CE - GRUPPO DI LAVORO PER LA TUTELA DEI DATI PERSONALI Parere 1/2004 del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito a seguito della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, sul livello di protezione garantito in Australia per la trasmissione di dati di identificazione delle pratiche (PNR) da parte delle compagnie aeree - wp85Adottato il 16 gennaio 2004 IL GRUPPO PER LA TUTELA DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI, vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati1, in particolare gli articoli 29 e 30, paragrafo 1, lettera c), visto il regolamento interno del gruppo2, in particolare gli articoli 12 e 14, considerando quanto segue: Il governo australiano ha invitato3 la Commissione a constatare che l'Australia garantisce un livello di protezione adeguato, ai sensi dell'articolo 25 della direttiva, riguardo alla trasmissione di dati di identificazione delle pratiche (Passenger Name Records, o PNR) da parte delle compagnie aeree. La Commissione europea ha sollecitato il parere del gruppo in merito, HA ADOTTATO IL SEGUENTE PARERE: 1. Introduzione La legislazione australiana di protezione delle frontiere autorizza le dogane australiane a valutare i rischi dei codici PNR di identificazione delle pratiche (Passenger Name Record) delle compagnie aeree internazionali prima dell'arrivo dei passeggeri in Australia. Tale legislazione mira a rafforzare la sicurezza delle frontiere australiane e, in particolare, ad applicare il programma elettorale del 2001 del governo, che si prefiggeva di rafforzare la sicurezza nazionale. Nella legislazione australiana, l'accesso ai dati PNR, la loro utilizzazione e comunicazione a terzi da parte delle dogane è disciplinato dalla legge del 1901 (Customs Act), dalla legge del 1985 sull'amministrazione delle dogane (Customs Administration Act), dalla legge del 1988 sulla tutela della vita privata (Privacy Act) e dall'impegno di non conservare i dati PNR sottoscritto dalle dogane nei confronti del parlamento. Le compagnie aeree sono tenute ad accordare alle dogane l'accesso a taluni dati PNR da esse detenuti. Il rispetto delle esigenze australiane da parte delle compagnie può creare problemi dal punto di vista della direttiva 95/46/CE sulla tutela dei dati. Per questo motivo la Commissione ha avviato negoziati con l'Australia al fine di determinare le condizioni che le consentirebbero di adottare una decisone che riconosca una protezione adeguata ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE. La Commissione ha tenuto il gruppo di lavoro al corrente di tali negoziati. In particolare, il gruppo ha ricevuto dalla Commissione un documento contenente l'impegno delle dogane australiane nei confronti del parlamento (federale) australiano per quanto riguarda l'accesso alle informazioni relative ai passeggeri delle compagnie aeree e la non conservazione di tali informazioni, nonché le conclusioni del senato australiano in merito4. Il gruppo constata che il trasferimento di dati PNR da parte delle compagnie aeree alle autorità di paesi al di fuori dell'Unione europea suscita le preoccupazioni del pubblico e comporta implicazioni profonde e delicate in termini internazionali, politici e giuridici. Al fine di sopire tali preoccupazioni, occorre accludere a qualsiasi decisione della Commissione una descrizione completa del relativo contesto normativo australiano. Il gruppo raccomanda altresì di includere nella decisone della Commissione una disposizione che preveda un meccanismo atto a garantire che qualsiasi modifica della legislazione in vigore sia comunicata alla Commissione. 2. Legislazione australiana in materia di dati di identificazione delle pratiche Il gruppo prende nota delle spiegazioni fornite dal governo australiano in merito. In base a tali spiegazioni, la legislazione australiana sui dati PNR copre le situazioni seguenti: • La legge de 1901 sulle dogane (Customs Act) nella sua versione modificata Il titolo 7 della legge del 2002 che modifica la legislazione relativa alla sicurezza delle frontiere (terrorismo) (Border Security Legislation Amendment (Terrorism) Act), che modifica la legge del 1901 sulle dogane (Customs Act, di seguito chiamata "legge sulle dogane"), è entrato in vigore il 2 agosto 2002; esso autorizza le dogane ad ottenere informazioni sui passeggeri dalle compagnie aeree dietro richiesta del direttore generale delle dogane (di seguito chiamato "DGD"). A questo proposito la sezione 64AF della legge sulle dogane obbliga l'operatore di un servizio internazionale di trasporto aereo di passeggeri ad accordare alle dogane l'accesso ai propri dati PNR, su richiesta del DGD. La sezione 64AF, paragrafo 1, lettera a), precisa che la richiesta di accesso alle informazioni sui passeggeri presentata dal DGD a una compagnia aerea è conforme a "modalità e forma particolari". Una volta che la richiesta sia stata formulata dal DGD, essa costituisce uno strumento giuridico ufficiale che, all'atto di ricevimento da parte dell'operatore, diventa una richiesta vincolante di fornitura di dati sui passeggeri. Il gruppo prende atto del fatto che l'obbligo di garantire l'accesso va rispettato anche se le informazioni in questione rappresentano informazioni di carattere personale secondo la definizione della legge australiana del 1988 sulla tutela della vita privata (Privacy