Parere 2/2007 - WP 151

SULL'INFORMAZIONE DEI PASSEGGERI IN MERITO AL TRASFERIMENTO DI DATI PNR ALLE AUTORITÀ STATUNITENSI

adottato il 15 febbraio 2007
e
rivisto ed aggiornato il 24 giugno 2008

 

 

 

Parere 2/2007

sull'informazione dei passeggeri in merito al trasferimento di dati PNR

alle autorità statunitensi

IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre

1995¹,

visti l'articolo 29 e l'articolo 30, paragrafo 1, lettera a) e paragrafo 3 della richiamata direttiva,

visto il suo regolamento interno, in particolare l'articolo 12 e l'articolo 14,

ha adottato il presente parere:

INTRODUZIONE

Dopo gli attentati dell'11 settembre 2001 le autorità statunitensi hanno adottato una serie di leggi e regolamenti che impongono alle compagnie aeree che operano sul loro territorio di trasferire all'amministrazione statunitense i dati dei passeggeri e dei membri dell'equipaggio dei voli provenienti dagli, in transito o diretti negli Stati Uniti d'America. In particolare, le autorità statunitensi hanno imposto alle compagnie aeree l'obbligo di fornire al Dipartimento per la sicurezza interna (Department of Homeland Security, DHS) l'accesso elettronico ai dati del codice di prenotazione (PNR) relativi ai passeggeri dei voli provenienti dagli, in transito o diretti negli Stati Uniti d'America. Le compagnie aeree che non si conformano a questi obblighi possono incorrere in pesanti sanzioni e addirittura perdere i diritti di atterraggio, e rischiano di far subire ai loro passeggeri ritardi all'arrivo negli Stati Uniti d'America.

Il quadro giuridico europeo che consentiva il trasferimento dei dati PNR era costituito dalla decisione della Commissione europea del 14 maggio 2004, e dall'accordo internazionale concluso tra l'Unione Europea e gli Stati Uniti d'America il 28 maggio 2004. Dopo l'annullamento di questi due strumenti con sentenza della Corte di giustizia europea nel 2006, il quadro giuridico è stato sostituito prima dall'accordo interinale tra l'Unione europea e gli Stati Uniti d'America del 16 ottobre 2006 e poi dal nuovo accordo firmato il 23 luglio 2007 dall'UE e il 26 luglio dagli Stati Uniti².

L'accordo internazionale non è inteso ad apportare deroghe o modifiche alla normativa dell'Unione europea o dei suoi Stati membri. In particolare, gli articoli 10 e 11 della direttiva impongono agli Stati membri di accertarsi che il responsabile del trattamento fornisca agli interessati le informazioni relative al trattamento dei dati previsto. L'obbligo che incombe al responsabile del trattamento di informare gli interessati deriva così dalla normativa nazionale adottata conformemente alla direttiva. Il Gruppo di lavoro è consapevole che l'obbligo di informazione spetta ai responsabili del trattamento che devono assolverlo conformemente alla loro normativa nazionale.

Dato che il trasferimento dei dati PNR chiesto dagli Stati Uniti si applica a tutte le compagnie aeree nello stesso modo, il Gruppo di lavoro ritiene che ci sia una reale necessità di coerenza nel contenuto delle informazioni da fornire ai passeggeri e nei tempi e modi in cui queste sono comunicate. A tal fine, nel suo parere del 30 settembre 2004 (WP 97) ha adottato delle note sintetiche affinché fungessero da guida sulle informazioni da dare ai passeggeri dei voli tra l'Unione Europea e gli Stati Uniti d'America.

Il Gruppo di lavoro ritiene che sia il momento di riaffrontare il problema per due motivi. Innanzitutto, le note sintetiche del 2004 devono essere aggiornate per tenere conto dei cambiamenti intervenuti nel frattempo. In secondo luogo, le compagnie aeree, gli agenti di viaggio e i sistemi telematici di prenotazione non forniscono ancora ai passeggeri dei voli transatlantici informazioni uniformi e soddisfacenti sulla raccolta e sul trasferimento dei loro dati PNR. Per risolvere il problema, nel presente parere il Gruppo di lavoro propone degli orientamenti su come trasmettere queste informazioni.

