Il Parlamento europeo (PE) ed il Consiglio (riunito a Lussemburgo il 21 aprile nella formazione dei ministri degli interni) hanno approvato una nuova direttiva che regola l’utilizzo dei dati del codice di prenotazione dei passeggeri delle compagnie aeree, il registro dei passeggeri aerei (PNR – Passenger Name Record), obbligando le compagnie aeree a comunicare alle autorità nazionali i dati dei propri passeggeri per tutti i voli provenienti da paesi terzi verso l’Unione Europea (UE) e viceversa.

Gli Stati membri avranno due anni per recepirla nella loro legislazione nazionale. La direttiva obbligherà le compagnie aeree ad avere a portata di mano i dati dei passeggeri delle autorità nazionali per tutti i voli provenienti da paesi terzi verso l’UE e viceversa. Secondo l’eurodeputato Timothy Kirkhope, relatore del PE per la proposta, è stato adottato «un nuovo importante strumento per la lotta contro i terroristi e trafficanti. Attraverso la raccolta, la condivisione e l’analisi delle informazioni contenute nel PNR le nostre agenzie di intelligence saranno in grado di rilevare modelli di comportamento sospetto che meritano di essere seguiti. (…) I paesi che dispongono di sistemi nazionali PNR hanno spesso dimostrato che è altamente efficace».

Nel corso dell’iter di approvazione del provvedimento sono sorte molte remore circa la protezione dei dati personali. Però, dopo circa cinque anni di discussione, probabilmente a seguito dei recenti attentati di Parigi e Bruxelles e la scoperta che i terroristi hanno viaggiato indisturbati all’interno ed all’esterno dell’UE, si è deciso di procedere con l’adozione del provvedimento. Secondo la direttiva, gli Stati membri dovranno istituire delle Unità di informazione sui passeggeri per gestire i dati PNR raccolti dai vettori aerei.

Queste informazioni dovranno essere conservate per un periodo di cinque annima, dopo sei mesi, tali dati saranno mascherati, cieè saranno spogliati degli elementi che possono portare all'identificazione dei passeggeri (come il nome, l’indirizzo, i dati di contatto, ecc.). La direttiva si applica solo ai voli extra-UE, ma gli Stati membri potrebbero anche estendere le norme previste dalla direttiva ai voli interni all’UE, previa notifica alla Commissione europea. Inoltre, gli Stati membri potrebbero anche decidere di raccogliere ed elaborare i dati PNR acquisendoli da agenzie di viaggio e tour operator, gestendo questi anche le prenotazioni dei voli.

Ciascuna Unità di informazione sui passeggeri sarà responsabile della raccolta, dell'archiviazione e dell'elaborazione dei dati PNR, del trasferimento di tali dati alle autorità competenti e del loro scambio con le Unità di informazione sui passeggeri di altri Stati membri e con Europol. La direttiva stabilisce che i dati vengano trasferiti solo «caso per caso» ed esclusivamente per gli scopi specifici di «prevenire, individuare, indagare e perseguire reati di terrorismo o reati gravi».

Del resto, i dati personali saranno comunque tutelati grazie ad alcune disposizioni. Infatti, l’Unità di informazione sui passeggeri in ciascuno Stato membro dovrà nominare un responsabile della protezione dei dati, deputato al controllo del trattamento dei dati PNR ed all'attuazione delle relative misure di salvaguardia. Inoltre, l'accesso alla serie completa di dati PNR, che consente agli utenti di identificare immediatamente l'interessato, sarà concesso solo a condizioni molto rigorose e limitate dopo il periodo di conservazione iniziale. Poi, tutti i trattamenti di dati PNR devono essere registrati o documentati.

Infine, è fatto esplicito divieto di trattamento dei dati personali che rivelino l’origine etnica di una persona, le opinioni politiche, la religione o le convinzioni filosofiche, l’appartenenza sindacale, la salute, la vita sessuale o l’orientamento sessuale. Ovviamente, i passeggeri dovranno essere informati circa la raccolta dei loro dati, che potranno essere trasferiti a paesi terzi solo in casi particolari da vagliare singolarmente. Secondo Timothy Kirkhope, «sono stati espressi dubbi comprensibili circa la raccolta e la conservazione dei dati dei passeggeri, ma credo che la direttiva salvaguardi i dati e mostri che la legge è proporzionata ai rischi che abbiamo di fronte».