Act). In effetti la sezione 273GAB della legge sulle dogane autorizza la comunicazione dei dati sui passeggeri alle dogane anche se tali informazioni sono informazioni di carattere personale secondo la definizione della legge sulla tutela della vita privata, che dovrebbe in genere applicarsi a tale diffusione. Il gruppo rileva che, imponendo una penale in caso di mancata osservanza, il governo australiano intende che il DGD sia tenuto ad esercitare i poteri previsti nella sezione 64AF. Egli non ha la facoltà di esonerare una compagnia dall'applicazione della sezione 64AF, che peraltro gli concede un potere discrezionale quanto al momento di presentare la sua richiesta e le "modalità e forma particolari" dell'accesso alle informazioni relative ai passeggeri di cui dispongono gli operatori. Secondo le autorità australiane le "modalità e forma" della richiesta costituiscono un documento giuridicamente vincolante che determina nei dettagli l'accesso al sistema e la fornitura dei dati. • Legge del 1985 sull'amministrazione delle dogane Le sezione 16 della legge del 1985 sull'amministrazione delle dogane ("Customs Administration Act", di seguito denominata "legge sull'amministrazione delle dogane") disciplina la registrazione e la diffusione delle "informazioni protette". Qualsiasi dato PNR al quale hanno accesso le dogane è una "informazione protetta" ai sensi di tale sezione, e la sua registrazione nonché diffusione debbono avvenire conformemente alle disposizioni di tale sezione. Per "informazioni protette" s'intendono "informazioni che giungono direttamente o indirettamente a conoscenza o in possesso di una persona nell'esercizio delle sue funzioni (in rapporto o meno a tali funzioni)." La legge sull'amministrazione delle dogane vieta la registrazione e la diffusione non autorizzate di talune informazioni detenute dalle dogane, prevede eccezioni in merito e contiene disposizioni particolari relative alla diffusione autorizzata di "informazioni di carattere personale"5. La legge sull'amministrazione delle dogane ha come punto d'inizio il divieto di registrare o diffondere informazioni protette salvo il caso in cui la sezione 16 le autorizzi oppure se tali operazioni siano richieste o autorizzate da un'altra legge, o nell'ambito dell'esercizio delle funzioni della persona che effettua tali operazioni6. La legge sull'amministrazione delle dogane si applica al DGD e a un gruppo ristretto di funzionari elencati nella sottosezione 1AA. • Legge del 1988 sulla tutela della vita privata Nel 1988, il governo del Commonwealth ha promulgato una legge sulla tutela della vita privata (Commonwealth Privacy Act, di seguito denominata "legge sulla tutela della vita privata"). Essa riguarda principalmente le attività dei ministeri e agenzie del governo federale assoggettati ad una serie di principi relativi al carattere privato delle informazioni (Information Privacy Principles o IPP) fondati sugli orientamenti che disciplinano la tutela della vita privata e i flussi transfrontalieri di dati di carattere personale adottati dall'OCSE nel 1980, sotto la supervisione di un commissario preposto alla tutela della vita privata7. In qualità di agenzia del governo del Commonwealth, le dogane sono soggette alle disposizioni della legge sulla tutela della vita privata applicabili al settore pubblico (cfr. allegato A in cui figura un riepilogo di tale legge). La maggior parte degli IPP riguarda registrazioni contenenti informazioni di carattere personale, ma non le informazioni stesse. Il gruppo prende nota del fatto che la definizione di "registrazioni" conferma che, ad esempio, le basi dati rientrano in tale legge. Il gruppo rileva il fatto che qualsiasi informazione PNR detenuta dalle dogane è anche una "informazione di carattere personale" ai sensi e ai fini della legge del 1988 sulla tutela della vita privata. Le dogane sono tenute quindi a trattare tale informazione conformemente alla legge suddetta, anche per quanto riguarda la raccolta, l'utilizzazione, la conservazione e la diffusione. Gli IPP impongono alle agenzie del governo del Commonwealth di trattare in modo adeguato le informazioni di carattere personale nei settori seguenti:
Secondo il governo australiano, il commissario preposto alla tutela della vita privata effettua audit delle agenzie governative del Commonwealth al fine di accertare che esse rispettino gli IPP. Sempre secondo lo stesso governo, le dogane hanno allestito procedimenti ufficiali per l'esecuzione, da parte del commissario preposto alla tutela della vita privata e del servizio di audit interno delle dogane, di audit sull'accesso alle informazioni relative ai passeggeri. Attualmente è in corso d'esame, da parte dell'Attorney General, una proposta di modifica della legge sulla tutela della vita privata per consentire al commissario preposto alla tutela della vita privata di effettuare un audit delle dogane al fine di accertare che esse non conservino dati PNR identificabili. 