CHI DEVE DARE LE INFORMAZIONI?

Stando alla direttiva, spetta al responsabile del trattamento informare gli interessati. Nel caso dei dati PNR, l'obbligo incomberebbe ad una o più compagnie aeree. L'obbligo di informare i passeggeri si estende anche agli agenti di viaggio o ai sistemi telematici di prenotazione (vedi infra).

Compagnie aeree

I dati dei passeggeri sono raccolti e trattati per consentire alle compagnie aeree di adempiere all'obbligo di condurre il passeggero a destinazione. La compagnia aerea decide come e perché elaborare i dati personali e per questo è il responsabile del trattamento. Il Gruppo di lavoro ritiene pertanto che a comunicare le informazioni dovrebbe essere in primo luogo la compagnia aerea che vende il biglietto. Un caso particolare che coinvolge più compagnie aeree è il code sharing: un biglietto aereo è acquistato presso una compagnia, ma il volo è effettuato da un'altra. In questo caso, dal punto di vista della protezione dei dati, il Gruppo di lavoro ritiene che spetti alla compagnia aerea che ha effettuato la prenotazione e venduto il biglietto aereo decidere come e quando elaborare i dati. Quindi, questa compagnia va considerata responsabile del trattamento e ha pertanto il dovere di informare i passeggeri.

Agenti di viaggio

In base alla normativa commerciale degli Stati membri, gli agenti di viaggio non sempre sono assimilati a rappresentanti della compagnia aerea, ma sono piuttosto considerati intermediari tra il passeggero e la compagnia aerea. Tuttavia, questa attività di intermediazione comporta in ogni caso che il passeggero sia informato in modo chiaro, preciso e completo sulle condizioni del contratto. È compresa l'informazione sul trattamento dei suoi dati da parte delle autorità statunitensi. Ai fini dell'applicazione delle norme sulla protezione dei dati, il responsabile del trattamento dovrebbe comunicare le informazioni prima dell'acquisto del biglietto. Se il biglietto è acquistato presso un'agenzia, l'agente di viaggio ha l'obbligo di informare i passeggeri, perché si considera che questi agisca per conto della compagnia permettendole di rispettare i suoi obblighi.

Per questo motivo, il Gruppo di lavoro ritiene che spetti all'agente di viaggio comunicare le informazioni quando il biglietto è acquistato in agenzia.

Sistemi telematici di prenotazione

È raro che un passeggero possa prenotare un volo direttamente tramite sistemi telematici di prenotazione (CRS), come Amadeus. Tuttavia, se succede, ai CRS si applica lo stesso ragionamento che per gli agenti di viaggio. Come questi, anche i CRS hanno l'obbligo di informare i passeggeri che prenotano voli transatlantici avvalendosi dei loro sistemi, della raccolta e del trasferimento dei dati PNR.

QUANDO DEVONO ESSERE COMUNICATE LE INFORMAZIONI?

Il Gruppo di lavoro ritiene che le informazioni dovrebbero essere comunicate al più tardi quando il passeggero decide di acquistare il biglietto aereo.

Ciò è conforme al principio generale di cui all'articolo 6 della direttiva, secondo il quale i dati dovrebbero essere trattati lealmente e lecitamente. Il criterio del trattamento leale è ribadito agli articoli 10 e 11, nella misura in cui tali informazioni siano necessarie, "in considerazione delle specifiche circostanze in cui i dati vengono [raccolti o elaborati], per effettuare un trattamento leale nei confronti della persona interessata". "

Anche se il trasferimento dei dati PNR è diventato praticamente una condizione per recarsi negli Stati Uniti, i passeggeri si rendono conto di quello che ciò significa in termini di trattamento dei loro dati personali soltanto se le informazioni sono fornite loro prima dell'acquisto del biglietto. Il fatto che quei dati saranno trasmessi alle autorità statunitensi, usati e comunicati a fini diversi da quelli iniziali e conservati per lunghi periodi è un elemento fondamentale del contratto di trasporto aereo, soprattutto perché interferisce con il diritto fondamentale dei passeggeri alla privacy. Informare i passeggeri prima della conclusione del contratto risponde anche al principio generale della buona fede contrattuale.

