Ministero della Giustizia

XVIII LEG - Schema di D.Lgs. - Attuazione della direttiva (UE) 2016/681, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale

aggiornamento: 15 ottobre 2018

Esame definitivo - Consiglio dei ministri 16 maggio 2018

Esame preliminare - Consiglio dei ministri 8 febbraio 2018

Schema di decreto legislativo recante: "Attuazione della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, e disciplina dell’obbligo per i vettori di comunicare i dati relativi alle persone trasportate in attuazione della direttiva 2004/82/CE del Consiglio del 29 aprile 2004"

Relazione illustrativa
 

Indice

CAPO I - Disposizioni generali

Art. 1- Oggetto e ambito di applicazione
Art. 2- Definizioni

CAPO II - Finalità del trattamento dei dati e organizzazione del Sistema Informativo

Art. 3 - Finalità dei trattamenti
Art. 4 - Sistema Informativo
Art. 5 - Modalità di trasferimento dei dati PNR al Sistema Informativo
Art. 6 - Unità d’informazione sui passeggeri (UIP) nazionale
Art. 7 - Uffici incaricati dei controlli di polizia di frontiera
Art. 8 - Trattamento dei dati PNR
Art. 9 - Trattamento dei dati API
Art. 10 - Periodo di conservazione dei dati PNR e pseudonimizzazione
Art. 11 - Conservazione dei dati API

CAPO III - Trasferimento e scambio dei dati PNR e dei risultati del loro trattamento

Art. 12-Trasferimento dei dati PNR alle autorità competenti nazionali
Art. 13 - Trasferimento dei dati PNR alle UIP degli Stati membri
Art. 14 - Trasferimento dei dati PNR alle autorità competenti degli Stati membri
Art. 15 - Trasferimento dei dati PNR da parte di Stati membri
Art. 16 - Richiesta dei dati PNR da parte delle autorità competenti nazionali
Art. 17 - Modalità di scambio delle informazioni
Art. 18 - Trasferimento dei dati PNR a Europol
Art. 19 - Trasferimento dei dati PNR  a paesi terzi

CAPO IV - Disposizioni in materia di protezione dei dati personali

Art. 20 - Autorità nazionale di controllo
Art. 21 - Responsabile della protezione dei dati
Art. 22 - Protezione dei dati personali
Art. 23 - Diritti dell’interessato

CAPO V - Disposizioni sanzionatorie e finali

Art. 24 - Sanzioni
Art. 25 - Statistiche
Art. 26 - Disposizioni transitorie e finali
Art. 27 - Clausola di neutralità finanziaria

 

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;

Vista la direttiva (UE) n. 2016/681/UE del Parlamento europeo e del Consiglio del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi;

Vista la decisione di esecuzione (UE) 2017/759 della Commissione del 28 aprile 2017, sui protocolli comuni e i formati dei dati che i vettori aerei devono utilizzare per trasferire i dati PNR alle Unità di informazione sui passeggeri;

Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

Visto il decreto legislativo recante attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle Autorità competenti ai fini della prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;

Visto il decreto legislativo 2 agosto 2007, n. 144, recante attuazione della direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l'obbligo dei vettori aerei di comunicare i dati relativi alle persone trasportate;

Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016 e 2017;

Visto il regio decreto 30 marzo 1942, n. 327, recante approvazione del testo definitivo del Codice della navigazione, e successive modificazioni;

Vista la legge 1 aprile 1981, n. 121, recante il nuovo ordinamento dell’Amministrazione della pubblica sicurezza;

Vista la legge 24 novembre 1981, n. 689, recante modifiche al sistema penale;

Vista la legge 30 settembre 1993, n. 388, recante «Ratifica ed esecuzione: a) del protocollo di adesione del Governo della Repubblica italiana all'accordo di Schengen del 14 giugno 1985 tra i Governi degli Stati dell'Unione economica del Benelux, della Repubblica federale di Germania e della Repubblica francese relativo all'eliminazione graduale dei controlli alle frontiere comuni, con due dichiarazioni comuni; b) dell'accordo di adesione della Repubblica italiana alla convenzione del 19 giugno 1990 di applicazione del summenzionato accordo di Schengen, con allegate due dichiarazioni unilaterali dell'Italia e della Francia, nonché la convenzione, il relativo atto finale, con annessi l'atto finale, il processo verbale e la dichiarazione comune dei Ministri e Segretari di Stato firmati in occasione della firma della citata convenzione del 1990, e la dichiarazione comune relativa agli articoli 2 e 3 dell'accordo di adesione summenzionato; c) dell'accordo tra il Governo della Repubblica italiana ed il Governo della Repubblica francese relativo agli articoli 2 e 3 dell'accordo di cui alla lettera b); tutti atti firmati a Parigi il 27 novembre 1990»;

Visto il decreto legislativo 25 luglio 1997, n. 250, istitutivo dell'Ente nazionale per l'aviazione civile (ENAC);

Visto il decreto legislativo 25 luglio 1998, n. 286, recante il Testo unico delle disposizioni concernenti la disciplina dell'immigrazione e norme sulla condizione dello straniero;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, e successive modificazioni;

Visto il decreto-legge 8 settembre 2004, n. 237, convertito, con modificazioni, dalla legge 9 novembre 2004, n. 265, recante interventi urgenti nel settore dell'aviazione civile;

Vista la legge 3 agosto 2007, n. 124, concernente il sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto;

Visto il decreto legislativo 6 settembre 2011, n. 159, recante il Codice delle leggi antimafia e delle misure di prevenzione;

Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione dell’8 febbraio 2018 ;

Acquisito il parere del Garante per la protezione dei dati personali, espresso nella riunione del 22 febbraio 2018;

Acquisiti i pareri delle competenti Commissioni della Camera dei Deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 16 maggio 2018;

Sulla proposta del Presidente del Consiglio dei Ministri e dei Ministri dell’interno e della giustizia, di concerto con i Ministri della difesa, dell’economia e delle finanze e degli affari esteri e della cooperazione internazionale;

E M A N A
il seguente decreto legislativo

CAPO I
Disposizioni generali

Art. 1
(Oggetto e ambito di applicazione)

1. Il presente decreto, in attuazione della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, disciplina:
   a) il trasferimento a cura dei vettori aerei dei dati del codice di prenotazione dei passeggeri (PNR) dei voli extra-UE e dei voli intra-UE;
   b) le modalità del trattamento dei dati di cui alla lettera a), comprese le operazioni di raccolta, uso, conservazione e scambio con gli Stati membri.
2. Il presente decreto disciplina, altresì, il trattamento dei dati API trasmessi dai vettori aerei e relativi ai passeggeri che fanno ingresso nel territorio dello Stato italiano, effettuato dai competenti Uffici incaricati dei controlli di polizia di frontiera.
3. Le disposizioni del presente decreto non pregiudicano l’applicazione degli accordi o delle intese bilaterali o multilaterali sullo scambio di informazioni tra autorità competenti entrati in vigore con Stati membri dell’Unione europea entro il 24 maggio 2016, in quanto compatibili con la direttiva di cui al comma 1, né l'applicazione degli obblighi derivanti da accordi bilaterali o multilaterali conclusi con Stati non appartenenti all'Unione europea.

 

Art. 2
(Definizioni)

1. Ai fini del presente decreto si intende per:
   a)    «dati PNR», le informazioni relative al viaggio di ciascun passeggero consistenti nei dati di cui all’allegato I della direttiva (UE) 2016/681, necessari per il trattamento e il controllo delle prenotazioni da parte dei vettori aerei e contenuti nel codice di prenotazione. Nel caso in cui con una singola prenotazione vengano acquistati più biglietti, il PNR contiene le informazioni relative a tutti i soggetti cui la prenotazione si riferisce, siano esse registrate nei sistemi di prenotazione o di controllo delle partenze in fase di imbarco o in sistemi equivalenti dotati delle medesime funzionalità;
   b)    «mascheramento dei dati», l’operazione attraverso la quale vengono resi non visibili alla consultazione le informazioni che consentono l’identificazione diretta dell'interessato;
   c)    «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile;
   d)    «metodo push», il metodo in base al quale i vettori aerei trasferiscono i dati PNR al Sistema Informativo di cui al comma 2, lettera m);
   e)    «passeggero», chiunque, a esclusione dei membri dell'equipaggio, sia trasportato o da trasportare in un aeromobile, anche nella fase di transito o trasferimento, e risulti registrato nelle liste dei passeggeri;
   f)    «reati di terrorismo», i reati di cui all’articolo 51, comma 3-quater, del codice di procedura penale;
   g)    «reati gravi», i reati che, ai sensi della legge penale italiana, integrano le fattispecie elencate nell’allegato II della direttiva (UE) 2016/681, puniti con una pena detentiva o una misura di sicurezza privativa della libertà personale non inferiore a tre anni;
   h)    «sistema di prenotazione», il sistema interno del vettore aereo in cui sono raccolti i dati PNR ai fini della gestione delle prenotazioni;
   i)    «vettore aereo», l'impresa di trasporto aereo titolare di una licenza di esercizio in corso di validità o equivalente che le consente di effettuare trasporti aerei di passeggeri;
   j)    «volo extra-UE», il volo di linea o non di linea effettuato da un vettore aereo proveniente da un Paese terzo e il cui atterraggio è previsto nel territorio nazionale oppure in partenza dal territorio nazionale e il cui atterraggio è previsto in un Paese terzo, compresi, in entrambi i casi, i voli con scali nel territorio di Stati membri o di Paesi terzi;
   l)    «volo intra-UE», il volo di linea o non di linea effettuato da un vettore aereo proveniente dal territorio di uno Stato membro e il cui atterraggio è previsto nel territorio nazionale o viceversa, senza alcuno scalo nel territorio di un Paese terzo.
2. Ai fini del presente decreto si intendono, altresì, per:
   a)    «autorità competenti», le autorità responsabili della prevenzione e del perseguimento dei reati di terrorismo e dei reati gravi, individuate da ogni Stato membro e comunicate alla Commissione europea in conformità alla direttiva (UE) 2016/681;
   b)    «autorità competenti nazionali», le Forze di polizia di cui all'articolo 16, primo comma, della legge 1° aprile 1981, n. 121, la Direzione Investigativa Antimafia, gli organismi previsti dagli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, nonché la Direzione Nazionale Antimafia e Antiterrorismo di cui all’articolo 103 del decreto legislativo 6 settembre 2011, n. 159 e le Autorità giudiziarie competenti a perseguire i reati di cui al comma 1, lettere e) e f);
   c)    «CED», il Centro elaborazione dati di cui all’articolo 8 della legge 1° aprile 1981, n. 121;
   d)     «code sharing», il trasporto di passeggeri operato da uno o più vettori aerei per conto di altri vettori aerei e regolato da apposita convenzione;
   e)    «Codice in materia di protezione dei dati personali», il decreto legislativo 30 giugno 2003, n. 196;
   f)    «regolamento generale sulla protezione dei dati», il regolamento (UE)  2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
   g)    «decreto legislativo di attuazione della direttiva (UE) 2016/680», il decreto legislativo recante attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle Autorità competenti ai fini della prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;
   h)    «Dipartimento della Pubblica Sicurezza», il Dipartimento della Pubblica Sicurezza, di cui all’articolo 4 della legge 1° aprile 1981, n. 121;
   i)    «Direzione Centrale della Polizia Criminale», la Direzione Centrale della Polizia Criminale del Dipartimento della Pubblica Sicurezza, di cui all'articolo 5, primo comma, lettera c), della legge n. 121 del 1981;
   j)    «Direzione Centrale dell’Immigrazione e della Polizia delle Frontiere», la Direzione Centrale dell’Immigrazione e della Polizia delle Frontiere del Dipartimento della Pubblica Sicurezza, di cui all'articolo 35 della legge 30 luglio 2002, n. 189;
   k)    «ENAC», l’Ente nazionale per l’aviazione civile, istituito con decreto legislativo 25 luglio 1997, n. 250;
   l)    «frequent flyer», i viaggiatori abituali;
   m)    «riscontro negativo», l’esito dell’attività di analisi dei dati PNR effettuata dall’UIP nazionale in base alla quale un passeggero non è sospettato di essere implicato in un reato di terrorismo o in reati gravi;
   n)    «riscontro positivo», l’individuazione di un passeggero sospettato di essere implicato in un reato di terrorismo o in reati gravi, all’esito dell’attività di analisi dei dati PNR effettuata dall’UIP nazionale;
   o)    «Sistema Informativo», il sistema informativo per l’uso dei dati PNR, istituito presso il Dipartimento della Pubblica Sicurezza, finalizzato alla raccolta, al trattamento e al trasferimento dei dati PNR.
   p)     «Unità d'informazione sui passeggeri (UIP)», autorità competente, in materia di prevenzione e repressione dei reati di terrorismo e dei reati gravi, individuata da ciascuno Stato membro ai sensi della Direttiva (UE) 2016/681;
   q)    «Unità d'informazione sui passeggeri (UIP) nazionale», l’unità istituita presso il Ministero dell’Interno, Dipartimento della Pubblica Sicurezza, nell’ambito della Direzione Centrale della Polizia Criminale competente in materia di prevenzione e repressione dei reati di terrorismo e dei reati gravi.
3. Ai fini del presente decreto si intendono, inoltre, per:
   a)    «controllo alla frontiera», il controllo, effettuato alla frontiera, secondo le modalità indicate dall’articolo 2 del regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio del 9 marzo 2016;
   b)    Sistema informativo frontaliero Border Control System (BCS): il sistema informativo istituito presso il Ministero dell'interno, Dipartimento della pubblica sicurezza, Direzione Centrale dell'Immigrazione e della Polizia delle Frontiere per la raccolta e il trattamento delle informazioni acquisite ai sensi della direttiva 2004/82/CE;
   c)    «dati API», parte dei dati PNR, comprendenti il tipo, il numero, paese di rilascio e la data di scadenza del documento di viaggio utilizzato, la cittadinanza, il nome completo, sesso, la data e il luogo di nascita, il valico di frontiera di ingresso nel territorio italiano, la compagnia aerea, il numero del volo, la data di partenza e di arrivo, l’ora di partenza, l’ora di arrivo e la durata del volo, l’aeroporto di partenza e di arrivo, il numero complessivo dei passeggeri trasportati con tale volo, il primo punto di imbarco;
   d)    «frontiere esterne», le frontiere esterne dello Stato italiano con i Paesi non appartenenti all’Unione europea;
   e)    «Uffici incaricati dei controlli di polizia di frontiera», gli uffici o reparti delle Forze di polizia incaricati dei controlli di polizia di frontiera;
   f)    «valico di frontiera», il valico di frontiera presidiato da uffici o reparti delle Forze di polizia incaricati dei controlli di polizia di frontiera.

