Il PNR fra sicurezza e privacy

Un accordo sul Passenger name record (Pnr), vale a dire sul trasferimento dei dati dei passeggeri dei voli aerei, che comprende la loro conservazione e utilizzo, deve rispettare le norme in tema di privacy e protezione dati. Lo ha stabilito la Corte di giustizia nel parere n. 1/15 reso lo scorso 26 luglio sull’accordo negoziato e firmato nel 2014 fra Unione europea e Canada (accordo Pnr), che il Consiglio aveva inviato al Parlamento per l’approvazione e che quest’ultimo aveva invece sottoposto alla Corte per una verifica circa la sua compatibilità con il diritto primario, ivi compresa la Carta dei diritti fondamentali dell’Ue del 2009. Il tema è alquanto delicato, come ogni volta che si discute del trasferimento internazionale di dati personali, ed evoca l’aspra contesa che ha visto fronteggiarsi per diversi mesi Ue e Stati Uniti dopo l’annullamento del “Safe harbour” a opera della Corte di giustizia nel caso Schrems e giunta a composizione con l’accordo sul Privacy shield del febbraio 2016 e la successiva decisione di adeguatezza della Commissione europea. In realtà, il Pnr riguarda l’uso di dati personali da parte di autorità pubbliche, mentre il Privacy shield il loro trattamento da parte di imprese private negli Stati Uniti. Il trasferimento dei dati Pnr è peraltro oggetto di una direttiva europea, la 681 del 27 aprile 2016, adottata lo stesso giorno del regolamento generale in tema di protezione dati e della direttiva enforcement, che dovrà essere recepita entro il 25 maggio 2018. Riguarda l’uso dei dati del codice di prenotazione (Pnr) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati gravi e terrorismo. In sostanza, l’accordo previsto con il Canada consente il trasferimento sistematico e continuo dei dati Pnr di tutti i passeggeri aerei a un’autorità canadese, nonché il loro eventuale ulteriore trasferimento a Paesi terzi nell’ambito della lotta contro la criminalità di natura transnazionale. Prevede una du- rata di archiviazione di cinque anni, obblighi in materia di sicurezza e integrità, un mascheramento immediato dei dati sensibili, taluni diritti d’accesso, di rettifica e di cancellazione e la possibilità di proporre ricorsi amministra- tivi o giurisdizionali. Si tratta di dati delicati che possono, tra l’altro, rivelare abitudini di viaggio, relazioni tra due o più persone non- ché informazioni sulla situazione finanziaria dei passeggeri, il loro stato di salute, ovvero fornire informazioni sensibili. Di qui la necessità – rileva la Corte – di introdurre una serie di modifiche, così da renderlo compatibile con il diritto europeo, come, per esempio, prevede- re che le banche dati utilizzate siano limitate a quelle gestite dal Canada in relazione alla lotta al terrorismo e ai reati gravi; che i dati Pnr possano essere comunicati dalle autorità canadesi a quelle di un Paese extra Ue solo se esiste un accordo o una decisione della Commissione europea; un diritto all’informazione individuale dei passeggeri aerei in caso di uso dei loro dati Pnr e garantendo altresì che la vigilanza in materia sia assicurata da un’autorità di controllo indipendente.