Parere 10/2010 - WP 181: sulla proposta di direttiva del Parlamento europeo e del Consiglio sull’uso dei dati del codice di prenotazione a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi

GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29

Il Gruppo di lavoro è stato istituito in virtù dell’articolo 29 della direttiva 95/46/CE. È l’organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30 della direttiva 95/46/CE e all’articolo 15 della direttiva 2002/58/CE.

Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e cittadinanza dell'Unione) della Commissione europea, direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190.

Sito Internet: http://ec.europa.eu/justice/policies/privacy/index_en.htm

Parere 10/2011 - WP 181

sulla proposta di direttiva del Parlamento europeo e del Consiglio sull’uso dei dati del codice di prenotazione a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi

adottato il 5 aprile 2011

Il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito con direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, visto l’articolo 29 e l’articolo 30, paragrafo 1, lettera a), e paragrafo 3, della suddetta direttiva, e l’articolo 15, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002,

visto il proprio regolamento interno,

ha adottato il seguente parere:

1. Introduzione

Il 2 febbraio 2011 la Commissione europea ha pubblicato una proposta di direttiva sull’uso dei dati del codice di prenotazione a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. Il Gruppo di lavoro ha formulato un parere sulla precedente proposta PNR dell’UE (proposta di decisione quadro del Consiglio sull’uso dei dati del codice di prenotazione (Passenger Name Record, PNR) nelle attività di contrasto), presentata dalla Commissione il 6 novembre 2007¹. In pareri precedenti il Gruppo di lavoro si è inoltre ampiamente espresso sui vari accordi PNR esistenti tra l’UE e alcuni paesi terzi nonché sull’approccio adottato dalla Commissione nella comunicazione del 21 settembre 2010². Il Gruppo di lavoro ha altresì ribadito le proprie preoccupazioni sulle problematiche PNR in varie lettere inviate al commissario Barrot, alla commissaria Malmström, al direttore generale Faull e alla commissione LIBE del Parlamento europeo.

Il presente parere è rivolto ai soggetti coinvolti nella discussione e nello sviluppo dell’ultima proposta, ossia la Commissione, il gruppo per le questioni generali, valutazione compresa (GENVAL) del Consiglio e il Parlamento europeo.

2. Necessità e proporzionalità

La proposta del 2011 è accompagnata da una valutazione d’impatto volta a illustrare più dettagliatamente la motivazione alla base della proposta e le sue disposizioni. Il Gruppo di lavoro ritiene che la lotta contro il terrorismo e la criminalità organizzata sia necessaria e legittima e che i dati personali, in particolare determinati dati dei passeggeri, possano risultare utili per valutare i rischi e per prevenire e combattere il terrorismo e la criminalità organizzata. Tuttavia, nel caso di un sistema europeo di dati PNR è necessario giustificare qualsiasi limitazione dei diritti e delle libertà fondamentali e dimostrarne chiaramente la necessità affinché sia possibile trovare un giusto equilibrio tra l’esigenza di tutelare la sicurezza pubblica e quella di limitare il diritto alla privacy.

Il Gruppo di lavoro ha costantemente messo in discussione la necessità e la proporzionalità dei sistemi PNR e continua a farlo con la proposta del 2011. Pur apprezzando le informazioni supplementari contenute nella valutazione d’impatto, riteniamo che non forniscano una valutazione adeguata dell’uso dei dati PNR e che non dimostrino la necessità delle misure proposte. La proposta dovrebbe indicare chiaramente se è finalizzata a combattere i reati gravi (di natura transnazionale), tra cui anche il terrorismo, o se il suo obiettivo è esclusivamente la lotta contro il terrorismo e i reati legati al terrorismo.

