Parere del Garante europeo della protezione dei dati sulla proposta di decisione del Consiglio relativa alla conclusione dell'accordo tra gli Stati Uniti d'America e l'Unione europea sull'uso e sul trasferimento del codice di prenotazione (Passenger Name Record — PNR) al Dipartimento per la sicurezza interna degli Stati Uniti

Parere del Garante europeo della protezione dei dati sullaproposta di decisione del Consiglio relativa alla conclusione dell'accordo tragli Stati Uniti d'America e l'Unione europea sull'uso e sul trasferimento delcodice di prenotazione (Passenger Name Record — PNR) al Dipartimento perla sicurezza interna degli Stati Uniti

(Pubblicato sulla GUUE n. C 35 del 9.2.2012)

IL GARANTE EUROPEO DELLA PROTEZIONEDEI DATI

visto il trattato sul funzionamentodell'Unione europea, in particolare l'articolo 16, vista la Carta dei dirittifondamentali dell'Unione europea, in particolare gli articoli 7 e 8,

vista la direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tuteladelle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione di tali dati ⁽¹⁾,

visto il regolamento (CE) n. 45/2001del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente latutela delle persone fisiche in relazione al trattamento dei dati personali daparte delle istituzioni e degli organismi comunitari, nonché la liberacircolazione di tali dati, in particolare l'articolo 41 ⁽²⁾,

HA ADOTTATO IL SEGUENTE PARERE:

1. INTRODUZIONE

1.1. Consultazione del GEPD eobiettivo del parere

1. Il 28 novembre 2011 la Commissioneha adottato una proposta di decisione del Consiglio relativa alla conclusionedell'accordo tra gli Stati Uniti d'America e l'Unione europea sull'uso e sultrasferimento del codice di prenotazione (Passenger Name Record — PNR) alDipartimento per la sicurezza interna degli Stati Uniti ⁽³⁾ (di seguito: ´l'accordoª).

2. Il 9 novembre 2011 il GEPD è statoconsultato informalmente sul progetto di proposta, nel contesto di unaprocedura accelerata. L'11 novembre 2011 il GEPD ha formulato alcune osservazioniriservate. Obiettivo del presente parere è integrare tali osservazioni allaluce della proposta in esame e rendere accessibile al pubblico la posizione delGEPD. Il presente parere è inoltre basato su una serie di interventi precedentidel GEPD e del gruppo di lavoro ´articolo 29ª in relazione ai dati del codicedi prenotazione PNR.

2.1. Contesto della proposta

3. Obiettivo dell'accordo è fornireuna solida base giuridica per il trasferimento di dati PNR dall'UE agli StatiUniti. Attualmente il trasferimento di tali dati viene effettuato sulla basedell'accordo del 2007 ⁽⁴⁾ in quanto il Parlamento avevadeciso di rinviare la sua votazione sull'approvazione fintantoché non fosserostate prese in considerazione le sue preoccupazioni in materia di protezionedei dati. In particolare, nella sua risoluzione del 5 maggio 2010 ⁽⁵⁾, il Parlamento aveva fatto riferimento ai seguenti requisiti:

— ottemperanza alla normativasulla protezione dei dati a livello nazionale ed europeo,

— una valutazione d'impattosulla privacy prima dell'adozione di qualsiasi strumento legislativo,

— un test di proporzionalitàche dimostri l'insufficienza degli strumenti giuridici esistenti,

— rigorosa limitazione dellefinalità (⁶⁾ e limitazione dell'uso deidati PNR a reati o minacce specifici, caso per caso,

— limitazione della quantità didati da raccogliere,

— periodi di conservazionelimitat,

— divieto di estrazione deidati e ´profilingª (studio dei profili),

— divieto di decisioniautomatizzate che danneggino in modo significativo i cittadini ⁽⁷⁾,

— opportuni meccanismi direvisione indipendente, di vigilanza giuridica e di controllo democratico,

— tutti i trasferimentiinternazionali devono essere conformi alle norme UE sulla protezione dei dati esottoposti a un accertamento dell'adeguatezza.

