GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29 PARERE 1/2005 IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati1, in particolare l’articolo 29 e l’articolo 30, paragrafo 1, lettera b), visto il regolamento interno del Gruppo2, in particolare gli articoli 12 e 14, HA ADOTTATO IL SEGUENTE PARERE: 1. INTRODUZIONE L’11 febbraio 2004 il Gruppo ha adottato un parere sul livello di protezione garantito dal Canada per la trasmissione, da parte delle compagnie aeree, dei dati di identificazione delle pratiche (PNR) e di informazioni anticipate sui viaggiatori (API)3. In tale parere ha raggiunto la conclusione che il rispetto degli allora requisiti canadesi da parte delle compagnie aeree sollevava preoccupazioni dal punto di vista della direttiva 95/46/CE sulla tutela dei dati. Il Gruppo ha invitato la Commissione a proseguire i negoziati con il Canada per affrontare i problemi individuati e per trovare la migliore soluzione possibile. I successivi negoziati fra la Commissione europea e il Canada si sono concentrati in particolare su un sistema "push" per il trasferimento dei dati, su una finalità limitata, sugli elementi di dati PNR, sui periodi di conservazione dei dati, sui trasferimenti successivi, sui diritti delle persone interessate e sul carattere vincolante degli impegni da attuarsi da parte dell’Agenzia dei servizi di frontiera del Canada (Canada Border Services Agency, in appresso "CBSA"). La Commissione ha regolarmente tenuto al corrente il Gruppo sui colloqui da essa condotti per creare le condizioni in base alle quali adottare una decisione che riconosca, sulla base dell’articolo 25, paragrafo 6 della direttiva 95/46/CE, il carattere adeguato della protezione garantita in Canada per il trasferimento dei dati relativi ai passeggeri. In particolare, il Gruppo ha ricevuto dalla Commissione un documento del 18 gennaio 2005 con gli impegni della Canada Border Services Agency in relazione all’applicazione del suo programma PNR (in appresso "impegni"). Esso interpreta tali impegni come il risultato dei negoziati fra la Commissione europea e il Canada. 2. CAMPO DI APPLICAZIONE DEL PRESENTE PARERE Il presente parere è espresso alla luce degli impegni assunti. Il Gruppo osserva che i negoziati hanno portato a modifiche consistenti e importanti nel programma PNR canadese, così come rispecchiano gli impegni. Il Gruppo osserva anche che la legislazione canadese rilevante sulla trasmissione dei dati API e PNR è rimasta immutata (si veda la sezione 1 degli impegni), e rinvia a tale proposito alla sua analisi a riguardo nel parere 3/2004. Il presente parere è espresso relativamente al livello di protezione garantito dal Canada una volta che le compagnie aeree hanno trasmesso alla CBSA dati API e PNR relativi ai passeggeri e ai membri dell’equipaggio, conformemente alla legislazione canadese e agli impegni. Nella sua valutazione dell’adeguatezza della protezione offerta dalla legislazione canadese, il Gruppo ha applicato i criteri generali menzionati nei documenti precedenti4 nonché nel suo parere in merito ai dati API/PNR richiesti dagli Stati Uniti5. 3. FUNZIONAMENTO E CARATTERISTICHE DELLE DISPOSIZIONI RELATIVE ALL’ACCESSO AI DATI API/PNR DA PARTE DELLE AUTORITÀ CANADESI COME SPECIFICATO NEGLI IMPEGNI • Trattamento dei dati API/PNR Il Gruppo ha chiesto l’installazione di un sistema "push" per la trasmissione dei dati API e PNR alle autorità canadesi competenti, visto che l’accesso diretto ai dati delle compagnie aeree (sistema "pull") solleva problemi nei confronti della direttiva, come illustrato nel parere 4/20036. La sezione 7 degli impegni precisa chiaramente che il sistema canadese d’informazione sui passeggeri ("PAXIS") è stato configurato per ricevere i dati API/PNR da una