Il capitolo 3.2 della valutazione d’impatto “Osservazioni in materia di diritti fondamentali” si limita ad affermare che è stata utilizzata la “Check-list diritti fondamentali”, ma non fornisce altre informazioni che giustifichino le conclusioni emerse dalla valutazione. Questo capitolo contiene inoltre un ragionamento circolare per l’ingerenza nel diritto al rispetto della vita privata sancito dall’articolo 8 della Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Il prerequisito giuridico per l’ingerenza in tale diritto è che essa sia “necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui”, oltre a essere “necessaria in una società democratica”, “nel rispetto del principio di proporzionalità”. Il fatto che l’obiettivo della proposta sia la prevenzione del terrorismo e dei reati gravi non significa che la proposta sia indubbiamente conforme a tali requisiti; la necessità e la proporzionalità devono ancora essere dimostrate. La comunicazione della Commissione sul panorama dei sistemi di gestione delle informazioni³ afferma:

“Necessità

L’ingerenza di un’autorità pubblica nel diritto di ciascuno al rispetto della vita privata può essere una misura necessaria alla sicurezza nazionale, alla pubblica sicurezza e alla prevenzione dei reati. La giurisprudenza della Corte europea dei diritti dell’uomo stabilisce tre condizioni che giustificano tali restrizioni: se sono previste dalla legge, se perseguono un obiettivo legittimo e se sono necessarie in una società democratica.

L’ingerenza nell’esercizio del diritto al rispetto della vita privata è considerata necessaria se risponde a un’esigenza sociale impellente, se è proporzionata all’obiettivo perseguito e se le ragioni avanzate dall’autorità pubblica per giustificarla risultano pertinenti e sufficienti. In tutte le proposte future, la Commissione valuterà l’impatto stimato dell’iniziativa sul diritto di ciascuno al rispetto della vita privata e alla protezione dei dati personali e preciserà perché tale impatto è necessario e per quale motivo la soluzione proposta è proporzionata all’obiettivo legittimo del mantenimento della sicurezza interna nell’Unione europea, della prevenzione dei reati o della gestione dell’immigrazione”.

Il Gruppo di lavoro ritiene che, per quanto riguarda la proposta PNR dell’UE, la Commissione non abbia rispettato gli impegni assunti nella suddetta dichiarazione. Sono di seguito esaminate altre considerazioni relative alla necessità e alla proporzionalità.

2.1. Rafforzamento della sicurezza

La proposta e la valutazione d’impatto affermano che un sistema PNR a livello dell’UE garantirebbe la sicurezza ed eviterebbe le falle causate dall’abolizione dei controlli alle frontiere interne ai sensi della convenzione Schengen. Si tratterebbe di un obiettivo legittimo, se fosse opportunamente giustificato; il Gruppo di lavoro, tuttavia, non ha ancora riscontrato elementi di prova sufficienti a dimostrare che il trattamento dei dati PNR in tutti gli Stati membri eviterebbe le falle nella sicurezza derivanti dal trattamento di questi dati solo in alcuni Stati membri.

A livello dell’UE esistono già sistemi e strumenti volti a compensare l’abolizione dei controlli alle frontiere tra i paesi Schengen, basati sul cosiddetto acquis di Schengen; pertanto, qualora permangano falle nella sicurezza, si dovrebbe innanzitutto analizzare il corretto funzionamento dei sistemi esistenti.

2.2. Strumenti, sistemi e metodi di cooperazione esistenti

La comunicazione della Commissione sul panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia non ha valutato l’efficacia dei vari sistemi esistenti né ha esaminato se, nel complesso, essi costituiscano gli strumenti adeguati per la lotta contro il terrorismo e la criminalità organizzata evidenziando, in caso contrario, le eventuali lacune. Il Gruppo di lavoro ritiene che tale valutazione sia necessaria prima di imporre altre misure analoghe, quali un sistema PNR a livello dell’UE. Oltre a determinare una sovrapposizione degli obblighi incombenti sui vettori e la raccolta di dati già disponibili attraverso altri sistemi, la proposta di PNR presenta un serio rischio di “function creep” (slittamento di funzione). La direttiva API, per esempio, obbliga i vettori a comunicare in anticipo le informazioni relative alle persone trasportate e prevede che l’uso dei dati non sia limitato ai controlli di frontiera, ma possa avvenire anche per finalità di applicazione normativa. Pur avendo affrontato più volte la questione con la Commissione, il Gruppo di lavoro constata che non è ancora stata effettuata una valutazione adeguata dell’efficacia della direttiva API e della sua attuazione a livello nazionale, e contesta la necessità di continuare ad avvalersene qualora venga introdotto un sistema PNR a livello dell’UE.

