Compagnie aeree e dati passeggeri: la sorveglianza di massa dell’Unione Europea
10 min letturaAGGIORNAMENTO
La direttiva PNR, che regola l'utilizzo dei dati dei passeggeri a fini di prevenzione, accertamento, indagine e repressione dei reati penali gravi, è stata approvata il 14 aprile 2016. La direttiva obbliga le compagnie aeree a comunicare alle autorità i dati dei passeggeri dei voli provenienti da paesi terzi verso la UE e viceversa.
----------------------------------------
Dati sensibili
Il 15 luglio la Commissione LIBE (libertà civili) del Parlamento europeo ha adottato una proposta di direttiva, la Passenger Name Record (PNR). Si tratta di una proposta di legge (che dovrebbe diventare legge entro la fine dell'anno), presentata dalla Commissione Europea (Affari interni) nel 2011, che obbliga le compagnie aeree a registrare e conservare a lungo termine i dati (PNR) dei passeggeri al fine di aiutare le autorità a scovare criminali e terroristi sconosciuti.
I dati PNR sono oggi riconosciuti tra le categorie più sensibili di informazioni personali. Compilati dalle agenzie di viaggi, vettori aerei e tour operators, possono infatti contenere informazioni quali le condizioni mediche e le disabilità, le preferenze sui pasti, i mezzi di pagamento, ma anche (per l'elenco completo scorri in fondo all'articolo) l'indirizzo di lavoro, la email, l'indirizzo IP se si prenota online e le informazioni personali dei contatti di emergenza. I dati PNR oggi vengono utilizzati non solo per i viaggi aerei, ma anche per prenotare hotel e autoveicoli.
Chi controlla i PNR?
I PNR sono schede di registrazione (record) dei dati del passeggero, memorizzate all'interno dei Computerized Reservation Systems (CRS), realizzati appositamente per scambiare informazioni tra i vettori nel caso in cui i passeggeri debbano prendere più voli di diverse compagnie.
Esistono 4 principali CRS, tre dei quali (Sabre, Galileo e Worldspan) sono di proprietà di compagnie con sede negli Usa, mentre Amadeus è di proprietà di aziende europee (ma ha sedi anche negli Usa). La maggioranza dei PNR creati dalle agenzie di viaggio in Europa sono realizzati tramite i CRS presenti negli Usa, ciò comporta che comunque questi dati siano normalmente soggetti alla giurisdizione Usa e le autorità americane vi accedono senza alcun problema (i CRS possono condividere i dati con le autorità e con terzi, e non tengono alcun registro di accesso ai dati).
Attualmente la raccolta di dati PNR non è disciplinata a livello comunitario, ma l'UE ha accordi sul trasferimento e l'uso dei dati PNR con Australia, Stati Uniti e Canada.
In particolare, l'accordo esecutivo con gli Usa dipende proprio dalla necessità di riportare sotto una parvenza legale la sorveglianza americana dei viaggiatori europei (non certo di tutelare i viaggiatori). Il dipartimento americano di Homeland Security (DHS) tratta i dati dei cittadini non europei con minori garanzie rispetto a quelli americani (negli Usa il visitatore straniero non ha diritto alla privacy), e quindi numerose norme di tutela europee semplicemente non sono applicate.
L'accordo PNR con gli Usa serve, quindi, soprattutto a proteggere le aziende Usa da eventuali azioni legali per violazione delle norme europee a tutela della privacy. A riprova c'è il fatto che tale accordo non serve per poter accedere ai dati, visto che, come detto, i CRS risiedono per lo più negli Stati Uniti e non si possono sottrarre a richieste, ad esempio, della Nsa.
L'accordo con il Canada, invece, è stato inviato dallo stesso Parlamento europeo dinanzi alla Corte di Giustizia UE per una analisi legale preliminare.
Raccolta sistematica
Alcuni paesi membri, come il Regno Unito, hanno già una normativa che implementa un sistema PNR. La maggior parte degli Stati dell'Unione comunque utilizza in maniera non sistematica i dati PNR per la prevenzione, l'individuazione, l'indagine e il perseguimento dei reati di terrorismo. Tale utilizzo avviene sotto il controllo della polizia o delle autorità nazionali.
La proposta europea mira ad armonizzazione le norme degli Stati membri, realizzando un'unica normativa che andrà recepita nel termine di tre anni dall'approvazione da parte del Parlamento europeo.
Le attuali misure a livello UE, cioè la direttiva Advance Passenger Information (API) e il Sistema d'informazione Schengen (SIS II), non consentono alle autorità di identificare i sospetti “sconosciuti”.
La direttiva PNR richiede invece una raccolta sistematica, l'uso e la conservazione dei dati PNR dei passeggeri dei voli internazionali.