CAPO II
Finalità del trattamento dei dati e organizzazione del Sistema Informativo
Art. 3
(Finalità dei trattamenti)

1. I dati PNR raccolti a norma del presente decreto sono trattati a fini di prevenzione e repressione dei reati di terrorismo e dei reati gravi, secondo quanto previsto all'articolo 6, comma 2, lettere b), c) e d).
2. I dati API raccolti e resi disponibili agli Uffici incaricati dei controlli di polizia di frontiera a norma del presente decreto sono trattati al fine di migliorare i controlli alle frontiere esterne e prevenire l'immigrazione illegale. In caso di ripristino temporaneo dei controlli di frontiera alle frontiere interne il trattamento dei dati API è esteso anche ai voli intra-UE.

Art. 4
(Sistema Informativo)

1. Ai fini della raccolta, del trattamento e del trasferimento dei dati PNR e dei dati API è istituito un apposito Sistema Informativo presso il Dipartimento della Pubblica Sicurezza che ne garantisce la gestione tecnica e informatica. A tal fine, il predetto Dipartimento è il titolare del trattamento dei dati PNR e dei dati API, secondo quanto previsto dal decreto legislativo di attuazione della direttiva (UE) 2016/680.
2. I responsabili del trattamento dei dati, secondo quanto previsto dal decreto legislativo di attuazione della direttiva (UE) 2016/680, sono la Direzione Centrale della Polizia Criminale per il trattamento dei dati e per le finalità previste dall’articolo 3, comma 1, e la Direzione Centrale dell’Immigrazione e della Polizia delle Frontiere per il trattamento dei dati e per le finalità previste dall’articolo 3, comma 2.
3. Le interrogazioni del Sistema Informativo possono essere effettuate per le finalità di cui all’articolo 3; a ciascuna delle predette finalità corrisponde uno specifico profilo di autorizzazione.
4. Il trattamento dei dati PNR e dei dati API è consentito unicamente al personale cui siano state preventivamente rilasciate le necessarie credenziali di autenticazione.
5. Con decreto del Ministro dell’interno, sentito il Garante per la protezione dei dati personali, adottato entro tre mesi dalla data di entrata in vigore del presente decreto e pubblicato nella Gazzetta Ufficiale, sono disciplinate le modalità tecniche:
   a) di funzionamento del Sistema Informativo;
   b) di autenticazione, autorizzazione e registrazione degli accessi e delle operazioni effettuate nel Sistema Informativo;
   c) di consultazione da parte dei soggetti autorizzati, ivi comprese le procedure tecniche e operative di mascheramento e cancellazione dei dati ai sensi dell’articolo 10;
   d) di raffronto informatico dei dati PNR con quelli conservati nel CED e nelle altre banche dati nazionali, europee ed internazionali contenenti informazioni utili ai fini di prevenzione e repressione dei reati di terrorismo e dei reati gravi;
   e) di raffronto informatico dei dati API con quelli conservati nel CED e nelle altre banche dati nazionali, europee ed internazionali contenenti informazioni utili ai fini di prevenzione dell’immigrazione irregolare;
   f) di trasferimento delle informazioni, con strumenti informatici, dall’UIP nazionale alle autorità competenti nazionali;
   g) di trasferimento dei dati PNR da parte dei vettori aerei.
6. Relativamente agli organismi previsti dagli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, le modalità di cui al comma 5, lettera f), sono disciplinate con un regolamento adottato, entro tre mesi dalla data di entrata in vigore del presente decreto, ai sensi degli articoli 13, comma 2, e 43 della legge n. 124 del 2007, di concerto con il Ministro dell’interno.
7. Il Sistema Informativo utilizza i formati di dati e i protocolli informatici comuni individuati con la decisione di esecuzione (UE) 2017/759 della Commissione, del 28 aprile 2017, garantisce l'individuazione del soggetto che effettua ciascuna interrogazione e conserva la traccia di ciascun accesso.

Art. 5
(Modalità di trasferimento dei dati PNR al Sistema Informativo)

1. I vettori aerei trasferiscono al Sistema Informativo, attraverso il «metodo push», i dati PNR relativi ai voli extra-UE e intra-UE, in partenza, in arrivo o facenti scalo nel territorio nazionale, raccolti nel normale svolgimento della loro attività. Per i voli operati in code-sharing da uno o più vettori aerei, il trasferimento dei dati PNR è effettuato dal vettore aereo che opera il volo.
2. Il trasferimento dei dati PNR è effettuato elettronicamente, utilizzando i formati di dati e i protocolli informatici di cui all’articolo 4, comma 7. I vettori aerei hanno l’obbligo di scegliere e notificare all’UIP nazionale il formato di dati e il protocollo informatico che intendono utilizzare per l’effettuazione dei trasferimenti.
3. Il vettore, in caso di guasto tecnico, ovvero nel caso in cui debba procedere all’adeguamento dei propri sistemi informatici ai formati di dati e ai protocolli informatici di cui all’articolo 4, comma 7, nelle more di tale adeguamento, effettua il trasferimento dei dati PNR con un mezzo elettronico o altro strumento appropriato, individuato dall’UIP nazionale con apposita prescrizione, sentito il Garante per la protezione dei dati personali, che assicuri equivalenti livelli di protezione dei dati personali e offra adeguate garanzie rispetto alle misure di sicurezza tecniche.
4. I vettori aerei che non effettuano voli extra-UE e intra-UE secondo un programma operativo pubblico specifico e che non possiedono l'infrastruttura necessaria a supportare i formati di dati e i protocolli di trasmissione elencati nell’allegato della decisione di esecuzione di cui all’articolo 4, comma 7, trasferiscono i dati PNR e utilizzano differenti protocolli di trasmissione avvalendosi di un mezzo elettronico ovvero di altro strumento che offra adeguate garanzie rispetto alle misure di sicurezza tecniche, individuato dall’UIP nazionale con apposita prescrizione, sentito il Garante per la protezione dei dati personali.
5. 5.    I vettori aerei trasferiscono i dati PNR:
   a) in un periodo compreso tra le ventiquattro e le quarantotto ore antecedenti all'orario previsto per la partenza del volo; e
   b) immediatamente dopo la chiusura del volo, quando non è più possibile l'imbarco o lo sbarco di passeggeri, anche mediante l’aggiornamento dei dati trasferiti ai sensi della lettera a).
6. Nel caso di pericolo imminente e concreto che possa essere commesso un reato di terrorismo o un altro reato grave, i vettori aerei, su richiesta dell’UIP, trasferiscono senza ritardo i dati PNR anche in un momento antecedente a quelli indicati al comma 4 5.
7. Nel caso in cui i vettori trasferiscano dati diversi da quelli indicati nell’allegato I della direttiva (UE) 2016/681, l’UIP nazionale provvede senza ritardo alla loro definitiva cancellazione.

Art. 6
(Unità d’informazione sui passeggeri (UIP) nazionale)

1. L’UIP nazionale è composta da personale delle Forze di polizia di cui all’articolo 16, primo comma, della legge n. 121 del 1981. L’organizzazione dell’UIP nazionale e la relativa pianta organica sono definite con decreto del Ministro dell’interno, di concerto con il Ministro dell’economia e delle finanze, ai sensi dell’articolo 5, settimo comma, della legge n. 121 del 1981. Il relativo contingente di personale è determinato, ai sensi dell’articolo 6, secondo comma, della legge n. 121 del 1981, rispettivamente, con decreto del Ministro dell’interno, con riguardo al personale appartenente ai ruoli della Polizia di Stato, e con decreto del Presidente del Consiglio dei ministri, con riguardo al personale delle altre Forze di polizia.
2. L’UIP nazionale:
   a) riceve, anche avvalendosi di un operatore economico qualificato, i dati PNR dai vettori aerei;
   b) effettua, prima dell’arrivo o della partenza del volo, attività di analisi dei dati ricevuti al fine di individuare i passeggeri sospettati di essere implicati in reati di terrorismo o in reati gravi per i quali è necessario procedere a ulteriori verifiche da parte delle autorità competenti e di Europol;
   c) sulla base di una richiesta debitamente motivata, provvede a comunicare, caso per caso, alle autorità competenti nazionali o, nei casi di cui all’articolo 14, alle autorità competenti di Stati membri ovvero, nelle ipotesi di cui all’articolo 18, a Europol i dati PNR o i risultati del loro trattamento;
   d) all’esito dell’analisi dei dati PNR, aggiorna i criteri di cui all’articolo 8, comma 1, lettera b), sulla base dei quali sono effettuate le valutazioni finalizzate a individuare i passeggeri sospettati di essere implicati in reati di terrorismo o in reati gravi ai sensi della lettera b) del presente comma.
   e) scambia sia i dati PNR che i risultati del loro trattamento con le UIP di altri Stati membri in conformità a quanto stabilito dagli articoli 13, 15, e 17.
3. Nel caso in cui l’UIP nazionale riceva i dati PNR dai vettori aerei avvalendosi di un operatore economico qualificato, tale operatore è responsabile del relativo trattamento ai sensi della normativa vigente in materia di protezione dei dati personali.

Art. 7
(Uffici incaricati dei controlli di polizia di frontiera)

1. Gli Uffici incaricati di effettuare i controlli delle persone alle frontiere esterne attraverso le quali i passeggeri entrano nel territorio dello Stato provvedono al trattamento dei dati API per agevolare l’esecuzione di tali controlli al fine di prevenire l’immigrazione irregolare.

Art. 8
(Trattamento dei dati PNR)

1. Ai fini delle attività di analisi di cui all’articolo 6, comma 2, lettera b), l'UIP nazionale può:
   a) confrontare i dati PNR con le informazioni contenute nel CED e nelle altre banche dati nazionali, europee ed internazionali contenenti informazioni utili ai fini di prevenzione e repressione dei reati di terrorismo e dei reati gravi;
   b) trattare i dati PNR sulla base di criteri predeterminati ai sensi del comma 2.
2. I criteri di cui al comma 1, lettera b), sono individuati dall'UIP nazionale e periodicamente aggiornati sentite le autorità competenti nazionali, nel rispetto dei principi di proporzionalità, specificità e del divieto di discriminazione basata sull'origine razziale o etnica, sulle opinioni politiche, sulla religione o sulle convinzioni filosofiche, sull'appartenenza sindacale, sullo stato di salute, sulla vita sessuale o sull'orientamento sessuale dell'interessato.
3. L’UIP nazionale effettua le attività di analisi con modalità non discriminatorie.
4. I riscontri positivi risultanti dal trattamento automatizzato dei dati PNR, effettuato a norma dell’articolo 6 comma 2, lettera b), sono sottoposti dall’UIP nazionale a un esame non automatizzato, condotto sul singolo caso, per verificare la necessità dell’adozione di provvedimenti e misure da parte delle autorità competenti nazionali, in conformità alle disposizioni vigenti.
5. I provvedimenti e le misure adottate ai sensi del comma 4 non pregiudicano il diritto di entrare nel territorio dello Stato delle persone che godono del diritto di libera circolazione all'interno dell’Unione europea in conformità al decreto legislativo 6 febbraio 2007, n. 30, e al regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio, del 9 marzo 2016.

Art. 9
(Trattamento dei dati API)

1. I dati API, il cui trattamento è effettuato nel rispetto dei principi di necessità e di proporzionalità, in relazione alle finalità per le quali è consentito, sono resi disponibili, attraverso il Sistema Informativo, agli Uffici incaricati dei controlli di polizia di frontiera, per le finalità di cui all’articolo 7, immediatamente dopo la chiusura del volo, quando non è più possibile l'imbarco o lo sbarco di passeggeri.
2. Entro ventiquattro ore dal momento della loro comunicazione agli Uffici di cui al comma 1, ovvero dopo l’ingresso dei passeggeri nel territorio dello Stato, i dati API non necessari per la prevenzione dell’immigrazione irregolare sono resi non visibili ai medesimi Uffici.
3. Per le finalità di cui all’articolo 3, comma 2, i dati API, trascorsi sei mesi dal loro ricevimento, sono resi indisponibili agli Uffici incaricati dei controlli di polizia di frontiera.

 

Art. 10
(Periodo di conservazione dei dati PNR e pseudonimizzazione)

1. I dati PNR trasmessi dai vettori aerei all'UIP nazionale sono conservati nel Sistema Informativo per un periodo di cinque anni dal loro trasferimento.
2. Dopo sei mesi dal loro trasferimento, i dati sono pseudonimizzati mediante mascheramento dei seguenti elementi:
   a) i nominativi di tutti i passeggeri figuranti nei dati PNR;
   b) il numero dei passeggeri figuranti nei dati PNR;
   c) l'indirizzo e le altre informazioni idonee a contattare i passeggeri;
   d) le informazioni sulle modalità di pagamento, compreso l'indirizzo di fatturazione, nel caso in cui esso contenga informazioni idonee ad identificare il passeggero cui si riferiscono i dati PNR o qualsiasi altra persona;
   e) le informazioni sui frequent flyer;
   f) le dichiarazioni di carattere generale contenenti informazioni idonee a consentire l’identificazione del passeggero cui si riferiscono i dati PNR;
   g) i dati API raccolti.
3. Allo scadere del periodo di sei mesi di cui al comma 2, la comunicazione dei dati PNR integrali è consentita solo se è necessaria per corrispondere a una richiesta formulata ai sensi dell'articolo 6, comma 2, lettera c), previa autorizzazione:
   a) dell’Autorità giudiziaria, nel caso in cui la richiesta sia formulata nell’ambito di un procedimento penale o per l’applicazione di una delle misure di prevenzione di cui al Libro I, Titolo I, Capo II e Titolo II, Capo I del decreto legislativo 6 settembre 2011, n. 159; o
   b) del Vice Capo della Polizia - Direttore Centrale della Polizia Criminale, per le finalità di prevenzione dei reati di terrorismo e dei reati gravi.
4. L’autorizzazione rilasciata ai sensi del comma 3 è comunicata al responsabile della protezione dei dati personali di cui all’articolo 21 per le verifiche di competenza.
5. I dati PNR sono cancellati in via definitiva allo scadere del periodo di cinque anni di cui al comma 1, secondo le modalità stabilite con uno dei decreti del Ministro dell'interno di cui all’articolo 4, comma 5. L’obbligo di cancellazione non si applica ai dati PNR trasferiti a una delle autorità competenti nazionali e utilizzati nell'ambito di un caso specifico di prevenzione e repressione dei reati di terrorismo o dei reati gravi. In tali casi i dati PNR sono conservati nel rispetto delle disposizioni del codice di procedura penale o di quelle riguardanti i trattamenti per finalità di polizia, ovvero di quelle riguardanti i trattamenti effettuati dagli organismi di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124.
6. I risultati del trattamento di cui all'articolo 6, comma 2, lettera b), sono conservati per il tempo strettamente necessario a comunicare gli esiti di eventuali riscontri positivi alle autorità competenti nazionali ovvero alle UIP di altri Stati membri ai sensi dell’articolo 13, comma 1. I risultati dei trattamenti automatizzati, anche in caso di riscontro negativo all’esito di esame non automatizzato condotto sul singolo caso, sono conservati per un periodo non superiore a quello previsto dal comma 5, al fine di assicurare l’esattezza dei futuri riscontri.
7. I dati PNR e i dati API riversati, sulla base delle vigenti disposizioni, nel CED sono sottoposti alla specifica disciplina prevista per il medesimo CED.

 

Art. 11
(Conservazione dei dati API)

1.  Il vettore aereo è obbligato a cancellare, entro ventiquattro ore dall’arrivo del volo, i dati API trasmessi. 

CAPO III
Trasferimento e scambio dei dati PNR e dei risultati del loro trattamento

Art. 12
(Trasferimento dei dati PNR alle autorità competenti nazionali)

1. L'UIP nazionale trasmette i dati PNR o i risultati del loro trattamento relativi ai passeggeri individuati ai sensi dell’articolo 6, comma 2, lettera b), a seguito dell'esame individuale non automatizzato, alle autorità competenti nazionali perché li sottopongano a ulteriore trattamento e adottino provvedimenti idonei a prevenire e reprimere reati di terrorismo o reati gravi. Per le medesime finalità, le autorità competenti nazionali possono chiedere all’UIP nazionale la trasmissione dei dati PNR o dei risultati del loro trattamento. Tale trasmissione avviene con strumenti informatici, secondo le modalità stabilite con il decreto di cui all’articolo 4, comma 5, lettera f).
2. Le decisioni delle autorità competenti nazionali che determinino conseguenze giuridiche negative per l'interessato non possono essere adottate esclusivamente sulla base del trattamento automatizzato dei dati PNR, né possono fondarsi sull'origine razziale o etnica, sulle opinioni politiche, sulla religione o sulle convinzioni filosofiche, sull'appartenenza sindacale, sullo stato di salute, sulla vita sessuale o sull'orientamento sessuale dell'interessato.

Art. 13
(Trasferimento dei dati PNR alle UIP degli Stati membri )

1. Nel caso di riscontro positivo, l’UIP nazionale trasmette i dati PNR pertinenti e necessari o i risultati del loro trattamento alle UIP di altri Stati membri.
2. I dati PNR e i risultati del loro trattamento, se già effettuato, sono trasferiti all’UIP di altro Stato membro sulla base di una richiesta, riguardante anche solo una parte dei dati PNR, debitamente motivata in relazione a un caso specifico di prevenzione e repressione dei reati di terrorismo o dei reati gravi. L’UIP nazionale comunica le predette informazioni senza ritardo.
3. Nel caso in cui i dati richiesti siano stati pseudonimizzati a norma dell'articolo 10, comma 2, l'UIP nazionale trasmette all’UIP di altro Stato membro i dati PNR integrali solo se necessario per corrispondere a una richiesta formulata ai sensi dell'articolo 6, comma 2, lettera c), previa autorizzazione delle autorità di cui all'articolo 10, comma 3.
4. Nel caso di pericolo imminente e concreto che possa essere commesso un reato di terrorismo o un altro reato grave, l'UIP di uno Stato membro può chiedere all’UIP nazionale che i dati PNR siano trasmessi, ai sensi dell'articolo 5, comma 6, anche in un momento antecedente rispetto a quelli indicati dall’articolo 5, comma 5.

Art. 14
(Trasferimento dei dati PNR alle autorità competenti degli Stati membri)

1. L’UIP nazionale trasmette i dati PNR direttamente alle autorità competenti di altri Stati membri che ne abbiano fatto richiesta, nel rispetto delle previsioni recate dall’articolo 13, commi 2 e 3, in presenza di situazioni di emergenza che non consentano di inoltrare la medesima richiesta attraverso l’UIP del proprio Stato.

Art. 15
(Trasferimento dei dati PNR da parte di Stati membri)

1. L'UIP nazionale può chiedere all'UIP di altro Stato membro la trasmissione dei dati PNR, nonché dei risultati del loro trattamento. Tale richiesta, riguardante anche solo una parte dei dati PNR, deve essere debitamente motivata in relazione a un caso specifico di prevenzione e repressione dei reati di terrorismo o dei reati gravi. L’UIP nazionale trasmette le informazioni ricevute alle autorità competenti nazionali, ai sensi dell’articolo 12, comma 1.
2. Nel caso di pericolo imminente e concreto che possa essere commesso un reato di terrorismo o altro reato grave, l'UIP nazionale può chiedere all'UIP di altro Stato membro che i dati PNR siano trasmessi, ai sensi dell'articolo 5, comma 6, anche in un momento antecedente a quelli indicati dall’articolo 5, comma 5.

Art. 16
(Richiesta dei dati PNR da parte delle autorità competenti nazionali)

1. Le autorità competenti nazionali inoltrano le richieste di dati PNR alle UIP degli altri Stati membri tramite l’UIP nazionale.
2. In situazioni di emergenza che non consentano di inoltrare la richiesta attraverso l’UIP nazionale, le autorità competenti nazionali possono richiedere direttamente all'UIP di altro Stato membro la trasmissione dei dati PNR, nel rispetto delle previsioni recate dall’articolo 13, comma 2. Copia della richiesta è inoltrata tempestivamente all’UIP nazionale.

Art. 17
(Modalità di scambio delle informazioni)

1. Lo scambio di informazioni ai sensi degli articoli 13, 14, 15 e 16 può avvenire tramite qualsiasi canale esistente di cooperazione internazionale di polizia. La lingua utilizzata per la richiesta e lo scambio di informazioni è quella applicabile al canale utilizzato.
2. In casi di emergenza, il punto di contatto nazionale è l’UIP nazionale.

Art. 18
(Trasferimento dei dati PNR a Europol)

1. Europol può richiedere, entro i limiti delle proprie competenze e per l'adempimento dei propri compiti, i dati PNR o i risultati del loro trattamento all’UIP nazionale quando strettamente necessario per sostenere e rafforzare l’azione degli Stati membri volta alla prevenzione e alla repressione di uno specifico reato di terrorismo o altro reato grave, a condizione che si tratti di un reato di propria competenza ai sensi del regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio dell’11 maggio 2016.
2. La richiesta è formulata attraverso sistemi informatici, utilizzando l’applicazione SIENA, per il tramite dell'Unità Nazionale Europol e deve contenere i motivi per i quali Europol ritiene necessaria la trasmissione dei dati PNR o dei risultati del loro trattamento ai fini di prevenzione e repressione dei reati di terrorismo o dei reati gravi di propria competenza.
3. L’UIP nazionale trasmette le informazioni ai sensi del presente articolo attraverso l'applicazione SIENA secondo le disposizioni di cui al regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell’11 maggio 2016. La lingua utilizzata per la richiesta e lo scambio di informazioni è quella applicabile a SIENA.
    

Art. 19
(Trasferimento dei dati PNR  a paesi terzi)

1. Fatte salve le condizioni previste da eventuali accordi internazionali, i dati PNR e i risultati del loro trattamento possono essere trasferiti alle autorità competenti di un Paese terzo in relazione a casi individuali, soltanto in conformità alle previsioni del presente decreto e alle disposizioni del decreto legislativo di attuazione della direttiva (UE) 2016/680, concernenti il trasferimento verso Paesi terzi di dati giudiziari o trattati per finalità di polizia e qualora ricorrano le seguenti condizioni:
   a) la richiesta sia formulata nel rispetto delle previsioni recate dall’articolo 13, commi 2 e 3;
   b) il trasferimento sia necessario per le finalità di cui all'articolo 3, comma 1;
   c) il Paese terzo si impegni a trattare i dati con le garanzie previste dal presente decreto e a ritrasferire i dati a altro Paese terzo soltanto per le finalità di cui all'articolo 3, comma 1, e previa autorizzazione espressa dello Stato italiano.
2. Fermo restando quanto previsto al comma 1, i dati PNR possono essere trasferiti senza il previo consenso dello Stato membro dal quale sono stati ottenuti nel caso in cui ricorrano contestualmente le seguenti condizioni:
   a)    il trasferimento sia indispensabile per rispondere a una minaccia specifica e reale connessa a reati di terrorismo o a reati gravi in uno Stato membro o in un Paese terzo;
   b)    il consenso preliminare non possa essere ottenuto in tempo utile.
3. Il trasferimento dei dati senza il preventivo consenso è comunicato all’UIP dello Stato che ha trasmesso il dato. Il trasferimento è annotato in apposito registro per le verifiche da parte del responsabile della protezione dei dati.

CAPO IV
Disposizioni in materia di protezione dei dati personali

Art. 20
(Autorità nazionale di controllo)

1. L’Autorità nazionale di controllo è il Garante per la protezione dei dati personali, che esercita il controllo sul trattamento dei dati personali effettuato in applicazione del presente decreto, con le modalità previste dal Codice in materia di protezione dei dati personali.
2. La medesima autorità, su richiesta dell’interessato, esprime pareri in merito all’esercizio dei diritti di protezione dei dati personali derivanti dalle disposizioni del presente decreto.

Art. 21
(Responsabile della protezione dei dati )

1. Il responsabile della protezione dei dati è nominato con decreto del Capo della Polizia – Direttore Generale della Pubblica Sicurezza, nell’ambito della Direzione Centrale della Polizia Criminale e adempie alle proprie funzioni in modo indipendente.
2. Il responsabile della protezione dei dati è incaricato di vigilare sul corretto trattamento dei dati PNR e garantisce l’attuazione di tutte le misure tecniche e di sicurezza, nel rispetto di quanto disposto dal Codice per la protezione dei dati personali e dal regolamento generale sulla protezione dei dati.
3. Il responsabile della protezione dei dati è il punto di contatto unico per gli interessati, in merito a tutte le questioni connesse al trattamento dei dati PNR che li riguardano.
4. Il responsabile della protezione dei dati ha accesso ai dati trattati dall’UIP nazionale e segnala al Garante per la protezione dei dati personali i casi in cui il trattamento dei dati non sia stato effettuato lecitamente.

 

Art. 22
(Protezione dei dati personali)

1. In relazione al trattamento dei dati personali effettuato per le finalità di cui all’articolo 3 si applicano le disposizioni di cui al decreto legislativo di attuazione della direttiva (UE) 2016/680, nonché, limitatamente ai trattamenti effettuati dagli organismi di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, quelle del Codice per la protezione dei dati personali di cui alla Parte II, Titolo III.
2. Al trattamento di dati personali da parte dei vettori aerei si applicano le disposizioni del regolamento generale sulla protezione dei dati, nonché quelle del Codice per la protezione dei dati personali, anche per quanto concerne l’obbligo di informare adeguatamente i passeggeri e di adottare adeguate misure tecniche e organizzative a tutela della sicurezza e della riservatezza dei dati personali.
3. È vietato il trattamento dei dati PNR idoneo a rivelare l'origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l'appartenenza sindacale, lo stato di salute, la vita o l'orientamento sessuale dell'interessato.  
4. L'UIP nazionale cancella immediatamente i dati PNR trattati con modalità tali da rivelare le informazioni di cui al comma precedente.
5. L'UIP nazionale adotta adeguate misure e procedure tecniche e organizzative per garantire un livello elevato di sicurezza in relazione ai rischi connessi al trattamento dei dati PNR anche nelle ipotesi di cui all’articolo 5, commi 2 e 3. L’UIP nazionale conserva la documentazione relativa ai sistemi e alle procedure di trattamento. La predetta documentazione riporta l’indicazione dei seguenti dati:
   a)    l’organizzazione dell’UIP nazionale e gli indirizzi utili a contattare le sue articolazioni interne;
   b)    i nominativi e gli indirizzi del personale dell'UIP nazionale incaricato del trattamento dei dati PNR;
   c)    il registro dei livelli di autorizzazione all'accesso di cui è titolare il personale dell’UIP nazionale;
   d)    le richieste formulate dalle autorità competenti nazionali;
   e)    le richieste formulate dalle UIP e dalle autorità competenti di altri Stati membri;
   f)    le richieste formulate da Paesi terzi e i trasferimenti di dati effettuati.
6. L’UIP nazionale conserva, altresì, per un periodo di cinque anni, i registri delle attività di raccolta, consultazione, comunicazione e cancellazione dei dati, adottando misure di sicurezza tali da evitare il rischio di distruzione o perdita, anche accidentale, degli stessi, nonché di accesso non autorizzato ovvero di trattamento non consentito o non conforme alle finalità previste. Detti registri, anche in relazione alle esigenze di tracciamento e monitoraggio delle consultazioni, riportano l’indicazione della finalità, della data e dell'ora dell'operazione e gli elementi relativi all'identità della persona che ha consultato o comunicato i dati PNR, nonché dei destinatari di tali dati. I registri sono usati esclusivamente a fini di verifica, di autocontrollo, per garantire l'integrità e la sicurezza dei dati o di audit.
7. La documentazione di cui al comma 5 e i registri di cui al comma 6 sono messi a disposizione del Garante per la protezione dei dati personali, a seguito di richiesta.
8. In caso di violazione di dati personali, l’UIP nazionale ne dà comunicazione senza ritardo al Garante per la protezione dei dati personali. Quando tale violazione rischia di arrecare un rilevante pregiudizio ai dati personali o alla riservatezza dell'interessato, l'UIP nazionale comunica senza indebito ritardo all'interessato e al Garante per la protezione dei dati personali l’avvenuta violazione.
    

Art. 23
(Diritti dell’interessato)

1. In relazione ai trattamenti di dati personali effettuati in applicazione del presente decreto, sono riconosciuti all'interessato i diritti di cui all'articolo 10, commi 3, 4 e 5, della legge n. 121 del 1981. Tali diritti sono esercitati con istanza rivolta alla Direzione Centrale della Polizia Criminale, con la quale l'interessato può domandare, altresì, che sia data evidenza dell'esercizio dei diritti di cui al presente articolo nel Sistema Informativo.
2. La Direzione Centrale della Polizia Criminale comunica all'interessato i provvedimenti adottati a seguito delle richieste formulate ai sensi del comma 1.
3. Il responsabile della protezione dei dati, l’UIP nazionale e l’UIP dello Stato membro eventualmente interessato sono informati della presentazione dell'istanza di cui al comma 1.
4. L'indicazione di cui al comma 1, secondo periodo, può essere rimossa a richiesta dell'interessato o su provvedimento del Garante per la protezione dei dati personali o dell'Autorità giudiziaria, adottati ai sensi del Codice per la protezione dei dati personali.

CAPO V
Disposizioni sanzionatorie e finali

Art. 24
(Sanzioni)

1. Salvo che il fatto costituisca reato, il vettore che non trasmette i dati, ovvero li trasmette in modo difforme da quanto previsto dall’articolo 5, è punito con la sanzione amministrativa pecuniaria da 5.000 euro a 100.000 euro per ogni viaggio a cui si riferisce la condotta. La medesima sanzione amministrativa pecuniaria si applica in caso di trasmissione di dati incompleti o errati. La sanzione di cui al primo periodo si applica, altresì, al vettore aereo che non adempia entro il termine fissato alle prescrizioni dell’UIP nazionale, adottate per garantire il trasferimento dei dati PNR al Sistema Informativo.
2. L’autorità competente a irrogare le sanzioni di cui al comma 1 è l’ENAC, cui è trasmesso il rapporto previsto dall’articolo 17 della legge 24 novembre 1981, n. 689.
3. Nei casi in cui le violazioni di cui al comma 1 siano commesse con la condizione della reiterazione di cui all’articolo 8-bis della legge n. 689 del 1981, l’ENAC può disporre la sospensione da uno a dodici mesi, ovvero la revoca della licenza, autorizzazione o concessione rilasciata dall'autorità amministrativa italiana, inerente all'attività professionale svolta e al mezzo di trasporto utilizzato.
4. La violazione dell’obbligo di cancellazione dei dati API previsto dall’articolo 11 è punito con la sanzione amministrativa pecuniaria da 5.000 euro a 50.000 euro. L’autorità competente a irrogare la sanzione è il Garante per la protezione dei dati personali, ai sensi dell’articolo 166 del Codice per la protezione dei dati personali.
5. Resta ferma l'applicazione dell'articolo 12, comma 6, del testo unico delle disposizioni concernenti la disciplina dell'immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286.

Art. 25
(Statistiche)

1. Il Ministero dell’interno comunica, annualmente, alla Commissione europea elaborazioni statistiche concernenti i dati PNR trasmessi all’UIP nazionale. Tali elaborazioni non contengono dati personali e comprendono:
   a) il numero totale di passeggeri i cui dati PNR sono stati raccolti e scambiati;
   b) il numero di passeggeri individuati a fini di ulteriori verifiche ai sensi dell’articolo 6, comma 2, lettera b).

Art. 26
(Disposizioni transitorie e finali )

1. Il decreto legislativo 2 agosto 2007, n. 144, e il decreto del Ministro dell’interno 16 dicembre 2010, pubblicato nella Gazzetta Ufficiale 28 dicembre 2010, n. 302, sono abrogati dalla data di entrata in vigore del decreto del Ministro dell’interno, da adottarsi in attuazione dell’articolo 4, comma 5, e comunque non oltre sei mesi dalla data di entrata in vigore del presente decreto.
2. Dalla data di cui al comma 1 il Border Control System Italia (BCS) cessa la propria operatività ed i riferimenti allo stesso, ovunque presenti, si intendono sostituiti dai riferimenti al Sistema Informativo di cui all’articolo 4.
3. Il Dipartimento della Pubblica Sicurezza provvede a effettuare il monitoraggio della congruità delle risorse finanziarie destinate alla realizzazione del Sistema Informativo nonché, a partire dall’esercizio finanziario 2019, di quelle destinate al funzionamento dello stesso.
    

Art. 27
(Clausola di neutralità finanziaria)

1. Dall'attuazione delle disposizioni del presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica. Le Amministrazioni interessate provvedono ai conseguenti adempimenti con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

            Il presente decreto, munito del sigillo di Stato, sarà inserito nella Raccolta Ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

 

Relazione illustrativa

Il presente decreto legislativo attua nell’ordinamento interno le disposizioni della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) ai fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (di seguito, «direttiva PNR»), ed è adottato dal Governo nell’esercizio della delega conferita dall’articolo 12 della legge 25 ottobre 2017, n. 163 - Legge di delegazione europea 2016-2017, pubblicata nella Gazzetta Ufficiale del 6 novembre 2017, n. 259.

La direttiva PNR si prefigge l’obiettivo di rafforzare il sistema di sicurezza europeo tramite mirati controlli sui flussi di passeggeri aerei all’interno e all’esterno dell’Unione europea.

Più in dettaglio, tali controlli si sviluppano attraverso l’analisi delle informazioni che ciascun passeggero fornisce ai vettori aerei in fase di prenotazione del volo. Si tratta di un insieme di dati particolarmente ampio che consente un’attività di analisi di assoluto rilievo, all’esito della quale possono essere individuati soggetti che non sono necessariamente già noti alle Autorità ma che, per le caratteristiche dei viaggi effettuati, appaiono meritevoli di ulteriori approfondimenti ai fini del terrorismo e delle altre gravi forme di criminalità.

Il decreto disciplina, contestualmente, l’obbligo di trasmissione delle informazioni introdotto dalla direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l'obbligo dei vettori di comunicare i dati relativi alle persone trasportate (di seguito, «direttiva API»), assorbendo la relativa normativa di attuazione e disponendo l’abrogazione della stessa dal momento dell’entrata in vigore dei propri provvedimenti attuativi. In tal senso, si evidenzia che i dati API, riferiti ai viaggiatori effettivamente presenti a bordo degli aeromobili al momento dell’attraversamento della frontiera, costituiscono una porzione dei dati PNR, che comprendono anche quelli relativi ai soggetti iscritti nelle liste di imbarco, indipendentemente dal fatto che siano stati o meno trasportati.

Tenendo presente questa circostanza, si è ritenuto opportuno assorbire nello schema di provvedimento anche la regolamentazione del trattamento dei dati API. Ciò è, peraltro, conforme agli enunciati recati dalla direttiva (UE) 2016/681, a cominciare dai “considerando” nn. 9 e 10, dai quali si evince, in sintesi, che per la realizzazione del sistema di trattamento dei dati PNR, gli Stati membri devono assicurare la raccolta e la trasmissione da parte dei vettori dei medesimi dati PNR, “compresi i dati API”.

Tale processo di assorbimento risponde all’esigenza di soddisfare i principi direttivi della massima semplificazione dei procedimenti, delle modalità di organizzazione dei servizi e normativa, enunciato dall’articolo 32 della legge 24 dicembre 2012, n. 234, cui fa rinvio il predetto articolo 12 della legge di delegazione europea 2016-2017.

Ai sensi della direttiva API, i vettori aerei hanno l’obbligo di trasmettere agli Uffici incaricati di effettuare i controlli di polizia di frontiera determinate informazioni, sostanzialmente anagrafiche (di seguito, «dati API»), relative ai passeggeri trasportati su voli extra-UE che fanno ingresso nel territorio dello Stato. Tale onere di trasmissione deve essere adempiuto una volta terminata la procedura di imbarco, al fine di consentire ai predetti Uffici di eseguire un’analisi preventiva dei dati dei passeggeri (tramite l’interrogazione di determinate banche dati nazionali ed internazionali), in anticipo rispetto al momento dell’arrivo del volo e dell’arrivo dei viaggiatori presso il cd. Border Crossing Point, migliorando l’efficienza delle verifiche di frontiera e assicurando una più proficua azione di prevenzione dell’immigrazione irregolare.

Ai sensi della direttiva PNR, i vettori aerei hanno l’obbligo di trasmettere determinate informazioni, elencate dettagliatamente nell’allegato I (di seguito, «dati PNR»), concernenti i passeggeri di voli extra-UE e intra-UE, in ingresso e in uscita dal territorio dello Stato, all’Unità d’informazione sui passeggeri (di seguito, «UIP»),  appositamente istituita e avente la funzione principale di individuare, attraverso l’analisi dei dati PNR, i passeggeri implicati in reati di terrorismo o in altri reati gravi.

Da tale sintetica descrizione del contenuto dei due Atti europei, si evince agevolmente la presenza di elementi comuni che appaiono giustificare la decisione di procedere ad una regolamentazione attuativa unitaria: l’identità dell’oggetto, ossia l’obbligo di trasmissione di informazioni relative ai passeggeri, e l’identità del soggetto su cui tale onere grava, ovvero i vettori aerei.

La scelta di assorbire nel presente provvedimento la disciplina dei dati API trova conforto nel fatto che le informazioni contenute in questi ultimi costituiscono una “parte” dei dati PNR. I dati API, infatti, sono un sottoinsieme dei dati PNR e, come tali, vengono trasferiti dai vettori assieme ai restanti dati contenuti nel codice di prenotazione. Pertanto, l’eventuale coesistenza di due normative nazionali autonome assoggetterebbe l’obbligo di trasmissione dei dati API a fonti normative diverse, dando vita a una situazione di incertezza. Ciò implicherebbe una duplicazione degli adempimenti per i vettori aerei, nonché l’istituzione di due diversi sistemi informativi contenenti dati personali parzialmente sovrapponibili.

La scelta di realizzare un “contenitore” unico, nell’ambito del quale raccogliere e trattare i dati API e i dati PNR, si rivela più coerente e conforme al “principio di necessità” sancito dall’articolo 3 del Codice per la protezione dei dati personali, ai sensi del quale i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione dei dati personali e dei dati identificativi.
L’operazione di semplificazione e razionalizzazione in parola appare ragionevole anche in considerazione del principio ispiratore che sembra aver guidato l’elaborazione di entrambe le discipline comunitarie, ovvero l’introduzione di un meccanismo di condivisione delle informazioni che, seppure articolato in maniera diversa per dati API e dati PNR, è comunque finalizzato al rafforzamento della tutela della sicurezza all’interno dello spazio comune europeo.

A ciò si aggiungono le precise indicazioni contenute in alcune specifiche disposizioni, e cioè:

• l’art. 8, paragrafo 2, che sancisce l’obbligo a carico degli Stati membri di adottare le misure necessarie per il trasferimento anche dei dati API, attraverso il cd. “metodo push” (trasferimento dei dati dal vettore all’Autorità), prevedendo che tutte le disposizioni della direttiva (UE) 2016/681 si applichino anche ai predetti dati API. La disposizione palesa l’intendimento di ammettere la possibilità di regolamentare in un contesto normativo unico le modalità di trasmissione delle due tipologie di informazioni in questione;
• l’art. 12, paragrafo 2 - concernente il “mascheramento”, dopo sei mesi dal trasferimento, degli elementi contenuti nei dati PNR, capaci di consentire l’identificazione diretta del passeggero – prevede che tale misura trovi applicazione anche ai dati API. Ciò rafforza il convincimento che le due tipologie di informazioni presentino stretti punti di sovrapponibilità che ne giustificano l’assoggettamento ad una disciplina unitaria, purché in grado di assicurare modalità di trattamento differenziate in ragione delle diverse finalità previste per ciascuna delle predette categorie di informazioni. Si muove in tale ottica l’ulteriore considerazione che il periodo massimo di conservazione dei dati API indispensabili a prevenire pericoli per l’ordine pubblico, la sicurezza nazionale o per esigenze di indagine (art. 4, comma 2, del decreto legislativo n. 144 del 2007) coincide con il periodo in cui i dati PNR sono conservati “in chiaro” (appunto sei mesi dal loro trasferimento).
• l’Allegato I, concernente i dati PNR, elenca gli elementi costitutivi dei dati PNR, includendovi, al punto 18, i dati API.

La soluzione “unitaria” postulata dallo schema di provvedimento rappresenta un’evidente misura di semplificazione sia degli adempimenti a carico dei vettori – che non devono adempiere a due analoghi oneri di trasmissione – sia delle attività organizzative a carico dell’Amministrazione, che può giovarsi di un unico sistema - ad accessi selettivi in ragione delle diverse finalità di trattamento del dato - con chiari risparmi di spesa sul lungo periodo.

Da ultimo, giova ribadire che la soluzione di disciplinare in un contesto unico il trattamento dei dati PNR e API, con la previsione di un unico Sistema informativo, rappresenta l’opzione di maggior salvaguardia dei principi di necessità e non eccedenza in materia di protezione dei dati personali, sanciti dal Codice della privacy e ribaditi anche dalla direttiva (UE) 2016/680.
  Ciò premesso, il provvedimento si compone di ventisette articoli, suddivisi in cinque Capi.

Il Capo I (articoli 1 e 2) contiene disposizioni di carattere generale.
Più in dettaglio, l’articolo 1, ai commi 1 e 2, enuncia l’obiettivo dell’intervento normativo, ossia l’attuazione della direttiva PNR con contestuale rimodulazione della disciplina della trasmissione e del trattamento dei dati API, alla luce di quanto rappresentato in premessa.

Tale disposizione, in ossequio al criterio direttivo di delega previsto dal citato articolo 12 della legge di delegazione europea 2016-2017, prevede l’avvalimento, da parte dello Stato italiano, della facoltà concessa dall’articolo 2 della normativa comunitaria, che facoltizza l’estensione dell’applicazione dell’obbligo di trasmissione dei dati PNR anche in relazione ai voli intra-UE.
Il comma 3 definisce l’ambito di applicazione, precisando che l’attuazione della direttiva non pregiudica l’applicazione degli accordi o delle intese bilaterali o multilaterali sullo scambio di informazioni tra autorità competenti entrati in vigore con Stati membri dell’Unione europea entro il 24 maggio 2016, in quanto compatibili con la direttiva stessa, né l'applicazione degli obblighi derivanti da accordi bilaterali o multilaterali conclusi con Stati non appartenenti all'Unione europea.

L’articolo 2 reca norme di carattere definitorio, anche ulteriori rispetto a quelle previste dalla direttiva PNR, tra le quali meritano di essere segnalate:

• il comma 1, lett. a), che, riprendendo la definizione di codice di prenotazione prevista dall’articolo 3, par. 1, n. 5), della direttiva PNR, chiarisce il significato di “dati PNR” e rimanda, ai fini di una più precisa determinazione, all’allegato I della direttiva stessa;
• il comma 2, lett. b), ai sensi del quale, per “autorità competenti nazionali” si intendono le Forze di polizia di cui all’articolo 16, primo comma, della legge 1 aprile 1981, n. 121, la Direzione Investigativa Antimafia, gli Organismi di informazione e sicurezza facenti parte del Sistema di Informazione per la Sicurezza della Repubblica, di cui agli articoli 4, 6 e 7 della Legge n. 124/2007, nonché la Direzione Nazionale Antimafia e Antiterrorismo e le Autorità giudiziarie competenti a perseguire i reati di cui al comma 1, lettere e) e f);
• il comma 2, lett. m), che introduce la nozione di “Sistema informativo” quale strumento istituito ex novo per la raccolta, il trattamento e il trasferimento dai dati PNR. Si precisa che, essendo i dati API contenuti nei dati PNR, il Sistema informativo assicura anche il trattamento dei dati API;
• il comma 2, lett. o), ai sensi del quale l’“Unità d’informazione sui passeggeri (UIP) nazionale” è l’unità a composizione interforze istituita al fine di trattare i dati PNR e adottare le misure necessarie a prevenire e reprimere reati di terrorismo o determinati altri reati gravi. L’UIP nazionale è incardinata presso il Dipartimento di pubblica sicurezza, in conformità al criterio di delega recato dall’articolo 12 della Legge di delegazione europea 2016-2017 e, nell’ambito di tale Dipartimento, presso la Direzione Centrale della Polizia Criminale, individuata come l’articolazione dipartimentale che, per le specifiche attribuzioni e per la composizione interforze, risulta più idonea a accogliere un’unità con le caratteristiche e le funzioni dell’UIP nazionale;
• il comma 3, lett. c), che definisce i dati API quali parte dei dati PNR, contenuti, alla stregua di tutti i dati PNR, nel codice di prenotazione e completa la definizione elencando dettagliatamente le singole informazioni componenti il quadro. Tale elenco è il risultato della combinazione tra l’originaria previsione della direttiva API (articolo 3), la conseguente relativa disciplina attuativa (articolo 3, comma 2, decreto legislativo 2 agosto 2007, n. 144) e la disposizione dell’Allegato I, n. 18 della direttiva PNR.

Il Capo II individua le specifiche finalità per le quali i dati PNR e i dati API possono essere trattati (articolo 3) e delinea l’organizzazione complessiva del sistema, definendo il funzionamento del Sistema informativo (articoli 4 e 5), i soggetti legittimati all’effettuazione del trattamento (articoli 6 e 7), le modalità operative del trattamento (articoli 8 e 9) e le condizioni per la conservazione dei dati (articoli 10).

L’articolo 3 sancisce il principio della limitazione delle finalità, stabilendo che i dati PNR e i dati API possono essere trattati, rispettivamente, al fine di prevenire e reprimere reati di terrorismo o altri reati gravi e al fine di prevenire il fenomeno dell’immigrazione irregolare.

Inoltre, la disposizione prevede che in caso di ripristino temporaneo dei controlli di frontiera alle frontiere interne, la disciplina dettata dal presente decreto in materia di trattamento dei dati API si estende anche ai voli intra-UE.

L’articolo 4 istituisce il Sistema informativo finalizzato alla raccolta e al trattamento dei dati PNR e dei dati API e ne detta le regole di utilizzo: le interrogazioni possono essere effettuate esclusivamente per le finalità di cui all’articolo 3 e unicamente da parte del personale titolare di uno specifico profilo di autorizzazione.

Inoltre, si attribuiscono le funzioni di titolare del trattamento dei dati PNR e dei dati API al Dipartimento della pubblica sicurezza e le funzioni di responsabile del trattamento a due diverse articolazioni del predetto Dipartimento e, più in dettaglio, alla Direzione centrale della polizia criminale con riferimento ai dati PNR e alla Direzione centrale dell’immigrazione e della polizia delle frontiere con riferimento ai dati API. In accoglimento di una specifica osservazione formulata dalla Commissione speciale del Senato della Repubblica che chiedeva di allineare i riferimenti normativi alle introducende disposizioni in materia di privacy, si è introdotto, ai commi 1 e 2 della disposizione, il riferimento al decreto legislativo di attuazione della direttiva UE/2016/680.

In relazione ai profili tecnici di funzionamento del Sistema informativo si rinvia a un decreto ministeriale da adottarsi, entro tre mesi dalla data di entrata in vigore del decreto, dal Ministro dell’interno, sentito il Garante per la protezione dei dati personali.
Per le modalità di trasmissione delle informazioni dall’UIP nazionale agli organismi del “comparto intelligence” previsti dagli articoli 4, 6 e 7 della legge n. 124 del 2007, è prevista l’adozione di un regolamento ai sensi degli articoli 13, comma 2, e 43 della medesima legge, di concerto con il Ministro dell’interno.
Viene inoltre prescritto l’obbligo per i vettori aerei di utilizzare, per la trasmissione dei dati, i formati di dati e i protocolli informatici individuati dalla Commissione europea con decisione di esecuzione n. 2017/759/UE della Commissione, del 28 aprile 2017.

Si precisa, infine, che ai fini dell'istituzione del Sistema informativo, sarà realizzata apposita piattaforma informatica presso il Centro Nazionale della Polizia di Stato di Napoli, con connessione al sito di Disaster Recovery (Business Continuity) presso il Centro Polifunzionale della Polizia di Stato di Bari.

L’articolo 5 prescrive l’obbligo per i vettori aerei di trasferire al Sistema informativo i dati PNR relativi ai passeggeri di voli extra-UE e intra-UE, in partenza, in arrivo o facenti scalo nel territorio nazionale.
In particolare, la trasmissione deve avvenire attraverso il “metodo push” (modalità di comunicazione che, secondo il legislatore europeo, offre un elevato livello di protezione dei dati), con mezzo elettronico, utilizzando i formati di dati e i protocolli informatici stabiliti dalla Commissione europea con la decisione di esecuzione 2017/759/UE in un periodo compreso tra le ventiquattro e le quarantotto ore antecedenti all’orario previsto per la partenza del volo e immediatamente dopo la chiusura dello stesso. Tuttavia, se l’accesso ai dati PNR risulta necessario per affrontare un pericolo imminente e concreto che possa essere commesso un reato di terrorismo o un altro reato grave, le informazioni possono essere trasmesse anche in un momento precedente quelli appena indicati.

In accoglimento delle condizioni numero 2 e 3, apposte nel parere - favorevole con condizioni e osservazioni – approvato il 10 maggio 2018 dalla Commissione speciale per l’esame degli atti di Governo della Camera dei Deputati, in relazione allo schema del decreto legislativo,  il comma 4 prevede che i vettori aerei che non effettuano voli secondo un programma operativo pubblico specifico e non possiedono l’infrastruttura necessaria a supportare gli anzidetti formati di dati e protocolli di trasmissione, in conformità a quanto previsto dall’articolo 1, paragrafo 3, della sopra citata decisione di esecuzione, trasferiscono i dati PNR con un mezzo elettronico e utilizzano differenti protocolli di trasmissione che offra adeguate garanzie rispetto alle misure di sicurezza tecniche, individuato dall’UIP nazionale con apposita prescrizione, sentito il Garante per la protezione dei dati personali. Viene definito anche l’oggetto dell’obbligo di trasmissione, sancendo il principio di tassatività dei dati PNR: i vettori aerei devono trasferire unicamente le informazioni indicate nell’allegato I della direttiva PNR. In caso di trasmissione di dati diversi, l’UIP nazionale provvede senza ritardo alla loro definitiva cancellazione.

Nella disposizione in esame confluisce la disciplina dell’obbligo dei vettori aerei di trasmettere i dati API e la motivazione è di tutta evidenza: i dati API, essendo un sottoinsieme dei dati PNR, vengono trasmessi al Sistema informativo contestualmente agli altri dati contenuti nel codice di prenotazione.

L’articolo 6 si occupa della composizione e delle funzioni dell’UIP nazionale, l’organo che si pone in posizione di assoluta centralità nel complesso sistema di introdotto nel nostro ordinamento ai fini dell’attuazione della direttiva PNR.

L’UIP nazionale, infatti, è incaricata di effettuare l’operazione principe, ossia l’attività di analisi dei dati PNR trasmessi dai vettori aerei, al fine di individuare i passeggeri che potrebbero essere implicati in reati di terrorismo o in altri reati gravi. Per di più, in caso di riscontro positivo, ossia qualora il sospetto su uno o più passeggeri risulti fondato, l’UIP nazionale trasmette le informazioni alle autorità competenti nazionali o alle omologhe UIP estere, esercitando una funzione propulsiva rispetto allo strutturato meccanismo di circolarità delle informazioni disciplinato dal successivo Capo III.

Al riguardo, si precisa che il recepimento della direttiva implica l’afflusso di informazioni riguardanti oltre 200.000.000 di passeggeri. Tale rilevante mole di dati può richiedere, soprattutto nella fase di prima attuazione, la necessità di fare ricorso all’intervento di un operatore economico in possesso del necessario know how ai fini della loro acquisizione, mediante adeguati software. L’articolo 6, comma 2, lett. a), disciplinando questa eventualità, mira a garantire – senza aggravi per i vettori, ma comunque nel rispetto della clausola di invarianza finanziaria, che presidia l’intero provvedimento - l’acquisizione centralizzata dei dati da parte dell’UIP e il loro riversamento al Sistema informativo. Al riguardo, in accoglimento della condizione numero 4 del citato parere, il comma 3 dell’articolo prevede che nel caso in cui ci si avvalga del suddetto operatore economico, quest’ultimo sia responsabile del relativo trattamento, ai sensi della normativa vigente in materia di dati personali.

Inoltre, trattandosi dell’attore che, in via principale e prevalente, dispone delle informazioni sui passeggeri e ne effettua il trattamento, l’UIP nazionale si configura anche quale terminale unico per la ricezione di istanze formulate dalle autorità competenti, dalle UIP di altri Stati membri o da Europol, volte a ottenere i dati PNR o i risultati della loro elaborazione.
Si rammenta che i criteri direttivi recati dalla legge di delegazione europea n. 163 del 2017 prevedono che la UIP nazionale venga incardinata in seno al Dipartimento della pubblica sicurezza del Ministero dell’interno. In ossequio a tale criterio direttivo – che non autorizza l’istituzione di uffici dirigenziali generali ad hoc – il provvedimento prevede che l’organizzazione dell’Unità avvenga con gli strumenti tipici stabiliti dall’articolo 5, settimo comma, della legge n. 121 del 1981, ossia il decreto (organizzatorio) del Ministro dell’interno, di concerto con il Ministro dell’Economia e delle Finanze, con il quale vengono individuate competenze ed attribuzioni di uffici retti da Dirigenti Superiori o Primi Dirigenti della Polizia di Stato ed equiparati.

E’ quindi rimessa, rispettivamente, ad un successivo decreto del Ministro dell’interno e ad un dPCM la definizione dei contingenti di personale, della Polizia di Stato e delle altre Forze di polizia, assegnato all’UIP. È, invece, affidato ad un decreto del Ministro dell’interno, di concerto con il Ministro dell’economia e delle finanze ai sensi dell’articolo 5, settimo comma, della legge n. 121 del 1981, il compito di provvedere all’organizzazione della struttura dell’UIP ed alla determinazione della relativa pianta organica.

L’articolo 7 è dedicato al trattamento dei dati API, i quali, pur essendo parte dei dati PNR e venendo quindi trattati dall’UIP nazionale al pari degli altri dati contenuti nel codice di prenotazione, devono essere altresì trattati, ai sensi della direttiva API, dagli Uffici incaricati di svolgere i controlli di polizia di frontiera per le finalità previste dalla stessa direttiva. Per rendere possibile tale operazione, il Sistema informativo è strutturato, da un punto di vista tecnico-operativo, in modo da consentire, una volta ricevuti i dati PNR, il trattamento dei dati PNR ad opera dell’UIP nazionale e il contestuale trattamento del sottoinsieme dei dati API da parte degli operatori di frontiera, nel rispetto delle condizioni e delle finalità previste dai rispettivi Atti comunitari. 

L’articolo 8 prevede un’analitica descrizione delle procedure di trattamento dei dati PNR, specificando le modalità operative tramite le quali l’UIP nazionale procede all’analisi delle informazioni. Tale analisi viene effettuata confrontando i dati PNR con le informazioni contenute nelle banche dati nazionali, europee e internazionali che possano fornire riscontri utili ai fini di prevenzione e repressione dei reati di terrorismo e dei reati gravi, ovvero trattando le informazioni sulla base di criteri predeterminati, individuati dalla stessa UIP nazionale e periodicamente aggiornati sentite le autorità competenti nazionali. Tanto nella fase più ampia dell’attività di analisi dei dati, quanto nella fase più specifica della determinazione dei criteri, viene dato ampio risalto alla necessità di rispettare il principio di non discriminazione. In particolare, al comma 2, in accoglimento della condizione numero 1 del citato parere, viene specificato che i criteri in base ai quali vengono trattate le informazioni sono individuati nel rispetto del principio di necessità – oltre che di proporzionalità, già presente nel testo – in relazione alle finalità per le quali il trattamento è consentito.

La disposizione in esame definisce anche le condizioni per la successiva comunicazione di eventuali riscontri positivi alle autorità competenti nazionali, prevendendo un previo esame non automatizzato delle informazioni, condotto sul singolo caso e finalizzato a verificare la necessità dell’adozione di provvedimenti e misure da parte delle stesse autorità.
Si precisa, infine, che tali provvedimenti e misure non pregiudicano la possibilità di fare ingresso nel territorio dello Stato delle persone che godono del diritto di libera circolazione all’interno dell’Unione Europea in conformità al decreto legislativo 6 febbraio 2007, n. 30 e al regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio, del 9 marzo 2016. Tale previsione è in linea con il principio generale, enunciato dalla direttiva PNR (“considerando” n. 34), per il quale rimangono impregiudicate le attuali norme unionali che regolano l’ingresso e l’uscita dal territorio comunitario e quelle che definiscono le modalità di effettuazione dei controlli alle frontiere.

L’articolo 9 disciplina le modalità di trattamento dei dati API. Viene previsto che, immediatamente dopo la chiusura del volo, il Sistema informativo li rende consultabili da parte degli operatori di frontiera, per le finalità di prevenzione dell’immigrazione irregolare. I dati rilevanti per le citate finalità sono accessibili dagli Uffici di polizia di frontiera per un periodo di sei mesi dal loro trasferimento, mentre quelli irrilevanti sono resi non più visibili ai predetti Uffici entro ventiquattro ore dal momento della loro comunicazione, ovvero dopo l’ingresso dei passeggeri nel territorio dello Stato, in conformità alle disposizioni recate dalla direttiva API. Anche per il trattamento di tale tipologia di dati, in accoglimento della condizione numero 1 del citato parere, viene specificato che lo stesso è effettuato nel rispetto dei principi di necessità e di proporzionalità, in relazione alle finalità per le quali il trattamento è consentito.

L’articolo 10 è dedicato alla conservazione dei dati PNR e stabilisce, in sintesi, che tali dati, seppur conservati nel Sistema informativo per un periodo di cinque anni dal momento del loro trasferimento, siano pseudonimizzati allo scadere del sesto mese dal trasferimento stesso, mediante il mascheramento di specifici elementi idonei a identificare il soggetto cui si riferiscono. Nel testo, in accoglimento della condizione n.5 del parere espresso sul provvedimento, si fa riferimento alla nozione di pseudonimizzazione che, come indicato dal Garante per la protezione dei dati personali nel parere espresso il 22 febbraio 2018, è la modalità, introdotta dal Regolamento (UE) 2016/679, che consente la “reidentificazione” degli interessati, i cui dati siano stati oggetto di mascheramento, quando ciò sia necessario, ai sensi del comma 3 dell’articolo in esame.

Nell’ipotesi in cui le informazioni siano state trasferite a una delle Autorità competenti nazionali e rilevino nell’ambito di uno specifico caso di prevenzione e repressione di un reato di terrorismo o di un altro reato grave, il regime di conservazione delle informazioni segue le pertinenti disposizioni del codice di procedura penale, quelle vigenti in materia di trattamenti di dati personali per finalità di polizia, ovvero quelle riguardanti i trattamenti effettuati dagli organismi di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124.

La procedura di pseudonimizzazione determina riflessi sulla procedura di scambio informativo con le UIP di altri Stati membri e sul meccanismo di trasmissione dei dati o del risultato del loro trattamento alle autorità competenti (nazionali e straniere) e ad Europol. Infatti, se l’istanza volta a ottenere la trasmissione delle informazioni viene presentata decorsi i sei mesi, e quindi successivamente all’effettuazione dell’attività di mascheramento, l’UIP nazionale trasmette i dati solo in presenza di una richiesta debitamente motivata e previa autorizzazione dell’Autorità giudiziaria o del Vice Capo della polizia - Direttore centrale della polizia criminale, qualora si proceda nell’ambito di un procedimento penale o per l’applicazione di una delle misure di prevenzione disposte dall’Autorità giudiziaria ai sensi del Codice antimafia, ovvero per finalità di prevenzione.

L’articolo 11, coerentemente con la previsione di cui all’articolo 6 della direttiva API, disciplina l’obbligo dei vettori aerei di cancellare i dati API di cui dispongono entro ventiquattro ore dall’arrivo del volo.
Quest’ultima disposizione merita una riflessione ulteriore, con particolare riferimento all’assenza di un’omologa prescrizione in materia di dati PNR. Tale disallineamento trova fondamento, da un punto di vista formale, nell’assenza di una corrispondente previsione nella direttiva PNR e, da un punto di vista materiale, nella diversità di informazioni contenute nelle due tipologie di dati. I dati API comprendono sostanzialmente dati anagrafici e sono utilizzati per effettuare interrogazioni di banche dati al fine di individuare l’eventuale sussistenza di motivi ostativi all’ingresso dei passeggeri nel territorio dello Stato. Pertanto, una volta giunto il volo, non si ravvisano utilità per le quali i vettori aerei potrebbero continuare a conservare i dati API. I dati PNR, invece, comprendono una vasta gamma di informazioni, ben più ampie di quelle contenute nei dati API e, pertanto, potrebbero presentare profili di interesse per i vettori aerei nell’ambito di eventuali futuri riscontri o accertamenti necessari per affrontare contenziosi sorti nel corso dell’attività d’impresa.

Il Capo III prevede la regolamentazione del flusso informativo dei dati PNR e dei risultati del loro trattamento, in un’ottica di rafforzamento del meccanismo di condivisione delle informazioni e della cooperazione europea in materia di prevenzione e repressione dei fenomeni criminosi.

Più nel dettaglio, si disciplina, da un lato, la procedura di comunicazione delle informazioni a livello interno, ossia le modalità di cooperazione tra l’UIP nazionale e le autorità competenti nazionali (articolo 12) e, dall’altro, i meccanismi di comunicazione internazionale, ovverosia l’interscambio informativo tra l’UIP nazionale e le UIP o le Autorità competenti di altri Stati membri (articoli 13-17), oltreché il trasferimento dei dati a Europol (articolo 18) e ai Paesi terzi (articolo 19).

Gli articoli 12 e 13 stabiliscono le modalità con le quali l’UIP nazionale trasmette i dati PNR o i risultati del loro trattamento, rispettivamente, alle autorità competenti nazionali e alle UIP di altri Stati membri, di propria iniziativa (in caso di riscontro positivo risultante dall’attività di analisi), ovvero come risposta ad una richiesta debitamente motivata dei predetti attori istituzionali, definendo le condizioni di ammissibilità della domanda.

Ai sensi dell’articolo 12, se l’UIP nazionale, all’esito del trattamento non automatizzato delle informazioni, rileva riscontri positivi, trasmette i dati PNR o il risultato del loro trattamento alle autorità competenti nazionali, consentendo a queste ultime di effettuare ulteriori verifiche e adottare le misure e i provvedimenti necessari a prevenire o reprimere reati di terrorismo o altri reati gravi. Tali provvedimenti, determinanti conseguenze giuridiche negative per l’interessato, non possono essere adottati esclusivamente sulla base del trattamento automatizzato dei dati PNR, né possono fondarsi su ragioni discriminatorie.

In alternativa al trasferimento delle informazioni d’iniziativa dell’UIP nazionale, si prevede la possibilità che, per le medesime finalità, le autorità competenti nazionali possano chiedere all’UIP nazionale la trasmissione dei dati PNR o dei risultati del loro trattamento.

Ai sensi dell’articolo 7, paragrafo 5, della direttiva PNR, l’ulteriore trattamento delle informazioni operato dalle autorità competenti “non pregiudica le competenze delle autorità di contrasto e giudiziarie nazionali qualora siano individuati altri reati o indizi di reato durante l'azione di contrasto determinata da tale trattamento”.

L’attuazione di tale disposizione non sembra richiedere un’espressa norma di trasposizione nell’ordinamento interno, in virtù del generale principio del nostro sistema processuale per il quale, in assenza di espressi divieti, le informazioni possono essere utilizzate per le finalità, alle condizioni e con le modalità previste dalle pertinenti disposizioni in vigore.

Ai sensi dell’articolo 13, l’UIP nazionale, se rileva riscontri positivi, trasmette alle UIP di altri Stati membri le informazioni utili a prevenire o reprimere reati di terrorismo o altri reati gravi e, per le medesime finalità, è tenuta a trasmettere i dati PNR o, se già effettuato, i risultati del trattamento, in caso di richiesta debitamente motivata proveniente dalle UIP estere.

Decorsi sei mesi dal trasferimento effettuato dai vettori aerei, e quindi una volta effettuata l’operazione di pseudonimizzazione dei dati PNR, l’UIP nazionale trasmette le informazioni alle condizioni previste dall’articolo 10, comma 3, ossia sulla base di una richiesta debitamente motivata e previa autorizzazione dell’Autorità giudiziaria o del Vice Capo della polizia - Direttore centrale della polizia criminale, qualora si proceda nell’ambito di un procedimento penale o per l’applicazione di una delle misure di prevenzione disposte dall’Autorità giudiziaria ai sensi del Codice antimafia, ovvero per finalità di prevenzione.

Nel caso di pericolo, imminente e concreto, che possa essere commesso un reato di terrorismo o un altro reato grave, per il quale si rende necessario ottenere i dati PNR di determinati voli prima delle tempistiche ordinarie, l’UIP estera può chiedere all’UIP nazionale di ottenere le informazioni in un momento antecedente al periodo compreso tra le ventiquattro e le quarantotto ore precedente l’orario previsto per la partenza del volo. In tal caso, l’UIP nazionale veicola l’istanza ai vettori aerei interessati, al fine di ottenere da questi ultimi le informazioni e diramarle alle UIP estere richiedenti.

L’articolo 14 definisce i presupposti in presenza dei quali l’UIP nazionale è legittimata a trasmettere le informazioni direttamente alle autorità competenti di altri Stati membri, sancendo, implicitamente, il principio generale per il quale le autorità competenti di altri Stati membri, di regola, dialogano con l’UIP nazionale attraverso l’UIP del proprio Stato.

L’articolo 15 disciplina le condizioni di procedibilità per la presentazione dell’istanza da parte dell’UIP nazionale volta ad ottenere la trasmissione dei dati PNR o del risultato del loro trattamento da parte dell’UIP di altro Stato membro, disponendo che la richiesta deve essere debitamente motivata in relazione a un caso specifico di prevenzione e repressione dei reati di terrorismo o dei reati gravi.
Una volta ottenute le informazioni richieste, l’UIP nazionale effettua gli accertamenti di competenza e interessa, quando ne ricorrono le condizioni, le autorità competenti nazionali.

Si prevede, infine, la possibilità per l’UIP nazionale di ottenere le informazioni in anticipo rispetto al termine ordinario, parallelamente a quanto previsto per le UIP di altri Stati membri, applicando, a parti invertite, il medesimo meccanismo previsto dall’articolo 13.

L’articolo 16 sancisce il principio generale secondo il quale le autorità competenti nazionali dialogano con l’UIP di altri Stati membri attraverso l’UIP nazionale e, a seguire, ne disciplina l’eccezione, prevedendo specifiche condizioni che legittimano le autorità competenti nazionali a rivolgersi direttamente all’UIP estera.

L’articolo 17 si occupa delle modalità operative per lo scambio delle informazioni effettuato ai sensi degli articoli da 13 a 16, prescrivendo l’utilizzo di qualsiasi canale esistente di cooperazione internazionale di polizia.

Inoltre, il ruolo di punto di contatto italiano per la procedura d’emergenza viene attribuito all’UIP nazionale, essendo quest’ultima un’unità operante senza soluzione di continuità nell’arco delle ventiquattro ore.

L'articolo 18 stabilisce presupposti e modalità per la trasmissione dei dati PNR o dei risultati del loro trattamento a Europol. In particolare, quanto ai presupposti, l'UIP nazionale può trasferire le informazioni al citato organismo europeo in presenza di determinate condizioni e sulla base di una specifica istanza, veicolata tramite l'Unità Nazionale Europol e soggiacente a stringenti condizioni di ammissibilità. Quanto alle modalità, invece, la norma prevede che lo scambio delle informazioni tra l'UIP ed Europol avvenga attraverso l'applicazione SIENA (Secure Information Exchange Network Application), come richiesto dall’articolo 10, comma 4 della direttiva.

Tale articolo declina il “considerando” 24, secondo il quale la sicurezza dello scambio reciproco di informazioni relative ai dati PNR tra gli Stati membri dovrebbe essere garantita tramite uno dei canali di cooperazione esistenti tra le Autorità competenti degli Stati membri e, in particolare, con Europol tramite l'applicazione di rete per lo scambio di informazioni protetta, denominata SIENA. Tale rete è uno strumento ideato per consentire una comunicazione e uno scambio rapidi, sicuri e pratici di informazioni e di intelligence operative e strategiche riguardanti la criminalità fra Europol, gli Stati membri e i Paesi terzi con cui Europol ha concluso accordi di cooperazione.

L’articolo 19 definisce i presupposti per la trasmissione dei dati PNR e dei risultati del loro trattamento ai Paesi terzi. A tal fine, viene riprodotta fedelmente la disciplina dettata dalla direttiva PNR, che viene, peraltro, arricchita di una necessaria precisazione: sono fatte salve le condizioni previste da eventuali accordi internazionali. Si specifica che il trasferimento dei dati PNR a Paesi terzi, in relazione a casi individuali, avviene in conformità alle previsioni, oltre che delle disposizioni del decreto, anche di quelle del Codice della privacy.

Il Capo IV reca disposizioni riguardanti la tutela dei dati personali oggetto dei trattamenti effettuati ai sensi del presente decreto.

I primi due articoli introducono e definiscono le due figure che rivestono un ruolo centrale sul piano della tutela del diritto di protezione dei dati personali di cui godono, ai sensi del Codice per la protezione dei dati personali, gli interessati e, nel caso di specie, i passeggeri le cui informazioni vengono trattate.

L’articolo 20 stabilisce che l’autorità deputata a ricoprire il ruolo di Autorità nazionale di controllo, così come disciplinata dalla direttiva PNR, è il Garante per la protezione dei dati personali, il quale esercita l’attività di controllo sul trattamento dei dati personali, ai sensi del quadro normativo vigente, e ha una funzione consultiva e di supporto nei confronti degli interessati relativamente all’esercizio dei loro diritti di protezione dei dati personali.

La disposizione richiama integralmente le disposizioni del Codice della privacy e quindi tutti i poteri di cui il Garante è titolare con riguardo ai trattamenti di dati per finalità di polizia o giudiziari. Peraltro, il rinvio operato è di natura “mobile” e consente di richiamare anche le previsioni che integreranno la disciplina di quel corpus iuris per effetto del recepimento della direttiva (UE) 2016/680. Si aggiunge che il provvedimento contiene ulteriori specificazioni dei poteri del Garante, per le quali si fa rinvio all’illustrazione dell’articolo 22.

L’articolo 21 si occupa del responsabile della protezione dei dati, figura complementare a quella del Garante e parimenti essenziale nell’architettura complessiva del sistema di protezione dei dati, cui viene attribuito il fondamentale compito di vigilare sulla correttezza e sulla liceità del trattamento delle informazioni.

Il responsabile della protezione dei dati garantisce, inoltre, l’attuazione di tutte le misure tecniche e di sicurezza, nel rispetto di quanto disposto dal Codice per la protezione dei dati personali e funge da punto di contatto unico per gli interessati per tutte le questioni connesse al trattamento dei dati PNR che li riguardano.

La figura del responsabile della protezione dei dati è delineata in maniera differenziata rispetto a quelle del titolare e del responsabile del trattamento, di cui agli articoli 4, commi 1 e 2, e 21 del provvedimento. Tali differenti figure sono identificate in termini assolutamente compliant con le previsioni del Codice della privacy, che viene, infatti, richiamato. Il richiamo al Codice consente di escludere situazioni di confusione o sovrapponibilità con i compiti demandati al “responsabile della protezione dei dati” – figura assimilabile al data protection officer di cui al regolamento (UE) 2016/679 – ed all’UIP, i quali trovano il loro specifico “statuto” nelle previsioni della direttiva (UE) 2016/681.

Per quanto riguarda la sua posizione ordinamentale, se ne prevede la collocazione all’interno del Dipartimento di pubblica sicurezza, nell’ambito della Direzione centrale della polizia criminale, demandando la precipua individuazione a un successivo decreto del Capo della polizia – Direttore generale della pubblica sicurezza.

Tale scelta risponde a un’interpretazione sistematica e teleologicamente orientata delle pertinenti disposizioni della direttiva PNR, le quali postulano che il responsabile della protezione dei dati sia collocato in una posizione indipendente rispetto all’UIP nazionale. Ciò si evince, in particolare, dagli articoli 5, paragrafo 2, e 6, paragrafo 7, della direttiva, ai sensi dei quali il responsabile adempie alle proprie funzioni in modo efficace e indipendente e ha accesso a tutti i dati trattati dall’UIP. Tale soluzione evita che si verifichi una situazione di coincidenza dei compiti del “controllore” con quelli dell’organismo “controllato”, garantendo, pertanto, che il responsabile operi nella prescritta posizione di indipendenza.

Detta strutturazione appare coerente rispetto a quella adottata da diversi altri Stati membri dell’Unione che, pur nelle differenze organizzative dovute alla diversa strutturazione del comparto sicurezza, hanno optato nelle loro scelte nel senso della valorizzazione delle caratteristiche di indipendenza del Responsabile per la protezione dei dati dalla struttura organizzativa dell'UIP, oggetto dell'attività di controllo    da parte del Responsabile stesso. In particolare gli Stati nei quali l'implementazione della direttiva PNR risulta in fase più avanzata hanno inteso designare quale responsabile per la protezione dei dati figure al di fuori dell'UIP, al fine di meglio garantire l'indipendenza della funzione, istituendo unità organizzative (almeno) di pari livello gerarchico dell'UIP stessa.

Si prevede, infine, l’ovvia e auspicata attività di cooperazione e confronto tra le due figure cardine del sistema di protezione dei dati, attribuendo al responsabile la facoltà di rivolgersi al Garante nel caso dovesse rilevare ipotesi di trattamento illecito di dati.

L’articolo 22 stabilisce che ai trattamenti dei dati personali effettuati in base al presente decreto si applicano le disposizioni di cui al decreto legislativo di attuazione della direttiva UE/2016/680, nonché del Titolo III, limitatamente ai trattamenti effettuati dagli organismi di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, al fine di assicurare l’attuazione delle misure di sicurezza necessarie a garantire la protezione dei dati.

Viene, poi, regolato l’obbligo per l’UIP di mettere a disposizione dell’Authority la documentazione afferente a sistemi e procedure di trattamento, nonché i registri delle attività compiute dall’UIP, come pure di comunicare al Garante i casi di data breach.

Si fa inoltre presente che le disposizioni del Codice della privacy si applicano tanto al trattamento dei dati effettuato dall’UIP nazionale, quanto al trattamento dei dati operato dai vettori aerei.
Questi ultimi, in particolare, devono adempiere all’obbligo di informativa previsto dall’articolo 13 del Codice e sono tenuti a adottare tutte le misure tecniche ed organizzative a tutela della sicurezza e della riservatezza dei dati.

L’UIP nazionale, godendo di un più ampio e incisivo potere di intervento sulle informazioni, è soggetta a oneri ulteriori rispetto all’adozione delle anzidette misure tecniche ed organizzative, individuabili, in sintesi, nell’obbligo di conservazione della documentazione relativa ai sistemi e alle procedure di trattamento e di appositi registri delle attività di raccolta, consultazione, comunicazione e cancellazione dei dati. In particolare, in accoglimento delle condizioni numero 6 e 7 del citato parere espresso dalla Commissione speciale, il comma 7 è stato integrato precisando che per la conservazione dei predetti registri sono adottate modalità di sicurezza tali da evitare il rischio di distruzione o perdita, anche accidentale, degli stessi, nonché di accesso non autorizzato ovvero di trattamento non consentito o non conforme alle finalità previste nel provvedimento. È stato altresì previsto che l’indicazione della finalità, della data e dell'ora dell'operazione e degli elementi relativi all'identità della persona che ha consultato o comunicato i dati PNR, nonché dei destinatari di tali dati, è necessaria al fine di garantire le esigenze di tracciamento e monitoraggio delle consultazioni. La documentazione e i registri, a seguito di richiesta, devono essere messi a disposizione del Garante. Inoltre, l’UIP nazionale è tenuta a esercitare una funzione di “autocontrollo” in termini di correttezza del trattamento dei dati che effettua: se viene rilevata una violazione della disciplina in tema di protezione dei dati personali, l’Unità deve informarne, senza ritardo, l’interessato e il Garante.

Infine, a completamento del delineato sistema di protezione dei dati, si prevede il divieto per l’UIP nazionale di effettuare il trattamento con modalità tali da rivelare i dati sensibili dei passeggeri e, nell’ipotesi in cui tale situazione si dovesse di fatto comunque verificare, si prescrive l’immediata cancellazione delle relative informazioni.

L’articolo 23 chiude il Capo IV riconoscendo ai soggetti interessati dai trattamenti disciplinati dal presente decreto i diritti previsti dall’articolo 10, commi 3, 4 e 5 della legge n. 121 del 1981. Si prevede che i diritti siano esercitati previa presentazione di istanza alla Direzione centrale della polizia criminale, tramite la quale l’interessato può domandare che dell’esercizio di tali diritti venga data evidenza con l’apposizione di un’apposita indicazione (cd. “diritto di flag”). Tale indicazione può essere rimossa a richiesta dell’interessato o per effetto di un provvedimento adottato dal Garante ai sensi del Codice per la protezione dei dati personali.

Il Capo V reca la disciplina sanzionatoria e le disposizioni transitorie e finali.

In particolare, l’articolo 24 prevede distinte ipotesi di violazione degli obblighi previsti dal presente decreto con conseguente individuazione delle autorità competenti a irrogare le rispettive sanzioni amministrative.

Nel caso di omesso, errato o incompleto trasferimento dei dati PNR da parte dei vettori aerei, la sanzione amministrativa è irrogata dall’ENAC nelle forme del procedimento previsto dalla legge 24 novembre 1981, n. 689, per ogni viaggio per il quale i dati dei passeggeri non sono stati comunicati o sono stati comunicati in modo errato o incompleto. Analoga sanzione è irrogata dall’ENAC in caso di mancato adempimento alle prescrizioni dettate dall’UIP nazionale per garantire la trasmissione dei dati PNR al Sistema Informativo.

Nel caso di omessa cancellazione dei dati API nel termine previsto dall’articolo 11, la sanzione amministrativa è irrogata dal Garante per la protezione dei dati personali, ai sensi dell’articolo 166 del relativo Codice.

È fatta salva, infine, l’applicazione dell’articolo 12, comma 6, del Testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286.

In accoglimento della condizione numero 8 posta nel parere espresso dalla Camera dei Deputati, con la quale si chiede di prevedere, all'articolo 24, una diversa modulazione nei minimi delle sanzioni amministrative pecuniarie previste, in funzione della gravità delle condotte punite, che possa meglio rispondere ai criteri di proporzionalità, dissuasività ed effettività, anche al fine di tenere conto di eventuali criteri quantitativi, si evidenzia quanto segue.

È stata rimodulata nel minimo la sanzione amministrativa pecuniaria prevista dal citato articolo 24, comma 1, per i casi di mancata trasmissione dei dati o per la trasmissione con modalità differenti da quelle previste dall'articolo 5 o per la trasmissione di dati incompleti o errati o per il mancato adempimento entro il termine fissato alle prescrizioni dell’UIP nazionale, adottate per garantire il trasferimento dei dati PNR al Sistema Informativo. La sanzione è stata determinata in una forbice compresa tra euro 5.000 ed euro 100.000. La divaricazione della cornice edittale garantisce proporzionalità, effettività e dissuasività del trattamento sanzionatorio. Consente, infatti, al giudicante la possibilità di commisurare in concreto, sulla base di criteri fattuali, la sanzione all’effettivo disvalore delle singole violazioni, in applicazione dei criteri stabiliti legge 24 novembre 1981, n. 689. Potranno incidere sulla quantificazione della sanzione, in particolare, la pluralità delle violazioni relative al viaggio, la natura oggettiva delle medesime, la natura colposa o dolosa della condotta (art. 3, comma primo, l. n. 689 del 1981), l’intensità del dolo o il grado della colpa, la gravità del danno o del pericolo cagionato, l’eventuale vantaggio derivatone al colpevole o all’ente nel cui interesse egli abbia agito, l’opera svolta dall’agente per l’eliminazione o attenuazione delle conseguenze delle violazioni, le condizioni economiche del colpevole.

Con riferimento alla fattispecie di cui all’articolo 24, comma 4, i limiti della delega non consentono di modulare la sanzione in modo difforme da quanto già previsto nell'art. 5, comma 4, del decreto legislativo n. 144 del 2007, che commina la sanzione amministrativa pecuniaria da euro 5.000 ad euro 50.000 per il vettore che non provvede a cancellare i dati raccolti e trasmessi ai sensi dell'articolo 3, entro le ventiquattro ore dall'arrivo del volo.

L’articolo 25 prevede l’onere di comunicare annualmente alla Commissione europea elaborazioni statistiche concernenti i dati PNR trasmessi all’UIP nazionale.

L’articolo 26 detta la disciplina transitoria che è stata modificata in accoglimento della condizione n. 9 posta dalla Camera dei deputati. Viene, pertanto, previsto che il decreto legislativo n. 144/2007 ed il decreto del Ministro dell’interno 16 dicembre 2010 sono abrogati dalla data di entrata in vigore del decreto ministeriale adottato in attuazione dell’articolo 4, comma 5 e, comunque, trascorsi sei mesi dalla data di entrata in vigore del presente decreto legislativo. Viene inoltre chiarito che, dalla suddetta data, il Border Control System Italia (BCS) cessa la propria operatività ed ogni riferimento normativo al predetto è sostituito da quelli relativi al Sistema informativo di cui all’articolo 4.

Più in dettaglio, il Sistema informativo sostituirà materialmente il Sistema informativo frontaliero una volta entrato a completo regime, al fine di garantire l’imprescindibile continuità del servizio di analisi preventiva dei dati sui passeggeri, volta a prevenire il fenomeno dell’immigrazione irregolare.

In accoglimento della condizione numero 10, è stato introdotto il comma 3, che prevede il monitoraggio, da parte del Dipartimento della Pubblica Sicurezza del Ministero dell’Interno, della congruità delle risorse finanziarie destinate alla realizzazione del Sistema Informativo nonché, a partire dall’esercizio finanziario 2019, di quelle destinate al funzionamento dello stesso.
Infine, l’articolo 27 reca la clausola di neutralità finanziaria del provvedimento.

Non possono, viceversa, trovare accoglimento le osservazioni contenute nel citato parere, che invitano il Governo a valutare l’opportunità di:

1. restringere il campo di applicazione del provvedimento in esame alle sole tratte extra-UE, ovvero solo ad alcune tratte intra-UE;
2. definire i dati PNR come le informazioni effettivamente presenti e trattate nella prenotazione effettuata dal passeggero;
3. limitare il trasferimento dei dati API a quelli “eventualmente” raccolti;
4. rivisitare le disposizioni concernenti il trattamento dei dati API, espungendo quelle modificative del decreto legislativo n. 144/2007.

In particolare, in relazione all’osservazione sub a), si evidenzia che l’estensione della disciplina relativa alla trasmissione e al trattamento dei dati PNR anche ai voli intra-UE, prevista dall’articolo 1, comma 1, lett. a), del provvedimento, costituisce attuazione allo specifico criterio di delega contenuto dall’articolo 12, comma 1, lett. b), della Legge di delegazione europea 2016-2017 (L. 25 ottobre 2017, n. 163), tramite il quale lo Stato italiano ha manifestato la volontà di avvalersi di una facoltà espressamente concessa dall’articolo 2 della Direttiva PNR. Pertanto, l’accoglimento dell’osservazione si porrebbe in contrasto con l’espresso precetto contenuto nella legge di delega,  esponendo il provvedimento a una possibile declaratoria di illegittimità costituzionale sullo specifico punto per palese violazione dell’articolo 76 della Costituzione. Al riguardo, infatti, giova sottolineare che, per consolidata giurisprudenza del Giudice delle leggi, le norme di delegazione si configurano quali norme interposte – tra il citato art. 76 e il decreto legislativo delegato – cioè come norme che, pur non avendo rango costituzionale, condizionano la validità delle norme prodotte da fonti legislative ordinarie.

Relativamente alle osservazioni sub b) e sub c), si ritiene opportuno premettere le seguenti considerazioni.
Il provvedimento in esame prevede l’obbligo per i vettori aerei di trasmettere tutte le informazioni espressamente menzionate dall’articolo 2, comma 1, lett. a), per i dati API, e dall’allegato I alla Direttiva (UE) 2016/681, per i dati PNR, rendendo tassativi i relativi elenchi.

Tale previsione, non solo discende da una puntuale attuazione dei principi recati dalla Direttiva PNR, ma risponde altresì all’esigenza di mettere a disposizione dell’UIP nazionale il maggior numero di informazioni utili all’attività di analisi e alla consequenziale attività di prevenzione e repressione del terrorismo e dei reati gravi, che costituisce il fine ultimo che ha guidato la stessa introduzione della normativa unionale.

Pertanto, l’accoglimento delle osservazioni in parola, oltre a comportare una disomogeneità dei dati raccolti, determinerebbe una riduzione quantitativa e qualitativa del patrimonio informativo a disposizione e conseguentemente renderebbe estremamente difficoltoso sviluppare un’efficace analisi dei dati, frustrando l’obiettivo primario della normativa comunitaria.
L’accoglimento, inoltre, esporrebbe l’Italia al rischio di infrazione per non esatto recepimento, sul punto, della Direttiva che, come detto, individua il contenuto minimo e massimo dei dati PNR.

Alle considerazioni sopra svolte, si aggiunge, per quanto concerne in particolare l’osservazione sub c), che la stessa sembra muovere dal presupposto che i dati API siano oggetto di una trasmissione distinta e parallela rispetto a quella che ha ad oggetto i dati PNR. Al riguardo, si ribadisce che i dati API sono una parte dei dati PNR e, come tali, devono essere trasferiti dai vettori assieme ai restanti dati contenuti nel codice di prenotazione, così come descritto sub articolo 5.

L’eventuale coesistenza di due trasmissioni separate per i dati API e per i dati PNR implicherebbe una duplicazione degli adempimenti per gli stessi vettori aerei, nonché l’istituzione di due diversi sistemi informativi contenenti dati personali parzialmente sovrapponibili.

Il provvedimento in esame, viceversa, prevede l’istituzione di un unico sistema nell’ambito del quale raccogliere i dati API e i dati PNR, in conformità al “principio di necessità” sancito dall’articolo 3 del Codice per la protezione dei dati personali, nonché ai criteri di semplificazione enunciati dall’articolo 32 della Legge 24 dicembre 2012, n. 234, cui fa rinvio l’articolo 12 della Legge di delegazione europea 2016-2017.

Inoltre, è lo stesso ordinamento comunitario a richiedere il rispetto dei principi di proporzionalità e necessità nelle soluzioni normative e amministrative adottate dagli Stati membri in fase di attuazione degli atti comunitari, come espressamente sancito dalla Corte di Giustizia e dalle direttive europee, quali, a titolo si esempio, la Direttiva “Bolkestein”.
Premessa quindi l’unicità della trasmissione dei dati da parte dei vettori, il decreto legislativo, agli articoli 8 e 9, distingue la successiva fase del trattamento, rispettivamente, dei dati PNR e dei dati API, al fine di garantire le diverse finalità sottese alle due tipologie di dati. Tale soluzione garantisce che il trattamento dei dati API sia limitato ai voli extra-UE in ingresso sul territorio nazionale, salva l’ipotesi di ripristino temporaneo dei controlli di frontiera alle frontiere interne.

Anche l’osservazione sub d) sembra evocare la prospettiva della coesistenza di due circuiti paralleli, uno per la trasmissione e il trattamento dei dati API e l’altro per la trasmissione e il trattamento dei dati PNR, sul presupposto che l’assorbimento della disciplina attuativa della Direttiva API nel presente decreto possa in qualche modo compromettere le garanzie che il decreto legislativo n. 144/2007 oggi prevede in termini di tutela della protezione dei dati personali.
Nel richiamare le argomentazioni sopra esposte in ordine alle esigenze che hanno motivato l’operazione di unificazione del sistema e delle rispettive normative attuative, si evidenzia che le disposizioni concernenti il trattamento dei dati API contenute nella disciplina ad oggi vigente sono state puntualmente trasfuse nel provvedimento all’esame.
In particolare:

• l’articolo 1, comma 2, fa espresso riferimento al trattamento dei dati API trasmessi dai vettori aerei in relazione ai voli extra-UE in ingresso nel territorio dello Stato italiano, non essendo previsto il trattamento dei dati API né per i voli intra-UE (con l’unica eccezione del ripristino dei controlli alle frontiere interne), né per i voli extra-UE in uscita dal territorio nazionale;
• il periodo di conservazione dei dati, fissato dalla Direttiva API in ventiquattro ore, resta confermato all’articolo 9;
• con riferimento alla loro cancellazione, nell’assunto che i dati API siano una parte dei dati PNR – conservabili, previo mascheramento, fino a cinque anni – è stata individuata una modalità tecnica che ne prevede la non visibilità per gli operatori degli Uffici incaricati di effettuare i controlli di polizia di frontiera. Tale soluzione consente altresì di lasciare inalterato il livello di protezione dei dati personali rispetto agli standard oggi contemplati nel d.lgs. n. 144/2007.

La Commissione speciale istituita presso il Senato della Repubblica ha, altresì, formulato le seguenti osservazioni:

1. la necessità di allineare i rinvii previsti nel provvedimento al Codice della privacy all’emanando Regolamento UE 2016/679, nonchè al recepimento della Direttiva UE 2016/680;
2. l’adozione di misure tecniche e organizzative adeguate nell’ambito dell’utilizzo del sistema informativo unitario, al fine di garantire il rispetto dei principi di necessità, proporzionalità e finalità nel trattamento dei dati PNR e API;
3. con riferimento alla trasformazione in forma anonima dei dati mediante mascheramento l’utilizzo della definizione di “pseudonimizzazione”, in linea con quanto previsto dal suddetto Regolamento UE 2016/679;
4. la rivisitazione delle disposizioni relative al trattamento dei dati API, in coerenza con il sistema di garanzie a tutela della protezione dei dati personali;
5. nell’ambito dell’articolo 22, la necessità di adottare preventive misure di sicurezza o per ridurre al minimo i rischi di distruzione o perdita dei registri di raccolta, consultazione, comunicazione e cancellazione dei dati;
6. all’articolo 24, chiarire l’ambito di applicazione dell’impianto sanzionatorio che non appare coerente con i principi di proporzionalità e ragionevolezza. 

Con riguardo all’osservazione di cui al punto 1), si è provveduto ad allineare i riferimenti normativi presenti nel testo nel senso richiesto, apportando le necessarie modifiche ed introducendo – laddove richiesto – gli opportuni richiami alle introducende disposizioni in materia di privacy.

Sul punto 2), si evidenzia che, in accoglimento della condizione n.1 posta nel parere reso dalla Commissione speciale istituita presso la Camera dei Deputati, il rispetto dei principi di necessità, proporzionalità e finalità nel trattamento dei dati è già stato garantito tramite specifiche modifiche introdotte negli articoli 8 e 9 del provvedimento, rispettivamente dedicati al trattamento dei dati PNR e API.
In ordine al punto 3) si evidenzia che l’osservazione in argomento ripropone il contenuto della condizione sub 5) posta dalla Camera, in accoglimento della quale sono state introdotte specifiche modifiche agli articoli 10, comma 2 e 13, comma 3, come sopra detto.

Sul punto 4) si richiama integralmente quanto già evidenziato in relazione alla condizione n.1 della Camera dei Deputati.

In relazione al punto 5), in accoglimento delle condizioni n. 6 e 7 poste dalla Camera, si richiama quanto già evidenziato nella presente relazione, nell’ambito dell’articolo 22.

In relazione al punto 6, si richiama quanto esposto a giustificazione dell’accoglimento della condizione n. 8 espressa dalla Camera dei Deputati.