3. Funzionamento e caratteristiche delle disposizioni relative all'accesso ai pnr da parte delle dogane Il gruppo prende atto delle spiegazioni fornite dalle autorità australiane in merito. Se ne desume che le disposizioni relative all'accesso delle dogane ai PNR presentano le caratteristiche e le modalità di funzionamento seguenti. • Trattamento e conservazione dei dati PNR Nell'allegato al presente parere, che ne costituisce parte integrante, è descritto l'accesso ai dati PNR attraverso la rete SITA. I PNR ai quali le dogane hanno accesso non comprendono dati storici, ma unicamente informazioni relative ai voli correnti. La prima fase del trattamento dei dati PNR da parte delle dogane consiste in una valutazione automatizzata dei rischi tramite un software di interrogazione. Ciò significa che taluni dati contenuti nei PNR delle compagnie aeree (informazione riguardo alle prenotazioni e alla registrazione dei passeggeri) sono soggetti ad un software d'analisi automatizzata del profilo. Tale software elimina, in media, il 95-97% dei passeggeri da un volo determinato, stimando che il loro PNR non corrisponde ad un profilo di rischio. I PNR di tali passeggeri non sono visualizzati né scaricati dalle dogane e non esistono ulteriori azioni per accedervi o valutarli. Il primo intervento umano avviene quando funzionari delle dogane passano in rassegna i dati PNR del restante 3-5% di passeggeri (in media, su un volo determinato) selezionati dal software d'analisi automatizzata del profilo. I PNR di tali passeggeri sono esaminati da un funzionario delle dogane assegnato all'unità d'analisi dei passeggeri (Passenger Analysis Unit, o PAU), con sede a Canberra, che effettua un'analisi dei rischi o pericoli. Se, dopo un'analisi complementare, persistono sufficienti motivi di credere che il passeggero presenti un rischio, si può decidere d'intercettarlo all'arrivo alla frontiera australiana. Questo sottoinsieme rappresenta in media lo 0,05-01% dei passeggeri di un dato volo. I funzionari delle dogane alla frontiera (aeroporto) decidono definitivamente circa l'opportunità o meno d'intercettare il passeggero. Per quanto riguarda la conservazione dei dati PNR, non esistono per le dogane obblighi giuridici in questo senso. La legislazione non vieta nemmeno alle dogane di memorizzare tali dati. I dati PNR dei passeggeri considerati come soggetto di rischio poco elevato dal software di analisi automatizzata del profilo (95-97% del totale) non sono memorizzati e non viene conservata alcuna traccia di tali informazioni. La politica generale applicata dalle dogane consiste quindi nel non conservare tali dati. Nel caso dello 0,05-0,1% di passeggeri segnalati alle dogane per una valutazione ulteriore, i dati PNR delle compagnie aeree sono conservati temporaneamente — ma non memorizzati — in attesa della valutazione effettuata alla frontiera. Successivamente, i dati PNR sono cancellati dal PC del funzionario della PAU in questione e non vengono introdotti nelle basi dati australiane. Le dogane conservano i dati di carattere personale ai quali esse hanno accesso sulla base dei PNR soltanto se il passeggero interessato ha violato una legge sulla tutela delle frontiere che rientri nelle loro competenze. Ove venga presunta una violazione, i dati sono conservati per tutta la durata dell'indagine. Ove quest'ultima non comporti procedimenti giudiziari o non vengano provate violazioni, i dati PNR sono eliminati. La politica di non conservazione dei dati PNR descritta in precedenza è stata formalizzata in un impegno assunto dalle dogane nei confronti del parlamento (federale) australiano quando la commissione degli affari giuridici e costituzionali del senato ha raccolto informazioni relative al progetto di legge mirante a modificare la legislazione in materia di sicurezza (terrorismo) del 2002 (Security legislations Amendment (Terrorism) Bill (No 2) e i disegni di legge collegati8. Cercando di ottenere dal parlamento australiano l'adozione di una legislazione mirante ad obbligare le compagnie aeree a comunicare i dati PNR e al fine di rispondere alle preoccupazioni espresse dal commissario federale preposto alla tutela della vita privata in merito alla memorizzazione dei dati di carattere personale, le dogane hanno assunto nei confronti del parlamento l'impegno seguente, secondo il quale esse garantiscono di non memorizzare i dati PNR: "le dogane non conservano né memorizzano informazioni sui passeggeri, salvo nel caso in cui si constati che questi ultimi esercitano un'attività illegale o se le informazioni sono necessarie in quanto elementi di un'indagine in merito ad una presunta violazione"9. Le conclusioni della commissione del senato e le aspettative del parlamento nei confronti delle dogane in materia di accesso ai dati PNR figurano nei paragrafi 4.80 - 4.87 della relazione della commissione del maggio 2002. Secondo le spiegazioni fornite dalle autorità australiane, l'impegno è vincolante. Indipendentemente da qualsiasi cambiamento di DGD o di ministro, l'impegno non sarà più valido in caso di modifica delle condizioni. Il DGD è quindi tenuto a rispettare tale impegno perché altrimenti si renderebbe colpevole di oltraggio al parlamento agendo in modo contrario alle intenzioni della sezione 64AF. Sulla base di tale impegno, le dogane hanno elaborato procedure operative rigorose che disciplinano l'utilizzazione dei dati PNR e che vietano specificatamente la conservazione dei dati. Allo stesso modo, il sistema informatico utilizzato per l'analisi dei PNR è stato concepito in modo da non poter conservare i dati. Il gruppo constata che il sistema australiano vieta qualsiasi memorizzazione generale prolungata e qualsiasi trattamento ulteriore