Il Parlamento europeo,

–  vista la dichiarazione della Commissione nel corso del dibattito del 21 ottobre 2008, a seguito dell’interrogazione orale B6-0476/08, sulla proposta di decisione quadro del Consiglio sull'uso dei dati del codice di prenotazione (Passenger Name Record, PNR) nelle attività di contrasto (COM/2007/654),

–  viste le attuali discussioni in seno al Consiglio a livello ministeriale e di gruppi di lavoro sulla summenzionata proposta,

–  visti i pareri resi dall’Agenzia per i diritti fondamentali, dal Garante europeo della protezione dei dati nonché dal Gruppo di lavoro ex articolo 29 e dal Gruppo "Polizia e giustizia,

–  viste le sue precedenti risoluzioni sull’accordo PNR UE-USA(1), sull’accordo PNR UE-Canada(2) e sull’accordo PNR UE-Australia(3),

A.  considerando che i principi di protezione dei dati cui le istituzioni dell’UE e gli Stati membri devono ottemperare sono delineati all'articolo 8 della Convenzione europea dei diritti umani, agli articoli 7 e 52 della Carta dei diritti fondamentali dell'Unione europea, all’articolo 286 del trattato CE, all’articolo 5 della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, e, a livello di diritto derivato, nella direttiva 95/46 e nella decisione quadro del Consiglio sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale (16069/2007 – 2005/0202(CNS)),

B.  considerando che ogni nuova legislazione europea dovrebbe ottemperare ai criteri di proporzionalità e sussidiarietà enunciati all’articolo 5 del trattato che istituisce la Comunità europea e nel suo protocollo n. 30,

   Aspetti procedurali

1.  riconosce la necessità di una cooperazione rafforzata a livello europeo e internazionale nella lotta contro il terrorismo e la criminalità organizzata, e riconosce che la raccolta e il trattamento di dati possono rappresentare uno strumento prezioso ai fini delle attività di contrasto;

2.  è del parere che le autorità di polizia debbano poter disporre di tutti gli strumenti necessari per espletare in modo adeguato le loro funzioni, ivi compreso l’accesso ai dati; sottolinea tuttavia che, dal momento che tali misure hanno un notevole impatto sulla sfera della vita privata dei cittadini europei, la loro giustificazione in termini di necessità, proporzionalità ed unità ai fini del raggiungimento dei loro obiettivi dichiarati deve essere motivata in maniera convincente, e sottolinea che occorre mettere in atto un'effettiva tutela della privacy e una protezione giuridica; ritiene che si tratti di un prerequisito per poter conferire la necessaria legittimità politica ad una misura che i cittadini possono percepire come un’intrusione indebita nella loro sfera privata;

3.  si rammarica del fatto che la formulazione e la motivazione della proposta della Commissione lascino spazio a numerose incertezze giuridiche in relazione alla compatibilità con la CEDU e con la Carta dei diritti fondamentali, nonché alla sua base giuridica, che ha sollevato interrogativi sul ruolo appropriato del Parlamento europeo nel processo legislativo; rileva che le stesse preoccupazioni concernenti la mancanza di certezza giuridica della proposta:

4.  ritiene che, in tali condizioni, il Parlamento europeo si possa riservare di esprimere un parere ufficiale conformemente alla procedura di consultazione, fintantoché le preoccupazioni sollevate nella presente risoluzione non siano state opportunamente affrontate e non sia pervenuto il numero minimo di informazioni necessarie;

5.  mantiene gravi riserve sulla necessità e sul valore aggiunto della proposta per l'istituzione di un sistema PNR dell’UE e le salvaguardie in esso contenute, nonostante le spiegazioni e i chiarimenti forniti fino ad ora dalla Commissione e dal Consiglio sia oralmente che per iscritto; osserva inoltre che molte delle questioni sollevate dal Parlamento europeo, dal Gruppo di lavoro ex Articolo 29, dal Gruppo di lavoro "Polizia e giustizia", dal Garante europeo della protezione dei dati nonché dall’Agenzia per i diritti fondamentali, non hanno ricevuto una risposta soddisfacente;