Inoltre, le informazioni dovrebbero essere fornite anche dopo l'acquisto del biglietto, inserendole per esempio nel messaggio di conferma della prenotazione aerea o accludendole in una nota alla consegna del biglietto. Ciò è necessario per assicurarsi che il passeggero riceva le informazioni nei casi in cui la prenotazione sia effettuata a suo nome da un terzo (per esempio, una segretaria).

QUALI INFORMAZIONI DEVONO ESSERE COMUNICATE?

Conformemente agli articoli 10 e 11 della direttiva, le informazioni da trasmettere riguardano l'identità del responsabile del trattamento, le finalità del trattamento e ulteriori informazioni "[…] nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata".

Determinare il contenuto delle informazioni, proprio come l'obbligo stesso di informare, compete in via principale alle compagnie aeree, in quanto responsabili del trattamento, fatte salve la normativa nazionale che attua gli articoli 10 e 11 della direttiva e le competenze delegate alle autorità di controllo della protezione dei dati per mettere a punto i principi alla base dell'obbligo d'informazione. Tuttavia, per un risultato omogeneo su scala europea, il Gruppo di lavoro ha elaborato delle note sintetiche a uso dei passeggeri, allegate al presente parere3. Lo scopo è fornire orientamenti alle compagnie aeree sulle informazioni da trasmettere ai passeggeri conformemente agli obblighi imposti dalla normativa nazionale che attua la direttiva.

Le note sintetiche per i passeggeri esistono in tre versioni.

La versione breve (allegato 1) fornisce ai passeggeri informazioni sintetiche sul trasferimento dei loro dati alle autorità statunitensi e su come ottenere ulteriori informazioni al riguardo.

La versione lunga (allegato 2) si presenta sotto forma di domande ricorrenti e contiene maggiori dettagli sul trattamento. Questa versione è consigliabile per le prenotazioni effettuate su Internet o presso un ufficio (compagnia aerea o agenzia di viaggio). Per i passeggeri che desiderano avere maggiori informazioni sul trasferimento dei loro dati alle autorità statunitensi, la nota rimanda con un link all'accordo internazionale, nonché alle compagnie aeree per informazioni più generali sul trattamento dei loro dati personali.

La versione più breve (allegato 3) è adatta alle vendite telefoniche o ad essere stampata sui biglietti.

Il contenuto delle note è stato determinato in base alle informazioni messe a disposizione del Gruppo di lavoro e della Commissione europea dalle autorità statunitensi, e in particolare all'accordo tra Unione europea e Stati Uniti del luglio 2007. Le note intendono offrire pertanto un quadro più completo e accurato sul trattamento dei dati PNR da parte delle autorità statunitensi. Potrebbe essere necessario aggiornarle successivamente in base alle nuove informazioni sulle modalità di trattamento fornite al Gruppo di lavoro e alla Commissione dalle autorità statunitensi. L'esistenza di queste note non esenta le compagnie aeree dall'obbligo di fornire ai passeggeri informazioni più accurate e complete eventualmente a loro disposizione.

COME DEVONO ESSERE COMUNICATE LE INFORMAZIONI?

Spetta a coloro che hanno l'obbligo di informare, cioè alle compagnie aeree e agli agenti di viaggio, decidere le modalità di comunicazione. In ogni caso, le informazioni devono essere fornite in modo da garantire che i passeggeri siano perfettamente consapevoli della raccolta e del trasferimento dei loro dati PNR.

Per aiutare i responsabili a conformarsi agli obblighi previsti dalla normativa nazionale, il Gruppo di lavoro vorrebbe fornire qualche indicazione.

Prenotazione tramite agenzie di viaggio

Gli agenti di viaggio dovrebbero consegnare ai passeggeri almeno una versione cartacea della nota sintetica. Ai passeggeri che chiedono ulteriori informazioni sul trasferimento dei PNR dovrebbe essere consegnata la versione cartacea della nota lunga e dettagliata.