compagnia aerea attraverso il sistema "push". Gli impegni non prevedono nessun altro sistema di trasferimento dei dati come ad esempio il sistema "pull". Il Gruppo accoglie favorevolmente questo risultato. • Finalità del trattamento dei dati API/PNR Il Gruppo ha chiesto in particolare alle autorità canadesi un elenco chiaro e limitato di reati gravi direttamente connessi con il terrorismo, fatta salva la possibilità di procedere caso per caso ad altri scambi di dati specifici e individuali nel contesto della cooperazione giudiziaria e di polizia. Il Gruppo osserva che la finalità indicata nella sezione 2 degli impegni è definita in modo molto più rigoroso e presenta inoltre una chiara relazione con la lotta contro gli atti di terrorismo. Il Gruppo accoglie favorevolmente questo approccio più equilibrato della questione. • Dati di carattere personale trasmissibili Nel precedente parere sul sistema PNR canadese il Gruppo ha ritenuto che i 38 elementi di dati da trasferire alle autorità canadesi andassero ben oltre quanto potrebbe essere ritenuto adeguato, pertinente e non eccedente ai sensi dell’articolo 6, paragrafo 1, lettera c) della direttiva. Il Gruppo accoglie favorevolmente il considerevole sforzo compiuto dalle autorità canadesi per ridurre il numero di elementi di dati. Benché non tutti gli elementi di dati corrispondano a quelli da esso considerati legittimi e non eccessivi nel parere 4/2003, il Gruppo osserva che i dati sensibili di cui all’articolo 8, paragrafo 1 della direttiva e tutti i campi "testo aperto" o "osservazioni generali" sono esclusi dai 25 elementi di dati. Il Gruppo ritiene pertanto che gli impegni presentino un approccio equilibrato in questo ambito. Un allegato agli impegni elencherà i 25 elementi di dati richiesti. • Tempo di conservazione dei dati Nel parere 3/2004 il Gruppo ha sollevato una serie di osservazioni sul periodo di conservazione dei dati di 6 anni e sull’anonimato dei dati interessati. Le sezioni 8 e 9 degli impegni indicano due periodi di conservazione dei dati, ciascuno chiaramente collegato alla finalità per cui i dati vengono trattati. Nella maggior parte dei casi verrà applicato il periodo di conservazione di 3,5 anni menzionato nella sezione 8, relativo a dati su persone non oggetto di indagini in Canada. Durante tale periodo di 3,5 anni le informazioni saranno sempre più depersonalizzate, come descritto nella sezione 8. In particolare, il Gruppo osserva che durante il terzo periodo di conservazione (dai 2 anni alla fine del periodo di 3,5 anni), il presidente della CBSA deve approvare l’accesso agli elementi di dati che consentono di identificare la persona cui si riferiscono le informazioni. Il Gruppo considera questa salvaguardia come un considerevole miglioramento, anche se i dati non diventano completamente anonimi poiché rimane sempre possibile identificare il passeggero interessato. Il Gruppo accoglie favorevolmente anche la riduzione del periodo di conservazione dei dati da 6 anni a 3,5 anni. • Comunicazione dei dati/trasferimenti successivi Il Gruppo ha espresso dubbi piuttosto seri riguardo alla proposta canadese iniziale sulla divulgazione dei dati a terzi. In particolare il Gruppo ha osservato che non appariva chiaro in quali casi concreti, in quali circostanze e mediante quali salvaguardie potesse intervenire una comunicazione dei dati ad altre agenzie. Il Gruppo osserva che le pertinenti sezioni degli impegni (sezioni 2-15 sui trasferimenti successivi ad altre agenzie canadesi e sezioni 16-19 sui trasferimenti successivi ad altri paesi) sono state completamente riscritte. In particolare, gli impegni consentono solo il trasferimento di una quantità minima di dati in casi specifici direttamente collegati al terrorismo o a reati