La Corte Ue chiede più privacy per i passeggeri degli aerei

La direttiva europea Pnr, che impone alle compagnie di trasmettere i nomi dei viaggiatori alle autorità nazionali, va utilizzata diversamente

 

Se in questa estate di voli cancellati, sapere dove vanno a finire i dati dei nostri biglietti potrebbe essere l’ultimo dei nostri problemi, è bene comunque sapere qual è lo stato delle cose in Europa.

Per combattere il terrorismo, dal 2016, la direttiva europea Pnr (Passenger name record) impone alle compagnie aeree di trasmettere alle autorità nazionali i dati di prenotazione dei passeggeri che entrano ed escono dai confini dell’Unione europea.

La norma, in aggiunta, prevede che gli Stati membri possano estendere tale possibilità anche ai voli interni all’Unione.

Nel 2017 l’ong belga Ligue des droits humains (Ldh) ha denunciato l’illegittimità di tale previsione alla Corte costituzionale che ha rimandato la questione alla Corte di Giustizia europea.

Secondo Ldh, infatti, la direttiva Pnr consente un uso troppo ampio di quei dati, non rispettando la privacy dei passeggeri, mentre la possibilità di estendere tale trasmissione anche ai voli interni costituirebbe un ostacolo alla libera circolazione delle persone, re-introducendo una sorta di controllo alle frontiere.

 

La decisione della Corte

Il 21 giugno la Corte di Giustizia europea si è pronunciata sulla richiesta belga negando la contrarietà della direttiva alla Carta dei diritti fondamentali dell’Unione europea, ma ponendo alcuni importanti paletti.

La Corte ha ricordato che ogni norma europea deve essere letta alla luce della Carta. Pertanto, anche quanto permesso dalla direttiva Pnr non può essere portato a conseguenze tali da mettere a rischio i diritti fondamentali, inclusa la protezione dei dati personali.

Nel caso concreto, la violazione dei dati personali e della privacy dei passeggeri può essere giustifcata dalla direttiva solo se opportunamente bilanciata dalla necessità di tutelare un altro interesse pubblico come quello alla sicurezza, ma non deve sfociare nella sorveglianza di massa indiscriminata.

In tal senso la minaccia alla sicurezza dovrà essere pertanto seria e proporzionata alla compressione di tali diritti e deve riguardare solamente i crimini di terrorismo o di pari livello, e non qualsiasi crimine, con cui esista un collegamento che giustifichi il trattamento e la conservazione di quei dati.

La Corte è dunque ferma nello stabilire che, anche se possibile, gli Stati potranno chiedere i dati dei passeggeri per i voli intra-Ue solo se esiste una concreta, futura o imminente, possibilità di un attacco terroristico e solo per il tempo ritenuto strettamente necessario. Tale lasso temporale dovrà essere poi valutato da un soggetto terzo e indipendente come un tribunale o un’Autorità amministrativa. In assenza di una minaccia, invece, il monitoraggio dei voli interni potrà essere fatto solo su determinate tratte e aeroporti considerati a rischio e anche in questo caso tale scelta dovrà essere rivalutata periodicamente.

 

Niente intelligenza artificiale senza controllo umano

Per quanto riguarda invece l’uso di questi dati, essi potranno essere confrontati solo con un database di persone sospette e solo nella ricerca di un possibile terrorista che si sospetta possa aver viaggiato in aereo.

In tale ricerca non potranno usarsi sistemi di intelligenza artificiale e machine learning senza supervisione umana e che non tengano conto di tutti gli elementi, sia quelli a carico che a discarico del sospetto.

Gli Stati dovranno formire alle forze dell’ordine linee guida chiare su come usare questi software e verificare che non ci siano errori nella valutazione o che i risultati non siano frutto di discriminazione, come già denunciato dal New York Times più di una volta nei casi di ricorso al riconoscimento facciale da parte delle forze dell’ordine.

Al passeggero fermato in base all’uso di queste tecnologie dovrà essere spiegato in modo chiaro per quale motivo è stato fermato, in modo che possa decidere se esercitare i propri diritti o meno.

L’uso e la trasmissione di questi dati dopo la partenza o l’arrivo del passeggero sarà consentito solo in presenza di nuovi indizi e prove che possano condurre a un ragionevole sospetto che il passeggero sia collegato ad attività terroristiche. Salvo casi di urgenza, tale possibilità dovrà comunque essere soggetta ad una richiesta motivata all’autorità competente.

Cancellare i dati dopo sei mesi

La Corte si è pronunciata su un punto che per anni è stato molto discusso, la conservazione di quei dati per 5 anni. Per la Corte, infatti, tale arco temporale non è giustificato se applicato indiscriminatamente a tutti i passeggeri.

Il tempo massimo di conservazione deve dunque essere di sei mesi per quei passeggeri per cui non è stato riscontrato alcun nesso con possibili attività terroristiche.

Da ultimo, la Corte ha stabilito che i dati ottenuti nell’ambito di applicazione della direttiva Pnr non possono essere usati per migliorare il controllo alle frontiere o per contrastare l’immigrazione illegale.

Questa sentenza della Corte dimostra ancora una volta come la scelta tra privacy e sicurezza sia falsata in quanto, con le dovute accortezze e salvaguardie, si possono garantire entrambi.

Condividi