4. Il presente accordo deve essereconsiderato nel contesto dell'approccio globale ai dati PNR, che comprendenegoziati con altri paesi terzi (segnatamente Australia ⁽⁸⁾ e Canada ⁽⁹⁾) nonché una proposta perl'istituzione di un sistema PNR a livello UE ⁽¹⁰⁾. Rientra inoltre nell'ambito degli attuali negoziati per unaccordo tra l'UE e gli USA sullo scambio di dati personali nel quadro dellacooperazione di polizia e giudiziaria in materia penale ⁽¹¹⁾. In un contesto più ampio, l'accordo è stato siglato alcunesettimane prima della prevista adozione delle proposte per la revisione delquadro generale di protezione dei dati ⁽¹²⁾.

5. Il GEPD accoglie con favore questoapproccio globale volto a fornire un quadro giuridico coerente per gli accordiPNR in linea con i requisiti giuridici dell'UE. Ciononostante, si rammarica chenella pratica questa tempistica non consenta di garantire la coerenza di taliaccordi con le nuove norme UE in materia di protezione dei dati. Desiderainoltre ricordare che l'accordo generale tra l'UE e gli USA sugli scambi didati deve essere applicabile all'accordo PNR UE-USA.

2. OSSERVAZIONIGENERALI

6. Secondo la Carta dei dirittifondamentali dell'Unione europea, ogni limitazione dei diritti e delle libertàfondamentali deve essere necessaria, proporzionata e prevista dalla legge. Comeripetutamente affermato dal GEPD ⁽¹³⁾ e dal gruppo di lavoro ´articolo 29ª ⁽¹⁴⁾, la necessità e la proporzionalità dei sistemi PNR e deitrasferimenti in massa di dati PNR a paesi terzi non sono ancora statedimostrate. Anche il Comitato economico e sociale europeo e l'Agenziadell'Unione europea per i diritti fondamentali sono dello stesso parere ⁽¹⁵⁾. Le osservazioni specifiche formulate di seguito non incidonosu questa considerazione preliminare e fondamentale.

7. Benché questo accordo comprendaalcuni miglioramenti rispetto all'accordo del 2007 e preveda opportunesalvaguardie sulla sicurezza dei dati nonché attività di supervisione, nessunadelle preoccupazioni principali espresse nei suddetti pareri né le condizioniposte dal Parlamento europeo per fornire il proprio consenso sembrano esserestate prese in considerazione ⁽¹⁶⁾.

3. OSSERVAZIONISPECIFICHE

3.1. Lo scopo dell'accordo deveessere chiarito

8. L'articolo 4, paragrafo 1, dell'accordodichiara che gli USA trattano i PNR al fine di prevenire, accertare, indagare eperseguire a) i reati di terrorismo e i reati connessi nonché b) i reatipunibili con una pena detentiva non inferiore a tre anni e aventi naturatransnazionale. Alcuni di questi concetti vengono definiti ulteriormente.

9. Benché queste definizioni sianopiù precise che nell'accordo del 2007, permangono alcune eccezioni e concettivaghi che potrebbero derogare al principio di limitazione delle finalità epregiudicare la certezza del diritto. In particolare:

— all'articolo 4, paragrafo 1,lettera a), punto i), la formulazione ´la condotta che (...) abbia in apparenzalo scopo di intimidire o sopraffare" [o] "influenzare la politica di ungovernoª potrebbe fare riferimento anche ad attività che non possono essereconsiderate reati terroristici ai sensi della decisione quadro del Consiglio2002/475/GAI ⁽¹⁷⁾. Al fine di escludere talepossibilità è necessario chiarire i concetti ´avere in apparenzaª, ´intimidireªe ´influenzareª,

— l'articolo 4, paragrafo 1,lettera b), deve contenere un elenco specifico di reati. Il riferimento ad´altri reati punibili con una pena detentiva non inferiore a tre anniª non èsufficiente, poiché questa soglia comprende reati differenti nell'UE e negliUSA nonché nei diversi Stati membri dell'UE e nei vari Stati degli USA,

— i reati minori devono essereespressamente esclusi dallo scopo dell'accordo,

— all'articolo 4, paragrafo 2,occorre definire il concetto di ´minaccia graveª e limitare l'uso dei dati PNRove ´disposto dall'autorità giurisdizionaleª ai casi di cui all'articolo 4,paragrafo 1,

— analogamente, al fine dievitare l'applicazione dell'articolo 4, paragrafo 3, per finalità quali ilcontrollo delle frontiere, occorre precisare che solo i soggetti di cui sisospetta il coinvolgimento in uno dei reati elencati all'articolo 4, paragrafo1, possono ´essere sottoposti a interrogatorio o esame approfonditoª.

3.2. L'elenco dei dati PNR datrasferire deve essere ridotto

10. L'allegato I dell'accordocontiene 19 tipi di dati che saranno trasmessi agli USA, i quali perlopiùcomprendono anche categorie di dati differenti e sono identici ai campi di datidell'accordo del 2007, che erano già stati ritenuti sproporzionati dal GEPD edal gruppo di lavoro ´articolo 29ª ⁽¹⁸⁾.

11. Tale considerazione si riferiscein particolare al campo ´osservazioni generali comprese le informazioni OSI ⁽¹⁹⁾, SSI ⁽²⁰⁾ e SSR ⁽²¹⁾ª, che possono rivelare dati relativi a credi religiosi (adesempio preferenze alimentari) o alla salute (ad esempio la richiesta di unasedia a rotelle). Tali dati sensibili devono essere espressamente esclusidall'elenco.

12. Nel valutare la proporzionalitàdell'elenco è altresì opportuno tenere presente che, a causa della trasmissioneanticipata dei dati (articolo 15, paragrafo 3, dell'accordo), tali categorienon si riferiranno solo ai passeggeri effettivi, ma anche a quei soggetti chealla fine non si imbarcheranno (ad esempio in seguito a cancellazioni deivoli).

13. Inoltre, la presenza di campi didati aperti potrebbe pregiudicare la certezza del diritto. » necessariodefinire meglio categorie quali ´tutte le informazioni di contattodisponibiliª, ´tutte le informazioni relative al bagaglioª e ´osservazionigeneraliª.

14. L'elenco deve pertanto essereridotto. In linea con il parere del gruppo di lavoro ´articolo 29ª ⁽²²⁾, riteniamo che i dati dovrebbero essere limitati alle seguentiinformazioni: codice del documento PNR (PNR record locator code), data diprenotazione, date previste del viaggio, nome del passeggero, altri nomi checompaiono nel PNR, itinerario completo, identificatore dei biglietti gratuiti,biglietti di sola andata, informazioni sulla creazione del biglietto, dati ATFQ(Automatic Ticket Fare Quote), numero del biglietto, data d'emissione delbiglietto, precedenti casi di assenza all'imbarco, numero di valigie, numerodell'etichetta apposta sulle valigie, passeggero senza prenotazione, numero divaligie per tratta, trasferimenti alla classe superiore a richiesta o meno delpasseggero, cambiamenti ai dati del PNR per quanto riguarda le voci suddette.

3.3. Il Dipartimento per la sicurezzainterna degli Stati Uniti (DHS) non deve trattare dati sensibili

15. L'articolo 6 dell'accordodichiara che il DHS filtra e ´mascheraª automaticamente i dati sensibili.Tuttavia, i dati sensibili verranno conservati per almeno 30 giorni epotrebbero essere utilizzati in casi specifici (articolo 6, paragrafo 4). IlGEPD desidera sottolineare che, anche dopo essere stati ´mascheratiª, tali daticontinueranno a essere ´sensibiliª e a riguardare persone fisicheidentificabili.

16. Come già affermato dal GEPD, ilDHS non deve trattare dati sensibili riguardanti cittadini UE, anche qualoravengano ´mascheratiª al momento della ricezione. Il GEPD raccomanda dispecificare nel testo dell'accordo che i vettori aerei non devono trasferiredati sensibili al DHS.

3.4. Il periodo di conservazione deidati è eccessivo

17. L'articolo 8 dichiara che i datiPNR verranno conservati in una banca dati attiva per un periodo massimo dicinque anni e successivamente trasferiti in una banca dati dormiente econservati per un periodo massimo di dieci anni. Questo periodo massimo diconservazione di 15 anni è chiaramente sproporzionato, a prescindere che i dativengano conservati in banche dati ´attiveª o ´dormientiª, come già sottolineatodal GEPD e dal gruppo di lavoro ´articolo 29ª.

18. L'articolo 8, paragrafo 1,precisa che i dati verranno ´spersonalizzati e mascheratiª sei mesi dopo laloro ricezione da parte del DHS. Tuttavia, sia i dati ´mascheratiª che i daticonservati in una ´banca dati dormienteª sono dati personali finché non vengonoresi anonimi. I dati devono dunque essere resi (irreversibilmente) anonimi ocancellati subito dopo essere stati analizzati o dopo un massimo di sei mesi.

3.5. Uso del metodo ´pushª efrequenza dei trasferimenti

19. Il GEPD accoglie con favore l'articolo15, paragrafo 1, in cui si afferma che i dati verranno trasferiti con il metodo´pushª. Tuttavia, l'articolo 15, paragrafo 5, esige che i vettori ´forniscanol'accessoª ai dati PNR in circostanze eccezionali. Al fine di bandire inmaniera definitiva l'uso del sistema ´pullª, e alla luce delle preoccupazionisottolineate ancora di recente dal gruppo di lavoro ´articolo 29ª ⁽²³⁾, raccomandiamo vivamente che l'accordo vieti espressamente lapossibilità per i funzionari USA di accedere separatamente ai dati tramite unsistema ´pullª.

20. Nell'accordo devono esseredefiniti il numero e la periodicità dei trasferimenti dai vettori aerei al DHS.Per aumentare la certezza del diritto, dovrebbero essere precisate in modo piùdettagliato anche le condizioni in cui saranno consentiti trasferimentiaggiuntivi.

3.6. Sicurezza dei dati

21. Il GEPD accoglie con favorel'articolo 5 dell'accordo relativo alla sicurezza e all'integrità dei dati e,in particolare, l'obbligo di informare gli interessati di un incidente a dannodella vita privata. » tuttavia necessario precisare i seguenti elementi dellacomunicazione della violazione dei dati:

— i destinatari dellacomunicazione: occorre specificare quali ´autorità europee competentiª devonoessere informate. In ogni caso, tra queste devono figurare autorità nazionalidi protezione dei dati. Deve essere informata anche un'autorità competentedegli Stati Uniti,

— la soglia della comunicazionea tali autorità: occorre definire cosa costituisce un ´incidente grave a dannodella vita privataª,

— occorre specificare ilcontenuto della comunicazione a soggetti e autorità.

22. Il GEPD sostiene l'obbligo diregistrare o documentare tutti gli accessi ai PNR e il loro trattamento, poichéin questo modo sarà possibile verificare l'utilizzo appropriato dei dati PNR daparte del DHS nonché eventuali accessi non autorizzati al sistema.