dei dati PNR e prende atto delle spiegazioni e delle assicurazioni fornite dal governo australiano. Come sopra menzionato, i dati PNR di un passeggero sono conservati soltanto se si rileva che quest'ultimo ha violato una legge sulla protezione delle frontiere che rientri nelle competenze delle dogane. Qualora a tale persona sia imputata una violazione, i dati vengono conservati temporaneamente per tutta la durata dell'indagine. Se quest'ultima non si traduce in un procedimento giudiziario o se non viene constatata alcuna violazione, i dati PNR sono eliminati. In tutti gli altri casi, non vengono conservate tracce di tali informazioni. Inoltre le dogane non hanno più accesso ai dati riguardanti un volo particolare dopo che quest'ultimo è stato cancellato dai sistemi di una compagnia aerea, cioè dopo 24-48 ore dall'atterraggio. Dal punto di vista della protezione dei dati, il gruppo rileva quindi che tale dispositivo presenta una differenza fondamentale rispetto a quello degli Stati Uniti, in cui i dati PNR sono scaricati dalle basi dati delle compagnie aeree e memorizzati in una base a parte per essere elaborati in un secondo tempo. Il gruppo rileva altresì che il dispositivo australiano implica la comunicazione sistematica dei dati PNR alle autorità australiane da parte delle compagnie aeree. Parallelamente, ogni comunicazione effettuata da una compagnia riguarda un solo volo e ogni PNR creato per tale volo è ad esso specifico. Di conseguenza, i PNR ai quali hanno accesso le dogane non comprendono dati storici. Il gruppo basa quindi la sua posizione sull'interazione tra la comunicazione sistematica dei dati PNR, il fatto che tali dati sono specifici ai singoli voli e la politica generale di non conservazione dei dati PNR applicata dalle autorità australiane. • Obiettivo delle dogane perseguito tramite l'accesso ai dati PNR Il gruppo nota che, secondo le autorità australiane, l'obiettivo perseguito dalle dogane attraverso l'accesso ai dati PNR è il seguente: "applicare la decisone del governo australiano di valutare tutti i dati PNR dei passeggeri presenti su voli a destinazione o in provenienza dell'Australia al fine di migliorare la protezione delle frontiere identificando i passeggeri che potrebbero presentare una minaccia di terrorismo o di attività criminale connessa"10. L'accesso è limitato ai voli definiti come voli internazionali australiani nella sezione 64AF, paragrafo 6, della legge sulle dogane, cioè i voli che comportano un percorso a destinazione, attraverso o in provenienza dell'Australia11. • Elementi dei dati PNR ai quali hanno accesso le dogane I dati PNR raccolti per il trattamento da parte delle dogane rappresentano informazioni contenute nella pratica del passeggero, che si trovano in varie parti dei moduli "prenotazione" e "registrazione" del sistema informatico di prenotazione (di seguito chiamato SIP) delle compagnie aeree; i dati riguardano le persone che si trovano a bordo di un volo a destinazione o in provenienza dell'Australia 12. Secondo le autorità australiane, il primo esame informatico dei dati sui passeggeri si basa su un gruppo limitato di elementi dei dati PNR, un totale di 18 elementi. Nessuno di essi corrisponde a dati sensibili, sulla cui esclusione le dogane sono d'accordo, o a dati quali, ad esempio, quelli che riguardano i "viaggiatori frequenti". Il gruppo ha raffrontato i 18 elementi dei dati PNR utilizzati dal software d'analisi automatizzata del profilo delle dogane a quelli menzionati nel suo parere 4/2003 del 13 giugno 200313. Il gruppo rileva che 7 elementi dei dati PNR14 su 18 non rientrano nella categoria di quelli considerati come non eccessivi nel parere 4/2003. Inoltre, 4 elementi di dati PNR15 non sono stati esaminati in precedenza dal gruppo. Se, al termine dell'analisi automatizzata del profilo, un passeggero è considerato come eventuale fattore di rischio, altri elementi dei dati PNR possono essere esaminati da un funzionario abilitato delle dogane; 5 di tali elementi16 non fanno parte di quelli considerati come non eccessivi secondo l'avviso di cui sopra e 217 non sono stati valutati dal gruppo nel suo parere 4/2003. Il gruppo prende atto del fatto che le dogane possono esaminare la totalità dei PNR, compresi i dati sensibili, nel caso si sospetti un rischio elevato. Ciò può riguardare lo 0,05%-0,1% dei passeggeri (in media, su un dato volo) selezionati dal software di profilo automatizzato come elementi eventuali di rischio. • Modalità e forma dell'accesso ai dati PNR L'accesso agli elementi dei dati PNR di cui sopra tramite il software automatizzato di valutazione dei rischi delle dogane è autorizzato a condizione che esso avvenga secondo le modalità e una forma particolari di cui alla sezione 64AF, paragrafo 1, lettera a), della legge sulle dogane ed illustrati in un relativo documento specifico. Secondo le autorità australiane, qualsiasi altra forma d'accesso è vietata dalla legislazione australiana. Oltre al documento riguardante le modalità e la forma, un "accordo sull'accesso al sistema" illustra le procedure che consentono di gestire l'accesso delle dogane alle informazioni delle compagnie aeree relative ai passeggeri conformemente alla legge sulle dogane, sull'amministrazione delle dogane e sulla tutela della vita privata. Le modalità d'accesso sono definite come un accesso