Gestione dati personali PNR. La CGUE boccia l’accordo con il Canada

I Passenger Name Records o codice di prenotazione PNR sono schede di identità personale sviluppate già da anni dalle compagnie aeree, che contengono le informazioni relative alle prenotazioni e agli itinerari di viaggio dei passeggeri lungo le tratte internazionali e quando il viaggio comporta il coinvolgimento di più compagnie aeree. Sono diversi gli accordi tra Stati per il trattamento del registro PNR dei passeggeri ai fini di prevenzione dei reati gravi di Terrorismo.

Attualmente L’UE ha in vigore 2 accordi con altrettanti Stati Esteri, USA e Australia, mentre l’accordo con il Canada è stato recentemente invalidato dalla CGUE. 

A tutela del diritto alla protezione dei dati personali dei viaggiatori contenuti nel codice PNR, la CGUE ha bloccato l’accordo tra UE e Canada per il trasferimento delle schede PNR. La CGUE ha ritenuto che il trasferimento indiscriminato al Canada dei dati sensibili dei passeggeri contenuto nei PNR come etnia, opinioni politiche, orientamenti religiosi, stato di salute, sesso, non appare giustificato. Inoltre a giudizio dell’Alta Corte UE, il Canada non ha una legislazione in grado di prevenire possibili abusi derivati dal trattamento dei dati sensibili contenuti nei PNR ed ha bloccato l’accordo.

LEGGI ANCHE: Passenger Name Records in the Framework of EU Principles of Data Protection

L’Alta Corte Europea ha messo in rilievo gli aspetti che seppure ai fini di prevenzione e accertamento finiscono per non essere compatibili con la Carta dei diritti fondamentali dell’Unione europea (CDFUE), in Italia anche nota come Carta di Nizza. Le criticità che sono state evidenziate dalla Corte riguardo all’Accordo con il Canada sono:

• la trasmissione indiscriminata dei dati PNR di tutti i passeggeri, anche senza alcun sospetto o collegamento con indagini in corso;
• il livello elevato di sorveglianza non mirata e generalizzata sui passeggeri, sulla base della sola analisi algoritmica dei loro comportamenti;
• l’insufficienza dei diritti di informazione sull’utilizzo dei dati PNR da parte delle autorità straniere;
• l’assenza della correlazione tra il cosiddetto “data retention”, cioè il periodo di conservazione dei dati, con quello della permanenza del viaggiatore nello Stato estero;
• l’accesso dell’autorità estera ai dati PNR giustificato con richiesta motivata dalle autorità competenti.

In breve, l’Alta Corte Europea ha voluto evidenziare come le regole che dovrebbero disciplinare il trattamento dei dati PNR non sono correlate né al viaggio del passeggero, né al soggiorno nel Paese di arrivo. Inoltre, attraverso l’analisi statistica dei dati dei passeggeri contenuti nella scheda PNR vengono elaborati dei modelli statistici standard identificativi di comportamenti criminali già accertati e che possono essere attribuiti a qualunque viaggiatore sulla base dei dati PNR. Vi è da precisare, però, che la direttiva proibisce la produzione di effetti legali sfavorevoli all’interessato derivanti dal trattamento automatizzato dei PNR.

La direttiva PNR. Recepimento e gestione del diritto alla riservatezza e protezione dati personali. Diritto di accesso agli atti e protezione dei dati personali

I dati contenuti nei PNR sono:

• numero del passaporto;
• paese di rilascio del passaporto;
• data di scadenza del passaporto;
• nome e cognome;
• genere;
• data e luogo di nascita;
• nazionalità;
• Passenger Name Record code locator;
• data di prenotazione del volo;
• altri nomi sul Passenger Name Record (PNR);
• indirizzo;
• modalità di pagamento;
• indirizzo di fatturazione;
• numero di telefono;
• itinerario completo;
• informazioni frequent flyer;
• agenzia di viaggi;
• agente di viaggio;
• condivisione codice PNR;
• status di viaggio del passeggero;
• indirizzo email;
• numero del biglietto;
• numero di posto;
• data di emissione del biglietto;
• bagaglio;
• richieste di servizio particolari, quali le preferenze dei pasti;
• cronistoria delle modifiche del PNR;
• numero di viaggiatori nel PNR;
• biglietti di sola andata.

Il codice PNR di prenotazione aerea o del treno o dell’hotel o del noleggio dell’automobile contiene quindi una serie di dati personali oltremodo sensibili, che sono conservati in formato digitale nei Computerized Reservation Systems (CRS) dei singoli Stati e per i quali dev’essere regolamentato l’esercizio dei diritti in materia di protezione dei dati personali.

I CRS sono sistemi informatici con i quali i vettori si scambiano le informazioni sui passeggeri registrati, nel caso in cui il loro itinerario di viaggio preveda più mete da raggiungere con diversi vettori in paesi diversi. I principali CRS hanno sede negli USA nei sistemi Sabre, Galileo e Worldspan. Il sistema europeo CRS si chiama Amadeus. I diversi sistemi sono chiaramente in comunicazione tra loro. Questo significa che i dati dei passeggeri europei sono anche trasmessi alle aziende statunitensi, diventando accessibili alle autorità americane.

Il bilanciamento delle esigenze di protezione e privacy dei dati personali dei viaggiatori, con quelle della sicurezza.

Il livello di invadenza sull’accesso ai dati personali da parte delle autorità di sicurezza USA si è di molto elevato dopo gli attentati del 11 Settembre 2001. Con l’“Aviation and Transportation Security Act (ATSA)” del 19 Novembre 2001, gli Stati Uniti decisero di sottoporre ad un rigido controllo il flusso dei dati personali dei passeggeri aviotrasportati, allo scopo di intercettare presunti terroristi alle frontiere.

Con l’ATSA gli USA imposero a tutte le compagnie aeree che effettuavano collegamenti da e per gli Stati Uniti l’obbligo di consentire all’autorità doganale statunitense, la Customs and Border Protection (CBP), l’accesso elettronico ai dati PNR raccolti e memorizzati dalle compagnie aeree. Tutte le compagnie aeree che non avrebbero acconsentito alla trasmissione dei PNR dei passeggeri aviotrasportati sarebbero state sottoposte a sanzioni, se entro il 5 Marzo 2003 non si fossero adattate alle nuove norme statunitensi.

Ciò creò una vera e propria situazione di incertezza giuridica per le compagnie aeree che, da un lato, correvano il rischio di essere multate dalle autorità statunitensi ma anche di ricevere sanzioni dalle autorità europee per violazioni della normativa comunitaria in materia di dati personali. Per evitare tale incertezza, le autorità europee giunsero nel 2004 ad un accordo con gli Stati Uniti per disciplinare lo scambio transfrontaliero dei dati dei passeggeri aviotrasportati e, successivamente l’UE ha emanato la direttiva PNR.

Come funziona il sistema di raccolta e trasmissione dati PNR

Successiva quegli accordi, la direttiva obbliga i vettori aerei a raccogliere sistematicamente i dati PNR dei passeggeri dei voli extra UE (sono esclusi i voli intraUE) e conservarli in forma depersonalizzata. I vettori dovranno inviare i dati PNR ad una “Passenger Unit Information” (PIU o UIP Unità informazioni sui passeggeri) dello Stato membro in cui il volo internazionale parte o arriva.

Il PIU dello Stato membro coinvolto è incaricato della memorizzazione, analisi e fornitura dei dati alle autorità competenti. Gli Stati membri, però, possono chiedere i dati PNR anche alla PUI di altro Stato, a sostegno di una specifica indagine. L’UIP italiano è collocato presso il Ministero degli Interi.

Utilizzo dei dati personali contenuti nel PNR

I dati del PNR trasmessi alle autorità vengono utilizzati per indagini e controlli al fine di individuare potenziali criminali e terroristi sconosciuti alle forze dell’ordine. Se i dati PNR del passeggero non sono coinvolti in processi o indagini vengono conservati per 5 anni, trascorsi i quali vengono cancellati.

I reati per i quali possono essere utilizzati i PNR sono stati individuati dalla direttiva in:

• terrorismo;
• tratta degli schiavi;
• pedopornografia;
• traffico d’armi, munizioni ed esplosivi.

La tutela del diritto alla Privacy e la tutela dei dati personali e di identità del passeggero. Cosa prevede la direttiva PNR

• la direttiva sui PNR vieta la raccolta e l’uso di dati sensibili;
• i dati PNR possono essere conservati soltanto per un periodo di 5 anni e devono essere dissociati dai dati identificativi personali dopo un periodo di 6 mesi affinché l’interessato non sia più immediatamente identificabile;
• gli Stati membri hanno l’obbligo di istituire una unità d’informazione sui passeggeri responsabile della gestione e della protezione dei dati; 
• l’unità deve comprendere un responsabile della protezione dei dati;
• gli Stati membri devono provvedere affinché i passeggeri siano informati in modo chiaro della raccolta dei dati PNR e dei loro diritti;
• decisioni che comportino conseguenze giuridiche negative per una persona, o la danneggino in modo significativo, non possono essere prese soltanto sulla base del trattamento automatico dei dati PNR;
• il trasferimento dei dati PNR a paesi terzi può avvenire esclusivamente in circostanze molto limitate e soltanto caso per caso.

Accordi UE in vigore sul trattamento dei dati PNR

Accordo tra l’UE e gli USA sul trasferimento e sul trattamento dei PNR;

Accordo tra l’UE e il Canada sul trasferimento e sul trattamento dei PNR;

Accordo tra l’UE e l’Australia sul trasferimento e sul trattamento dei PNR.