Frequently Asked Questions (FAQ)
Frequently Asked Questions sul Sistema di Trattamento dei dati PNR
1.Cosa sono i dati PNR (Passenger Name Record – Dati del Codice di Prenotazione)
I dati PNR sono costituiti da un insieme di informazioni relative alla prenotazione di un volo da parte di uno o più passeggeri; tali informazioni, conferite dai passeggeri stessi, sono raccolte e trattenute dal vettore aereo e/o dall’operatore di viaggi. I vettori aerei/operatori di settore possono richiedere ai passeggeri una quantità minima di informazioni (ad esempio nome, viaggio prenotato, l'operatore di viaggio in cui il trasporto è stato riservato, etc.) o, alternativamente, richiedere anche informazioni aggiuntive (ad esempio, indirizzo e-mail, numero di telefono, ecc). L’allegato 1 della Direttiva UE 2016/681 dettaglia l’insieme delle possibili informazioni costituenti i dati PNR.
La Direttiva UE 2016/681, attuata nell’ordinamento nazionale dal D. Lgs. n. 53 del 21 maggio 2018, prevede che le autorità nazionali raccolgano e trattino i dati PNR con finalità di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (per la definizione di “reati gravi” si faccia riferimento all’allegato 2 della Direttiva UE 2016/681).
Le autorità italiane, nel contesto del trattamento dei dati PNR, non possono raccogliere né trattare informazioni sensibili quali quelle relative allo stato di salute dei passeggeri, all’origine razziale o etnica, alle opinioni politiche, religiose e filosofiche, all’appartenenza sindacale o al loro orientamento sessuale.
2.Cosa sono i dati API (Advanced Passenger Information – Informazioni Anticipate sui Passeggeri)
I dati API sono costituiti da tutte le informazioni raccolte in fase di accettazione (check-in) o di imbarco da parte dei vettori aerei o da altre realtà di trasporto; tali dati sono generalmente orientati all’identificazione certa del passeggero e provengono da documenti validi ed autentici. I dati API comprendono:
- il numero e il tipo di documento di viaggio utilizzato;
- la cittadinanza;
- il nome completo;
- la data di nascita;
- il valico di frontiera di ingresso nel territorio degli Stati membri;
- il numero del trasporto;
- l'ora di partenza e di arrivo del mezzo di trasporto;
- il numero complessivo di passeggeri trasportati con tale mezzo;
- il primo punto di imbarco.
I dati API sono trattati, nel rispetto dei principi di necessità e di proporzionalità, dagli uffici incaricati dei controlli di polizia di frontiera con la finalità di migliorare i controlli alle frontiere e di prevenire l’immigrazione illegale.
3.Perché l’Italia raccoglie e tratta i dati PNR dei passeggeri?
In recepimento di un obbligo europeo, l’Italia è chiamata, come ogni stato membro dell'UE, ad istituire un'Unità di Informazione sui Passeggeri (UIP) con compiti di raccolta e analisi dei dati PNR nonché di condivisione di questi ultimi e dei risultati delle analisi con gli altri stati membri o con paesi terzi. I dati trattati riguardano tutti i passeggeri in viaggio da, per e in transito attraverso l’Italia. Questa misura si applica alla lotta al terrorismo e alla criminalità organizzata e grave, basata sulla direttiva europea sull'uso dei dati del codice di prenotazione (Direttiva UE 2016/681)
Le persone sospettate di reati terroristici o altri reati gravi hanno spesso comportamenti di viaggio specifici o caratteristici. L’analisi dei dati PNR svolge un ruolo importante nell'individuare tali caratteristiche al fine di indirizzare le attività di prevenzione e repressione dei reati, raccogliere prove e smantellare le reti criminali. I dati PNR vengono analizzati, nel rispetto delle norme a tutela della riservatezza dei cittadini e a protezione dei dati personali che li riguardano, utilizzando criteri predefiniti e aggiornati con cadenza regolare, anche attraverso il confronto con altri database nazionali di polizia. L'uso efficace di questi dati fornisce un considerevole valore aggiunto per la sicurezza interna.
In nessun caso i dati PNR e API sono trattati per finalità diverse da quelle previste dalla Legge.
4.Per quali finalità le autorità possono utilizzare i dati PNR e i dati API?
Lo scopo della raccolta dei dati PNR è quello di prevenire e reprimere reati di terrorismo e altri reati gravi (cfr. l’allegato 2 della Direttiva UE 2016/681 per la definizione di “reati gravi”). I dati API sono trattati al fine di migliorare i controlli alle frontiere e di prevenire l’immigrazione illegale.
5.Cosa è l’Unità di Informazione sui Passeggeri (UIP)?
La UIP è l’ufficio preposto dalla legge alla ricezione, l’elaborazione e alla condivisione con le autorità competenti nazionali, stati membri, paesi terzi ed Europol dei dati PNR. La UIP è un’unità interforze – i.e. vi presta servizio personale appartenente alle quattro Forze di polizia ex art. 16 della Legge n. 121 del 1 aprile 1981 – ed è istituita nell’ambito della Direzione Centrale della Polizia Criminale del Dipartimento della Pubblica Sicurezza del Ministero dell’Interno.
6.Quale è la base giuridica per il trattamento dei dati PNR?
Il trattamento dei dati PNR è disciplinato dal Decreto Legislativo n. 53 del 21 maggio 2018, che ha attuato nell’ordinamento nazionale la Direttiva UE 2016/681. La norma si applica al trasporto aereo sia nelle tratte extra-UE (i voli in partenza dall’Italia e diretti verso un paese terzo – i.e. gli Stati Uniti, la Cina, etc … – o i voli provenienti da un paese terzo e il cui atterraggio è previsto nel territorio nazionale) che in quelle intra-UE (i voli in partenza dall’Italia e diretti verso uno stato membro della U.E. – i.e. Francia, Germania, etc … – o i voli provenienti da uno stato membro della U.E e il cui atterraggio è previsto nel territorio nazionale). La norma si applica sia ai voli di linea che a quelli operati senza un programma operativo pubblico specifico.
7.Quando vengono raccolti i dati PNR e API?
I vettori aerei sono tenuti per legge a trasmettere al Sistema Informativo della UIP i dati PNR:
a) in un periodo compreso tra le 24 e le 48 ore antecedenti l’orario di partenza del volo;
b) immediatamente dopo la chiusura del volo, quando non sia più possibile per un passeggero imbarcarsi o abbandonare l’aeromobile.
Laddove sussistano motivi di concreto ed imminente pericolo che possano essere commessi reati di terrorismo o reati gravi, la UIP può chiedere ai vettori aerei la condivisione dei dati PNR anche in un momento antecedente rispetto a quanto nei precedenti punti a) e b).
I dati API sono resi disponibili immediatamente dopo la chiusura del volo, quando non sia più possibile per un passeggero imbarcarsi o abbandonare l’aeromobile.
8.Quali sono le garanzie a tutela della privacy dei passeggeri?
Il trattamento dei dati PNR avviene nel rispetto della normativa nazionale ed europea sulla protezione dei dati personali (Direttiva UE 680/2016, D. Lgs. 196/2003, D. Lgs. 51/2018). Inoltre, la normativa sul trattamento dati PNR prevede misure specifiche a tutela della riservatezza dei cittadini, tra le quali:
a) i dati PNR non sono direttamente consultabili dalle Forze di polizia nazionali; l’accesso e la consultazione di tali dati, difatti, può avvenire solo per il tramite della UIP nazionale, che è l’Ufficio interforze incaricato, tra le altre cose, di condividere i dati PNR con le autorità nazionali a fronte di motivata necessità. Nell’ambito del personale della UIP, inoltre, l'accesso ai dati è limitato in base a vari profili di autorizzazione nel rispetto dei principi di proporzionalità e necessità;
b) i criteri in base ai quali i dati PNR sono analizzati vengono periodicamente valutati e aggiornati;
c) ogni riscontro positivo frutto di trattamento automatizzato è sottoposto singolarmente ad un controllo non automatizzato, a maggior garanzia dell’interessato;
d) dopo 6 mesi dalla loro ricezione i dati PNR sono pseudonimizzati (sono cioè oggetto di un processo di anonimizzazione reversibile a patto di conoscere informazioni aggiuntive, conservate separatamente dai dati PNR stessi). In seguito a tale processo i dati sono comunque accessibili e condivisibili in forma integrale ma solo a fronte di esigenza motivata e previa autorizzazione da parte dell’Autorità Giudiziaria o del Vice Capo della Polizia – Direttore Centrale della Polizia Criminale; in tali casi il Responsabile della Protezione dei Dati è notiziato per le verifiche di competenza;
e) dopo 5 anni dalla loro ricezione i dati PNR sono cancellati in via definitiva, fatti salvi quelli trasferiti alle autorità competenti nazionali ed utilizzati in uno specifico caso di prevenzione e repressione dei reati di terrorismo o di reati gravi;
f) i dati API, a ragione della finalità del loro trattamento, sono resi disponibili ai soli Uffici incaricati dei controlli di Polizia di frontiera. Entro 24 ore dal momento della loro comunicazione, ovvero dopo l’ingresso dei passeggeri nello Stato Italiano, i dati API non necessari per la prevenzione dell’immigrazione irregolare sono resi non visibili ai medesimi uffici; viceversa, i dati API utilizzati per la prevenzione dell’immigrazione irregolare sono resi non visibili agli uffici incaricati dei controlli di Polizia di frontiera dopo 6 mesi dalla loro ricezione e cancellati dopo 5 anni dalla ricezione;
g) i dati PNR sono condivisi con autorità straniere (salvo casi di motivata emergenza, ciò avviene per il tramite delle UIP degli stati membri) solo in caso di riscontro positivo o di richiesta motivata;
h) i dati PNR sono condivisi con paesi terzi solo nel caso di richiesta motivata e laddove il paese terzo richiedente si impegni a rispettare le finalità del trattamento e si impegni a trattare i dati con tutte le tutele previste dalla normativa italiana ed europea;
i) presso la Direzione Centrale della Polizia Criminale, è nominato un Responsabile della Protezione dei Dati incaricato di vigilare sul corretto trattamento dei dati PNR e di garantire l’attuazione di tutte le necessarie misure tecniche di sicurezza.
9.Diritti di accesso da parte dei passeggeri.
I cittadini i cui dati PNR/API sono oggetto di trattamento, in applicazione del Decreto Legislativo n.53 del 21 maggio 2018, godono di particolari diritti di accesso alle informazioni conservate che li riguardano. In particolare:
a) il diritto di richiedere conferma dell'esistenza di dati personali che li riguardano, la loro comunicazione in forma intellegibile e, se i dati risultano trattati in violazione di vigenti disposizioni di legge o di regolamento, la loro cancellazione o trasformazione in forma anonima;
b) il diritto, per chiunque venga a conoscenza dell'esistenza di dati personali che lo riguardano, trattati anche in forma non automatizzata in violazione di disposizioni di legge o di regolamento, di chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l'integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi.
Per esercitare tali diritti, è possibile inviare l’apposito modulo. Per maggiori dettagli sui diritti degli interessati, sulle modalità per esercitare tali diritti, nonché sulle procedure di risposta, si prega di far riferimento alla pagina web informativa dedicata.
10.Cosa dovrei fare come passeggero?
Per evitare problemi all'aeroporto, controlli attentamente che i dati forniti durante la prenotazione siano corretti.
Porti sempre con sé un documento di identità valido per l’espatrio.
11.Come fare ad avere altre informazioni non disponibili in questa pagina web?
Qualora fossero necessarie informazioni non disponibili nella pagina web informativa dedicata o in queste FAQ, è possibile rivolgersi al Responsabile della Protezione dei Dati (RPD) al seguente indirizzo di posta elettronica certificata: dpo.pnr@pecps.interno.it.