Prenotazione telefonica

Ai passeggeri dovrebbe essere letta la nota più breve (allegato 3). Se chiedono ulteriori informazioni, la compagnia aerea, l'agenzia di viaggio o altra organizzazione dovrebbero indicare loro dove consultare la versione lunga della nota su un sito Web o come procurarsene la versione cartacea.

Prenotazione su Internet

Sono possibili varie opzioni. La nota sintetica dovrebbe essere presentata ai passeggeri automaticamente e non su richiesta. La si potrebbe inserire a inizio pagina Web dove sono indicate le generalità dei passeggeri, o, per esempio, come finestra sovrapposta.

Farla figurare su una pagina a cui il passeggero possa accedere soltanto eseguendo un'azione volontaria (per esempio cliccando su un link Web) o includerla in una sezione generale sulla privacy non soddisferebbe le condizioni previste nella normativa nazionale sulla protezione dei dati.

D'altro canto, con un'azione volontaria, cliccando per esempio su un link, il passeggero potrebbe consultare la versione più lunga della nota. Il link dovrebbe figurare nella nota sintetica. Sul sito Web, la nota più lunga dovrebbe avere come minimo lo stesso grado di visibilità e accessibilità per i passeggeri delle condizioni generali di viaggio e delle tariffe.

Conformemente alle disposizioni dell'articolo 30, paragrafo 1, lettera a) della direttiva, e per contribuire all'applicazione uniforme della normativa nazionale sulla protezione dei dati adottata per attuare la direttiva, le autorità nazionali di controllo della protezione dei dati incoraggeranno l'uso delle note per i passeggeri. Controlleranno inoltre il rispetto da parte delle compagnie aeree, degli agenti di viaggio e dei CRS dell'obbligo di informare i passeggeri che effettuano voli transatlantici riguardo alla raccolta e al trattamento dei loro dati PNR.

Fatto a Bruxelles, il 15 febbraio 2007

Per il Gruppo di lavoro

Il presidente

Peter Schaar

Rivisto e aggiornato

a Bruxelles, il 24 giugno 2008

Per il Gruppo di lavoro

Il presidente

Alex Türk

 

ALLEGATO 1⁴

Nota informativa breve per i voli tra l’Unione europea e gli Stati Uniti.

Conformemente ad un accordo internazionale tra l'Unione europea e gli Stati Uniti, [nome della compagnia aerea] comunica al Dipartimento statunitense per la sicurezza interna (Department of Homeland Security, DHS) certi dati sul viaggio e sulla prenotazione, altrimenti conosciuti come dati PNR (dall'inglese Passenger Name Record), dei passeggeri che effettuano voli tra l’Unione europea e gli USA.

Le autorità statunitensi usano i dati PNR a fini di prevenzione e di lotta contro il terrorismo e altri gravi reati transnazionali. Questi ed altri dati possono essere usati anche per controllare se i passeggeri figurino negli elenchi delle persone segnalate per motivi di sicurezza.

I dati sono conservati per quindici anni e possono essere scambiati con altre autorità. I dati relativi ad un'inchiesta o ad un caso specifico possono essere conservati più a lungo fino all'archiviazione del dossier in questione.

Per maggiori informazioni, rivolgersi alla propria compagnia aerea o agenzia di viaggio [la compagnia aerea o l’agente di viaggio potrà allora fornire la nota informativa lunga], o consultare le domande ricorrenti che figurano nel parere 132 del Gruppo di lavoro Articolo 29 (allegato 2) [link con il WP 132].

 

ALLEGATO 2⁵

Domande ricorrenti sul trasferimento alle autorità statunitensi dei dati

relativi ai passeggeri dei voli tra l'Unione europea e gli Stati Uniti

1. Quale tipo di informazioni sui passeggeri sarà trasmesso alle autorità statunitensi?

La normativa USA impone alle compagnie aeree che effettuano voli provenienti da, in transito o diretti negli Stati Uniti di fornire al Dipartimento statunitense per la sicurezza interna (Department of Homeland Security, DHS) certi dati sui passeggeri al fine di rendere più sicuri i viaggi e garantire la sicurezza del paese effettuando una valutazione anticipata dei rischi presentati dai passeggeri. Esistono due categorie di dati: 􀂾 i codici di prenotazione (PNR) che contengono una serie di informazioni fornite durante la prenotazione o in possesso delle compagnie aeree o degli agenti di viaggio, come il nome del passeggero, il recapito, informazioni sull’itinerario del viaggio (data del viaggio, provenienza e destinazione, numero del posto occupato, numero dei bagagli) nonché particolari sulla prenotazione (agenzia di viaggio, sistema di pagamento, scelta del pasto o richiesta di sedia a rotelle) o altre informazioni (partecipazione ad un programma “frequent flier”, per esempio);

