La normativa USA impone alle compagnie aeree che effettuano voli provenienti da, in transito o diretti negli Stati Uniti di fornire al Dipartimento statunitense per la sicurezza interna (Department of Homeland Security, DHS) certi dati sui passeggeri al fine di rendere più sicuri i viaggi e garantire la sicurezza del paese. Esistono due categorie di dati:

• i codici di prenotazione (PNR) che contengono una serie di informazioni fornite durante la prenotazione o in possesso delle compagnie aeree o degli agenti di viaggio, come il nome del passeggero, il recapito, informazioni sull'itinerario del viaggio (data del viaggio, provenienza e destinazione, numero del posto occupato, numero dei bagagli) nonché particolari sulla prenotazione (agenzia di viaggio e sistema di pagamento) o altre informazioni (partecipazione ad un programma "frequent flier", per esempio);
  
• le informazioni anticipate sui passeggeri (API) che comprendono soprattutto informazioni che figurano sul passaporto del passeggero e sono spesso raccolte al check-in. Questi dati sono forniti prima dell'arrivo alle autorità di controllo delle frontiere e possono essere utilizzati anche per controllare se i passeggeri figurino negli elenchi delle persona segnalate per motivi di sicurezza. Le seguenti domande ricorrenti riguardano soprattutto i dati PNR disciplinati dall'accordo internazionale del 16 ottobre 2006 tra l'Unione Europea e gli Stati Uniti. L'Unione europea si assicurerà che i vettori aerei rispettino tali obblighi. [Nome della compagnia aerea] deve attenersi a tali disposizioni.

Per una spiegazione più esauriente sul trattamento dei dati PNR raccolti dal DHS in relazione ai voli effettuati tra l'Unione europea (UE) e gli Stati Uniti si rinvia agli Impegni del Dipartimento per la sicurezza interna, Ufficio doganale e di protezione dei confini ("Impegni PNR") pubblicati nel Registro federale USA, Volume 64, N. 131, pag. 41543, ma anche in allegato alla decisione 2004/535 /CE della Commissione, consultabile cliccando qui.

L'obiettivo precipuo di raccogliere i dati PNR prima del volo tra l'UE e gli USA è contribuire alla sicurezza del viaggio e tutelare la sicurezza degli USA. Il DHS usa i dati PNR relativi a voli tra gli UE e gli USA per prevenire e combattere:

• il terrorismo e i reati collegati al terrorismo;
• altri reati gravi, compresa la criminalità organizzata, che, per natura, rivestono un carattere transnazionale;
• la fuga in caso di mandato d'arresto emesso o di pena detentiva comminata per quei reati.

Il DHS può ottenere molte delle informazioni contenute nei dati PNR esaminando il biglietto aereo e altri documenti di viaggio dei passeggeri nell'ambito delle normali funzioni di controllo alle frontiere. L'abilitazione a ricevere tali dati per via elettronica prima dell'arrivo dei passeggeri negli USA o prima della loro partenza dagli USA aumenta notevolmente la capacità del DHS di effettuare una valutazione anticipata efficiente ed efficace dei rischi presentati dai passeggeri.

In virtù della legge [titolo 49, sezione 44909(c)(3), dell'USC – United States Code – Codice degli Stati Uniti] e dei regolamenti di attuazione (provvisori) (titolo 19, sezione 122.49b, del codice dei regolamenti federali), ciascun vettore aereo che assicura il trasporto aereo internazionale di passeggeri da e per gli Stati Uniti deve fornire al DHS un accesso elettronico ai dati del PNR raccolti e conservati nei sistemi automatici di prenotazione/controllo delle partenze dei vettori aerei.

Il DHS si è impegnato ad usare questi dati nel rispetto di alcune condizioni che si riferiscono

• alle finalità del trattamento,
• ai dati usati;
• al metodo di accesso ai dati;
• al periodo massimo di conservazione dei dati;
• alle misure di sicurezza applicate;
• alla comunicazione dei dati alle altre parti;
• alle modalità di accesso ai propri dati e ai mezzi di ricorso.

Sulla base degli Impegni sottoscritti dal DHS, il 16 ottobre 2006 l'Unione europea e gli Stati Uniti hanno concluso un accordo internazionale e l'Unione europea si accerterà che i vettori aerei trasmettano i dati PNR al DHS. Le autorità competenti degli Stati membri dell'UE, in particolare le autorità per la protezione dei dati, potranno esercitare i poteri di cui dispongono per sospendere la trasmissione dei dati a tutela dei passeggeri per quanto concerne il trattamento dei loro dati personali qualora il DHS violi le norme di protezione applicabili, quali prescritte negli Impegni.

Nei dati PNR trasferiti al DHS dai sistemi di prenotazione/controllo delle partenze dei vettori aerei nell'UE possono essere inclusi alcuni dati PNR considerati "sensibili". Possono essere per esempio comunicati dati sull'origine razziale o etnica del passeggero, sulle sue opinioni politiche, la religione, lo stato di salute o i suoi orientamenti sessuali. Il DHS si è impegnato a non usare i dati "sensibili" che riceve dai sistemi di prenotazione o di controllo delle partenze dei vettori aerei nell'UE. Il DHS ha installato un programma automatico di filtro in modo che non siano usati i dati PNR "sensibili".

I dati PNR ricevuti in relazione a voli effettuati tra l'UE e gli USA possono essere scambiati con altre autorità governative nazionali o straniere incaricate di far rispettare la legge o della lotta contro il terrorismo, in casi specifici e con specifiche garanzie in materia di protezione dei dati, a fini di prevenzione e lotta contro il terrorismo e i reati collegati al terrorismo, altri reati gravi, compresa la criminalità organizzata, che, per natura, rivestono un carattere transnazionale, e la fuga in caso di mandato d'arresto emesso o di pena detentiva comminata per quei reati. I dati PNR possono essere trasmessi anche ad altre autorità governative pertinenti ove necessario per tutelare gli interessi vitali del passeggero o di altre persone, in particolare per quanto concerne rischi sanitari significativi, o secondo quanto altrimenti prescritto dalla legge.

Il DHS conserva i dati PNR relativi a voli effettuati tra l'UE e gli USA per un periodo di tre anni e sei mesi, salvo per i dati consultati manualmente. In tal caso li conserva infatti per altri otto anni. Inoltre, le informazioni correlate a un'indagine specifica sono conservate fino a quando l'indagine è archiviata.

Il DHS conserverà i dati PNR relativi ai voli effettuati tra l'UE e gli USA nella massima sicurezza e riservatezza. Rigorose misure di controllo, comprendenti opportuni controlli di sicurezza dei dati e di accesso, assicureranno che i dati PNR non siano usati o consultati indebitamente.

Il Garante della privacy presso il DHS (Chief Privacy Officer) è tenuto per legge ad assicurare che tutti gli uffici del dipartimento trattino le informazioni personali in modo conforme alla normativa pertinente. Egli non dipende dalle direzioni del dipartimento e le sue conclusioni sono vincolanti per lo stesso DHS. È suo compito sopraintendere al programma affinché il DHS vi si attenga scrupolosamente, e verificare che siano poste in atto adeguate misure di controllo.

Qualunque passeggero può chiedere maggiori informazioni sui tipi di dati PNR trasmessi al DHS e copia dei propri dati PNR contenuti nelle basi di dati del DHS. Conformemente a quanto consentito dalla legge sulla libertà di informazione (Freedom of Information Act) e da altri strumenti, regolamenti e prassi degli USA, il DHS prende in considerazione la richiesta di documenti, compresi i dati PNR in suo possesso, di un passeggero a prescindere dalla sua nazionalità o dal suo paese di residenza. In determinate circostanze, il DHS può negare o rinviare la comunicazione, in toto o in parte, di dati PNR (ad esempio, se ci si può ragionevolmente aspettare che ciò interferisca con un'indagine in corso o rischi di rivelare le tecniche e le procedure usate nel corso di operazioni investigative). Qualora il DHS neghi l'accesso a dati PNR sulla base di una deroga concessa dalla legge sulla libertà di informazione, avverso tale decisione è possibile presentare ricorso amministrativo al Garante della privacy presso il DHS, che è responsabile sia della tutela della privacy che della politica di comunicazione del dipartimento. In forza del diritto statunitense, la decisione finale di un'amministrazione può essere impugnata giuridicamente.

Sì. I passeggeri possono chiedere di rettificare i loro dati PNR contenuti nella base di dati del DHS rivolgendosi agli uffici indicati al successivo punto 12. Il DHS apporterà le modifiche di cui accerti la fondatezza e che siano adeguatamente comprovate.

Informazioni generali sui dati PNR o richieste di informazioni sui miei dati PNR Chi desideri informarsi sui dati PNR trasmessi al DHS o avere accesso ai suoi dati PNR in possesso del DHS, può scrivere a: Freedom of Information Act (FOIA) Request, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C. 20229. Per ulteriori informazioni sulle procedure per introdurre tale richiesta, si rinvia al titolo 19 della sezione 103.5 del Code of Federal Regulations (www.dhs.gov/foia). Domande, ricorsi e richieste di rettifica Chi desideri segnalare un problema, presentare ricorso o chiedere la rettifica di dati PNR può inviare la richiesta a: Assistant Commissioner, DHS Office of Field Operations, US Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C. 20229. Le decisioni del DHS possono essere riesaminate dal Garante della privacy (Chief Privacy Officer of the Department of Homeland Security, Washington, DC 20528). Il passeggero può presentare una richiesta di informazioni, un ricorso o una domanda di rettifica di dati PNR anche all'autorità garante della protezione dei dati del suo Stato membro. 12. A chi posso rivolgermi se il mio ricorso è respinto? Se il DHS non può pronunciarsi, il ricorso può essere indirizzato, per iscritto, al Chief Privacy Officer, Department of Homeland Security, Washington, DC 20528. Questi riesamina la situazione e si adopera per risolvere la controversia. È possibile presentare ricorso alle autorità garanti della protezione dei dati del proprio paese. Per gli indirizzi, cliccare qui. Il Chief Privacy Officer si è impegnato a trattare i ricorsi ricevuti dalle autorità garanti della protezione dei dati degli Stati membri dell'Unione europea per conto di un residente nell'UE, nella misura in cui l'interessato abbia autorizzato dette autorità ad agire a suo nome