elettronico continuo, in tempo reale e on-line alle componenti SIP del sistema informatico delle compagnie aeree o ai sistemi utilizzati per memorizzare le informazioni sui passeggeri. L'accesso è in sola lettura (come indicato al paragrafo 2.3, punto c), dell'accordo sull'accesso al sistema che concede alle dogane l'accesso alle informazioni delle compagnie aeree in merito ai passeggeri) e viene concesso soltanto a un numero ristretto di funzionari delle dogane abilitati dal DGD. I diritti d'accesso sono forniti dalle compagnie aeree. La forma d'accesso precisa un software delle dogane specialmente allestito. Esso si trova in un sistema informatico delle dogane, collegato al sistema della compagnia aerea attraverso una rete chiamata SITA. La procedura tecnica d'accesso alle informazioni PNR tramite la SITA è descritta in un allegato tecnico annesso al presente parere. • Destinatario iniziale dei dati PNR Il gruppo prende atto del fatto che le dogane sono l'unica amministrazione in grado di accedere ai dati PNR trasmessi dalle compagnie aeree. In seno alle dogane, l'accesso è limitato a un gruppo ristretto di funzionari che operano nell'unità d'analisi dei passeggeri, situata nella sede centrale, a Canberra. Prima di accedere alle informazioni sui passeggeri, ogni funzionario deve essere abilitato a seguito di una decisione del DGD, conformemente alla sottosezione 64AF, paragrafo 1, della legge sulle dogane. Tale sottosezione dispone che l'operatore di un servizio internazionale di trasporto aereo di passeggeri riceva dal DGD la richiesta di accordare a funzionari abilitati un accesso permanente alle informazioni sui passeggeri detenute dalla compagnia aerea. Il documento circa le modalità e la forma, che definisce l'accesso alle informazioni delle compagnie relative ai passeggeri conferma che "il direttore generale delle dogane autorizza un certo numero di funzionari che occupano certe funzioni ad accedere al vostro sistema. I particolari sui funzionari che esercitano tali funzioni vi saranno comunicati mediante il modulo di registrazione/richiesta di un codice utente e di una parola d'ordine da voi fornita". Menzione dei "funzionari abilitati" viene fatta anche nell'accordo sull'accesso al sistema, che precisa le disposizioni di accesso al sistema informatico convenute dalle dogane e dalle compagnie aeree. Il documento precisa che soltanto funzionari abilitati delle dogane possono accedere al sistema della compagnia (paragrafo 2, 2), precisa che le dogane debbono notificare alla compagnia interessata l'identità di tali funzionari e indicare che l'accesso al sistema informatico della compagnia è limitato a tali funzionari abilitati (o agli indirizzi informatici utilizzati per l'accesso automatizzato al sistema e l'analisi delle informazioni PNR — paragrafo 2.3). • Trasferimenti I dati PNR ai quali le dogane hanno accesso possono essere forniti a terzi soltanto nei casi seguenti: a) quando un tribunale ordini alle dogane di comunicargli informazioni; b) quando le dogane sospettano una persona arrivata alla frontiera di aver violato la legislazione australiana; le informazioni sono in questo caso trasmesse alla polizia federale australiana (di seguito chiamata "PFA") affinché quest'ultima avvii l'indagine e i procedimenti giudiziari. Le dogane non trasmettono alla PFA la totalità dei PNR, ma possono fornirle, in certi casi, i dati particolari che hanno comportato l'arresto del passeggero. L'accesso alle registrazioni in materia di carta di credito e di telefono può essere concesso unicamente sulla base di un mandato di perquisizione. Conformemente ad accordi ministeriali conclusi tra le dogane e la PFA, per tutti i reati più gravi (ad esempio attività di terrorismo e di traffico di droga scoperte dalla dogana alla frontiera), la pratica è trasmessa alla PFA, che è responsabile dell'indagine e dei procedimenti giudiziari. La PFA, in quanto agenzia governativa del Commonwealth, è soggetta alla legge sulla tutela della vita privata. L'IPP n. 11 di tale legge prevede precisamente che un'agenzia che riceve informazioni dalle dogane non può utilizzare o diffondere tali informazioni a fini diversi da quelli per le quali tali informazioni sono state comunicate. Inoltre, la sezione 60A della legge del 1979 sulla polizia federale australiana (Australian Federal Police Act) impone un obbligo di riservatezza a tutti i membri delle PFA. Ai sensi di tale disposizione, è vietato a qualsiasi persona che appartenga o che abbia appartenuto alla PFA di registrare o di comunicare, direttamente o indirettamente, informazioni ottenute nell'esercizio delle sue funzioni, salvo nei casi autorizzati da tale sezione, qualora lo esiga un'altra legge o nel quadro dell'esercizio delle sue funzioni di membro della PFA. L'infrazione alla sezione 60 è punita con la detenzione carceraria per una durata fino a due anni. Per quanto riguarda la trasmissione di dati PNR, le dogane sono soggette all'IPP 11, come enunciato alla sezione 14 della legge sulla tutela della vita privata. Questo IPP impone limiti specifici alla comunicazione di informazioni di carattere personale. Un "curatore del registro" (simile al responsabile del trattamento ai sensi della direttiva) non può diffondere informazioni di carattere personale a fini diversi da quelli previsti all'origine, anche se sono previste