Sintesi del parere del Garante europeo della protezione dei dati sulle proposte di decisioni del Consiglio relative alla conclusione e alla firma dell'accordo tra il Canada e l'Unione europea sul trasferimento e sul trattamento dei dati delcodice di prenotazione (Passenger Name Record

Sintesidel parere del Garante europeo della protezione dei dati sulle proposte didecisioni del Consiglio relative alla conclusione e alla firma dell'accordo trail Canada e l'Unione europea sul trasferimento e sul trattamento dei dati delcodice di prenotazione (Passenger Name Record — PNR)

(Pubblicatosulla GUUE n. C 51 del 22.2.2014)

I. Consultazione del GEPD

1. Il 19 luglio2013 la Commissione europea ha adottato le proposte di decisioni del Consigliorelative alla conclusione e alla firma dell'accordo tra il Canada e l'Unioneeuropea sul trasferimento e sul trattamento dei dati del codice di prenotazione(Passenger Name Record — PNR) ⁽¹⁾ (di seguito ´le proposteª), che contengono il testo dellaproposta di accordo tra il Canada e l'Unione europea (di seguito ´l'accordoª).Le proposte sono state trasmesse al GEPD il 23 luglio 2013.

2. Il GEPD hainoltre avuto la possibilità di fornire il proprio parere prima dell'adozionedelle proposte. Il GEPD è lieto di essere stato previamente consultato.Tuttavia, poiché il parere del GEPD è stato richiesto a negoziati conclusi, nonè stato possibile prendere in considerazione il suo contributo. Il presenteparere si basa sulle osservazioni fornite in quell'occasione.

II. Osservazioni generali

3. Comeaffermato in precedenti occasioni ⁽² ⁾, il GEPD mette in dubbiola necessità e la proporzionalità dei sistemi PNR e dei trasferimenti in massadi dati PNR a paesi terzi. Conformemente a quanto stabilito sia dalla Carta deidiritti fondamentali dell'Unione europea che dalla Convenzione europea deidiritti dell'uomo, devono essere soddisfatti entrambi i requisiti per eventualilimitazioni all'esercizio dei diritti fondamentali, tra cui il diritto alrispetto della vita privata e alla protezione dei dati di carattere personale ⁽³⁾. Secondo lagiurisprudenza, non solo le ragioni addotte dall'autorità pubblica pergiustificare tale limitazione devono essere pertinenti e sufficienti ⁽⁴ ⁾, ma occorre altresìdimostrare che non è possibile utilizzare metodi meno invasivi ⁽⁵ ⁾. Fino ad oggi, il GEPD nonha rilevato elementi convincenti che dimostrino la necessità e laproporzionalità del trattamento massivo e sistematico dei dati di passeggerinon sospetti a fini di contrasto.

4.Ciononostante, il GEPD accoglie con favore le garanzie di protezione dei datifornite nell'accordo, pur rammaricandosi del fatto che il periodo diconservazione sia stato prorogato rispetto al precedente accordo sui PNR con ilCanada.

5. Il GEPDaccoglie inoltre con favore gli sforzi intrapresi dalla Commissione in materiadi supervisione e ricorso nell'ambito dei vincoli imposti dalla natura dell'accordo.Tuttavia, è preoccupato per le limitazioni del controllo giurisdizionale e peril fatto che, in alcuni casi, per il ricorso amministrativo sia possibile adireun'autorità interna che non è indipendente. Il GEPD mette altresì in dubbio cheun accordo esecutivo sia lo strumento appropriato per conferire dirittiadeguati ed effettivi agli interessati.

6. L'accordodisciplina l'utilizzo, da parte della ´autorità canadese competenteª, di datiPNR trasferiti da vettori aerei dell'UE e di paesi terzi che effettuano voli inpartenza dall'Unione ⁽⁶ ⁾. Il GEPD raccomanda di esigere la conferma che nessun'altraautorità canadese possa accedere direttamente ai dati PNR o farne richiesta atali vettori, aggirando in tal modo l'accordo.

IV. Conclusioni

47. Comeprecedentemente affermato, il GEPD mette in dubbio la necessità e laproporzionalità dei sistemi PNR e dei trasferimenti in massa di dati PNR apaesi terzi. Contesta inoltre la scelta della base giuridica e raccomanda chele proposte si basino sull'articolo 16 del TFUE, in combinato disposto con gliarticoli 218, paragrafo 5, e 218, paragrafo 6, lettera a), del TFUE.

48. Il GEPD èinoltre preoccupato per la limitata disponibilità del ricorso amministrativoindipendente e del pieno ricorso giudiziario per i cittadini dell'UE nonpresenti in Canada e mette in dubbio che un accordo esecutivo sia idoneo agarantire tali diritti. Il GEPD raccomanda altresì di esigere la conferma chenessun'altra autorità canadese possa accedere direttamente ai dati PNR o farnerichiesta ai vettori contemplati dall'accordo.

49. Per quantoriguarda le disposizioni specifiche dell'accordo, il GEPD accoglie con favorele garanzie fornite in materia di protezione dei dati. Ciononostante, l'accordodeve:

—escludere completamente il trattamento di dati sensibili,

—prevedere la cancellazione o l'anonimizzazione dei dati subito dopo l'analisi eal massimo entro 30 giorni dalla loro ricezione e, in ogni caso, ridurre egiustificare il periodo di conservazione proposto, che è stato prorogatorispetto al precedente accordo sui PNR con il Canada,

—limitare le categorie di dati PNR da trattare,

—indicare espressamente che sarà un'autorità indipendente ad avere laresponsabilità della supervisione generale.