3.7. Supervisione e contrasto

23. Il GEPD accoglie con favore ilfatto che, come afferma l'articolo 14, paragrafo 1, il rispetto dellesalvaguardie per la protezione della vita privata previste dall'accordo saràsoggetto alla supervisione e alla vigilanza indipendenti dei funzionari didipartimento preposti alla protezione della vita privata (Department PrivacyOfficers), quale il responsabile della protezione della vita privata (ChiefPrivacy Officer) del DHS. Tuttavia, al fine di garantire l'effettivo eserciziodei diritti degli interessati, il GEPD e le autorità nazionali di protezionedei dati devono lavorare con il DHS sulle procedure e sulle modalità diesercizio di tali diritti ⁽²⁴⁾. Il GEPD accoglierebbe confavore un riferimento a tale cooperazione nell'accordo.

24. Il GEPD sostiene con vigore ildiritto al ricorso ´indipendentemente dalla cittadinanza o dal paese di origineo di residenzaª di cui all'articolo 14, paragrafo 1, secondo comma. Tuttavia,si rammarica che l'articolo 21 affermi espressamente che l'accordo ´non crea néconferisce, ai sensi del diritto statunitense, diritti o benefici a personeª.Benché l'accordo garantisca il diritto di chiedere il ´riesame giudiziarioªnegli Stati Uniti, tale diritto potrebbe non essere equivalente al diritto a uneffettivo riesame giudiziario nell'UE, in particolare alla luce dellarestrizione di cui all'articolo 21.

3.8. Trasferimenti successivinazionali e internazionali

25. L'articolo 16 dell'accordo vietail trasferimento dei dati alle autorità nazionali che non riconoscono ai PNRsalvaguardie ´equivalenti o comparabiliª a quelle previste dal presenteaccordo. Il GEPD accoglie con favore tale disposizione. L'elenco delle autoritàche potrebbero ricevere dati PNR deve tuttavia essere ulteriormente precisato.Per quanto riguarda i trasferimenti internazionali, l'accordo stipula chepossono avvenire solo se l'uso previsto dal destinatario è in linea con ledisposizioni da esso stabilite e adduce garanzie a tutela della vita privata´analogheª a quelle previste dall'accordo, salvo in casi di emergenza.

26. Per quanto riguarda i termini´comparabileª o ´equivalenteª utilizzati nell'accordo, il GEPD desiderasottolineare che il DHS non deve effettuare trasferimenti successivi nazionalio internazionali a meno che il destinatario adduca salvaguardie non menorigorose di quelle stabilite nell'accordo in vigore. Nell'accordo occorrealtresì precisare che il trasferimento di dati PNR deve avvenire caso per caso,garantendo che ai destinatari interessati vengano trasferiti solo i datinecessari e che non siano consentite eccezioni. Il GEPD raccomanda inoltre chei trasferimenti di dati verso paesi terzi siano subordinati ad una previaautorizzazione giudiziaria.

27. L'articolo 17,paragrafo 4, dichiara che, quando i dati di un residente di uno Stato membrodell'Unione europea vengono trasferiti verso un paese terzo, le autoritàcompetenti dello Stato membro interessato devono esserne informate qualora ilDHS sia a conoscenza della situazione. Questa condizione deve essere soppressa,in quanto il DHS deve essere sempre a conoscenza dei trasferimenti successiviverso paesi terzi.

3.9. Forma e verifica dell'accordo

28. La forma giuridica scelta dagliStati Uniti per aderire all'accordo non è chiara, così come non lo è il modo incui il presente accordo diventerà giuridicamente vincolante negli USA. Questipunti devono essere chiariti.

29. L'articolo 20, paragrafo 2,riguarda la coerenza con l'eventuale sistema PNR dell'UE. Il GEPD osserva chele consultazioni sull'adeguamento del presente accordo esamineranno inparticolare ´se l'eventuale sistema PNR dell'UE applichi salvaguardie per laprotezione dei dati meno rigorose di quelle previste nell'accordo in vigoreª.Al fine di garantire la coerenza, un eventuale adeguamento dovrà anche (e inparticolare) prevedere salvaguardie più rigorose nell'eventuale sistema PNRdell'UE.