alcune eccezioni specifiche. Tra queste ultime figurano: consenso della persona interessata, comunicazione richiesta o autorizzata per legge a un fine ragionevolmente necessario all'applicazione del diritto penale, una legge che imponga una pena pecuniaria oppure tutela delle entrate pubbliche. Inoltre i funzionari delle dogane che sono autorizzati ad accedere alle informazioni sui passeggeri sono tenuti a rispettare le prescrizioni della sezione 16 della legge del 1985 sull'amministrazione delle dogane, che contiene norme in materia di registrazione e di comunicazione di informazioni protette, quali i dati PNR. Secondo le autorità australiane, non esistono altre disposizioni che prevedano la trasmissione a terzi di dati di carattere personale18. • Sicurezza Secondo le autorità australiane, per quanto riguarda l'accesso ai dati PNR sono previsti molteplici livelli di sicurezza. Tra le varie forme di tutela figurano la limitazione dell'accesso a un numero ristretto di uffici abilitati delle dogane. Inoltre, sono state adottate misure di sicurezza complete, fisiche ed elettroniche, al fine di isolare le informazioni sui passeggeri dall'ambiente generale delle dogane. In merito le misure principali sono le seguenti: le informazioni delle compagnie aeree sono visualizzate attraverso una rete locale specializzata che è isolata fisicamente ed elettronicamente da qualsiasi altro sistema delle dogane. Le stazioni di lavoro delle unità d'analisi dei passeggeri si trovano in locali informatici sicuri, ad accesso limitato. Esistono tre livelli di codice utente/parola d'ordine per accedere alle informazioni: accesso alla rete locale, accesso al software d'analisi dei PNR e accesso fornito dalle compagnie (ad esempio codice di identificazione vocale/parola d'ordine). Secondo rappresentanti del fornitore della rete SITA, il sistema australiano non è collegato al flusso di dati destinato al controllo dei visti da parte dei funzionari delle dogane esterni all'unità d'analisi dei passeggeri e questi due flussi sono isolati l'uno dall'altro. Le autorità australiane hanno confermato che i dati APIS che servono per il controllo dei visti sono mantenuti totalmente separati dai flussi di dati PNR. • Dati sensibili Secondo il governo australiano, tutte le informazioni di carattere personale godono dello stesso livello di protezione da parte delle dogane, che non elaborano profili sulla base di dati sensibili (quale origine razziale o etnica, opinione politica, credo religioso o filosofico, oppure ancora stato di salute)19. • Informazioni Affinché i passeggeri siano informati in modo adeguato, il gruppo rileva che essi dovrebbero ricevere informazioni chiare e precise circa i loro diritti, in particolare il diritto di accesso e di rettifica, nonché i meccanismi esistenti di ricorso. Idealmente, queste informazioni dovrebbero essere disponibili al momento dell'acquisto del biglietto. • Diritto di accesso e di rettifica Dato che sono soggette alla legge sulla tutela della vita privata, le dogane sono tenute a trattare i dati PNR conformemente agli IPP 6 e 7, che prevedono esplicitamente diritti di accesso, di rettifica e di obiezione. In conformità dell'IPP 6, qualsiasi persona ha il diritto di accedere alle informazioni di carattere personale che la riguardano, salvo nei casi in cui un curatore del registro sia autorizzato a rifiutarle tale accesso o sia tenuto a farlo in virtù di una legge che disciplina l'accesso ai documenti. Si tratta della legge del 1982 sulla libertà d'informazione (Freedom of Information Act, o FIO) e della legge del 1983 sugli archivi (Archives Act). La FIO obbliga qualsiasi agenzia a rilasciare documenti (contenenti o meno informazioni di carattere personale) a qualsiasi persona ne faccia richiesta, tranne nei casi in cui tali documenti rientrino in certe categorie contemplate da eccezioni. La legge sugli archivi prevede che le pratiche risalenti ad oltre trent'anni contenute negli archivi nazionali australiani siano accessibili al pubblico. L'IPP 7 consente a una persona di esigere da un curatore del registro, ove quest'ultimo si rifiuti di modificare una registrazione, di adottare misure ragionevoli per accludere una dichiarazione in tal senso. Il gruppo prende atto del fatto che i dati PNR sono memorizzati soltanto in caso di violazioni delle leggi sulla protezione delle frontiere di competenza delle dogane, oppure nel corso di un'indagine su una presunta violazione di tali leggi. Al di fuori dei diritti ufficialmente riconosciuti e sopra menzionati, qualsiasi persona in stato di accusa può chiedere di avere accesso alle informazioni che la riguardano durante tutta la procedura giudiziaria, per poter preparare la sua difesa. • Meccanismi di applicazione La legge sulla tutela della vita privata ha istituito un ufficio indipendente del commissario federale preposto alla tutela della vita privata. Il commissario20, in veste di funzionario pubblico,21 ha l'obbligo legale di indagare sui ricorsi dei singoli in merito alle interferenze con la vita privata a titolo della legge sulla tutela della vita privata e della legislazione connessa. Il commissario è nominato per una durata determinata. Al fine di garantire la sua indipendenza, egli può essere estromesso dalla sua carica soltanto per motivi estremamente gravi, quali condotta impropria o incapacità. Il gruppo rileva il fatto che, in virtù della sezione 52 della legge sulla tutela della vita privata, il commissario preposto alla tutela della vita privata può adottare una decisione indicando che certe pratiche costituiscono una minaccia alla vita privata e debbono cessare; che il convenuto deve risarcire qualsiasi perdita o danno subito dal querelante e che quest'ultimo ha il diritto di ottenere un importo determinato a titolo di risarcimento. Le sezioni 58-60 della stessa legge obbligano le agenzia a conformarsi alle decisioni adottate in virtù della sezione 52. Qualora ciò non avvenga, il querelante o il commissario preposto alla tutela della vita privata può avviare una procedura presso un tribunale federale la fine di farle applicare. Attualmente, la sottosezione 41, paragrafo 4, della legge sulla tutela della vita privata limita il potere del commissario preposto alla tutela della vita privata ad indagare su ricorsi riguardanti l'IPP 7 (rettifica) presentati da cittadini o residenti non australiani. Tale restrizione è attualmente in corso d'esame, in vista della sua eliminazione. Il gruppo constata che nessuna disposizione limita i poteri di cui dispone il commissario preposto alla tutela della vita privata per quanto riguarda l'indagine sui ricorsi di cittadini o di residenti di altri Stati membri in rapporto con tutti gli altri IPP. D'altra parte, il gruppo osserva che tutti i passeggeri hanno il diritto di presentare un ricorso al mediatore del Commonwealth a proposito del trattamento loro riservato dalle dogane alla frontiera, in virtù della legge del 1976 sul mediatore (Ombudsman Act). 4. Campo d'applicazione del presente parere Il presente parere riguarda la protezione delle libertà e dei diritti fondamentali per quanto riguarda il trattamento dei dati di carattere personale nel caso di dati PNR trasferiti dalle compagnie aeree alle autorità australiane relativamente a voli definiti come voli internazionali australiani nella sezione 64AF, paragrafo 6, della legge sulle dogane, in altre parole voli che implicano un percorso a destinazione, attraverso o in provenienza dell'Australia. Il gruppo formula il presente parere dopo aver valutato il carattere adeguato del livello di protezione garantito dall'Australia per quanto riguarda i dati di identificazione delle pratiche passeggeri comunicati dalle compagnie aeree. Tale protezione è fornita dalla legge australiana del 1901 sulle dogane, dalla legge del 1985 sull'amministrazione delle dogane, dalla legge del 1988 sulla tutela della vita privata e dall'accordo delle dogane nei confronti del parlamento di cui si è parlato in precedenza. Il presente parere è quindi formulato in riferimento al livello di protezione garantito dall'Australia dopo la trasmissione, da parte delle compagnie aeree, di dati di carattere personale relativi ai passeggeri e ai membri dell'equipaggio, in virtù delle leggi e dell'impegno delle dogane nei confronti del parlamento, di cui si è fatto cenno più sopra. In particolare, il gruppo ha tenuto conto delle spiegazioni e assicurazioni fornite dalle autorità australiane sul modo in cui le disposizioni di tali leggi e di tale impegno vanno interpretate e sulle situazioni che rientrano nel loro campo d'applicazione. Il gruppo constata inoltre che "estrazione" ("pull") è il termine che qualifica al meglio le disposizioni australiane di accesso attraverso la SITA. Di conseguenza, il presente parere è emesso sulla base dell'interpretazione attuale, quale descritta nell'allegato al presente parere, del funzionamento delle disposizioni di accesso al sistema attraverso la SITA. Il presente parere è altresì formulato a condizione che venga soppressa la restrizione prevista nella sottosezione 41, paragrafo 4 della legge sulla tutela della vita privata della possibilità, per il commissario preposto alla tutela della vita privata, di indagare sui ricorsi presentati da cittadini o residenti non australiani in materia di applicazione dell'IPP 7 (rettifica). Il gruppo si riserva inoltre il diritto generale di adottare un nuovo parere complementare, qualora non si tenesse conto in modo adeguato del presente parere o venissero apportate modifiche fondamentali alla legislazione nel corso di futuri negoziati. Inoltre, ove le garanzie fornite dall'amministrazione australiana non siano applicate correttamente, occorrerà rivalutare la situazione. Per questo motivo è indispensabile che la Commissione presenti una relazione regolare sull'utilizzazione effettiva dei dati e l'applicazione della protezione in Australia. Ciò dovrebbe consentire di verificare le condizioni del trattamento in Australia, al fine di accertare che le ipotesi originarie, che hanno motivato la decisione della Commissione, continuino a sussistere. 