Direttiva UE 2016/681 sull’uso dei dati del codice di prenotazione (PNR)
Il 4 maggio 2016 sulla Gazzetta Ufficiale dell’Unione Europea è stata pubblicata la Direttiva (UE) 2016/681 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, contenente disposizioni sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi.
I dati PNR (Passenger Name Record) riguardano le informazioni fornite dai passeggeri e raccolte dalle compagnie aeree durante la prenotazione dei voli e le procedure di check-in, come: data di viaggio, itinerario, informazioni relative al biglietto, indirizzo ed estremi dei passeggeri, informazioni relative al bagaglio, informazioni relative alle modalità di pagamento.
Le compagnie aeree raccolgono e trattano i dati PNR dei loro passeggeri a fini commerciali. La direttiva stabilisce che i dati PNR raccolti potranno essere trattati solo per la prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, pertanto, ciascuno Stato membro dovrà designare una propria “unità di informazione sui passeggeri” (UIP), per raccogliere i dati PNR dalle compagnie aeree. La direttiva, inoltre, lo scopo di regolare il trasferimento di detti dati dalle compagnie aeree agli Stati membri, nonché, a regolare il trattamento di tali dati da parte delle autorità competenti, senza imporre alle compagnie aeree di fornire dati supplementari, né ai passeggeri di fornire ulteriori dati oltre a quelli già forniti.
Questi dati dovranno essere conservati per un periodo di cinque anni ma, dopo sei mesi dal trasferimento, saranno resi anonimi mediante la mascheratura di alcuni elementi, come il nome, l’indirizzo e i contatti, elementi che potrebbero servire a identificare direttamente il passeggero.
L’UIP sarà responsabile della raccolta, conservazione e trattamento dei dati PNR, nonché di trasferirli alle autorità competenti e scambiarli con le Unità d’informazione sui passeggeri di altri Stati membri e con Europol. L’UIP dovrà anche nominare un responsabile della protezione dei dati incaricato di sorvegliare il trattamento dei dati PNR e di applicare le garanzie pertinenti; l’accesso alla serie integrale di dati PNR, che consente l’identificazione diretta dell’interessato, dovrebbe essere concesso soltanto a condizioni molto rigorose e limitate dopo il periodo iniziale di conservazione; tutti i trattamenti dei dati PNR devono essere registrati o documentati; gli Stati membri devono vietare un trattamento dei dati PNR che riveli l’origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l’appartenenza sindacale, lo stato di salute, la vita o l’orientamento sessuali dell’interessato.
La direttiva si applica ai voli extra-UE, ma gli Stati membri potranno decidere di estenderla ai voli intra-UE (ad esempio, i voli che si dirigono da uno Stato membro verso un altro o altri Stati membri), notificandolo per iscritto alla Commissione. I Paesi dell’UE possono inoltre decidere di procedere con la raccolta e il trattamento dei dati PNR provenienti da operatori economici diversi dalle compagnie aree, come le agenzie di viaggio e gli operatori turistici, che forniscono allo stesso modo servizi di prenotazione di voli.
Una volta pubblicata nella Gazzetta ufficiale dell’UE, gli Stati membri hanno tempo due anni per recepire la direttiva nella loro legislazione nazionale, ossia, entro il 25 maggio 2018.
Maurizio Corain
Caterina Papalia