􀂾 le informazioni anticipate sui passeggeri (API) che comprendono soprattutto informazioni che figurano sul passaporto del passeggero e sono spesso raccolte al check-in. Questi dati sono forniti prima dell'arrivo alle autorità di controllo delle frontiere e possono essere utilizzati anche per controllare se i passeggeri figurino negli elenchi delle persone segnalate per motivi di sicurezza.

Le seguenti domande ricorrenti riguardano soprattutto i dati PNR disciplinati dall'accordo internazionale del 26 luglio 2007 tra l'Unione Europea e gli Stati Uniti. L'Unione europea si assicurerà che i vettori aerei rispettino tali obblighi. [Nome della compagnia aerea] deve attenersi a tali disposizioni.

Per una spiegazione più esauriente sul trattamento dei dati PNR raccolti dal DHS in relazione ai voli effettuati tra l’Unione europea (UE) e gli Stati Uniti, si rinvia all'accordo internazionale e alla lettera di accompagnamento del DHS, pubblicati nella Gazzetta ufficiale delle Comunità europee L 204 del 4 agosto 2007, consultabile cliccando qui. [hyperlink alla pagina:

http://eur-lex.europa.eu/LexUriServ/site/en/oj/2007/l_204/l_20420070804en00180025.pdf

2. Perché il mio codice di prenotazione è trasmesso al DHS prima del viaggio da, per o attraverso gli Stati Uniti?

Il DHS usa i dati PNR relativi ai voli tra gli UE e gli USA per prevenire e combattere:

• il terrorismo e i reati collegati al terrorismo;

• altri reati gravi, compresa la criminalità organizzata, che, per natura, rivestono un carattere transnazionale; e

• la fuga in caso di mandato d’arresto emesso o di pena detentiva comminata per quei reati.

I dati PNR possono essere usati ove necessario per tutelare gli interessi vitali del passeggero, o nell'ambito di un procedimento penale, o secondo quanto altrimenti prescritto dalla legge.

3. Qual è il quadro giuridico per il trasferimento di dati PNR?

In virtù della legge [titolo 49, sezione 44909(c)(3), dell’USC – United States Code – Codice degli Stati Uniti] e dei regolamenti di attuazione (provvisori) (titolo 19, sezione 122.49b, del codice dei regolamenti federali), ciascun vettore aereo che assicura il trasporto aereo internazionale di passeggeri da e per gli Stati Uniti deve fornire al DHS i dati del PNR raccolti e conservati nei sistemi automatici di prenotazione/controllo delle partenze dei vettori aerei.

Il DHS ha spiegato in una lettera del 26 luglio 2007 come tratta, usa e conserva i dati

PNR,

(http://eur-lex.europa.eu/LexUriServ/site/en/oj/2007/l_204/l_20420070804en00180025.pdf),

soffermandosi in particolare sui punti seguenti:

• le finalità per le quali sono usati i PNR;

• lo scambio dei PNR con le altre parti;

• il tipo di informazioni raccolte;

• le modalità di accesso ai propri dati e i mezzi di ricorso;

• l'applicazione;

• l'informazione dei passeggeri;

• il periodo di conservazione;

• la trasmissione dei PNR;

• la reciprocità;

• il riesame dell'accordo.

Sulla base degli impegni sottoscritti dal DHS, nel luglio 2007 l'Unione europea e gli Stati Uniti hanno concluso un accordo internazionale e l'Unione europea si accerterà che i vettori aerei trasmettano i dati PNR come richiesto dal DHS.

4. Il trasferimento dei dati PNR riguarda anche dati sensibili?

Nei dati PNR trasferiti al DHS possono essere inclusi alcuni dati PNR considerati “sensibili”. Possono essere per esempio comunicati dati sull’origine razziale o etnica del passeggero, sulle sue opinioni politiche, la religione, lo stato di salute o i suoi orientamenti sessuali. Il DHS si è impegnato a non usare di norma i dati sensibili che riceve e ha installato a tal fine un programma automatico di filtro.

I dati sensibili possono però essere usati in casi eccezionali, come quando è a rischio o in grave pericolo l'incolumità delle persone.

5. I miei dati PNR vengono scambiati con altre autorità?

Il DHS può scambiare i dati PNR con altre autorità governative statunitensi incaricate di far rispettare la legge o della lotta contro il terrorismo o con compiti di sicurezza pubblica, a fini di prevenzione e lotta contro il terrorismo e la criminalità transnazionale e di tutela dell'ordine pubblico (minacce, voli aerei, persone fisiche e rotte interessate).

Il DHS può scambiare i dati PNR anche con autorità governative di paesi terzi, ma soltanto dopo aver valutato l'uso che intendono fare delle informazioni e la loro capacità di salvaguardarle. A meno che non si tratti di una situazione di emergenza, lo scambio dei dati è subordinato all'applicazione di misure di protezione dei dati comparabili a quelle fissate nell'accordo internazionale tra UE e Stati Uniti.

6. Per quanto tempo il DHS conserverà i miei dati PNR?

Il DHS conserverà i dati PNR per quindici anni. I dati relativi ad un'inchiesta o ad un caso specifico possono essere conservati più a lungo fino all'archiviazione del dossier in questione.

Il DHS manterrà un log di accesso ai dati PNR sensibili e li cancellerà entro 30 giorni una volta raggiunto lo scopo per il quale sono stati consultati e che non ne sia più richiesta la conservazione. Il DHS informerà, di norma entro 48 ore, la Commissione europea (DG JLS) dell'accesso ai dati sensibili.

7. Posso chiedere copia dei miei dati PNR raccolti dal DHS e la loro rettifica?

Chiunque, a prescindere dalla nazionalità o dal paese di residenza, può chiedere informazioni sui propri dati PNR e può farli rettificare. Informazioni sulle politiche del DHS circa l'accesso ai registri e ai dati personali figurano sul sito http://www.dhs.gov/xfoia/editorial_0579.shtm. Per maggiori informazioni, rivolgersi all'Ufficio per la privacy del DHS (programma FOIA):

FOIA
Ufficio per la privacy
Dipartimento statunitense per la sicurezza interna (Department of Homeland Security)
245 Murray Drive SW
STOP-0550
Washington, DC 20528-0550

Numero verde: +1-866-431-0486
Tel.: +1-703-235-0790
Fax: +1-703-235-0443
E-mail: foia@dhs.gov

Per le politiche del DHS sui mezzi di ricorso, consultare il sito www.dhs.gov/trip.

Chi ha bisogno di assistenza per introdurre la richiesta può, rivolgersi all'autorità nazionale della protezione dei dati. Link verso la pagina web Europa con gli indirizzi delle autorità garanti della protezione dei dati: [Link

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm]

8. A chi posso rivolgermi per maggiori informazioni?

Per maggiori informazioni sul trattamento dei propri dati, contattare la propria compagnia aerea.

Per [NOME della compagnia aerea], i recapiti sono i seguenti:

[...]

 

ALLEGATO 3

Nota sintetica per le vendite telefoniche o i biglietti

In virtù della normativa applicabile, i Suoi dati personali sono trasmessi alle autorità competenti all'interno e all'esterno dell'UE. Per maggiori informazioni, consultare il nostro sito web.

 

NOTE     

1 GU L 281 del 23.11.1995, pag. 31, disponibile su:
http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
2 Tutta la documentazione è disponibile all'indirizzo:
http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm
3 Riviste ed aggiornate il 24 giugno 2008.
4 Rivisto ed aggiornato il 24 giugno 2008.
5 Rivisto ed aggiornato il 24 giugno 2008.