5. Natura transitoria della constatazione di un livello di protezione adeguato L'ampiezza dei flussi di dati è connessa con i gravi avvenimenti che si sono verificati recentemente a livello internazionale. Il gruppo raccomanda che si proceda periodicamente ad una rivalutazione della situazione al fine di determinare se tali flussi siano ancora necessari. Dovessero mutare le circostanze internazionali, occorrerà rivalutare la situazione. Il gruppo raccomanda alla Commissione di includere nella sua decisione una serie di clausole miranti ad instaurare una limitazione automatica al termine di una durata determinata e di analizzare in ogni caso la situazione dopo tre anni. 6. Risultati della valutazione Il gruppo rileva che, per consentire la presente valutazione della legislazione australiana in materia di dati PNR, il governo australiano ha comunicato informazioni sul modo in cui occorre interpretare le relative disposizioni della legge del 1901 sulle dogane, della legge del 1985 sull'amministrazione delle dogane, della legge del 1988 sulla tutela della vita privata e dell'accordo delle dogane nei riguardi del parlamento; esso ha inoltre garantito che le norme australiane sui dati PNR sono applicate conformemente a tale interpretazione. Il gruppo ha quindi basato la sua analisi su tali informazioni e assicurazioni del governo australiano, il che implica che la validità del presente parere dipende dalla conferma di tali elementi nell'applicazione effettiva delle norme che disciplinano i dati PNR in Australia. In particolare, per quanto riguarda il campo d'applicazione della legislazione australiana sui dati PNR, il gruppo ha tenuto conto delle spiegazioni e assicurazioni fornite dal governo australiano sul modo in cui occorre interpretare le pertinenti disposizioni della legge del 1901 sulle dogane, della legge del 1985 sull'amministrazione delle dogane e dell'impegno delle dogane nei riguardi del parlamento, nonché le situazioni contemplate dalla legge del 1988 sulla tutela della vita privata. Inoltre, il gruppo, per la sua posizione, si è basato sull'interazione tra gli elementi dei dati PNR ai quali ha accesso il servizio australiano delle dogane, la finalità dell'accesso a tali dati e la politica generale di non conservazione ad essi applicata. Il gruppo ritiene che tale interazione abbia consentito un approccio globalmente equilibrato da parte delle autorità australiane. Il presente parere è inoltre formulato fatta salva la revisione, da parte delle autorità australiane, della sottosezione 41, paragrafo 4, della legge sulla protezione della vita privata, che limita la possibilità, per il commissario preposto alla tutela della vita privata, di indagare su ricorsi in materia di rettifica presentati da cittadini o residenti non australiani, revisione che dovrebbe abolire tale restrizione. Il presente parere è stato elaborato in base a tali ipotesi, spiegazioni e condizioni. In conclusione, tenuto conto dei risultati menzionati in precedenza e fatti salvi gli elementi di cui ai punti 3, 4 e 5, il gruppo suppone che l'Australia garantisca un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE del Parlamento e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati PNR forniti dalle compagnie aeree alle autorità australiane relativamente ai voli definiti come voli internazionali australiani nella sezione 64AF, paragrafo 6, della legge sulle dogane, cioè voli che comportano un percorso a destinazione, attraverso o in provenienza dell'Australia. Fatto a Bruxelles, 16 gennaio 2004 Per il gruppo 1 GU L 281, 23.11.1995 del pag. 31, disponibile sul sito: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm2 Adottato dal gruppo in occasione della terza riunione tenutasi l'11.9.1996. 3 Riunione tra il ministro australiano degli affari esteri, sig. Downer e il commissario europeo Patten del 26 gennaio 2003. La richiesta è stata ripetuta in occasione della riunione tra l'Attorney General australiano sig. Williams e il commissario Bolkestein, il 1° ottobre 2003, nonché nella riunione della Troika ministeriale a Roma il 2 ottobre 2003. 4 Risposta del novembre 2003 dell'Australia ai quesiti posti in occasione di una videoconferenza tenutasi il 27 ottobre 2003 tra rappresentanti della Commissione e del governo australiano. 5 "Informazioni di carattere personale" secondo la definizione della legge del 1988 sulla tutela della vita privata, alla quale fa riferimento la sottosezione 1A della legge sull'amministrazione delle dogane. 6 Sezione 16, sottosezione 2. 7 Principi illustrati nella sezione 14 della legge. Cfr. altresì: http://www.privacy.gov.au/ 8 Risposta dell'Australia del novembre 2003, pag. 2. 9 Risposta dell'Australia del giugno 2003, pagg. 9-10; risposta dell'Australia del novembre 2003, pag. 10. 10 Risposta dell'Australia del novembre 2003, pag. 1. 11 Risposta dell'Australia del maggio 2003, punto 3, pagg. 3 e 4. 12 Allegato D alla risposta dell'Australia del novembre 2003. 13 Pagina 8 del parere. 14 Informazioni su tutte le forme di pagamento (senza precisazioni); agenzia di viaggi; agente di viaggio; informazione sulla condivisione dei codici; dati PNR scissi/divisi; informazioni OSI e SSR. I dati PNR considerati non eccessivi sono: date di prenotazione; date previste del viaggio; itinerario completo per PNR specifici; passeggero registrato come non presentatosi; numero di bagagli; numeri di etichettatura dei bagagli; passeggero "last minute" senza prenotazione. 15 Città di emissione del biglietto; nazionalità; anno di nascita e data d'acquisto del biglietto. 16 Numero di viaggiatori nel PNR; informazioni relative al sedile occupato; numero di telefono; statuto del viaggio; osservazioni generali e informazioni apis/api raccolte. 17 Data di nascita e nome completo del viaggiatore. 18 Risposta dell'Australia del maggio 2003, punto 1, pag. 2. 19 Ibidem, punto 10, pag. 7. 20 Parte V. 21 Parte IV, divisione 1. |