50. Il GEPDraccomanda inoltre di specificare, nell'accordo o nei documenti annessi, quantosegue:

—restringere e chiarire ulteriormente i concetti che definiscono le finalitàdell'accordo,

—precisare quali tipi di discriminazione ´legittimaª saranno possibili,IT 22.2.2014 Gazzetta ufficiale dell'Unioneeuropea C 51/13

—prevedere l'obbligo di notificare le violazioni dei dati alla Commissioneeuropea e alle autorità di protezione dei dati,

—completare le disposizioni sulla trasparenza,

—estendere il divieto di decidere soltanto sulla base del trattamentoautomatizzato dei dati PNR a tutte le decisioni che danneggiano i passeggerisulla base dell'accordo,

—indicare a quali autorità canadesi possono essere ulteriormente trasferiti idati PNR, aggiungendo il requisito della previa autorizzazione giudiziaria odell'esistenza di una minaccia immediata, prevedendo l'obbligo di includereadeguate garanzie di protezione dei dati negli accordi o nelle intese conaltri/e paesi o autorità destinatari/e nonché la loro notifica alla Commissioneeuropea e alle autorità di protezione dei dati dell'UE,

—nominare le autorità competenti e stabilire sanzioni dissuasive per il mancatorispetto dell'accordo,

—indicare quali meccanismi hanno a disposizione le persone non residenti inCanada per chiedere il controllo giurisdizionale ai sensi del diritto canadese,

—chiarire se il diritto al controllo giurisdizionale può essere esercitato anchese la decisione o azione pertinente non è stata comunicata alla personainteressata, in particolare qualora siano violate disposizioni dell'accordodiverse da quelle riguardanti l'accesso e la rettifica/l'annotazione,

—specificare a quale ´altro rimedio che consenta il risarcimento dei danniª siriferisce l'articolo 14, paragrafo 2,

—indicare la frequenza delle verifiche dell'attuazione dell'accordo, il lorocontenuto (che deve comprendere anche la valutazione della sua necessità e proporzionalità)e includere espressamente nel gruppo di verifica dell'Unione europea le autoritàdi protezione dei dati dell'UE.

Fatto aBruxelles, il 30 settembre 2013

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE
( 1 ) COM(2013) 529 final.

( 2 ) Cfr. ilparere del GEPD del 9 dicembre 2011 sulla proposta di decisione del Consigliorelativa alla conclusione dell'accordo tra gli Stati Uniti d'America e l'Unioneeuropea sull'uso e sul trasferimento del codice di prenotazione (Passenger NameRecord — PNR) al Dipartimento per la sicurezza interna degli Stati Uniti,GU C 35 del 9.2.2012, pag. 16, il parere del GEPD del 15 luglio 2011 sullaproposta di decisione del Consiglio relativa alla conclusione dell'accordo tral'Unione europea e l'Australia sul trattamento e sul trasferimento dei dati delcodice di prenotazione (Passenger Name Record — PNR) da parte dei vettoriaerei all'Agenzia australiana delle dogane e della protezione di frontiera, GUC 322 del 23.12.2011, pag. 1, il parere del GEPD del 25 marzo 2011 sullaproposta di una direttiva del Parlamento europeo e del Consiglio sull'uso deidati del codice di prenotazione (Passenger Name Record, PNR) a fini di prevenzione,accertamento, indagine e azione penale nei confronti dei reati di terrorismo edei reati gravi, il parere del GEPD del 19 ottobre 2010 sulla comunicazionedella Commissione sull'approccio globale al trasferimento dei dati del codicedi prenotazione (Passenger Name Record, PNR) verso paesi terzi, il parere delGEPD del 20 dicembre 2007 relativo al progetto di decisione quadro delConsiglio sull'uso dei dati del codice di prenotazione (Passenger Name Record,PNR) nelle attività di contrasto, GU C 110 dell'1.5.2008, pag. 1, il parere delGEPD del 15 giugno 2005 sulla proposta di decisione del Consiglio relativa allaconclusione di un accordo tra la Comunità europea e il governo del Canada sultrattamento delle informazioni anticipate sui passeggeri (Advance PassengerInformation, API) e dei dati delle pratiche passeggeri (Passenger Name Record,PNR), GU C 218 del 6.9.2005, pag. 6 (tutti disponibili all'indirizzo

http://www.edps.europa.eu/EDPSWEB/edps/cache/bypass/Consultation/OpinionsC).Cfr. anche i pareri del gruppo di lavoro ´articolo 29ª sui dati del codice diprenotazione (Passenger Name Record, PNR), disponibili all'indirizzohttp://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/indexen.htm#datatransfers

( 3 ) Cfr.gli articoli 7, 8 e 52, paragrafo 1, della Carta dei diritti fondamentali dell'Unioneeuropea (GU C 83 del 30.3.2010, pag. 389) e l'articolo 8 della Convenzione perla salvaguardia dei diritti dell'uomo e delle libertà fondamentali (STE n. 5),Consiglio d'Europa, 4.11.1950.

( 4 ) Corteeuropea dei diritti dell'uomo, sentenza 4 dicembre 2008, S. e Marper/RegnoUnito.

( 5 ) Cortedi giustizia dell'Unione europea, sentenza 9 novembre 2010, causa C-92/09 Volkerund Markus Schecke GbR/Land Hessen, e causa C-93/09 Eifert/Land Hessen eBundesanstalt f¸r Landwirtschaft und Ern‰hrung.

( 6 ) Cfr. larelazione delle proposte e l'articolo 3, paragrafo 1, dell'accordo.