passeggeri raccolte a bordo nave appena descritta non risulta contemplata dalle direttive europee oggetto di attuazione per come novellate dalla direttiva del 2017 e, inoltre, sembra eccedere i principi e criteri direttivi previsti per l’esercizio della delega stessa (cfr. art. 18 della legge n. 117/2019).

Al riguardo è doveroso segnalare che il Garante europeo per la protezione dei dati, con formali commenti indirizzati il 9 dicembre 2016 al Presidente del Consiglio Ue in relazione alla proposta di direttiva di modifica della direttiva 98/41/CE ha raccomandato, tra l’altro, che i dati personali dei passeggeri non venissero usati per scopi commerciali o come nuova risorsa per scopi di law enforcement o controllo delle frontiere (ad es. per il controllo dell’immigrazione illegale, ecc.) senza un’adeguata e specifica base legale (cfr. Note General Secretariat of the Council, 15533/16, del 13 dicembre 2016).

La predetta raccomandazione è stata recepita dal legislatore europeo con la previsione ora riportata nell’articolo 5, comma 4 della direttiva 98/41/CE (nel testo consolidato con le modifiche apportatevi dalla direttiva 2017/2109), secondo cui “Fatti salvi altri obblighi giuridici ai sensi della legislazione dell’Unione e nazionale sulla protezione dei dati, i dati personali raccolti ai fini della presente direttiva non sono trattati e usati per altri scopi (…)”.

Ciò premesso, il Garante esprime forti perplessità sulla compatibilità delle previsioni normative descritte (art. 12, commi 4 e 5, dello schema di decreto) con le finalità perseguite dalla direttiva 98/41/CE oggetto di attuazione (oltre che con i criteri di delega previsti dalla legge n. 117/2019), alla luce del quadro normativo europeo e nazionale di garanzie previste a tutela del diritto alla protezione dei dati personali degli interessati (cfr., in particolare, artt. 5, par. 1, lett. b), e 6, parr. 3 e 4, Reg.) e richiama pertanto l’attenzione dell’Amministrazione sull’opportunità di mantenere nell’articolato le disposizioni in questione.

3.2. Tipologia dei dati e base giuridica.

L’articolo 5, comma 1, dello schema, nell’individuare la tipologia dei dati delle persone raccolti a bordo della nave, comprende tra quelli obbligatori il cognome, nome, genere, nazionalità e data di nascita, mentre rimette ad una specifica iniziativa del passeggero il rilascio di ulteriori informazioni riferite alla necessità di cure o assistenze speciali in situazioni di emergenza, nonché a eventuali numeri da contattare in tali casi.

Si tratta, in quest’ultimo caso, di particolari categorie di dati personali (dati relativi alla salute degli interessati) la cui base giuridica, per il relativo trattamento, sembra potersi individuare nell’articolo 9, par. 1, lett. g) ed h), del Regolamento, considerato il motivo di interesse pubblico perseguito ed individuato dall’articolo 1 dello schema e le finalità di assistenza sanitaria sottese a tale raccolta di dati.

Al riguardo, si richiama l’attenzione dell’Amministrazione sull’opportunità che nell’informativa da rilasciare al passeggero ai sensi dell’articolo 13 del Regolamento, lo stesso sia reso edotto non solo della prevista possibilità di comunicare i propri dati sanitari (come in effetti risulta nell’articolo 9, che sembra far riferimento appunto all’informativa prevista del Regolamento) ma anche del fatto che tali dati saranno inseriti nell’interfaccia e trasmessi al comandante prima della partenza della nave (art. 6, comma 5).

3.3. Soggetti autorizzati e modalità del trattamento.

Nello schema non sono chiaramente individuabili le modalità di raccolta e inserimento dei dati nei pertinenti sistemi informativi, nonché i soggetti coinvolti nelle diverse operazioni di trattamento. Ciò sia nel caso in cui venga utilizzata l’interfaccia unica nazionale (ossia il sistema informativo per la gestione amministrative delle attività portuali), sia nel caso in cui i dati siano comunicati all’autorità designata per mezzo del sistema di identificazione automatica di bordo.

Sul punto, a titolo esemplificativo si rileva che l’articolo 6, comma 3, prevede genericamente che i dati dei passeggeri siano raccolti, prima della partenza, da un addetto alla registrazione, designato dalla società che gestisce la nave e l’articolo 8, comma 2, che, in caso di emergenza o in seguito ad incidente, l’Autorità designata a norma di legge, abbia accesso immediato alle predette informazioni, senza che però venga specificato con quali modalità ciò avvenga.

Ciò premesso, si ritiene opportuno che vengano definite meglio le modalità di raccolta e registrazione dei dati e siano chiaramente individuati i soggetti coinvolti nelle diverse operazioni di trattamento, con conseguente definizione dei ruoli di titolare e/o responsabile del trattamento (informazioni, quest’ultime, che dovranno essere riportate anche nell’informativa rilasciata ai passeggeri, in conformità a quanto previsto dall’art. 13, par. 1, lett a) e b) del Regolamento).

La definizione delle modalità attuative delle norme in esame potrebbe anche essere demandata ad un decreto di natura secondaria, da adottarsi sentito il Garante.

3.4. Sanzioni.

L’articolo 11 dello schema, nel prevedere alcune sanzioni pecuniarie, non contemplate nella precedente normativa, dà attuazione a quanto disposto all’articolo 14 della direttiva 98/41/CE, che richiede a ciascuno Stato membro di stabilire un sistema di sanzioni effettive, proporzionate e con efficacia dissuasiva per i casi di violazione delle disposizioni adottate negli ordinamenti nazionali.

Al riguardo si esprimono forti perplessità sul disposto di cui al comma 4 dell’articolo in esame, in base al quale una sanzione pecuniaria da 500 a 15.000 euro è applicata nei confronti di “chiunque contravvenga ai divieti o non rispetti gli obblighi di riservatezza di cui all’articolo 12”, con attribuzione, peraltro, della competenza a ricevere il rapporto al Capo del compartimento marittimo.

Ciò in quanto il Regolamento (UE) 2016/679, vincolante il legislatore nazionale, disciplina specificatamente le condizioni per comminare sanzioni amministrative pecuniarie derivanti da violazioni inerenti il diritto alla protezione di dati personali, attribuendo la relativa competenza alle autorità nazionali di controllo e quindi, nel nostro Paese, questa Autorità (artt. 83 del Regolamento e art. 2-bis del Codice).

Pertanto, oltre a rilevare la discrepanza tra l’importo del massimo edittale comminabile indicato nello schema di articolato e la relazione di accompagnamento, considerata la richiamata competenza di questa Autorità ad irrogare le sanzioni in caso di violazione di norme poste a presidio del diritto alla protezione dei dati personali, si ritiene necessario modificare il comma 4 dell’articolo 11, prevedendo che, in caso di accertata violazione, si proceda ad inviare opportuna informativa a questa Autorità.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini di cui in motivazione sullo schema di decreto legislativo recante l’attuazione della direttiva (UE) 2017/2109 del Parlamento europeo e del Consiglio del 15 novembre 2017, che modifica le direttive 98/41/CE e 2010/65/UE, con le osservazioni di cui ai punti da 3.1 a 3.3 e la condizione di cui al punto 3.4.

Roma, 23 gennaio 2020

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia