g-docweb-display Portlet

Parere su uno schema di decreto legislativo recante I'attuazione della direttiva (UE) 2016/681sull'uso dei dati del codice di prenotazione (PNR) - 22 febbraio 2018 [8159625]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 8159625]

Parere su uno schema di decreto legislativo recante I'attuazione della direttiva (UE) 2016/681sull´uso dei dati del codice di prenotazione (PNR)

Registro dei provvedimenti
n. 100 del 22 febbraio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Presidenza del Consiglio dei Ministri;

Visto l´art. 154, comma 4, del d.lgs. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito  Codice);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

La Presidenza del Consiglio dei Ministri ha richiesto il parere del Garante in ordine a uno schema di decreto legislativo – da adottarsi dal Governo nell´esercizio della delega conferita dall´articolo 12 della legge 25 ottobre 2017, n. 163 (Legge di delegazione europea 2016-2017) recante l´attuazione della direttiva (UE) 2016/681, del 27 aprile 2016, del Parlamento europeo e del Consiglio sull´uso dei dati del codice di prenotazione (PNR) ai fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (di seguito, «Direttiva PNR»).

Il presente provvedimento, come indicato nella relazione illustrativa corredata allo stesso, intende "dotare il nostro Paese, così da ‘allinearlo´ ad altri Stati membri dell´Unione Europea, di un ulteriore strumento nelle attività di prevenzione e di contrasto dei reati di terrorismo e di altri reati gravi", e inoltre, si propone di disciplinare, contestualmente, anche l´obbligo di trasmissione delle informazioni introdotto dalla direttiva 2004/82/CE del 29 aprile 2004, (di seguito, «Direttiva API»), assorbendo la relativa normativa di attuazione e disponendo l´abrogazione della stessa dal momento dell´entrata in vigore dei propri provvedimenti attuativi.

Il recepimento dei contenuti della direttiva UE/2016/681 sull´uso del codice di prenotazione (PNR) –si legge nella relazione illustrativa allo schema- tiene conto del fatto che il nostro ordinamento giuridico ha già recepito con il decreto legislativo 2 agosto 2007, n. 144, la direttiva 2004/82/CE, introduttiva dell´obbligo per i vettori aerei di comunicare, ai competenti uffici di polizia di frontiera, talune informazioni relative alle persone trasportate nel territorio dello Stato (API).

Pertanto, al fine di operare una semplificazione e razionalizzazione del sistema, anziché procedere all´istituzione di una ulteriore banca dati, in cui far confluire informazioni in parte "sovrapponibili" a quelle già contenute nella banca dati API, con il presente schema di decreto il legislatore "opera una reductio ad unitatem degli archivi informatici destinati a contenere i dati relativi ad API e PNR",  ritenendosi, in tal modo di evitare "il rischio di una duplicazione degli adempimenti per i vettori aerei, a causa della presenza di distinti sistemi informativi, con conseguenti ripercussioni per gli interessati, anche sotto il profilo della possibile lesione del diritto di protezione dei dati personali".

RILEVATO

1. Lo schema di decreto si compone si compone di 27 articoli, suddivisi in cinque capi.

1.1  Il primo Capo della schema (artt. 1 e 2) contiene disposizioni di carattere generale.

Al suo primo articolo viene definito l´obiettivo dell´intervento normativo che si sostanzia non solo nell´attuazione della Direttiva PNR, ma viene disposta una "contestuale rimodulazione della disciplina della trasmissione e del trattamento dei dati API (…)" (commi 1 e 2)

Tale disposizione, in ossequio al criterio direttivo di delega previsto dal citato articolo 12 della legge di delegazione europea 2016-2017, prevede l´adesione dello Stato italiano alla facoltà concessa dall´articolo 2 della normativa comunitaria di estendere l´applicazione dell´obbligo di trasmissione dei dati PNR anche in relazione ai voli intra-UE.

Il terzo comma dell´articolo 1, definisce l´ambito di applicazione, precisando che l´attuazione della Direttiva non pregiudica l´applicazione degli accordi o delle intese bilaterali o multilaterali sullo scambio di informazioni tra autorità competenti entrati in vigore con Stati membri dell´Unione europea entro il 24 maggio 2016, in quanto compatibili con la Direttiva stessa, né l´applicazione degli obblighi derivanti da accordi bilaterali o multilaterali conclusi con Stati non appartenenti all´Unione europea.

L´articolo 2 reca norme di carattere definitorio, anche ulteriori rispetto a quelle previste dalla Direttiva PNR, tra le quali meritano di essere segnalate, in particolare:

a) la definizione di "autorità competenti nazionali", intendendosi con essa "le Forze di polizia di cui all´articolo 16, primo comma, della Legge 1 aprile 1981, n. 121, la Direzione Investigativa Antimafia, gli Organismi di informazione e sicurezza facenti parte del Sistema di Informazione per la Sicurezza della Repubblica di cui agli articoli 4, 6 e 7 della Legge n. 124/2007, nonché la Direzione Nazionale Antimafia e Antiterrorismo e le Autorità giudiziarie competenti a perseguire i reati (…)"(comma 2, lett. b);

b) la nozione di "Sistema Informativo" quale strumento istituito ex novo per la raccolta, il trattamento e il trasferimento dai dati PNR (comma 2, lett. m);

c) l´"Unità d´informazione sui passeggeri (UIP) nazionale" intesa come unità a composizione interforze istituita al fine di trattare i dati PNR e adottare le misure necessarie a prevenire e reprimere reati di terrorismo o determinati altri reati gravi (comma 2, lett. o);

d) la definizione dei dati API quali parte dei dati PNR, contenuti, alla stregua di tutti i dati PNR, nel codice di prenotazione (comma 3, lett. c).

1.2   Il secondo Capo dello schema individua le specifiche finalità per le quali i dati PNR e i dati API possono essere trattati, in particolare stabilendo che i dati PNR e i dati API possono essere trattati, rispettivamente, al fine di prevenire e reprimere reati di terrorismo o altri reati gravi e al fine di prevenire il fenomeno dell´immigrazione irregolare (art. 3) e delinea l´organizzazione e la disciplina del Sistema Informativo dedicato alla trattazione dei dati PNR e dei dati API (artt. 4 e 5).

Gli articoli 6 e 7 dello schema di decreto, stabiliscono i soggetti legittimati ad effettuare le operazioni di trattamento dei dati. In particolare, l´articolo 6 definisce quali siano le funzioni dell´UIP nazionale, organo che si pone in posizione di assoluta centralità nel complesso sistema di introdotto nel nostro ordinamento ai fini dell´attuazione della Direttiva PNR. Essa è infatti incaricata di effettuare l´attività di analisi dei dati PNR trasmessi dai vettori aerei, al fine di individuare i passeggeri che potrebbero essere implicati in reati di terrorismo o in altri reati gravi. Inoltre, essendo l´attore che, in via principale e prevalente, dispone delle informazioni sui passeggeri e ne effettua il trattamento, l´UIP nazionale si configura anche quale terminale unico per la ricezione di istanze formulate dalle autorità competenti, dalle UIP di altri Stati membri o da Europol, volte a ottenere i dati PNR o i risultati della loro elaborazione.

Il successivo articolo 7, invece, è dedicato al trattamento dei dati API, i quali, pur essendo parte dei dati PNR e venendo quindi trattati dall´UIP nazionale al pari degli altri dati contenuti nel codice di prenotazione, devono essere altresì trattati, ai sensi della Direttiva API, dagli Uffici incaricati di svolgere i controlli di polizia di frontiera per le finalità previste dalla stessa Direttiva. Per rendere possibile tale operazione, il Sistema Informativo è strutturato, da un punto di vista tecnico-operativo, in modo da consentire, una volta ricevuti i dati PNR, il trattamento dei dati PNR ad opera dell´UIP nazionale e il contestuale trattamento del sottoinsieme dei dati API da parte degli operatori di frontiera, nel rispetto delle condizioni e delle finalità previste dai rispettivi Atti comunitari.

Vengono inoltre definite le  modalità operative del trattamento (artt. 8 e 9) e le condizioni per la conservazione dei dati (art. 10).

1.3. Al terzo Capo dello schema, viene disciplinato il flusso informativo dei dati PNR e dei risultati del loro trattamento, in un´ottica di rafforzamento del meccanismo di condivisione delle informazioni e di cooperazione europea in materia di prevenzione e repressione dei fenomeni criminosi.

Più nel dettaglio, in tale capo vengono regolamentate, da un lato, la procedura di comunicazione delle informazioni a livello interno, ossia le modalità di cooperazione tra l´UIP nazionale e le autorità competenti nazionali (art. 12) e, dall´altro, i meccanismi di comunicazione internazionale, ovverosia l´interscambio informativo tra l´UIP nazionale e le UIP o le autorità competenti di altri Stati membri (artt. 13-17), oltreché il trasferimento dei dati a Europol (art. 18) e ai Paesi terzi (art. 19).

1.4.  Le disposizioni riguardanti la tutela dei dati personali, sono invece al Capo IV dello schema di decreto, che al suo primo articolo indica nel Garante per la protezione dei dati personali, l´autorità deputata a ricoprire il ruolo di Autorità nazionale di controllo, così come disciplinata dalla Direttiva PNR (art. 20)

Sempre nel medesimo Capo viene disciplinata la figura del responsabile della protezione dei dati  (art. 21),  si stabilisce che ai trattamenti dei dati personali si applicano le previsioni della Parte II, Titolo II, Capo I del Codice per la protezione dei dati personali, nonché del Titolo III, limitatamente ai trattamenti effettuati dagli organismi di cui agli articoli 4, 6 e 7 della Legge 3 agosto 2007, n. 124, e gli articoli da 33 a 36 del medesimo Codice al fine di assicurare l´attuazione delle misure di sicurezza necessarie a garantire la protezione dei dati (art. 22) e infine, vengono riconosciuti ai soggetti interessati dai trattamenti disciplinati dallo schema di decreto i diritti previsti dall´articolo 10, commi 3, 4 e 5 della Legge 1 aprile 1981, n. 121.

L´ultimo Capo dello schema, infine, reca la disciplina sanzionatoria e le disposizioni transitorie e finali.

OSSERVA

Giusta tale sintetica descrizione del contenuto, esaminato lo schema di decreto sottoposto alla sua attenzione per la formulazione del parere di competenza, il Garante, ritiene opportuno formulare alcuni rilievi volti a perfezionare il provvedimento per renderlo pienamente conforme ai principi ed alle regole in materia di protezione dei dati personali nei termini seguenti.

2. La Direttiva 2004/82/CE

Preliminarmente, la Direttiva 2016/681/UE lascia impregiudicata la disciplina recata dalla Direttiva API (cfr. il decimo considerando) e richiama l´attenzione sulla necessità che il trattamento dei dati personali sia proporzionato agli specifici obiettivi di sicurezza perseguiti (cfr. l´undicesimo considerando).

In ogni caso, l´abrogazione del d.lgs. n. 144/2007 – attuativo della direttiva 2004/82/CE – ad opera dello schema in esame (che in base alla relazione illustrativa troverebbe il proprio fondamento nei principi e criteri direttivi generali di delega di cui all´art. 32 della l. n. 234/2012, richiamato dal combinato disposto di cui agli artt. 1, co. 1, e 12 della l. n. 163/2017) non dovrebbe in alcun modo tradursi in una riduzione delle garanzie previste a tutela della protezione dei dati personali dal d.lgs. n. 144/2007, nonché dal parere reso dal Garante in data 13 febbraio 2007 sul relativo schema di decreto (doc. web n. 1388444).

In particolare, si consideri che il regime di raccolta previsto in attuazione della Direttiva API dal citato decreto del 2007 che si intende abrogare prevede una selettività nell´individuazione dei voli in entrata, esclude i voli in uscita, prevede tempi brevi di conservazione dei dati (24 ore) e la loro cancellazione a meno che, in casi specifici, vadano a confluire nel CED (commissione di reati).

Inserire quindi i dati API e la loro regolamentazione nello schema di decreto legislativo in questione, oltre ad apparire non strettamente necessario, potrebbe rivelarsi non proporzionale, attesa la mancanza di ogni  valutazione d´impatto in merito e considerati i differenti ambiti regolati dalla rispettiva disciplina.

Pertanto si ritiene opportuno suggerire una rivisitazione delle disposizioni che riguardano il trattamento dei dati API, facendo salve quelle sole disposizioni conformi alle puntuali previsioni della direttiva 681, espungendo le altre, qualora  volte a modificare il d. lgs. 144/2007.

In tale prospettiva, andrebbero pertanto eliminati totalmente i riferimenti: a tutta la definizione dei dati API (art. 2, p.to 3, lett. c.), non utile, per le ragioni già esposte, ai fini del recepimento della Direttiva PNR che ha in allegato i campi e le categorie di dati inclusi; ai dati API laddove menzionati nei seguenti art. 3 (finalità dei trattamenti), art. 4 (sistema informativo), art. 7 (uffici incaricati dei controlli di polizia di frontiera), art 9 (trattamento dei dati API) e ogni successivo riferimento.

3. Riferimenti normativi

Lo schema di decreto, che attua la delega contenuta nella legge 163/2017, presenta continui rinvii al Codice, di prossima abrogazione, alla decisione quadro 2008/977/GAI del Consiglio, e non contempla invece né il Regolamento (UE) 2016/679 del 27 aprile 2016, né la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, che ha abrogato la decisione quadro 2008/977/GAI del Consiglio.

Pur nella consapevolezza che il rinvio alle fonti di riferimento appare particolarmente complesso in ragione della necessità che occorre fare riferimento a testi ancora in via di definizione, si rimette alla valutazione del legislatore delegato l´opportunità di effettuare, con le modalità ritenute più idonee, rinvii che consentano di tenere conto della circostanza che, a breve, entreranno in vigore le disposizioni di adeguamento al Regolamento (UE) 2016/679 e di recepimento della Direttiva (UE) 2016/680.

4. Oggetto e ambito di applicazione

Si prende atto della scelta del legislatore di avvalersi della facoltà riconosciuta dalla Direttiva (UE) 2016/681 di prevedere l´obbligo di comunicazione dei dati PNR anche con riguardo ai voli intra-UE.

Al riguardo, non sembra pertinente il riferimento (art. 1) alla disciplina del trattamento dei dati API trasmessi dai vettori aerei e relativi ai passeggeri che fanno ingresso nel territorio dello Stato italiano, effettuato dai competenti Uffici incaricati dei controlli di polizia di frontiera. Ciò in quanto tale trattamento dati è già disciplinato dalla citata Direttiva API.

Un altro punto che appare di primario rilievo è quello del trasferimento verso Paesi terzi, disciplinato nell´art. 1 comma 3, in base al quale "Le disposizioni del presente decreto non pregiudicano l´applicazione degli accordi o delle intese bilaterali o multilaterali sullo scambio di informazioni tra autorità competenti entrati in vigore con Stati membri dell´Unione europea entro il 24 maggio 2016, in quanto compatibili con la direttiva di cui al comma 1, né l´applicazione degli obblighi derivanti da accordi bilaterali o multilaterali conclusi con Stati non appartenenti all´Unione europea".

5. Sistema Informativo

Al suo articolo 4, lo schema di decreto in esame, prevede l´istituzione, presso il Dipartimento della Pubblica Sicurezza del Ministero dell´Interno, il "Sistema Informativo" attraverso il quale verranno raccolti, trattati e trasferiti i dati del codice di prenotazione (PNR), di cui alla direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio (Direttiva PNR), e le informazioni anticipate sui passeggeri (API), di cui alla direttiva 2004/82/CE del Consiglio (Direttiva API). A completo regime, tale Sistema Informativo andrebbe quindi a sostituire il sistema informativo frontaliero Border Control System (BCS), attualmente utilizzato per le finalità e alle condizioni previste dal d.lgs. 2 agosto 2007, n. 144, recante l´attuazione della citata Direttiva API.

Al riguardo si evidenzia che l´utilizzo di un Sistema Informativo unitario, quale utile elemento di semplificazione degli adempimenti in carico ai vettori aerei,  richiede l´adozione di opportune misure tecniche e organizzative al fine di garantire il rispetto dei principi di necessità, di proporzionalità e di finalità nel trattamento dei dati PNR e dei dati API.

A tal fine, pertanto, il Garante si riserva di valutare successivamente i profili tecnici di funzionamento del Sistema Informativo in questione, che verranno disciplinati, come previsto dall´articolo 4, comma 5, con "uno o più decreti ministeriali di natura non regolamentare adottati, entro tre mesi dalla data di entrata in vigore del presente decreto, dal Ministro dell´interno, sentito il Garante per la protezione dei dati personali".

All´ultimo periodo dell´articolo 4, comma 8, inoltre, nella parte in cui si prevede che "I vettori aerei che non effettuano voli extra-UE e intra-UE secondo un programma operativo pubblico specifico e che non possiedono l´infrastruttura necessaria a supportare i formati di dati e i protocolli di trasmissione elencati nell´allegato della decisione di esecuzione di cui al comma 7 trasferiscono i dati PNR con un mezzo elettronico che offra adeguate garanzie rispetto alle misure di sicurezza tecniche, individuato dall´UIP nazionale con apposita prescrizione", sarebbe opportuno prevedere che venga "sentito il Garante per la protezione dei dati personali".

Inoltre, sembrerebbe più coerente collocare il comma in questione all´interno dell´articolo 5, recante le modalità di trasferimento dei dati PNR al Sistema Informativo.

6. Modalità di trasferimento dei dati PNR al Sistema Informativo (art. 5)

Con l´articolo 5, comma 2,  viene prescritto l´obbligo per i vettori aerei di utilizzare, per il trasferimento dei dati PNR, "i formati di dati e i protocolli informatici comuni individuati con la decisione di esecuzione 2017/759/UE della Commissione, del 28 aprile 2017".