30. L'accordo deve essere verificatoanche alla luce del nuovo quadro per la protezione dei dati e della possibileconclusione di un accordo generale tra l'UE e gli USA sullo scambio di datipersonali nell'ambito della cooperazione giudiziaria e di polizia in materiapenale. Si potrebbe aggiungere una nuova disposizione analoga all'articolo 20,paragrafo 2, in cui si affermi che ´nell'ipotesi che sia istituito un nuovoquadro giuridico per la protezione dei dati nell'UE o venga concluso un nuovoaccordo sullo scambio di dati tra l'UE e gli USA, le parti si consulteranno perstabilire se l'accordo in vigore debba essere adeguato di conseguenza. Taliconsultazioni esamineranno in particolare se eventuali future modifiche delquadro giuridico dell'UE per la protezione dei dati o un eventuale futuroaccordo UE- USA in materia di protezione dei dati applichi salvaguardie per laprotezione dei dati più rigorose di quelle previste nell'accordo in vigoreª.

31. Quanto alla verifica dell'accordo(articolo 23), il GEPD ritiene che le autorità nazionali di protezione dei datidovrebbero essere espressamente incluse nel gruppo di verifica. La verificadovrebbe concentrarsi anche sulla valutazione della necessità e dellaproporzionalità delle misure, sull'effettivo esercizio dei diritti degliinteressati e comprendere la verifica del modo in cui sono trattate, nellapratica, le richieste delle persone interessate, soprattutto ove non sia statopermesso l'accesso diretto. La frequenza delle verifiche dovrebbe esserespecificata.

4. CONCLUSIONE

32. Il GEPD accoglie con favore lesalvaguardie sulla sicurezza dei dati e le attività di supervisione previstenell'accordo nonché i miglioramenti apportati rispetto all'accordo del 2007.Permangono tuttavia molte preoccupazioni, specialmente per quanto riguarda lacoerenza dell'approccio globale ai PNR, la limitazione delle finalità, lecategorie di dati da trasferire al DHS, il trattamento dei dati sensibili, ilperiodo di conservazione, le eccezioni al metodo ´pushª, i diritti degliinteressati e i trasferimenti successivi.

33. Queste osservazioni nonpregiudicano i criteri di necessità e di proporzionalità di un sistema di PNRlegittimo e di un accordo che prevede il trasferimento in massa di dati PNRdall'UE verso paesi terzi. Come ha ribadito il Parlamento europeo nella suarisoluzione del 5 maggio, ´i principi di necessità e di proporzionalità sonofondamentali per condurre con efficacia la lotta al terrorismoª.

Fatto a Bruxelles, il 9 dicembre 2011

Peter HUSTINX

Garante europeo della protezione deidati

NOTE
(1) GU L 281 del 23.11.1995, pag. 31.

(2) GU L 8 del12.1.2001, pag. 1.

(3) COM(2011)807 definitivo.

(4) Accordo tral'Unione europea e gli Stati Uniti d'America sul trattamento e sultrasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR)da parte dei vettori aerei al Dipartimento per la sicurezza interna degli StatiUniti (DHS) (GU L 204 del 4.8.2007, pag. 18).

