I PNR e il dilemma tra privacy e sicurezza: il Demetra - XIII Corso di formazione giuridico–amministrativa   Il Trasporto aereo a vent’anni dalla liberalizzazione I PNR e il dilemma tra privacy e sicurezza: il d.lgs. 21 maggio 2018, n. 53 Avvocato Gianluca Lo Bianco

Il d.lgs. 53/2018: non solo attuazione della direttiva UE 2016/81 Il d.lgs. 21 maggio 2018, n. 53: in primo luogo, dà attuazione alla direttiva (UE) 2016/681 sull’uso dei dati del codice di prenotazione (PNR) per la prevenzione, accertamento, indagine e azione penale concernente i reati di terrorismo e altri reati gravi; poi coinvolge anche, in modo incisivo, le norme in materia di privacy, di pubblica sicurezza, di antimafia e di navigazione aerea (a tale proposito è sufficiente verificare la quantità di disposizioni citate nel preambolo al testo). Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

I profili del d.lgs. 53/2018 in materia di privacy Quella operata con il d.lgs. 53/2018 è forse la più imponente operazione di acquisizione, classificazione e conservazione di dati personali che venga operata in Europa e che fa riflettere sui profili della sorveglianza collettiva. Si tratta di una vera e propria schedatura che avviene attraverso il codice PNR (codice di prenotazione dei passeggeri) per le predette finalità di prevenzione dei reati di terrorismo e di altri reati gravi. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

Oggetto e ambito di applicazione del d.lgs. 53/2018 (art. 1) Il d.lgs. 53/2018 regola il trasferimento a cura dei vettori aerei, dei dati riassunti nel codice di prenotazione dei passeggeri (PNR) dei voli extra-UE e dei voli intra- UE e fissa le modalità di trattamento di questi dati. Viene disciplinato anche il trattamento dei dati API (Advance Passenger Information) intesi come una parte dei dati PNR, sempre trasmessi dal vettore aereo, trattamento effettuato dai competenti uffici incaricati delle Polizia di frontiera. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

Finalità della raccolta dati (art. 3) La raccolta e il trattamento dei dati PNR è orientato verso la prevenzione e la repressione dei reati di terrorismo e dei reati gravi, che vengono indicati nell’art. 2 del d.lgs. 53/2018. Mentre i dati API servono agli Uffici di Polizia incaricati del controlli di frontiera al fine di migliorare i controlli alle frontiere esterne e prevenire l’immigrazione illegale. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

Il sistema informativo (art. 4) Il Dipartimento della Pubblica Sicurezza del Ministero dell’Interno è il titolare del trattamento dei dati PNR e dei dati API. Al fine di poter efficacemente curare la raccolta, il trattamento e il trasferimento dei predetti dati, è approntato un apposito sistema informativo. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

Modalità di trasferimento dei dati PNR al Sistema Informativo (art. 5) I vettori aerei devono trasferire i dati PNR: in un periodo compreso tra le ventiquattro e le quarantotto ore antecedenti all’orario previsto per la partenza del volo; e immediatamente dopo la chiusura del volo, quando non è più possibile l’imbarco e lo sbarco dei passeggeri, anche mediante l’aggiornamento dei dati trasferiti ai sensi della lettera a). Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

L’Unità di Informazioni sui Passeggeri (UIP) nazionale (art. 6) L’UIP è istituita presso il Ministero dell’Interno, Dipartimento della Pubblica Sicurezza, nell’ambito della Direzione Centrale della Polizia Criminale competente in materia di prevenzione e repressione dei reati di terrorismo e dei reati gravi. L’UIP, dopo aver ricevuto i dati PNR dai vettori aerei, prima dell’arrivo o della partenza del volo, effettua attività di analisi dei dati ricevuti al fine di individuare i passeggeri sospettati di essere implicati in reati di terrorismo o in reati gravi per i quali è necessario procedere a ulteriori verifiche. L’UIP scambia sia i dati PNR che i risultati con le UIP di altri Stati UE. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

Il trattamento dei dati PNR (art. 8) Una volta acquisite le informazioni, la UIP può procedere al loro trattamento e confrontare i dati PNR con le informazioni contenute in altre banche dati nazionali, europee e internazionali, nel rispetto dei principi di necessità e proporzionalità e tenuto conto del divieto di discriminazione basato sull’origine razziale o etnica, sulle opinioni politiche, sulla religione o sulle convinzioni filosofiche, sull’appartenenza sindacale, sullo stato di salute, sulla vita sessuale o sull’orientamento sessuale. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

La conservazione dei dati PNR (art. 10) Il d.lgs. 53/2018 prevede che i dati PNR trasmessi dai vettori alla UIP siano conservati nel sistema informativo per cinque anni dal loro trasferimento, tuttavia si stabilisce che dopo sei mesi dal loro trasferimento, i dati siano “pseudonimizzati “mediante il mascheramento di alcuni elementi (es. nominativo dei passeggeri, numero dei passeggeri, indirizzo e modalità di pagamento etc.). Questo non significa che i dati sono cancellati, perché per “pseudonimizzazione” si deve intendere che i dati personali non possono più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

La protezione dei dati personali (articoli 20 e 21) Il Garante per la protezione dei dati personali è individuato quale Autorità nazionale di controllo alla quale è devoluta la verifica sul trattamento dei dati personali effettuata in applicazione del d.lgs. 53/2018 che avverrà con le modalità previste dal codice privacy. Il responsabile della protezione dei dati è nominato con decreto del Capo della Polizia. La UIP è obbligata ad adottare adeguate misure e procedure tecniche e organizzative per garantire un elevato livello di sicurezza e deve conservare la documentazione relativa ai sistemi e alle procedure di trattamento. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

Disposizioni sanzionatorie (1) L’art. 24 dispone che, salvo che il fatto costituisca reato, il vettore che non trasmette i dati, ovvero li trasmette in modo difforme da quanto previsto dall’articolo 5, è punito con la sanzione amministrativa pecuniaria da 5.000 € a 100.000 € per ogni viaggio a cui si riferisce la condotta. La medesima sanzione amministrativa si applica in caso di trasmissione di dati incompleti o errati. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

Disposizioni sanzionatorie (2) Viene individuata nell’ENAC l’autorità competente a irrogare le sanzioni, a cui è trasmesso il rapporto previsto dell’art. 17 della legge 689/81. In corso di reiterazione delle violazioni ai sensi dell’art. 8- bis della citata legge 689/81, l’ENAC può disporre della sospensione da uno a dodici mesi, ovvero la revoca della licenza, autorizzazione o concessione al trasporto aereo rilasciata dall’autorità amministrativa italiana. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018

Conclusione Ci troviamo, come detto, forse di fronte alla più importante operazione di acquisizione, classificazione e conservazione di dati personali operati in Europa. Per garantire una maggiore sicurezza, è necessario rinunciare ad una parte della propria privacy, con le dovute cautele previste dalla normativa. Demetra XIII Corso Formazione Giuridico - Amministrativa, 3-5 dicembre 2018