Secondo l’avvocato generale Pitruzzella, il trasferimento nonché il trattamento automatico generalizzato e indifferenziato dei dati PNR (Passenger Name Record) ai sensi della Direttiva PNR per il trasporto aereo, sono compatibili con i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, con alcune precisazioni.
La Precisazione arriva nel Caso n. 19/2022 : 27 gennaio 2022 dalla Corte di Giustizia europea in una controversia belga su un ricorso diretto contro una legge nazionale di recepimento delle direttive PNR e API: l’Avvocato generale precisa alcuni aspetti del trattamento di dati, i profili di compatibilità fra la Carta europea e la Direttiva PNR e in alcune sue parti.
Nell'articolo
Dati PNR: quando è opportuno conservarli?
Nella sentenza si sottolinea che
- una conservazione generalizzata e indifferenziata dei dati PNR in forma non anonima si giustifica solo di fronte a una minaccia grave, reale e attuale o prevedibile per la sicurezza degli Stati membri, nonché a condizione che la durata di detta conservazione sia limitata allo stretto necessario;
- il trasferimento dei dati contenuti sotto la rubrica «osservazioni generali», prevista dalla direttiva PNR, non soddisfa i requisiti di chiarezza e precisione prescritti dalla Carta dei diritti fondamentali dell’Unione europea
Direttiva PNR: il trattamento e uso dei dati nel trasporto aereo
L’uso dei dati PNR costituisce un elemento importante nella lotta contro il terrorismo e le forme gravi di criminalità. A tal fine, la direttiva PNR (Dir. 2016/681) sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, impone il trattamento sistematico di un numero rilevante di dati dei passeggeri aerei in ingresso e in uscita dall’Unione. L’articolo 2 di tale direttiva prevede, per gli Stati membri, il potere di applicare quest’ultima anche ai voli intra-UE.
Il ricorso de Ligue des droits humains
La Ligue des droits humains (LDH) un’associazione senza fini di lucro, ha investito la Cour constitutionnelle (Corte costituzionale) del Belgio, nel luglio 2017, di un ricorso diretto all’annullamento della legge del 25 dicembre 2016, la quale recepiva nell’ordinamento belga le direttive PNR e API. Secondo la LDH, questa legge violerebbe il diritto al rispetto della vita privata e alla protezione dei dati personali, garantiti dall’ordinamento belga e da quello dell’Unione in particolare per:
- eccessiva ampiezza dei dati PNR;
- carattere generale della raccolta, del trasferimento e del trattamento di tali dati.
La legge lederebbe anche la libera circolazione delle persone, in quanto reintrodurrebbe indirettamente i controlli alle frontiere, estendendo il sistema PNR ai voli intra-UE.
Nell’ottobre 2019, la Cour constitutionnelle ha proposto alla Corte di giustizia dieci questioni pregiudiziali vertenti sulla validità e sull’interpretazione delle direttive PNR e API, nonché sull’interpretazione del RGPD.
Il giudizio dell’Avvocato Pitruzzella
L’avvocato generale Giovanni Pitruzzella precisa che,
- quando le misure che implichino ingerenze nei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea hanno la loro fonte in un atto legislativo dell’Unione, spetta al legislatore dell’Unione stabilire gli elementi essenziali che definiscano la portata di tali ingerenze;
- le disposizioni che impongano o consentano la comunicazione di dati personali di persone fisiche a un terzo, (pubblica autorità), devono essere qualificate, in mancanza di un consenso di dette persone fisiche e a prescindere dall’uso ulteriore dei dati in questione, come un’ingerenza tanto nella loro vita privata, quanto nel diritto fondamentale alla protezione dei dati personali.
Trasferimento di dati alla UP: i profili di validità e invalidità della Direttiva PNR
Rileva però che il ricorso a categorie d’informazione generali, che non determinino sufficientemente la natura e la portata dei dati da trasferire, non soddisfa i requisiti di chiarezza e precisione enunciati dalla Carta: per questo dichiara l’invalidità dell’allegato I, punto 12, della direttiva, nella parte in cui detta disposizione include, tra le categorie di dati da trasferire, la rubrica «osservazioni generali», mirante a comprendere qualunque informazione raccolta dai vettori aerei nel quadro della loro attività di fornitori del servizio, oltre a quelle espressamente elencate negli altri punti dell’allegato I.
Per il resto, i dati personali che i vettori aerei sono tenuti a trasferire alle unità d’informazione sui passeggeri (UIP) l’avvocato generale sottolinea che sono pertinenti, adeguati e non eccessivi in considerazione delle finalità perseguite da detta direttiva, e che la loro portata non eccede quanto strettamente necessario al conseguimento di tali finalità.
Mancherebbero garanzie sufficienti miranti, da un lato, a garantire che siano trasferiti solo i dati espressamente presi in considerazione e, dall’altro, ad assicurare la sicurezza e la riservatezza dei dati trasferiti.
Direttiva PNR e trattamento dei dati sensibili
L’avvocato generale ricorda inoltre che la direttiva PNR enuncia un divieto generale di trattamento dei dati sensibili, inclusa anche la loro raccolta, per cui il sistema PNR prevede garanzie sufficienti che consentono di escludere, in ogni fase del trattamento dei dati raccolti, che detto trattamento possa prendere in considerazione, direttamente o indirettamente, caratteristiche protette.
Il carattere generalizzato e indifferenziato del trasferimento dei dati PNR e della valutazione preventiva dei passeggeri aerei mediante il trattamento automatico di tali dati è compatibile con gli articoli 7 e 8 della Carta (diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali).
Trattamento automatico dei dati PNR: no ai sistemi di intelligenza artificiale
Secondo l’Avvocato generale, il trattamento automatico dei dati PNR nel rispetto di criteri prestabiliti, che costituisce la seconda parte della valutazione preventiva, il trattamento non può essere effettuato tramite sistemi di intelligenza artificiale ad apprendimento automatico.
Conservazione dei dati: quando è ammessa
Sulla conservazione dei dati l’Avvocato propone di interpretare la direttiva PNR nel senso che la conservazione dei dati PNR forniti dai vettori aerei alle UIP durante un periodo di cinque anni sia consentita, una volta effettuata la valutazione preventiva, solo nei limiti in cui sia constatato, in base a criteri oggettivi, un rapporto tra questi dati e la lotta contro il terrorismo o la criminalità grave.
Una conservazione generalizzata e indifferenziata dei dati PNR in forma non anonima può giustificarsi solo di fronte a una minaccia grave per la sicurezza degli Stati membri che risulti reale e attuale o prevedibile, collegata, ad esempio, ad attività di terrorismo, e a condizione che la durata di tale conservazione sia limitata allo stretto necessario.
Per approfondire su legga il Comunicato integrale sulla sentenza, riportata sul sito della Corte di Giustizia
La formazione in Privacy e Security di Istituto Informa
Sei un professionista della privacy e della security? Scopri la formazione pensata da Istituto informa per la formazione e l’aggiornamento della tua figura professionale!
DPO, Security integrata, realizzare un Security Plan. Ma anche Infrastrutture critiche e attacchi terroristici, Risk Management e gestione della folla in grandi eventi. Sono gli argomenti dei corsi di formazione pensata per il Security Manager e non solo.
Coordinamento editoriale Portale InSic.it – Formatore in salute e sicurezza sul lavoro – Content editor e Social media manager InSic.it