(5) Risoluzionedel Parlamento europeo del 5 maggio 2010 sull'avvio dei negoziati per laconclusione di accordi sui dati del codice di prenotazione (PNR) con gli StatiUniti, l'Australia e il Canada (GU C 81E del 15.3.2011, pag. 70). Cfr. anche lerisoluzioni del Parlamento europeo del 13 marzo 2003, sulla trasmissione deidati personali da parte delle compagnie aeree in occasione di volitransatlantici (GU C 61E del 10.3.2004, pag. 381), del 9 ottobre 2003, sultrasferimento di dati personali da parte delle compagnie aeree in occasione divoli transatlantici: stato dei negoziati con gli Stati Uniti (GU C 81E del31.3.2004, pag. 105), del 31 marzo 2004, sul progetto di decisione dellaCommissione che prende atto del livello di protezione adeguato dei dati acarattere personale contenuti nelle pratiche passeggeri (PNR — PassengerName Records) trasferite all'Ufficio delle dogane e della protezione difrontiera degli Stati Uniti (GU C 103E del 29.4.2004, pag. 665), laraccomandazione destinata al Consiglio, del 7 settembre 2006, sui negoziati invista di un accordo con gli Stati Uniti d'America sull'impiego dei dati diidentificazione delle pratiche passeggeri (PNR) per prevenire e combattere ilterrorismo e la criminalità transnazionale, compresa la criminalità organizzata(GU C 305E del 14.12.2006, pag. 250), la risoluzione del 14 febbraio 2007 suSWIFT, l'accordo PNR e il dialogo transatlantico su tali questioni (GU C 287Edel 29.11.2007, pag. 349), e la risoluzione del 12 luglio 2007 sull'accordo PNRcon gli Stati Uniti d'America (Testi adottati, P6_TA(2007)0347). Tutti idocumenti sono disponibili all'indirizzo http://www.europarl.europa.eu

(6) I dati PNRpossono essere utilizzati soltanto ai fini delle attività di contrasto e dellasicurezza in caso di grave criminalità organizzata transnazionale o diterrorismo a livello transfrontaliero, sulla base delle definizioni giuridichestabilite nella decisione quadro 2002/475/GAI del Consiglio, del 13 giugno2002, sulla lotta contro il terrorismo (GU L 164 del 22.6.2002, pag. 3) e nelladecisione quadro del Consiglio 2002/584/GAI, del 13 giugno 2002, relativa almandato d'arresto europeo (GU L 190 del 18.7.2002, pag. 1).

(7) ´Non puòessere adottata nessuna decisione di divieto di volo o di indagare o perseguireun individuo sulla sola base di tali ricerche automatizzate o consultazione dibanche di datiª.

(8) Accordo tral'Unione europea e l'Australia sul trattamento e sul trasferimento dei dati delcodice di prenotazione (Passenger Name Record — PNR) da parte dei vettoriaerei all'Agenzia australiana delle dogane e della protezione di frontiera,firmato il 29 settembre 2011.

(9) Accordo trala Comunità europea e il governo del Canada sul trattamento delle informazionianticipate sui passeggeri e dei dati delle pratiche passeggeri (GU L 82 del21.3.2006, pag. 15).

(10) Proposta didirettiva del Parlamento europeo e del Consiglio sull'uso dei dati del codicedi prenotazione a fini di prevenzione, accertamento, indagine e azione penalenei confronti dei reati di terrorismo e dei reati gravi (COM/2011/0032definitivo).

(11) Il 3dicembre 2010 il Consiglio ha autorizzato l'avvio dei negoziati per un accordotra l'UE e gli USA sulla protezione dei dati personali che vengono trasferiti etrattati al fine di prevenire, individuare, indagare e reprimere i reati,compreso il terrorismo, nel quadro della cooperazione di polizia e giudiziariain materia penale. Cfr. il comunicato stampa della Commissione all'indirizzohttp://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1661&format=HTML&aged=1&language=IT&guiLanguage=it

(12) Cfr. lacomunicazione della Commissione su un approccio globale alla protezione deidati personali nell'Unione europea, 4 novembre 2010, COM(2010) 609 definitivo,e il suo seguito.