6.  condivide il parere dell’Agenzia per i diritti fondamentali, secondo cui il mero fatto che i dati commerciali siano raccolti da imprese private e che potrebbero risultare utili anche ai fini della sicurezza non costituisce un motivo sufficiente per utilizzarli qualora si possano ottenere risultati identici o migliori rafforzando l’assistenza giuridica reciproca tra le autorità di contrasto;

7.  invita il Consiglio, qualora intenda proseguire nell’esame del testo della Commissione, a tenere conto delle raccomandazioni formulate nella presente risoluzione e a motivare debitamente le condizioni di bisogno sociale imperativo che potrebbero rendere questo nuovo intervento dell’UE “necessario”, come sancito dall'articolo 8 della Convenzione europea dei diritti umani; ritiene che queste siano le condizioni minime per l’introduzione di un piano PNR dell’UE che possa essere sostenuto; si dichiara disposto a contribuire e a partecipare a tale lavoro a tutti i livelli;

8.  ribadisce le sue richieste di chiarimento della relazione tra l'utilizzo del PNR e di altre misure, quali la direttiva API (direttiva 2004/82/CE), il proposto sistema di entrata e uscita, il sistema elettronico di autorizzazione di viaggio, gli elementi biometrici di passaporti e visti, i sistemi SIS e VIS, il regolamento UE 2320/2002 e i sistemi nazionali di protezione delle frontiere; prende atto con rammarico che l'attuazione di alcune di queste misure ha subito notevoli ritardi e ritiene che la piena e sistematica valutazione degli attuali meccanismi e strumenti di cooperazione in materia di sicurezza nel quadro dell’UE e di Schengen, finalizzati a garantire la sicurezza aerea, a proteggere le frontiere esterne e a lottare contro il terrorismo, potrebbe contribuire alla valutazione del valore aggiunto della proposta relativa al PNR dell’UE; ;

9.  rammenta che il dibattito circa la base giuridica appropriata per la proposta è ancora aperto e ribadisce che, ai sensi dell'articolo 47 del trattato UE, le misure legislative nel quadro della cooperazione giudiziaria e di polizia dovrebbero essere accompagnate dalle necessarie misure comunitarie di accompagnamento, da adottare in codecisione con il Parlamento europeo su tutti gli aspetti del primo pilastro, in particolare quelli che definiscono la portata degli obblighi a carico degli operatori economici; (4)

10.  ricorda che la Corte di giustizia delle comunità europee di Lussemburgo ha già contestato l'accordo PNR UE-USA a motivo della base giuridica errata; invita pertanto la Commissione a scegliere con attenzione una base giuridica appropriata;

11.  ritiene che, al momento di presentare nuovi atti legislativi, i parlamenti nazionali debbano essere pienamente coinvolti nel processo legislativo, dato l'impatto della proposta sia sui cittadini che sull'ordinamento giuridico nazionale degli Stati membri;

12.  sottolinea che un’eventuale futura legislazione volta ad istituire un PNR dell’UE quale nuovo quadro per la cooperazione di polizia dell’UE, dovrebbe includere una clausola di revisione e disposizioni relative ad una valutazione periodica dell’attuazione, applicazione e utilità, e alle violazioni delle salvaguardie; ritiene che i parlamenti nazionali, il Garante europeo della protezione dei dati, il Gruppo di lavoro ex articolo 29 e l’Agenzia per i diritti fondamentali dovrebbero essere invitati ad assumere un ruolo sia nella revisione che nella valutazione; ritiene pertanto che la nuova legislazione dovrebbe includere una clausola di caducità;

13.  sottolinea a tale proposito che ciascuno Stato membro ha la responsabilità iniziale di raccogliere tali dati PNR e di garantirne la protezione; evidenzia che le salvaguardie sono obbligatorie dal momento che questi dati PNR vengono trasmessi, scambiati o trasferiti verso altri Stati membri; è quindi del parere che l'accesso ai dati PNR scambiati tra gli Stati membri debba essere rigorosamente riservato alle autorità preposte alla lotta contro il terrorismo e la criminalità organizzata, e che gli altri organi di polizia possano avervi accesso solamente previa autorizzazione da parte delle autorità giudiziarie;

   Sussidiaritetà

14.  rileva con preoccupazione che non è stata ancora sufficientemente dimostrata la necessità di un’azione comunitaria; in questo contesto, pone in discussione l’affermazione della Commissione secondo cui l’obiettivo dichiarato della proposta è l’armonizzazione dei regimi nazionali, quando soltanto un numero esiguo di Stati membri dispone di un sistema per l’utilizzo dei dati PNR nelle attività di contrasto e per altri fini o ha in progetto un tale sistema; ritiene pertanto che la proposta della Commissione non armonizzi i sistemi nazionali (in quanto sono inesistenti) bensì si limiti a creare l'obbligo per tutti gli Stati membri di istituire un sistema;

15.  rileva che la Commissione propone un sistema “decentrato”, il che significa che il valore aggiunto europeo è ancora meno chiaro;

   Proporzionalità

16.  ricorda che l’articolo 8 della Convenzione europea dei diritti umani e l’articolo 52 della Carta dei diritti fondamentali, richiedono che tale massiccia ingerenza nel diritto alla protezione dei dati personali sia legittimata e giustificata da una pressante necessità sociale, prevista dalla legge e proporzionata al fine perseguito, che, in una società democratica, deve essere necessario e reale; deplora, a tale proposito, la mancanza di una limitazione delle finalità di questa prevista misura di cooperazione di polizia a questioni quali l’antiterrorismo e la criminalità organizzata;

17.  esprime preoccupazione per il fatto che essenzialmente la proposta concede alle autorità di contrasto di accedere senza mandato a tutti i dati; rileva che la Commissione non dimostra né la necessità di nuovi poteri di contrasto né l’impossibilità di conseguire tale obiettivo con misure di portata molto inferiore; critica il fatto che non vi sia alcuna informazione su come i poteri di contrasto esistenti non siano all’altezza di quanto necessario, su dove e quando le autorità si sono rivelate palesemente carenti in quanto a competenze necessarie per l’obiettivo prefissato; chiede che venga effettuata una revisione delle misure esistenti menzionate in appresso prima di sviluppare ulteriormente un sistema PNR dell’UE;

18.  prende atto dell’affermazione della Commissione secondo cui “l'UE ha potuto valutare l'importanza dei dati PNR e rendersi conto del loro potenziale per le attività di contrasto”, ma sottolinea che non vi sono tuttora prove che la sostengano, dal momento che:

   Limitazione delle finalità

19.  sottolinea che il principio della limitazione delle finalità costituisce uno dei principi basilari della protezione dei dati; rileva in particolare che la convenzione 108 precisa che i dati personali sono “registrati per scopi determinati e legittimi ed impiegati in una maniera non incompatibile con detti fini" (articolo 5, lettera b)); segnala che le deroghe a tale principio sono consentite solo se sono previste dalla legge e costituiscono una misura necessaria in una società democratica, tra l'altro, ai fini della "repressione dei reati" (articolo 9); e che la giurisprudenza della Corte europea dei diritti dell'uomo ha chiarito che tali deroghe devono essere proporzionate, precise e prevedibili, ai sensi dell'articolo 8, paragrafo 2, della Convenzione europea dei diritti dell'uomo;

20.  deplora la mancanza di una precisa limitazione delle finalità, che rappresenta una garanzia essenziale nell’imposizione di misure restrittive, e ritiene che tale protezione sia ancor più importante per quanto riguarda le misure segrete di sorveglianza, a causa degli accresciuti rischi di arbitrarietà in tali circostanze; ritiene che, vista l’imprecisione e l’apertura all’interpretazione delle finalità dichiarate, queste ultime dovrebbero essere definite più rigorosamente onde evitare che il sistema PNR dell’UE venga impugnato;

21.  ribadisce che i dati PNR possono risultare molto utili come elementi di prova ausiliari e supplementari in un’indagine specifica su sospettati di terrorismo noti e sui loro associati; rileva tuttavia che non vi sono prove del fatto che i dati PNR siano utili ai fini di ricerche e analisi automatizzate su vasta scala sulla base di criteri o modelli di rischio (ad esempio elaborazione di profili o estrapolazione di dati) nella caccia a potenziali terroristi(5);

22.  sottolinea inoltre che le norme europee in materia di protezione dei dati impongono restrizioni per quanto riguarda l’elaborazione di profili sulla base di dati personali (articolo 8 della Carta europea dei diritti fondamentali e della Convenzione europea dei diritti umani); concorda con il parere dell’Agenzia per i diritti fondamentali che l’elaborazione di profili sulla base di dati PNR dovrebbe essere condotta solamente dai servizi segreti e basata su casi singoli e su parametri concreti;

23.  ribadisce le proprie preoccupazioni quanto alle misure che delineano un utilizzo indiscriminato dei dati PNR per l’elaborazione di profili e per la definizione di parametri di valutazione del rischio; rammenta che qualsiasi elaborazione di profili basata sull’origine etnica, la nazionalità, il credo religioso, l’orientamento sessuale, il sesso, l’età o le condizioni di salute dovrebbe essere esplicitamente vietata in quanto incompatibile con le disposizioni in materia di discriminazione contenute nei trattati dell'UE e nella Carta europea dei diritti fondamentali;

24.  rammenta che, in caso di eventuali estensioni del campo di applicazione della proposta, la Commissione e il Consiglio dovrebbero chiarire in dettaglio per ciascuna finalità dichiarata quale uso verrà fatto dei dati PNR e per quale motivo i poteri di contrasto esistenti non sono sufficienti; ritiene che per ogni specifica finalità debba essere stabilita la base giuridica adeguata;

   Protezione dei dati personali

25.  sottolinea che l’adozione di un quadro adeguato di protezione dei dati nel terzo pilastro costituisce una condizione preliminare imprescindibile per qualsiasi sistema PNR dell’UE, parimenti all’introduzione di norme specifiche per il trasferimento e l’utilizzo dei dati PNR che non rientrano nel quadro di protezione dei dati dell’UE nell’ambito del primo e del terzo pilastro; sottolinea la necessità di specificare quali norme di protezione dei dati si applichino alle Unità d'informazione sui passeggeri e di garantire la tracciabilità di qualsiasi accesso, trasferimento o utilizzo dei dati PNR;

26.  sottolinea che i dati di natura delicata possono essere utilizzati solamente caso per caso, nel contesto di indagini o azioni giudiziarie ordinarie, dopo essere stati ottenuti tramite un mandato; prende atto della preoccupazione espressa dalle compagnie aeree, secondo cui i dati di natura delicata non possono essere scorporati dalle osservazioni generali; chiede pertanto che vengano stabilite condizioni rigorose relative al trattamento di tali dati da parte delle Unità d'informazione sui passeggeri, come indicato nel parere dell’Agenzia per i diritti fondamentali;

   Dettagli di applicazione

27.  sottolinea che, per quanto riguarda i periodi di immagazzinamento dei dati, la Commissione non motiva il periodo di conservazione proposto; ritiene tuttavia che, ai fini dell’elaborazione di indicatori di rischio e dell’individuazione di modelli di spostamento e comportamento, dovrebbero essere sufficienti dati resi anonimi; è inoltre dell’avviso che, in caso di ampliamento del campo di applicazione del sistema PNR, i periodi di conservazione debbano essere giustificati per ogni singola finalità;

28.  ribadisce che per il trasferimento dei dati dovrebbe essere utilizzato unicamente il metodo “push”; e che i paesi terzi non dovranno avere accesso diretto ai dati PNR dei sistemi di prenotazione europei;

29.  accoglie con favore il fatto che, per quanto riguarda l’accesso ai dati PNR, la proposta preveda che tutte le entità aventi accesso ai dati PNR siano incluse in una lista esauriente;

30.  sottolinea che i trasferimenti successivi di dati verso paesi terzi sono autorizzati soltanto se le parti terze interessate garantiscono un livello adeguato di protezione (come specificato alla direttiva 95/46/CE e dagli strumenti giuridici che istituiscono Europol e Eurojust) o salvaguardie adeguate (ai sensi della convenzione 108), e sottolinea che i trasferimenti dovrebbero avvenire soltanto caso per caso;

31.  ribadisce che i passeggeri devono essere informati in modo esauriente ed accessibile sui dettagli del sistema e sui loro diritti, e che le autorità degli Stati membri hanno la responsabilità di fornire tali informazioni; propone di seguire l’esempio dell’informazione relativa al “negato imbarco” negli aeroporti; ritiene fondamentale stabilire un diritto di accesso, rettifica e appello dei passeggeri;

32.  chiede che vengano stabilite norme dettagliate e armonizzate sulla sicurezza dei dati PNR, sia in termini di soluzioni informatiche che di norme di autorizzazione e accesso;

   Conseguenze per i vettori

33.  rileva che i vettori aerei raccolgono dati PNR per scopi commerciali e che tali dati non vengono raccolti sistematicamente per completare tutti i campi del PNR; insiste sul fatto che le compagnie aeree non dovrebbero avere l’obbligo di raccogliere dati aggiuntivi rispetto a quelli che esse raccolgono a fini commerciali; ritiene che i vettori aerei non debbano essere ritenuti responsabili della verifica della completezza e accuratezza delle informazioni e che non vadano applicate sanzioni per dati incompleti e incorretti; chiede una chiara valutazione dei costi di un sistema PNR dell’UE; è del parere che eventuali costi aggiuntivi debbano essere sostenuti dalle parti richiedenti;

   Intermediari/Unità d'informazione sui passeggeri

34.  chiede che vengano chiaramente definiti il ruolo e le competenze delle Unità d'informazione sui passeggeri, in particolare in termini di trasparenza e di responsabilità democratica, al fine di stabilire delle norme appropriate in materia di protezione dei dati; chiede altresì che il ruolo delle Unità d’informazione sui passeggeri sia limitato alla trasmissione dei dati alle autorità competenti, onde garantire che le valutazioni del rischio possano essere effettuate esclusivamente da dette autorità e nell’ambito di un’indagine; chiede chiarimenti sulla legge che disciplinerà la valutazione del rischio condotta dall’Unità d'informazione sui passeggeri e sulla responsabilità delle autorità di protezione dei dati nei casi in cui gli Stati membri cooperino per istituire un'Unità d'informazione sui passeggeri comune;

35.  incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio, alla Commissione, ai governi e ai parlamenti degli Stati membri, al Garante europeo della protezione dei dati, all’Agenzia per i diritti fondamentali, al Gruppo di lavoro ex articolo 29 nonché al Gruppo di lavoro "Polizia e giustizia”.

(1) Accordo PNR UE-USA: GU L 204 del 4.8.2007, pag. 18. (2) Accordo PNR UE-Canada: GU L 82 del 21.3.2006, pag. 15. (3) Accordo PNR UE-Australia: GU L 213 dell’8.8.2008, pag. 49. (4) Si veda in particolare il parere in materia del Servizio giuridico del Consiglio e il parere dell’Avvocato generale reso il 14 ottobre 2008 sulla causa C-301/06 Irlanda/Parlamento europeo e Consiglio dell’Unione europea sulla direttiva sulla conservazione dei dati. (5) Relazione del CRS per il Congresso statunitense: "Data Mining and Homeland Security: An Overview", di Jeffrey Seifert; "Effective Counter-terrorism and the Limited Role of Predicative Data Mining", del CATO Institute; "Protecting Individual Privacy in the Struggle Against Terrorists: A Framework for Program Assessment"; "No dream ticket to security" di Frank Kuipers, Clingendael Institute, agosto 2008.