Il Gruppo di lavoro si chiede se tutte le forme di cooperazione giudiziaria e di polizia esistenti nell’UE volte a prevenire e a reprimere la criminalità, compresa la lotta contro il terrorismo e i reati gravi, non rappresentino strumenti adeguati per il fine che la proposta di PNR dell’UE intende perseguire. La valutazione d’impatto non svolge questa analisi.

Il Gruppo di lavoro riconosce che taluni Stati membri non Schengen non possono beneficiare di alcuni strumenti e sistemi esistenti, il che potrebbe incidere sul parametro della necessità per questi paesi. Tali Stati membri, tuttavia, possono applicare la direttiva API, opportunità di cui, di fatto, si avvalgono, e occorre valutare se un migliore utilizzo dei sistemi esistenti e una migliore cooperazione tra questi Stati membri e gli altri permettano in realtà di ottenere le informazioni necessarie per le finalità pertinenti. È altresì opportuno sottolineare che il fatto che i dati PNR verranno utilizzati come strumento di intelligence, come indicato nella valutazione d’impatto, aumenta inoltre il livello dei requisiti per quanto riguarda le garanzie in materia di protezione dei dati.

2.3. Proporzionalità

Ai sensi della proposta verrà raccolta un’enorme quantità di dati personali relativi a tutti i passeggeri, sospetti o meno, in volo da e per l’UE. La raccolta e il trattamento dei dati PNR al fine di combattere il terrorismo e i reati gravi non devono permettere il monitoraggio e il controllo di massa di tutti i viaggiatori. Il Gruppo di lavoro ritiene che raccogliere e conservare tutti i dati di tutti i passeggeri di tutti i voli sia una misura sproporzionata e pertanto non in linea con l’articolo 8 della Carta dei diritti fondamentali. Come precedentemente indicato, la valutazione d’impatto non fornisce prove convincenti al riguardo. Le proposte formulate a livello dell’UE devono essere specifiche e mirate ad affrontare un problema preciso e, nel contesto attuale, eventuali proposte devono concentrarsi sui rischi posti dal terrorismo e dai reati gravi.

Il Gruppo di lavoro nutre seri dubbi sulla proporzionalità del confronto sistematico dei dati di tutti i passeggeri sulla base di alcuni criteri prestabiliti e di “banche dati pertinenti” non precisate. Non è chiaro come dovranno essere definiti questi criteri prestabiliti e le banche dati pertinenti, se i dati PNR verranno utilizzati per creare o aggiornare i criteri e in quale misura tutti i riscontri diventeranno automaticamente oggetto di ulteriori indagini. Il Gruppo di lavoro desidera altresì ricordare che in alcuni Stati membri metodi di polizia analoghi sono costituzionalmente ammissibili e disponibili alle forze di polizia solo previa autorizzazione dell’autorità giudiziaria e in circostanze specifiche, quali una minaccia precisa. Il sistema PNR proposto renderebbe questo metodo eccezionale uno strumento ordinario per il lavoro di polizia.

Le misure che non sono in grado di garantire la protezione dei diritti e delle libertà dei viaggiatori sono proporzionate solo se vengono introdotte come provvedimento temporaneo per far fronte a una minaccia specifica, il che non avviene nel caso della proposta in esame.

L’intrusione nella vita privata dei viaggiatori deve essere proporzionata ai vantaggi per la lotta contro il terrorismo e i reati gravi. Al Gruppo di lavoro non sono ancora pervenute statistiche che illustrino il rapporto tra il numero di viaggiatori innocenti di cui sono stati raccolti dati PNR e il numero di risultati ottenuti a livello repressivo grazie alla raccolta di tali dati PNR.

In sintesi, il Gruppo di lavoro è ancora del parere che la necessità del sistema non sia stata dimostrata e che le misure proposte non siano in linea con il principio di proporzionalità.

Ciononostante, ritiene costruttivo formulare osservazioni anche su altri aspetti della proposta di direttiva, quali evidenziati di seguito.

3. Finalità

La proposta di direttiva delinea due obiettivi generali per il trattamento dei dati, articolati su quattro attività specifiche. I dati PNR possono essere trattati esclusivamente a fini di:

- prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, valutando i passeggeri prima dell’arrivo o della partenza attraverso il confronto dei loro dati PNR con le banche dati pertinenti (obiettivo 1, attività 1) nonché rispondendo alle richieste delle autorità competenti in casi specifici (obiettivo 1, attività 2); e

- prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi di natura transnazionale, valutando i passeggeri prima dell’arrivo o della partenza sulla base di criteri specifici (obiettivo 2, attività 3) nonché analizzando i dati PNR per aggiornare i criteri o definirne di nuovi (obiettivo 2, attività 4).

Non è chiaro in che cosa consistano questi obiettivi nella pratica. L’obiettivo 1, attività 1, sembra comportare il confronto con elenchi di controllo, banca dati SIS o altre banche dati a livello UE o nazionale. L’obiettivo 1, attività 2, sembra comportare la condivisione di informazioni, caso per caso, in seguito a una richiesta specifica. L’obiettivo 2, attività 3, sembra comportare il confronto dei dati PNR con determinati profili al fine di identificare eventuali passeggeri implicati in reati specifici, mentre l’obiettivo 2, attività 4, sembra comportare l’utilizzo dei dati PNR per lo sviluppo di tali profili.

Un principio essenziale della protezione dei dati è la definizione rigorosa degli obiettivi e delle attività. Anche le “banche dati pertinenti” devono essere definite in maniera più specifica, eventualmente aggiungendole all’elenco di autorità competenti che ogni Stato membro sarà tenuto a fornire alla Commissione. In ogni caso le banche dati utilizzate devono essere quelle istituite per le medesime finalità, ossia prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. La normativa di attuazione, inoltre, deve essere chiara per quanto riguarda le limitazioni all’utilizzo di queste banche dati.

Il Gruppo di lavoro ricorda altresì l’importanza di assicurarsi che gli eventuali criteri di valutazione utilizzati dagli Stati membri per l’analisi dei dati siano specifici, necessari, giustificati e vengano rivisti periodicamente.

3.1. Definizioni

La proposta definisce “reati di terrorismo” i reati ai sensi del diritto nazionale di cui agli articoli da 1 a 4 della decisione quadro 2002/475/GAI del Consiglio. Sono definiti “reati gravi” e “reati gravi di natura transnazionale” i reati ai sensi del diritto nazionale di cui all’articolo 2, paragrafo 2, della decisione quadro 2002/584/GAI del Consiglio. Il Gruppo di lavoro sottolinea l’importanza di definizioni concrete in quest’ambito; tuttavia, la definizione di “reati gravi” è piuttosto ampia e il Gruppo di lavoro mette in dubbio la necessità e la proporzionalità di utilizzare i dati PNR per alcuni di questi reati.

A tale proposito, il considerando 12 della proposta afferma che gli Stati membri possono escludere i reati minori per i quali il trattamento dei dati PNR non sia conforme al principio di proporzionalità; la scelta, tuttavia, è a discrezione degli Stati membri. Questa possibilità determinerà probabilmente una situazione in cui i reati verranno inclusi in uno Stato membro ed esclusi in un altro. Non è chiaro a chi spetti decidere sulla proporzionalità e se tale decisione debba essere comunicata alla Commissione, né chi potrebbe essere responsabile di garantire la coerenza e la corretta applicazione del principio di proporzionalità.

Le preoccupazioni del Gruppo di lavoro riguardo alla portata potenzialmente ampia della definizione di reati gravi sono pertinenti anche per le disposizioni della proposta di direttiva sulla condivisione dei dati con altre autorità sia all’interno che all’esterno dell’UE.

4. Conservazione

I periodi di conservazione proposti sono chiaramente ridotti rispetto alla proposta precedente e ai vari accordi PNR a livello dell’UE. Il Gruppo di lavoro, tuttavia, continua a ritenere sproporzionata la proposta di conservare i dati, ancorché mascherati, per cinque anni. Una preoccupazione che viene da sempre nutrita riguardo ai sistemi PNR è che tutti i dati relativi a tutti i viaggiatori vengono conservati per lo stesso periodo di tempo e che questo periodo di conservazione è a sua volta sproporzionato. Il Gruppo di lavoro non ha riscontrato elementi di prova sufficienti a dimostrare la necessità di conservare i dati relativi a tutti i viaggiatori e della necessità di conservarli per cinque anni.

4.1. Mascheramento dei dati

Benché la proposta affermi che i dati verranno mascherati dopo 30 giorni e che, in generale, saranno accessibili solo a taluni membri del personale delle Unità d’informazione sui passeggeri incaricati di elaborare profili e /modalità di viaggio, sarà possibile avere pieno accesso a tutti i dati per l’intero periodo di conservazione. Benché il mascheramento costituisca un tentativo di minimizzazione dei dati e di controllo dell’accesso, che sono importanti principi della protezione dei dati, il Gruppo di lavoro continua a interrogarsi sulla necessità di conservare tutti i dati relativi a tutti i viaggiatori e ritiene che i dati riguardanti i viaggiatori non sospetti debbano essere cancellati.

Qualora il legislatore dovesse decidere di conservare i dati per un periodo di tempo limitato, sarà necessario proteggere le informazioni in questione in modo tale che gli elementi di identificazione non vengano rivelati. Occorrerà garantirne la protezione al più tardi all’arrivo del volo. L’accesso ai dati protetti per recuperare elementi di identificazione dovrà essere assoggettato a una decisione giurisdizionale caso per caso nell’ambito di specifiche indagini penali.

Il Gruppo di lavoro desidera inoltre sottolineare con forza la necessità di utilizzare un linguaggio preciso che non confonda e non induca in errore. La proposta cita sia il mascheramento che l’anonimizzazione. Si tratta di due misure diverse ed è evidente che è al mascheramento che si intende fare riferimento, non all’anonimizzazione, in quanto è ancora possibile recuperare facilmente gli elementi identificativi di una persona. La proposta non deve, volontariamente o meno, confondere o indurre in errore né formulare promesse che forse non sarà in grado di mantenere.

5. Diritti in materia di protezione dei dati personali

La proposta contiene disposizioni specifiche in materia di protezione dei dati. A parere del Gruppo di lavoro è indispensabile che tutte le proposte dell’UE che incidono sui diritti e sulle libertà fondamentali delle persone contengano disposizioni riguardanti i diritti di accesso, rettifica, compensazione e ricorso degli interessati. Tuttavia, i diritti ai quali fa riferimento la proposta in esame sono quelli della decisione quadro 2008/977/GAI, non della direttiva 95/46/CE. Di conseguenza, i diritti sono più limitati. Non è chiaro se i diritti si applicano esclusivamente ai dati trasferiti a un’altra autorità o se includono i dati in possesso dell’autorità nazionale. In alcuni Stati membri che attualmente utilizzano i dati PNR le persone beneficiano di diritti di accesso, rettifica e ricorso conformemente alla normativa nazionale di attuazione della direttiva 95/46/CE; se la proposta di direttiva sull’uso dei dati PNR entrerà in vigore, questi diritti verranno ridotti.

Inoltre, l’attività di profilazione può comportare il rischio di discriminazione; questo sistema, infatti, prende in considerazione i passeggeri aerei come gruppo. Ai passeggeri non vengono fornite informazioni sui criteri in base ai quali vengono valutati e questa lacuna pregiudica l’esercizio dei diritti delle persone direttamente interessate dall’attività di profilazione.

Il Gruppo di lavoro ricorda l’importanza di inserire misure e garanzie adeguate in materia di protezione dei dati nelle proposte dell’UE che incidono sui diritti e sulle libertà fondamentali delle persone, quali norme relative alla riservatezza e alla sicurezza del trattamento, obblighi di informare le persone e divieti di trasferimento dei dati a privati; fa inoltre presente che le decisioni non devono essere prese esclusivamente sulla base del trattamento automatizzato dei dati. Il Gruppo di lavoro sottolinea altresì l’importanza di includere autorità nazionali di controllo incaricate dell’attuazione della legislazione UE a livello nazionale.

Per quanto riguarda i dati sensibili, la proposta afferma che dovranno essere filtrati e cancellati dall’Unità d’informazione sui passeggeri. Nei pareri formulati sui vari accordi PNR dell’UE con paesi terzi, il Gruppo di lavoro si è sempre espresso a favore del divieto di trattamento dei dati sensibili in questo contesto e ribadisce con forza l’opinione sostenuta da lungo tempo per cui il processo di filtraggio deve essere effettuato dal vettore prima che i dati siano trasmessi (con il metodo “push”) all’autorità ricevente.

Il Gruppo di lavoro sottolinea l’importanza di assicurarsi che le proposte dell’UE che incidono sui diritti e sulle libertà fondamentali delle persone prevedano requisiti di sorveglianza e revisione, quali la registrazione dei trattamenti e delle richieste di dati, ai fini della verifica della legalità del trattamento, dell’autocontrollo e per garantire l’integrità e la sicurezza dei dati da parte delle autorità nazionali di protezione dei dati. Tuttavia, è importante capire come funzioneranno tali sistemi nella pratica e come una registrazione e una documentazione efficaci rispetteranno i principi di minimizzazione dei dati precedentemente menzionati.

6. Elementi di dati

A differenza dei dati API, i dati PNR non sono verificati e, di conseguenza, sono meno attendibili. Gli elementi di dati elencati nell’allegato alla proposta sono gli stessi 19 elementi contenuti negli accordi PNR UE-USA e UE-Canada. Il Gruppo di lavoro ribadisce la propria posizione, secondo cui non esistono elementi di prova sufficienti a dimostrare quali campi si sono rivelati necessari e, pertanto, tale elenco è sproporzionato. Le categorie sono generali e alcune sono costituite da ulteriori sottoinsiemi di dati. Benché la proposta preveda il divieto di trattamento dei dati personali sensibili, nell’elenco degli elementi di dati figura il campo “osservazioni generali”, che potrebbe contenere qualunque tipo di informazioni, quali richieste di pasti, richieste di servizi speciali e così via. Il Gruppo di lavoro non ha ancora riscontrato prove sufficienti a dimostrare quali elementi di dati PNR si sono rivelati necessari o sono stati utilizzati efficacemente a fini di contrasto. Inoltre, non tutti i vettori raccolgono dati PNR.

7. Autorità competenti e trasferimenti successivi

La proposta afferma che gli Stati membri devono notificare alla Commissione l’elenco delle proprie autorità competenti entro dodici mesi dall’entrata in vigore della direttiva e che tale elenco sarà pubblicato nella Gazzetta ufficiale. Il Gruppo di lavoro sostiene le misure di trasparenza che indicano chiaramente chi è autorizzato a ricevere e a trattare i dati. Tuttavia, i ruoli (responsabile del trattamento/incaricato del trattamento) delle autorità competenti e delle Unità d’informazione sui passeggeri non sono chiari.

Il Gruppo di lavoro ribadisce le proprie preoccupazioni in merito all’ampia definizione di reati gravi, in particolare riguardo ai trasferimenti successivi, sia all’interno che all’esterno dell’UE.

8. Riesame e reciprocità

La proposta prevede il riesame della direttiva entro quattro anni dalla sua entrata in vigore nonché un riesame speciale dell’eventuale estensione del suo campo di applicazione ai voli intraeuropei entro due anni dalla sua entrata in vigore. Il Gruppo di lavoro sottolinea la necessità che i processi di revisione legislativa dell’UE prevedano criteri chiari per valutare la necessità e l’efficacia di un sistema. Il Gruppo di lavoro ribadisce altresì l’importanza di includere le autorità nazionali di protezione dei dati in tutti i processi di revisione, tanto più poiché si tratta di una disposizione prevista da altri strumenti dell’Unione, quali gli accordi PNR dell’UE con paesi terzi.

Il Gruppo di lavoro sottolinea l’importanza che, nell’elaborazione delle proposte dell’UE, siano prese in considerazione le implicazioni di eventuali requisiti di reciprocità. Un modello europeo PNR potrebbe dare luogo all’imposizione di requisiti analoghi da parte di paesi non democratici o di paesi che non garantiscono un adeguato livello di protezione dei diritti e delle libertà fondamentali, compresi i dati personali e la vita privata. È evidente che, qualora tali paesi dovessero ricevere dati PNR dall’UE, le conseguenze per gli interessati potrebbero essere gravi.

9. Conclusione

Il Gruppo di lavoro ritiene che non sia stata ancora dimostrata la necessità di istituire un sistema PNR a livello dell’UE e che le misure proposte non siano in linea con il principio di proporzionalità, in particolare perché il sistema prevede la raccolta e la conservazione di tutti i dati di tutti i passeggeri di tutti i voli. Il Gruppo di lavoro nutre inoltre seri dubbi sulla proporzionalità del confronto sistematico dei dati di tutti i passeggeri sulla base di criteri prestabiliti.

Il Gruppo di lavoro raccomanda innanzitutto di valutare i sistemi e i metodi di cooperazione esistenti e la loro compatibilità al fine di individuare falle nella sicurezza. Qualora vengano riscontrate lacune in tal senso, il passo successivo da compiere consisterà nell’analizzare il modo migliore per colmarle, che non comporterà necessariamente l’introduzione di un sistema del tutto nuovo. Si potrebbero sfruttare e migliorare ulteriormente i meccanismi esistenti.

Qualora entri in vigore, la proposta di direttiva in esame dovrà assicurare misure e garanzie adeguate in materia di protezione dei dati. La Commissione dovrà inoltre valutare l’opportunità di abrogare, di conseguenza, sistemi esistenti quali la direttiva API, al fine di evitare la sovrapposizione di misure.

Il Gruppo di lavoro continuerà a seguire attentamente gli sviluppi della situazione e accoglie con favore tutte le opportunità di illustrare e chiarire ulteriormente le proprie posizioni alle varie parti interessate coinvolte nella proposta. Il Gruppo di lavoro continuerà inoltre a formulare pareri ove opportuno e necessario.

Fatto a Bruxelles, il 5 aprile 2011

Per il Gruppo di lavoro

Il presidente

Jacob KOHNSTAMM

NOTE

1 WP 145 – parere comune adottato congiuntamente con il Gruppo di lavoro per la cooperazione giudiziaria e di polizia.

2 Pareri WP 103 (Canada), WP 138 (USA), WP 151 (USA – informazione dei passeggeri) e WP 178 (approccio globale della Commissione).

3 Panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia

(COM(2010) 385 definitivo).