g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere sullo schema di decreto dirigenziale recante “registrazione delle persone a bordo delle navi da passeggeri che effettuano viaggi da e verso i porti degli Stati membri della Comunità – modalità tecniche e operative di trasmissione dei dati di cui agli articoli 4 e 5 del decreto legislativo 11 maggio 2020, n. 38” - 27 gennaio 2022 [9746924]

Parere sullo schema di decreto dirigenziale recante “registrazione delle persone a bordo delle navi da passeggeri che effettuano viaggi da e verso i porti degli Stati membri della Comunità – modalità tecniche e operative di trasmissione dei dati di cui agli articoli 4 e 5 del decreto legislativo 11 maggio 2020, n. 38” - 27 gennaio 2022 [9746924]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9746924]

Parere sullo schema di decreto dirigenziale recante “registrazione delle persone a bordo delle navi da passeggeri che effettuano viaggi da e verso i porti degli Stati membri della Comunità – modalità tecniche e operative di trasmissione dei dati di cui agli articoli 4 e 5 del decreto legislativo 11 maggio 2020, n. 38” - 27 gennaio 2022

Registro dei provvedimenti
n. 15 del 27 gennaio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

Il Ministero delle infrastrutture e della mobilità sostenibili – Comando generale del Corpo delle capitanerie di porto, con nota del 13 dicembre 2021, ha sottoposto al Garante lo schema di decreto dirigenziale recante “registrazione delle persone a bordo delle navi da passeggeri che effettuano viaggi da e verso i porti degli Stati membri della Comunità – modalità tecniche e operative di trasmissione dei dati di cui agli articoli 4 e 5 del decreto legislativo 11 maggio 2020, n. 38”.

1. Il quadro normativo.

Il decreto legislativo 11 maggio 2020, n. 38, adottato in attuazione della delega contenuta nella legge 4 ottobre 2019, n. 117 e, in particolare, dell’articolo 18, individua specifici criteri per l’attuazione della direttiva (UE) 2017/2109 del Parlamento europeo e del Consiglio, del 15 novembre 2017, la quale ha modificato la direttiva 98/41/CE del Consiglio, relativa alla registrazione delle persone a bordo delle navi da passeggeri che effettuano viaggi da e verso i porti degli Stati membri della Comunità, e la direttiva 2010/65/UE del Parlamento europeo e del Consiglio, relativa alle formalità di dichiarazione delle navi in arrivo e/o in partenza da porti degli Stati membri.

La citata normativa si propone di stabilire un livello comune di sicurezza in tutti gli Stati membri, dettando disposizioni in ordine al numero massimo di persone a bordo delle navi da passeggeri e alla comunicazione tra le società di navigazione e i servizi di ricerca e salvataggio delle persone; a tal fine, come indicato dai considerando 4 e 5 della direttiva 98/41/CE, è necessario contare e registrare i passeggeri prima della partenza della nave, al fine di “raccogliere informazioni sui passeggeri e sui membri dell'equipaggio per facilitare la ricerca, il salvataggio e l'efficiente trattamento delle conseguenze di un incidente, vale a dire l'identificazione delle persone implicate, una maggiore chiarezza sulle relative questioni giuridiche e un contributo al miglioramento delle cure mediche delle persone tratte in salvo”.

L’articolo 11-bis della citata direttiva stabilisce che il trattamento di dati personali è effettuato in conformità al Regolamento (correttamente citato nel preambolo dello schema di decreto dirigenziale). Come noto, in base alla disciplina europea sulla protezione dei dati personali e, in particolare, al principio di “limitazione delle finalità” del trattamento, i dati devono essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” (art. 5, par. 1, lett. b), Reg.). In ossequio a tale principio, l’art. 5, comma 4 della citata direttiva prevede infatti che “Fatti salvi altri obblighi giuridici ai sensi della legislazione dell’Unione e nazionale sulla protezione dei dati, i dati personali raccolti ai fini della presente direttiva non sono trattati e usati per altri scopi (…)”.

In tale quadro, il decreto legislativo n. 38/2020, nel disciplinare “le modalità di comunicazione del numero e delle informazioni delle persone a bordo delle navi da passeggeri, al fine di migliorare il livello di sicurezza e accrescere la possibilità di salvataggio dei passeggeri e dei membri dell'equipaggio a bordo delle navi da passeggeri che effettuano viaggi da e verso porti di Stati membri della Comunità nei casi di emergenza, nonché di garantire una gestione più efficace delle operazioni di ricerca e soccorso e delle altre conseguenze degli incidenti in mare”, si pone l’obiettivo di armonizzare, aggiornandoli, i requisiti previsti per la raccolta di informazioni sul numero delle persone a bordo di una nave passeggeri e sulla loro identità. In particolare, sotto il profilo della protezione dei dati personali, è previsto che:

- prima della partenza, il numero delle persone a bordo è comunicato dal personale di bordo al comandante e dichiarato, secondo quanto disposto dall'articolo 6, commi 3 e 4, con mezzi tecnici adeguati nell'interfaccia unica nazionale ovvero è comunicato all'autorità designata per mezzo del sistema di identificazione automatica (AIS) di bordo (art. 4, comma 2);

- sono registrate le generalità dei passeggeri e, se espressamente richiesto da questi, i dati relativi alle eventuali cure e assistenza speciali necessarie in caso di emergenza, nonché un numero di contatto. Tali informazioni vengono raccolte prima della partenza e dichiarate secondo quanto disposto dall'articolo 6, commi 3 e 4, nell'interfaccia unica nazionale alla partenza della nave e, comunque, non oltre quindici minuti dopo la partenza (art. 5);

- la società che gestisce una nave da passeggeri provvede affinché le informazioni di cui agli articoli 4 e 5 siano disponibili, con le modalità ivi previste (art. 6, comma 1); questa inoltre designa un addetto alla registrazione dei passeggeri, responsabile di dichiarare le informazioni previste da tali disposizioni nell’interfaccia unica nazionale o all’autorità designata mediante il sistema di identificazione automatica (art. 6, comma 3); l'addetto alla registrazione passeggeri può avvalersi, rispettivamente, del raccomandatario marittimo o del comandante della nave (art. 6, comma 4); la società, inoltre, provvede affinché le informazioni riguardanti i passeggeri che hanno dichiarato di aver bisogno di cure o assistenza speciali in situazioni di emergenza, siano debitamente registrate e trasmesse al comandante della nave prima della partenza della stessa (art. 6, comma 5);

- la società si dota di una procedura di registrazione dei dati che garantisce la dichiarazione precisa delle informazioni richieste (art. 8);

- i dati personali raccolti ai sensi dell'articolo 5 sono conservati dalla società solo per il tempo necessario per le finalità di cui al presente decreto e, in ogni caso, solo fino al momento in cui il viaggio della nave in questione è completato in sicurezza e i dati sono stati dichiarati nell'interfaccia unica nazionale (art. 12, comma 1); i dati sono altresì conservati dall'Amministrazione solo per il tempo necessario per le finalità previste dal decreto e comunque fino al completamento del viaggio o fino al compimento di eventuali indagini o di un procedimento giudiziario, in caso di emergenza o di incidente (art. 12, comma 2);

- i dati raccolti ai sensi dell'articolo 5 sono, altresì, utilizzati per i controlli di frontiera di cui al Regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio del 9 marzo 2016. A tal fine, i dati sono trasferiti al Dipartimento della pubblica sicurezza del Ministero dell'interno, mediante modalità tecniche concordate con il Ministero delle infrastrutture e dei trasporti (art. 12, comma 4);

- in caso di violazione degli obblighi di riservatezza di cui all'articolo 12, il funzionario o l'agente di polizia giudiziaria che ha accertato la violazione invia informativa all'autorità di controllo di cui all' articolo 2-bis del Codice (art. 11, comma 4).

2. L’interfaccia unica nazionale.

L’interfaccia unica nazionale di cui al sopra citato art. 5, comma 2, si riferisce al Portale per lo scambio telematico di dati tra armatori, proprietari, agenti raccomandatari, compagnie o comandanti delle navi e le amministrazioni (cosiddetto “PMIS - Port management Information System”) di cui all’art. 14-bis del decreto legislativo 19 agosto 2005, n. 196, previsto in attuazione della Direttiva 2002/59/CE relativa all’istituzione di un sistema comunitario di monitoraggio e di informazione sul traffico navale.

La citata disposizione prevede che:

1. “Lo scambio delle informazioni di interesse commerciale previste dal presente decreto tra armatori, proprietari, agenti raccomandatari, avvisatori marittimi, compagnie o comandanti delle navi e le autorità marittime, l'agenzia delle dogane e gli altri uffici interessati, finalizzato al più efficace esercizio delle attività amministrative correlate all'ingresso, all'operatività portuale ed alla partenza delle unità, si attua attraverso il sistema telematico PMIS.”. 2. L'Amministrazione assicura l'integrazione del PMIS con il SafeSeaNet.”

In proposito, l’articolo 8, comma 10, lettera b), del decreto legge 18 ottobre 2012, n. 179 - in attuazione della Direttiva 2010/65/UE del Parlamento e del Consiglio del 20 ottobre 2010, considerata la necessità di ottemperare tempestivamente agli obblighi recati dalla direttiva medesima, allo scopo di semplificare le procedure amministrative applicate ai trasporti marittimi con l'inoltro in formato elettronico delle informazioni e la razionalizzazione dei dati e delle dichiarazioni da rendersi dalle navi, in arrivo o in partenza dai porti nazionali, che svolgono traffico di cabotaggio o internazionale nell'ambito dell'Unione europea ovvero provengono o sono dirette in porti situati al di fuori dell'UE, le procedure amministrative correlate all'arrivo ed alla partenza” prevede espressamente il ricorso ai seguenti sistemi:

a) SafeSeaNet: sistema dell'Unione europea per lo scambio di dati marittimi (art. 2, comma 1, lettera t-bis, del d.lgs 19 agosto 2005, n. 196);

b) PMIS, Port management Information System: sistema informativo per la gestione amministrativa delle attività portuali (14-bis del d.lgs 19 agosto 2005, n. 196).

La medesima disposizione legislativa prevede che siano comunque assicurati la semplificazione delle procedure ed appropriati livelli di interoperatività tra i diversi sistemi pubblici che operano nell'ambito logistico trasportistico, rinviando a tale scopo a un decreto del Ministro delle infrastrutture e dei trasporti, di concerto con i Ministri dell'interno e dell'economia e delle finanze, ai sensi dell' articolo 17, comma 3, della legge 23 agosto 1988, n. 400, la definizione delle “le modalità per la trasmissione elettronica dei dati di cui ai formulari FAL con l'implementazione dell'interfaccia unica costituita dal sistema PMIS, assicurando l'interoperabilità dei dati immessi nel sistema PMIS con il Safe Sea Net e con il Sistema informativo delle dogane, per quanto riguarda gli aspetti di competenza doganale, e la piena accessibilità delle informazioni alle altre autorità competenti […] oltre che agli Stati membri dell'Unione europea. L'interoperatività va altresì assicurata rispetto alle piattaforme realizzate dalle autorità portuali per il miglior espletamento delle funzioni di indirizzo e coordinamento dei nodi logistici che alle stesse fanno capo” (art. 8, comma 13, d.lgs 18 ottobre 2012, n. 179).

RILEVATO

3. Lo schema di decreto in esame.

Lo schema di decreto dirigenziale in esame disciplina le modalità tecniche ed operative di trasmissione dei dati sulle persone a bordo delle navi da passeggeri che effettuano viaggi da e verso porti di Stati membri della Comunità, al fine di adempiere alle disposizioni contenute nel decreto legislativo 11 maggio 2020, n. 38.

In tale contesto, e con particolare riferimento ai compiti demandati all’addetto alla registrazione dei dati, al raccomandatario marittimo e al comandante della nave, gli articoli 3, 4 e 5 dello schema di decreto prevedono che:

- Il “responsabile dell’inserimento dei dati” è “l’addetto alla registrazione passeggeri ovvero, qualora da lui designati, il Raccomandatario Marittimo o il Comandante della nave” (art. 3, comma 1, lett. e));

- “Per assicurare il corretto espletamento delle attività di cui agli articoli 4 e 5 del decreto, la Società designa, con formale atto di nomina, utilizzando il modello in allegato 1, controfirmato dall’interessato per assunzione di responsabilità, un addetto alla registrazione passeggeri. L’addetto alla registrazione passeggeri può essere individuato tra il personale della Società o un soggetto esterno incaricato dalla stessa ed è responsabile della raccolta e trasmissione dei dati acquisiti sulle persone a bordo delle navi per le quali opera” (art. 4, comma 1);

- “L’ atto di nomina di cui al comma 1, in cui occorre specificare per quali navi intenda operare, è trasmesso dalla Società agli indirizzi di Posta Elettronica Certificata (PEC) delle Autorità designate competenti per territorio, reperibili sul sito web della Guardia Costiera” (art. 4, comma 2);

- “la società può formalmente nominare non più di un addetto alla registrazione per singola nave o un addetto per gruppi di navi, o un addetto per tutte le navi gestite” (art. 4, comma 3);

- “per dichiarare il numero e le informazioni sulle persone a bordo, l’addetto alla registrazione passeggeri richiede, all’Autorità Marittima territorialmente competente, il rilascio di un account sull’interfaccia unica nazionale, mediante la compilazione ed invio via Posta Elettronica Certificata del modulo pubblicato sul sito web della Guardia Costiera all’indirizzo: http://www.guardiacostiera.gov.it/mezzi-e-tecnologie/Pages/tecnologie.aspx” (art. 4, comma 4); inoltre, “ricevuto l’account personale il soggetto è responsabile di l’addetto deve tenere prontamente aggiornata l’Autorità Marittima, comunicando appena conosciuta, l’eventuale cessazione o variazione dell’incarico assegnato” (art. 4, comma 5).

- “Per l’inserimento delle informazioni di cui agli articoli 4 e 5 del decreto, l’addetto alla registrazione dei passeggeri può avvalersi, ai sensi dell’articolo 6, comma 4 del medesimo decreto, del Raccomandatario Marittimo o del Comandante nave, designato con formale atto di nomina controfirmato dall’interessato, redatto utilizzando il modello in allegato 2, nel quale sono specificati eventuali limiti temporali dell’incarico e le navi per le quali lo stesso è autorizzato ad operare. Tale atto di nomina deve essere trasmesso dall’addetto alla registrazione passeggeri agli indirizzi PEC delle Autorità designate competenti per territorio, reperibili sul sito web Guardia Costiera” (art. 5, comma 1). Sempre con riferimento al raccomandatario marittimo e al comandante della nave, l’articolo 5, commi 1, ultimo periodo, 2 e 3 reca disposizioni analoghe a quelle di cui al sopra citato articolo 4, commi 2, 4 e 5.

Per quanto attiene, invece, al processo di registrazione del numero di persone a bordo, l’articolo 6 dello schema di decreto prevede che:

“1. Il numero totale delle persone a bordo deve essere sempre correttamente riportato nell’interfaccia unica nazionale con le tempistiche previste dal decreto, ovvero prima della partenza della nave, salvo quanto previsto nel successivo comma 3.

2. Sulla pagina web del sito della Guardia Costiera all’indirizzo http://www.guardiacostiera.gov.it/mezzi-e-tecnologie/Pages/tecnologie.aspx sono messi a disposizione dell’utenza manuali e tutorial che spiegano come effettuare tale operazione.

3. Qualora il responsabile dell’inserimento dati rilevi problemi di funzionamento del sistema PMIS o la stessa Autorità Marittima ne dichiari la temporanea indisponibilità o il sistema non sia implementato, il numero delle persone a bordo deve essere inserito dal Comandante della nave nel sistema AIS di bordo o, qualora non installato, comunicato via radio all’Autorità Marittima del porto di partenza.

4. Qualora l’Amministrazione esenti una nave da passeggeri dall’obbligo di dichiarare il numero di persone a bordo nel PMIS, ai sensi dell’art. 7, comma 2 del decreto, il numero delle persone a bordo dovrà essere inserito dal Comandante della nave nel sistema AIS di bordo o, qualora non installato, comunicato via radio all’Autorità Marittima del porto di partenza”.

Analoga disciplina è prevista all’art. 7 con riferimento alla registrazione delle informazioni sulle persone a bordo della nave, laddove si prevede che:

“1. Le informazioni previste dall’art. 5 del decreto devono essere inserite nell’interfaccia unica nazionale, nelle tempistiche previste dallo stesso, attraverso le seguenti modalità:

a. mediante digitazione nella maschera grafica prevista sul PMIS nella sua interfaccia dedicata;

b. mediante l’inserimento di fogli elettronici digitali armonizzati, il cui modello è pubblicato sulla pagina web del sito della Guardia Costiera all’indirizzo http://www.guardiacostiera.gov.it/mezzi-e-tecnologie/Pages/tecnologie.aspx;

c. utilizzo del cognome da nubile per il passeggero di genere femminile, anche se coniugato.

2. Qualora il responsabile dell’inserimento dati rilevi problemi di funzionamento del sistema PMIS o l’Autorità Marittima ne dichiari la temporanea indisponibilità o il sistema non sia implementato, le informazioni sulle persone a bordo devono essere inviate all’indirizzo PEC dell’Autorità Marittima del porto di partenza e di arrivo della nave, reperibile sul sito web Guardia Costiera”.

In ultimo, l’articolo 8 dello schema di decreto in esame demanda la gestione della sicurezza ad apposite procedure sviluppate dalla società, ossia dall'armatore della nave o da chiunque abbia assunto da questi la responsabilità dell'esercizio della nave.

OSSERVA

Esaminato lo schema di decreto dirigenziale trasmesso, per gli aspetti relativi alla protezione dei dati personali, il Garante ritiene necessario svolgere alcune considerazioni, volte a rendere pienamente conforme il decreto ai principi e alle regole del Regolamento.

1. Preliminarmente, si osserva che il Garante ha già in parte analizzato le tematiche riguardanti la registrazione delle persone a bordo delle navi da passeggeri che effettuano viaggi da e verso i porti degli Stati membri della Comunità con il parere n. 9 del 23 gennaio 2020 (disponibile in www.gpdp.it doc. web n. 9277100), reso in relazione allo schema di decreto legislativo 11 maggio 2020, n. 38 sopra citato.

Con tale parere il Garante ha espresso forti perplessità sulla compatibilità delle previsioni contenute nel decreto n. 38/2020 con le finalità perseguite dalla direttiva 98/41/CE, “alla luce del quadro normativo europeo e nazionale di garanzie previste a tutela del diritto alla protezione dei dati personali degli interessati (cfr., in particolare, artt. 5, par. 1, lett. b), e 6, parr. 3 e 4, Reg.)”, richiamando con ciò “l’attenzione dell’Amministrazione sull’opportunità di mantenere nell’articolato le disposizioni in questione”. (cfr. punto 3.1).

Al riguardo, si prende atto che tale osservazione non è stata accolta nel testo definitivo del decreto legislativo, dal momento che l’art. 12, comma 4 prevede che “I dati raccolti ai sensi dell'articolo 5 sono, altresì, utilizzati per i controlli di frontiera di cui al Regolamento (UE) 2016/399 […]. A tal fine, i dati sono trasferiti al Dipartimento della pubblica sicurezza del Ministero dell'interno, mediante modalità tecniche concordate con il Ministero delle infrastrutture e dei trasporti”.

2. Sotto un diverso profilo, si rileva che in occasione del citato parere, considerata l’opportunità di definire meglio “le modalità di raccolta e registrazione dei dati” nonché di individuare chiaramente “i soggetti coinvolti nelle diverse operazioni di trattamento, con conseguente definizione dei ruoli di titolare e/o responsabile del trattamento (informazioni, quest’ultime, che dovranno essere riportate anche nell’informativa rilasciata ai passeggeri, in conformità a quanto previsto dall’art. 13, par. 1, lett a) e b) del Regolamento)”, il Garante ha suggerito di demandare ad un decreto di natura secondaria, da adottarsi sentito il Garante stesso, la definizione delle modalità attuative delle norme relative al trattamento dei dati dei passeggeri (cfr. punto 3.3).

Tale osservazione risulta essere stata solo formalmente accolta, atteso che lo schema di decreto dirigenziale in esame, se da un lato si propone di definire le modalità di raccolta e inserimento dei dati nei pertinenti sistemi informativi, dall’altro si limita a individuare alcuni compiti demandati all’addetto alla registrazione, al raccomandatario marittimo e/o al comandante della nave, senza tuttavia chiarire i ruoli ricoperti dai diversi soggetti coinvolti nel trattamento dei dati personali.

Sul punto, si ritiene pertanto indispensabile che lo schema di decreto in esame sia integrato prevedendo, in primo luogo, l’indicazione del titolare del trattamento dei dati personali oggetto di trattamento (art. 4, par. 1, n. 7 del Regolamento), onde evitare ogni possibile incertezza in ordine al soggetto cui compete la determinazione delle finalità e delle modalità del trattamento, nonché il rispetto dei principi applicabili al trattamento stesso anche ai fini della sua responsabilizzazione (artt. 5, § 2,  e 24 del Regolamento).

Parimenti, con particolare riferimento agli articoli 4 e 5 dello schema di decreto in esame, è necessario, altresì, integrare lo schema di decreto prevedendo l’indicazione del ruolo rivestito dall’addetto alla registrazione, dal raccomandatario marittimo e dal comandante della nave, nell’ambito del trattamento dei dati e delle informazioni relative ai passeggeri della nave. In tale ottica, si ritiene indispensabile che nello schema di decreto venga altresì chiarito quale sia il rapporto tra i citati soggetti (se, ad esempio, essi godano di un’autonomia giuridica o invece agiscano sulla base di una delega), nonché se essi rivestano o meno la qualifica di responsabili del trattamento (art. 28 del Regolamento), con conseguenti ricadute sostanziali in ordine alla tipologia e al contenuto dell’atto con cui gli stessi devono esser nominati dal titolare.

In ultimo, considerato che allo schema di decreto in esame sono stati allegati i modelli di “atto di nomina dell’addetto alla registrazione passeggeri designato” e “atto di nomina del raccomandatario marittimo/comandante della nave designato”, si rileva che gli stessi non forniscono elementi utili ad una più chiara individuazione dei ruoli.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto dirigenziale trasmesso dal Ministero delle infrastrutture e della mobilità sostenibili - Comando generale del Corpo delle capitanerie di porto, con la condizione di cui al punto 2.

Roma, 27 gennaio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9746924
Data
27/01/22

Argomenti

Trasporti

Tipologie

Parere del Garante

Vedi anche (10)