[doc. web n. 1741930]

Comunicazione di dati sui passeggeri che entrano in Italia da parte dei vettori aerei - 22 luglio 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere del Ministero dell´interno;

Visto l´art. 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196 e successive modificazioni);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

Il Ministero dell´interno ha richiesto il parere del Garante in ordine a uno schema di decreto interministeriale recante l´individuazione delle modalità tecniche e operative per la comunicazione, da parte del vettore aereo, delle informazioni relative alle persone trasportate che attraversano il valico di frontiera aerea esterna autorizzato per fare ingresso nel territorio dello Stato italiano.

Il provvedimento - adottato ai sensi dell´articolo 7 del decreto legislativo 2 agosto 2007, n. 144, di attuazione della direttiva 2004/82/CE del Consiglio del 29 aprile 2004, concernente l´obbligo dei vettori di comunicare i dati relativi alle persone trasportate - ai fini del trattamento delle informazioni oggetto di trasmissione fra i vettori aerei e i competenti uffici di polizia di frontiera, istituisce presso il Dipartimento della pubblica sicurezza del Ministero dell´interno il Sistema informativo frontaliero denominato Border Control System Italia (infra: BCS).

Il Sistema informativo BCS è costituito da due archivi informatizzati: uno contenente le liste dei passeggeri trasportati e i dati dei relativi voli, l´altro le segnalazioni su passeggeri, voli e tratte a rischio.

Il testo in esame recepisce gran parte delle osservazioni espresse dall´Ufficio del Garante nell´ambito di numerose riunioni tenutesi anche presso la stessa Autorità.

Tali osservazioni hanno riguardato in particolare l´esigenza di assicurare la piena conformità del provvedimento alla normativa comunitaria e primaria di riferimento (e, in particolare, all´articolo 3 del citato decreto legislativo n. 144 del 2007, che individua le informazioni oggetto di comunicazione e le modalità di trasmissione dei dati) e l´effettività del diritto alla protezione dei dati personali degli interessati, anche attraverso la previsione di idonee garanzie e adeguate misure di sicurezza nell´ambito del sistema di trasmissione delle informazioni oggetto dell´odierno decreto.

In questa prospettiva si è in particolare manifestata l´esigenza di subordinare l´accesso agli archivi automatizzati costituenti il predetto BCS a profili di autorizzazione differenziati e ad apposite procedure di autenticazione, limitando la consultazione da parte dei soggetti legittimati ai soli dati pertinenti e non eccedenti e prevedendo peraltro il tracciamento delle operazioni compiute sul BCS.

RILEVATO

Il testo si conforma pressoché integralmente alle osservazioni rese dall´Ufficio al fine di elevare lo standard di tutela del diritto alla protezione dei dati personali trattati nell´ambito del sistema informativo e delle operazioni di trasmissione disciplinati dall´odierno decreto.

Residuano solo alcuni aspetti, sui quali si forniscono di seguito indicazioni volte a perfezionare ulteriormente il testo.

1. L´articolo 1, nel sancire l´ambito di applicazione del decreto, introduce, al comma 2, talune definizioni già previste dall´articolo 2 del decreto legislativo n. 144 del 2007, delineando, per la maggior parte di esse, un contenuto precettivo non perfettamente coincidente con quello di cui al citato articolo 2. Al fine di evitare l´insorgere di possibili dubbi interpretativi, si invita l´Amministrazione a verificare l´effettiva necessità di mantenere tali definizioni oppure di conformarle, nel contenuto, a quelle previste dalla norma di rango primario.

2. L´articolo 4 disciplina le modalità operative necessarie alla richiesta e alla comunicazione delle informazioni relative alle persone trasportate che attraversano il valico di frontiera aerea autorizzato dello Stato italiano, che il vettore ha l´obbligo di raccogliere e trasmettere, ai sensi dell´articolo 3, commi 1 e 2 del decreto n. 144 del 2007. Tale essendo l´ambito oggettivo di applicazione della norma, la rubrica "Modalità operative per la comunicazione delle informazioni", appare in certa misura riduttiva. Se ne suggerisce pertanto la modificazione con la seguente: "Modalità operative per la richiesta e la comunicazione delle informazioni". Analogamente, al comma 5, le parole: "La comunicazione" dovrebbero essere sostituite dalle seguenti: "La richiesta e la comunicazione".

3. Il comma 1 dell´articolo 4, nel disciplinare i soggetti tenuti all´inoltro della richiesta di informazioni al vettore aereo, si riferisce all´ufficio incaricato dei "controlli di frontiera di polizia esterna aerea". Al fine di conformare la locuzione utilizzata alla definizione di "uffici incaricati" contenuta nell´articolo 2 del decreto legislativo n. 144 del 2007, è necessario sostituire le parole: "controlli di frontiera di polizia esterna aerea" con le seguenti: "controlli di polizia di frontiera esterna aerea".