(13) Parere delGEPD del 25 marzo 2011 sulla proposta di direttiva del Parlamento europeo e delConsiglio sull'uso dei dati del codice di prenotazione (Passenger Name Record,PNR) a fini di prevenzione, accertamento, indagine e azione penale neiconfronti dei reati di terrorismo e dei reati gravi, parere del GEPD del 15luglio 2011 sulla proposta di decisione del Consiglio relativa alla conclusionedell'accordo tra l'Unione europea e l'Australia sul trattamento e sultrasferimento dei dati del codice di prenotazione (Passenger Name Record— PNR) da parte dei vettori aerei all'Agenzia australiana delle dogane edella protezione di frontiera, parere del GEPD del 19 ottobre 2010sull'approccio globale al trasferimento dei dati del codice di prenotazione(Passenger Name Record, PNR) verso paesi terzi, e parere del GEPD del 20dicembre 2007 relativo al progetto di decisione quadro del Consiglio sull'usodei dati del codice di prenotazione (Passenger Name Record, PNR) nelle attivitàdi contrasto. Tutti i documenti sono disponibili all'indirizzohttp://www.edps.europa.eu

(14) Parere 10/2011del gruppo di lavoro ´articolo 29ª sulla proposta di direttiva del Parlamentoeuropeo e del Consiglio sull'uso dei dati del codice di prenotazione a fini diprevenzione, accertamento, indagine e azione penale nei confronti dei reati diterrorismo e dei reati gravi, parere 7/2010 del gruppo di lavoro ´articolo 29ªconcernente la comunicazione della Commissione europea sull'approccio globaleal trasferimento dei dati del codice di prenotazione (Passenger Name Record,PNR) verso paesi terzi, parere 5/2007 del gruppo di lavoro ´articolo 29ªrelativo al nuovo accordo tra l'Unione europea e gli Stati Uniti d'America sultrattamento e sul trasferimento dei dati del codice di prenotazione (PassengerName Record, PNR) da parte dei vettori aerei al Dipartimento per la Sicurezzainterna degli Stati Uniti concluso nel luglio 2007 e parere 4/2003 del gruppodi lavoro ´articolo 29ª sul livello di protezione assicurato negli Stati Unitiper quanto riguarda la trasmissione di dati relativi ai passeggeri. Tutti idocumenti sono disponibili all'indirizzohttp://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2011_en.htm

(15) Pareredell'Agenzia dell'Unione europea per i diritti fondamentali del 14 giugno 2011sulla proposta di direttiva sull'uso dei dati del codice di prenotazione a finidi prevenzione, accertamento, indagine e azione penale nei confronti dei reatidi terrorismo e dei reati gravi (disponibile all'indirizzohttp://fra.europa.eu/fraWebsite/attachments/FRA-PNR- Opinion-June2011.pdf) eparere del Comitato economico e sociale europeo del 5 maggio 2011 sullaproposta di direttiva del Parlamento europeo e del Consiglio sull'uso dei datidel codice di prenotazione a fini di prevenzione, accertamento, indagine eazione penale nei confronti dei reati di terrorismo e dei reati gravi(disponibile all'indirizzohttp://www.eesc.europa.eu/?i=portal.en.soc-opinions.15579).

(16) Cfr. nota 5.

(17) Decisionequadro del Consiglio 2002/475/GAI del 13 giugno 2002 sulla lotta contro ilterrorismo (GU L 164 del 22.6.2002, pag. 3).

(18) Cfr. ipareri del GEPD e del gruppo di lavoro ´articolo 29ª menzionati in precedenza.

(19) OtherService related Information.

(20) Special ServicesInformation.

(21) SpecialService Requests.

(22) Cfr. ilparere 4/2003 del gruppo di lavoro ´articolo 29ª, menzionato in precedenza.

(23) Cfr. lalettera del 19 gennaio 2011 indirizzata dal gruppo di lavoro ´articolo 29ª alcommissario Malmstrˆm riguardo agli accordi sui dati PNR siglati dall'UE congli Stati Uniti, il Canada e l'Australia.

(24) Il gruppodi lavoro ´articolo 29ª, per esempio, ha già fornito orientamentisull'informazione dei passeggeri (cfr. il parere 2/2007 del gruppo di lavoro´articolo 29ª del 15 febbraio 2007, rivisto ed aggiornato il 24 giugno 2008, inmerito al trasferimento di dati PNR alle autorità statunitensi, disponibileall'indirizzo http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2008/wp151_it.pdf).