legati al terrorismo. Inoltre, il Gruppo osserva che, in caso di trasferimento di informazioni ad altri paesi, fra i criteri da prendere in considerazione figura il livello di protezione dei dati nel paese ricevente. A tale riguardo il Gruppo accoglie favorevolmente, in particolare, il fatto che solo i paesi di cui sia stata accertata l’adeguatezza ai sensi della direttiva, così come gli Stati membri dell’UE, siano suscettibili di ricevere i dati API e PNR contenuti in PAXIS (dati sui passeggeri non oggetto di indagini in Canada). • Diritti delle persone interessate e applicazione 1. Diritti dei passeggeri all’informazione Nella sezione 21 degli impegni viene indicato che la CBSA fornirà informazioni ai viaggiatori, comprese informazioni riguardanti l’autorità che raccoglie i dati, i dati raccolti, le finalità della raccolta, le procedure per ricevere informazioni più dettagliate e le informazioni sui ricorsi. Il Gruppo osserva che questo impegno è in linea con la sua richiesta di fornire una comunicazione più specifica ai viaggiatori. 2. Diritti di accesso, di rettifica e comunicazione dei passeggeri La legge canadese sulla tutela delle informazioni personali (Canadian Privacy Act) conferisce ad ognuno il diritto di accesso, rettifica e comunicazione per qualsiasi informazione di carattere personale che lo riguardi, sotto il controllo di un commissario canadese indipendente preposto alla tutela della vita privata (Privacy Commissioner). Peraltro, tale legge richiede attualmente che la persona interessata, per poter esercitare i propri diritti, debba essere presente in Canada. Il Gruppo si congratula per l’impegno della CBSA di estendere a livello amministrativo tali diritti a cittadini che non si trovano in Canada, come indicato nella sezione 30 degli impegni. Il Gruppo accoglie favorevolmente anche la decisione delle autorità canadesi di esaminare le modalità per riconoscere giuridicamente tale impegno nel Privacy Act, in modo da concedere ai cittadini diritti formali di terzi, come attualmente rispecchiato nella sezione 29 (la sezione fra parentesi) degli impegni. Il Gruppo sottolinea l’importanza di un trattamento non discriminatorio dei cittadini dell’UE in questo campo e chiede che il Privacy Act sia modificato di conseguenza quanto prima. Quanto all’applicazione di tali diritti, il Gruppo osserva che la sezione 31 degli impegni indica diversi meccanismi per garantire che i diritti di accesso, rettifica e comunicazione delle persone siano rispettati in caso di rifiuto di cooperazione da parte di un responsabile del trattamento. • Verifica congiunta Una verifica congiunta dell’attuazione è prevista nella sezione 26 degli impegni, e sarà prevista anche nell’accordo internazionale fra la Comunità e il Canada che è parte del pacchetto PNR. Il Gruppo ritiene che la verifica congiunta sia uno strumento molto importante per valutare l’effetto del pacchetto PNR sulla tutela dei dati. Il Gruppo, pertanto, esprime il proprio interesse ad assistere la Commissione su tale questione. 4. CONCLUSIONI Sulla base delle constatazioni di cui sopra il Gruppo ritiene che il Canada garantisca un adeguato livello di protezione, ai sensi dell’articolo 25, paragrafo 6 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche, per quanto riguarda il trattamento delle informazioni anticipate sui viaggiatori (API) e dei dati di identificazione delle pratiche (PNR) trasmessi dalle compagnie aeree alla Canada Border Services Agency, in relazione ai voli definiti nella sezione 107.1 della legge sulle dogane (Customs Act), con riferimento a ogni persona a bordo di un mezzo di trasporto in arrivo in Canada. Fatto a Bruxelles, 19 gennaio 2005 Per il Gruppo NOTE 1 GU L 281 del 23.11.1995, pag. 31, disponibile su: |