4. Il comma 3 dell´articolo 4 disciplina il momento in cui deve essere effettuata, da parte dei vettori aerei, la comunicazione delle informazioni richieste, nonché il contenuto della comunicazione stessa. Tale essendo il contenuto precettivo della disposizione, appare opportuno sostituire le parole: "comunicazione dei vettori aerei" con le seguenti: "comunicazione delle informazioni da parte dei vettori aerei", idonee a meglio definire il contenuto e il soggetto tenuto alla comunicazione.

5. L´articolo 5, nel disciplinare le modalità di trasmissione delle informazioni, precisa al comma 1 che alle "comunicazioni delle informazioni" secondo le modalità di cui all´articolo 4, non deve seguire la trasmissione del documento in formato cartaceo. Al fine di chiarire meglio il disposto normativo, appare opportuno sostituire le parole: "Alle comunicazioni delle informazioni" con le seguenti: "Alla trasmissione delle informazioni".

6. L´articolo 7, nel disciplinare la sicurezza e la tracciabilità delle operazioni, al comma 3 subordina l´accesso ai servizi e ai dati forniti mediante le procedure informatiche disciplinate dal decreto stesso all´ "autenticazione dei soggetti richiedenti". Autenticazione che, per assolvere alle finalità che le sono proprie, deve essere evidentemente "individuale". Pertanto, appare opportuno sostituire le parole: "autenticazione dei soggetti" con le seguenti: "autenticazione individuale dei soggetti". Inoltre, al fine di assicurare un elevato standard di sicurezza dei dati si ritiene necessario aggiungere, alla fine del comma, le seguenti parole: "in grado di garantire un livello di sicurezza equivalente".

RITENUTO

7. Nel consueto spirito di collaborazione si invita a perfezionare il testo correggendo due errori materiali: a) al comma 4 dell´articolo 5, sostituendo le parole: "agli articoli 4 e 5" con le seguenti: "all´articolo 4 e al presente articolo"; b) al comma 1 dell´articolo 6, sostituendo le parole: "dal DigitPA" con le seguenti: "del DigitPA".

IL GARANTE

esprime parere favorevole sullo schema di decreto interministeriale recante l´individuazione delle modalità tecniche ed operative per la comunicazione, da parte del vettore aereo, delle informazioni relative alle persone trasportate che attraversano il valico di frontiera aerea esterna autorizzato per fare ingresso nel territorio dello Stato italiano, adottato ai sensi dell´articolo 7 del decreto legislativo 2 agosto 2007, n. 144, con le seguenti condizioni:

a) in relazione all´articolo 1, comma 2, verifichi l´Amministrazione l´effettiva necessità di mantenere le definizioni ivi previste oppure le conformi, nel contenuto, a quelle previste dalla norma di rango primario (punto 1);

b) l´articolo 4 sia modificato nei termini seguenti: sostituendo la rubrica con la seguente: "Modalità operative per la richiesta e la comunicazione delle informazioni" (punto 2); al comma 1 sostituendo le parole: "controlli di frontiera di polizia esterna aerea", con le seguenti: "controlli di polizia di frontiera esterna aerea" (punto 3); al comma 3, sostituendo le parole: "comunicazione dei vettori aerei", con le seguenti: "comunicazione delle informazioni da parte dei vettori aerei", (punto 4); al comma 5, sostituendo le parole: "La comunicazione delle informazioni" con le seguenti: "La richiesta e la comunicazione delle informazioni" (punto 2);

c) all´articolo 5, comma 1, le parole: "Alle comunicazioni delle informazioni" siano sostituite dalle seguenti: "Alla trasmissione delle informazioni" (punto 5);

d) all´articolo 7, comma 3, le parole: "autenticazione dei soggetti" siano sostituite dalle seguenti: "autenticazione individuale dei soggetti" e, alla fine del comma, siano aggiunte le seguenti parole: "in grado di garantire un livello di sicurezza equivalente" (punto 6).

e con i seguenti suggerimenti, a titolo di collaborazione:

e) si provveda a perfezionare il testo, all´articolo 5, comma 4, sostituendo le parole: "agli articoli 4 e 5", con le seguenti: "all´articolo 4 e al presente articolo" (punto 9); e all´articolo 6, comma 1, sostituendo le parole: "dal DigitPA" con le seguenti: "del DigitPA" (punto 7).

Roma, 22 luglio 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli