Sorveglianza sui viaggi aerei, la Corte Ue chiede di limitare il controllo dei dati dei passeggeri allo ‘stretto necessario’

La Corte Ue ha chiesto di limitare allo 'stretto necessario' il controllo dei dati dei passeggeri per i voli intra-Ue. [Billion Photos/Shutterstock]

La Corte di giustizia europea ha determinato martedì 21 giugno che la direttiva Ue sui dati del codice di prenotazione (Passenger Name Record, Pnr) dovrà essere rivista per rispettare i diritti fondamentali.

I dati del codice di prenotazione (Pnr) sono le informazioni personali fornite dai passeggeri nel momento in cui prenotano un biglietto e sono conservate dalle compagnie aeree. Includono solitamente nome e cognome del passeggero, data del viaggio, itinerario, posto assegnato, bagaglio, dati di contatto e modalità di pagamento.

Adottata nel 2016, la direttiva Pnr determina il trasferimento di questi dati da parte delle compagnie alle autorità nazionali degli Stati membri per tutte le persone che entrano ed escono dall’Ue, allo scopo di prevenire, scoprire e investigare attività terroristiche e crimini gravi.

La direttiva permette di estendere le stesse procedure di controllo anche ai voli provenienti da altri Paesi dell’Ue, purché venga informata la Commissione europea. Tutti gli Stati membri eccetto Austria e Irlanda hanno notificato l’esecutivo della loro intenzione di applicare questa estensione.

In Belgio, la trasposizione della direttiva è stata contestata dalla Lega dei diritti umani, che ne ha chiesto l’annullamento di fronte alla Corte costituzionale belga nel luglio 2017. La Ong ha criticato la legislazione perché avrebbe introdotto “sorveglianza generalizzata che infrange i diritti fondamentali alla privacy e protezione dei dati”.

Inoltre, la Ong ha contestato il fatto che la direttiva andasse contro la libera circolazione delle persone, uno dei principi cardine dell’Ue, sostenendo che la raccolta e l’elaborazione di dati personali per i voli intra-Ue fosse equivalente a una reintroduzione dei controlli alle frontiere.

In dubbio su come interpretare l’attuazione della legislazione dell’Ue con alcuni principi chiave del diritto europeo, il tribunale belga ha deferito il caso alla Corte di giustizia dell’Ue, portando alla sentenza storica.

Germania: prosegue il ritardo nell'attuazione delle normative Ue sulla protezione dei dati

In un rapporto presentato al Bundestag martedì (5 aprile), il commissario tedesco per la protezione dei dati ha criticato il paese per il ritardo nell’attuazione della direttiva europea sulla protezione dei dati, in particolare nel campo della giustizia e degli …

Limitarsi allo ‘stretto necessario’

Nella sua sentenza, la Corte Ue non ha rigettato l’intera legislazione come avrebbe voluto la Ong, ma ha riconosciuto che la direttiva interferisce seriamente con il diritto alla privacy e protezione dei dati, in quanto introduce un meccanismo di sorveglianza continuo, non mirato e sistemico.

Perciò, i giudici hanno chiarito che, nei limiti del possibile, la legge Ue deve essere interpretata in modo da non pregiudicare la validità della legislazione primaria, in questo caso la Carta dei diritti fondamentali dell’Unione europea.

In altre parole, la Corte ha interpretato in modo restrittivo il potere conferito dalla direttiva alle autorità pubbliche, imponendo che queste pratiche di trattamento e conservazione dei dati siano limitate a quanto strettamente necessario per combattere il terrorismo e i reati gravi.

“Sebbene la Corte si sia astenuta dall’invalidare completamente la direttiva, ha imposto numerose condizioni e restrizioni dettagliate ed esigenti sull’uso dei dati Pnr e soprattutto sull’estrazione dei dati per creare profili”, ha dichiarato Douwe Korff, professore emerito di diritto internazionale presso la London Metropolitan University.

Korff ha interpretato la sentenza con implicazioni più ampie per la futura legislazione dell’Ue, sottolineando che “piuttosto che espandere la raccolta e l’estrazione generalizzata dei dati e la creazione di profili, come l’Ue vuole fare attraverso Europol, queste misure invasive dovrebbero essere abbandonate”.

In pratica, la sentenza rileva che le informazioni che le autorità pubbliche possono utilizzare sono circoscritte a quelle non esplicitamente contemplate dalla direttiva e che lo screening dei dati dei passeggeri può avvenire solo se esiste un legame oggettivo tra un’attività terroristica o un reato grave e un passeggero dell’aereo.

Allo stesso modo, l’estensione dello screening ai voli intra-Ue deve essere limitata a una minaccia terroristica presente o prevedibile, una decisione che deve essere rivista da un tribunale o da un organo amministrativo nazionale indipendente.

In assenza di una minaccia immediata, lo Stato membro può monitorare solo determinate rotte, modelli di viaggio o aeroporti, purché ciò sia adeguatamente giustificato.

Controllo umano e conservazione dei dati

In modo analogo, la sentenza stabilisce che i sistemi automatizzati utilizzati per identificare le persone sospette devono basarsi su criteri oggettivi e non discriminatori. Un controllo umano dovrà poi verificare le persone segnalate rispetto all’elenco delle persone ricercate o sotto allerta.

La decisione ha anche sottolineato che i sistemi automatizzati non possono utilizzare tecniche di apprendimento automatico, perché “data l’opacità che caratterizza il modo in cui funziona la tecnologia dell’intelligenza artificiale, potrebbe essere impossibile capire il motivo per cui un dato programma è arrivato a un riscontro positivo”.

“In questi mesi in cui le istituzioni europee stanno lavorando sull’AI Act, la Corte ha sottolineato l’importanza di non utilizzare sistemi di apprendimento automatico che possano modificare i metodi di verifica dei potenziali sospetti senza la supervisione umana. La Corte intende scongiurare anche il rischio di una sorveglianza di massa automatizzata”, ha dichiarato Vincenzo Tiani, partner dello studio legale Panetta.

Inoltre, il tribunale dell’Ue ha stabilito che i dati dei passeggeri così raccolti non possono essere utilizzati per scopi diversi da quelli stabiliti dalla direttiva e che i dati dei passeggeri che non hanno suscitato alcun allarme devono essere cancellati dopo sei mesi.

“Tutti gli Stati dell’Ue dovranno ora limitare l’uso dei dati Pnr a causa della loro intrusività. Devono applicare rapidamente questa sentenza e porre fine alla vergognosa prassi di ignorare le decisioni della Corte, in particolare in materia di conservazione dei dati”, ha dichiarato Estelle Massé, responsabile legislativo per l’Europa di Access Now.