Normativa

Shape 5 Live Search

logo

La Direttiva 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, si occupa delle retenzione dei PNR. 

I dati del PNR (Passenger Name Record) sono riconosciuti tra le categorie più sensibili di informazioni personali. Si tratta dei dati compilati dalle agenzie di viaggi, dai vettori aerei e dai tour operator, e che contengono diverse informazioni, tra le quali anche le condizioni mediche e le disabilità, oltre alle preferenze sui pasti, ovviamente i mezzi di pagamento, l'indirizzo di lavoro, l'indirizzo IP se si prenota online e le informazioni personali dei contatti di emergenza. 

I dati che possono essere presenti in un PNR:
- numero del passaporto;
- paese di rilascio del passaporto;
- data di scadenza del passaporto;
- nome e cognome;
- genere;
- data e luogo di nascita;
- nazionalità;
- Passenger Name Record code locator;
- data di prenotazione del volo;
- altri nomi sul Passenger Name Record (PNR);
- indirizzo;
- modalità di pagamento;
- indirizzo di fatturazione;
- numero di telefono;
- itinerario completo;
- informazioni frequent flyer;
- agenzia di viaggi;
- agente di viaggio;
- condivisione codice PNR;
- status di viaggio del passeggero;
- indirizzo email;
- numero del biglietto;
- numero di posto;
- data di emissione del biglietto;
- bagaglio;
- richieste di servizio particolari, quali le preferenze dei pasti;
- cronistoria delle modifiche del PNR;
- numero di viaggiatori nel PNR;
- biglietti di sola andata.

pnr data

I dati PNR oggi vengono utilizzati non solo per i viaggi aerei, ma anche per prenotare hotel e autoveicoli. 

I PNR sono schede di registrazione (record) dei dati del passeggero, memorizzate all'interno dei Computerized Reservation Systems (CRS), realizzati appositamente per scambiare informazioni tra i vettori nel caso in cui i passeggeri debbano prendere più voli di diverse compagnie. I principali CRS hanno sede negli USA (Sabre, Galileo e Worldspan), mentre uno in Europa (Amadeus). Ciò fa sì che i dati degli europei passano generalmente per le aziende statunitensi, e quindi le autorità americane vi possono accedere. 

La direttiva PNR richiede ai vettori aerei di raccogliere sistematicamente i dati PNR e conservarli. I vettori dovranno inviare i dati PNR ad una Passenger Unit Information (PIU o UIP Unità informazioni sui passeggeri) dello Stato membro in cui il volo internazionale parte o arriva (quindi solo i voli da e per il territorio dell'UE, non quelli intra-UE), il quale PIU è incaricato della memorizzazione, analisi e fornitura dei dati alle autorità competenti. Gli Stati membri, però, possono chiedere i dati PNR anche alla PIU di altro Stato, a sostegno di una specifica indagine. L'UIP italiano è collocato presso il Ministero degli Interi. 

I dati forniti alle autorità vengono utilizzati, tramite analisi algoritmica, al fine di scovare criminali e terroristi sconosciuti alle forze dell'ordine. I dati sono conservati per un periodo di 5 anni, dopo il quale vengono cancellati, a meno che non sia in corso un'investigazione o un processo. I dati possono essere utilizzati a fini di prevenzione del terrorismo e dei reati gravi, tra i quali la tratta degli schiavi e la pedopornografia, traffico d'armi, munizioni ed esplosivi.

L'obbligo di raccolta dei dati riguarda solo i voli extra-UE. Inoltre è previsto un periodo di 6 mesi oltre il quale i dati sono mascherati (depersonalizzazione), in modo da realizzare una sorta di mascheratura. Le autorità, però, possono sempre chiedere ed ottenere il vero nome tramite un ordine di un magistrato, da cui si evince che i dati in realtà non sono anonimizzati. 

 

Critiche alla direttiva

La raccolta e l'analisi dei dati riguarda tutti i passeggeri, indipendentemente dal fatto che essi siano già indagati oppure sospettati di qualche cosa. In questa prospettiva la direttiva è stata criticata perché porterebbe la "sorveglianza" dei cittadini ad un livello mai visto. Infatti la prima proposta della direttiva fu bocciata nel 2013, in quanto non rispettava i requisiti di proporzionalità e necessità. La seconda proposta, invece, è stata approvata sull'onda degli attentati in Europa nel 2015. 

In particolare si evidenzia che la Direttiva PNR consiste in una forma di sorveglianza non mirata, ma generalizzata, che punta a "scovare" terroristi e criminali sulla base di una analisi algoritmica. Ma l'analisi algoritmica in realtà non sarebbe altro che l'etichettatura di un "criminale" sulla base di dati statistici, cioé in base ai dati relativi ai comportamenti passati di criminali individua nuovi probabili terroristi se i loro comportamenti si avvicinano al medesimo "modello" estratto dai dati. In tal senso può accadere che l'algoritmo etichetti come terrorista chi non lo è o non lo sarà. 

Infatti, la Corte di Giustizia europea, evidenziando che il trasferimento di dati sensibili (razza, etnia, opinioni politiche, religiose, salute, sesso, ecc) al Canada non appare giustificato sufficientemente, e che non risultano criteri adeguati per regolamentare l’uso dei dati nel territorio canadese, e quindi evitare possibili abusi, ha bloccato l'accordo PNR col Canada.