Tuttavia, l´articolo 5, comma 3, consente ai vettori aerei, nelle more dell´adeguamento dei propri sistemi informatici, di utilizzare mezzi elettronici di trasmissione ulteriori a quelli previsti al comma 2.
Al riguardo, sarebbe opportuno prevedere che le specifiche tecniche di tali mezzi elettronici di trasmissione siano oggetto di un preventivo parere da parte del Garante.

7. Unità d´informazione sui passeggeri (UIP) nazionale

Con riferimento all´Unità d´informazione sui passeggeri (UIP) nazionale, l´articolo 6, comma 2, lettera a), dello schema prevede il possibile avvalimento, da parte dell´UIP nazionale, di un "operatore economico qualificato" per la ricezione dei dati PNR dei vettori aerei.

In questa eventualità si ritiene opportuno prevedere che l´operatore venga designato quale responsabile esterno del trattamento.

8. Periodo di conservazione dei dati PNR e trasformazione in forma anonima

L´articolo 10, comma 2, dello schema di decreto stabilisce che "dopo sei mesi dal loro trasferimento, i dati sono resi anonimi mediante mascheramento" di una serie di elementi che potrebbero servire a identificare direttamente gli interessati a cui i dati PNR si riferiscono. Tuttavia, al seguente comma 3, si evidenzia che "allo scadere del periodo di sei mesi di cui al comma 2, la comunicazione dei dati PNR integrali è consentita solo se è necessaria per corrispondere a una richiesta formulata ai sensi dell´articolo 6, comma 2, lettera c), previa autorizzazione: a) dell´Autorità giudiziaria […]; o b) del Vice Capo della Polizia […].".

Al riguardo, non è chiaro se, a seguito dell´operazione con cui "i dati sono resi anonimi mediante mascheramento", sia ancora possibile re-identificare gli interessati.

In tal caso, i dati non possono essere trattati come dati anonimi nell´accezione di cui all´articolo 4, comma 1, lettera n), del Codice (il dato anonimo è "il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile").

Sarebbe quindi più appropriato modificare la terminologia, utilizzando la nozione di pseudonimizzazione del dato, introdotta dal Regolamento (UE) 2016/679 e più adatta al contesto in esame.

9. Scambio dei dati PNR tra Stati membri e trasferimento a Paesi terzi

L´art. 17 dello schema dispone che "lo scambio di informazioni ai sensi degli articoli 13, 14, 15 e 16 può avvenire tramite qualsiasi canale esistente di cooperazione internazionale di polizia. […]", mentre l´art. 19 disciplina il trasferimento dei dati PNR e dei risultati del loro trattamento a Paesi terzi. Con riferimento ad entrambi gli articoli citati,  si evidenzia che i canali, tramite i quali le UIP e le autorità competenti effettuano lo scambio dei dati PNR e dei risultati del loro trattamento, dovrebbero offrire sufficienti garanzie in termini di integrità e riservatezza delle informazioni scambiate.

10. Protezione dei dati personali

L´articolo 22, al suo comma 7, stabilisce che "l´UIP nazionale conserva, altresì, per un periodo di cinque anni, i registri delle attività di raccolta, consultazione, comunicazione e cancellazione dei dati. Detti registri riportano l´indicazione della finalità, della data e dell´ora dell´operazione e gli elementi relativi all´identità della persona che ha consultato o comunicato i dati PNR, nonché dei destinatari di tali dati. I registri sono usati esclusivamente a fini di verifica, di autocontrollo, per garantire l´integrità e la sicurezza dei dati o di audit".

Al riguardo, si evidenzia che i registri degli accessi e delle attività, di cui al comma in questione, contengono anch´essi dati personali degli interessati e, pertanto, sarebbe opportuno modificare la disposizione prevedendo che andranno trattati in modo da ridurre al minimo, mediante l´adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei registri stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità previste.

11. Sanzioni amministrative

Si valuti l´opportunità di applicare il medesimo trattamento sanzionatorio di cui all´art. 24, comma 1, anche agli illeciti previsti dal comma 4 del medesimo articolo, in quanto caratterizzati da un disvalore non minore rispetto a quello che connota i primi.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole sullo schema di decreto legislativo recante l´attuazione della direttiva (UE) 2016/681, del 27 aprile 2016, del Parlamento europeo e del Consiglio sull´uso dei dati del codice di prenotazione (PNR) ai fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (di seguito, «Direttiva PNR»), nei termini di cui in motivazione, con le osservazioni indicate nei punti da 2 a 11.

Roma, 22 febbraio 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia