CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI Raccomandazione 1/98 adottata dal Gruppo il 28 aprile 1998 IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 1, visto l'articolo 29 e l'articolo 30, paragrafo 3 della menzionata direttiva, visto il proprio regolamento interno, in particolare gli articoli 12 e 14, HA ADOTTATO LA PRESENTE RACCOMANDAZIONE: INTRODUZIONE L'articolo 6, paragrafo 1, lettera b) della direttiva 95/46 impone agli Stati membri di disporre che i dati personali siano "rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità"; a norma del paragrafo 1, lettera e) del medesimo articolo, i dati devono essere "conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati". L'articolo 8 della direttiva impone agli Stati membri di vietare il trattamento di dati personali che rivelino, tra l'altro, l'origine razziale o etnica, le convinzioni religiose e le condizioni di salute. Sono ammesse deroghe a questo principio per i motivi specificati nell'articolo 8, paragrafi 2 e 3, ed uno di tali motivi è costituito dal consenso esplicito della persona interessata. Ai sensi della direttiva la persona interessata gode di specifici diritti, compreso il diritto di essere informato circa il trattamento dei suoi dati personali (articoli 10 e 11), nonché i diritti di accesso, di rettifica e di cancellazione (articolo 12). In considerazione degli aspetti peculiari alle prenotazioni nel trasporto aereo e delle recenti iniziative della Commissione in tale settore 2, il Gruppo ha deciso di creare un sottogruppo in materia di sistemi telematici di prenotazione (CRS). Esso si è riunito due volte ed ha stabilito di presentare al Gruppo gli esiti dei suoi lavori in vista dell'adozione della presente raccomandazione. RELAZIONE Il settore del trasporto aereo è caratterizzato da un uso estremamente avanzato di sistemi informatici. Esistono banche dati contenenti dati personali in molti ambiti: in particolare presso le compagnie aeree, gli agenti di viaggio ed i sistemi telematici di prenotazione (CRS). Diverse banche dati (in particolare, ma non esclusivamente, i CRS) sono ubicate al di fuori del territorio della Comunità. In considerazione della natura internazionale del trasporto aereo, le soluzioni di carattere generale sono, in linea di principio, le più appropriate. Il Gruppo ritiene che i seguenti aspetti meritino di essere considerati in via prioritaria: 1. Informazione e diritto di accesso: — La grande maggioranza dei dati personali viene raccolta dagli agenti di viaggio e dai vettori aerei. Per motivi pratici, e senza pregiudizio della definizione di "responsabile del trattamento" ai sensi della direttiva 95/46/CE, la questione del diritto di accesso della persona interessata dovrebbe pertanto investire in primis tali operatori. — Tuttavia, taluni aspetti relativi all'accesso possono anche essere regolamentati direttamente assieme ai CRS, e ciò potrebbe avvenire nel progetto di regolamento relativo al codice di comportamento per i CRS proposto dalla Commissione. — Il codice di comportamento in materia di sistemi telematici di prenotazione ribadisce il diritto dei passeggeri di essere informati in modo dettagliato circa il trattamento dei dati. Tale diritto potrebbe essere rafforzato attraverso il coinvolgimento degli abbonati (ad esempio gli agenti di viaggio) e dei vettori aerei. 2. Cancellazione di dati: — È auspicabile assicurare che i dati personali siano cancellati dai sistemi computerizzati di prenotazione non appena cessino di essere utilizzati ai fini del viaggio. — Mentre tali dati possono servire nel caso di contenzioso e pertanto potrebbe risultare necessario conservarli per un certo periodo di tempo, essi dovrebbero essere utilizzati soltanto a tale fine specifico ed essere successivamente distrutti. — Ciò non pregiudica la possibilità che gli abbonati ed i vettori aerei ottengano il consenso da parte di viaggiatori abituali al fine del trattamento dei loro dati personali in conformità della direttiva 95/46/CE. CONCLUSIONI In considerazione di quanto precede, il Gruppo raccomanda che:
— il preciso obbligo di fornire informazioni al cliente circa il trattamento dei dati personali nel sistema telematico. Tali informazioni, che possono essere diffuse ad esempio con opuscoli illustrativi, dovrebbero includere il nome e l'indirizzo del venditore del sistema, gli scopi del trattamento dei dati, il periodo di conservazione degli stessi, nonché le modalità e gli strumenti necessari per l'esercizio del diritto di accesso da parte della persona interessata. — l'obbligo per gli abbonati (ad esempio, agenti di viaggio) ed i vettori aerei di ottenere dalle persone interessate l'esplicito consenso alla raccolta di dati di natura delicata (condizione di disabile, pasti conformi ai precetti islamici, ecc.). Qualora il CRS includa la possibilità di emissione diretta di biglietti, tale obbligo deve essere applicato al venditore del sistema 3. — L'obbligo delle parti citate di rispondere immediatamente ad una richiesta di accesso da parte di un passeggero che desideri prendere visione dei propri dati. — L'obbligo per il CRS di assicurare che tutti i dati personali identificati siano archiviati fuori linea entro le 72 ore successive al termine del viaggio in questione 4 e distrutti entro un periodo non superiore ai tre anni. L'accesso a tali dati dovrà essere consentito soltanto ai fini della composizione di controversie relative alla fatturazione. Nonostante l'obbligo di distruggere i dati entro tre anni, i dati personali possono essere conservati per un periodo più lungo e per tutto il tempo necessario nel caso specifico al fine di espletare una richiesta di indennizzo per danni ovvero per il periodo stabilito da disposizioni di legge (ad esempio, le disposizioni in materia contabile e fiscale). — L'obbligo di effettuare le necessarie modifiche al fine di estendere l’ambito di applicazione del controllo previsto dall'articolo 21 bis.
La presente raccomandazione, adottata dal Gruppo in data ... ..., è rivolta alla Commissione europea, al Parlamento europeo, al Consiglio dell’Unione europea ed al Comitato economico e sociale. Fatto a Bruxelles, addì 28 aprile 1998 Per il Gruppo 1 GU L 281 del 23.11.1995, pag. 31. 2 Proposta di regolamento (CE) del Consiglio che modifica il regolamento (CEE) n. 2299/89 del Consiglio relativo ad un codice di comportamento in materia di sistemi telematici di prenotazione (CRS); COM (97) 246 def. del 9 luglio 1997. 3 Secondo la definizione contenuta nel citato codice di comportamento, si intende per "venditore del sistema" "qualsiasi impresa e le sue affiliate che provveda alla gestione o commercializzazione di un CRS". 4 Come indicato nella relazione, rimane impregiudicato il diritto degli abbonati e dei vettori aerei di trattare i dati di natura delicata relativi ai viaggiatori abituali nei propri sistemi informatici, dietro consenso esplicito della persona interessata. 5 Direttiva 97/66/CE del Parlamento Europeo e del Consiglio del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni (GU L 24 del 30.1.1998, pag. 1). |