Secondo la proposta PNR i vettori aerei dovranno inviare i dati PNR ad una Passenger Unit Information (PIU) dello Stato membro in cui il volo internazionale parte o arriva. Il PIU è incaricato della memorizzazione, analisi e fornitura dei dati alle autorità competenti. Gli Stati membri, però, hanno il diritto di richiedere i dati PNR anche alla PIU di altro Stato, quale sostegno di una specifica indagine.
I dati PNR, secondo la Commissione europea, consentirebbero alle autorità l'identificazione delle persone prima mai sospettate di reati gravi o di terrorismo. Cioè con la PNR si vorrebbe indovinare, tramite algoritmi, quali soggetti tra quelli non conosciuti alle forze dell'ordine possono costituire una minaccia terroristica.
L'implementazione della direttiva comporterebbe, però, un impatto decisamente maggiore sulla privacy dei cittadini rispetto a quanto accade adesso, e i deputati europei vogliono assicurarsi che la proposta sia conforme al principio di proporzionalità.
Per questo motivo il progetto di direttiva è stato già respinto dalla Commissione LIBE del Parlamento europeo nell'aprile del 2013 (30 voti a 25) valutando proprio la proporzionalità, il periodo di conservazione dei dati e il sistema di raccolta decentralizzato.
Il punto focale è che la raccolta riguarda tutti i passeggeri, indipendentemente dal fatto che essi siano già indagati oppure sospettati di qualche cosa. In tal senso la direttiva PNR va ben oltre quanto accade oggi negli Stati europei.
PNR e Data Retention
È interessante notare che la direttiva PNR ha avuto un percorso del tutto simile alla direttiva Data Retention. Quest'ultima fu proposta dalla Commissione nel 2004, e poi abbandonata nel 2005. Il progetto fu risvegliato a seguito degli attacchi terroristici di Londra e Madrid nel 2005, e la nuova proposta fu adottata in appena 6 mesi. Solo per essere invalidata dalla Corte di Giustizia europea nel 2014.
Anche la direttiva PNR, dopo la sospensione del 2013, è stata risvegliata dopo gli attacchi a Parigi e Copenaghen del 2015, e si avvia ad una adozione in tempi brevi (fast-track) entro la fine del 2015. Infatti l'11 febbraio 2015 il Parlamento europeo ha approvato una risoluzione antiterrorismo con la quale si impegna alla messa a punto della direttiva PNR entro la fine dell'anno.
Il testo prevede che i dati siano conservati a fini di prevenzione del terrorismo e di “gravi reati” (serious crimes) per un periodo di 5 anni, dopo il quale saranno cancellati, a meno che non siano usati in una investigazione o un giudizio. La lista dei reati gravi prevede, ad esempio: tratta di schiavi, pedopornografia, traffico d'armi, munizioni ed esplosivi.
La direttiva non viene estesa anche ai voli intra-UE (come chiesto dal Consiglio d'Europa), e non è stato ridotto il periodo di depersonalizzazione, cioè il periodo di tempo trascorso il quale i dati vengono mascherati (così non è possibile conoscere il nome della persona, che però può essere richiesto dalle autorità) resta fermo a 30 giorni (un emendamento prevedeva la riduzione a 7 giorni).
Addirittura molti deputati chiedono l'estensione della direttiva anche ad altri mezzi di trasporto, e hanno spinto per modifiche che consentano l'incrocio dei dati con le informazioni di altri database al fine di identificare modelli di comportamento.
Insomma, una vera e propria profilazione di massa, che rafforza la preoccupazione che l'adozione della proposta PNR possa portare alla normalizzazione della sorveglianza elettronica, applicandola poi ad altri settori della vita personale dei cittadini dell'UE.
A questo punto occorrerebbe valutare attentamente la decisione della Corte di Giustizia europea che ha invalidato la Data Retention.
La Corte UE ha sostenuto che la direttiva Data Retention trovava applicazione generalizzata all'insieme degli utenti senza alcuna limitazione in ragione dell'obiettivo, dello scopo perseguito e delle persone soggette a controllo. La direttiva non poneva criteri oggettivi sullo scopo da perseguire, facendo un generico riferimento a “reati gravi”, e non stabiliva alcun presupposto per consentire alle autorità nazionali l'accesso ai dati. Infine, secondo la Corte, l'accesso ai dati non era subordinato al previo controllo di un giudice.
In breve la Corte ha censurato la natura non “mirata” della misura di sorveglianza e la possibilità di acceso indiscriminato da parte delle autorità ai dati conservati. In effetti si tratta di una sentenza contro la sorveglianza digitale di massa.
Analisi pre-crimine
Ebbene, la direttiva PNR appare soffrire degli stessi problemi della Data Retention. Infatti, il 19 marzo il gruppo di lavoro Articolo 29 ha inviato una lettera alla commissione LIBE, evidenziando che la PNR non rispetta i principi di necessità e proporzionalità, come richiesti dalla Carta dei diritti fondamentali dell'UE (artt. 7 e 8).
Altra opinione critica alla proposta PNR è quella dell'Agenzia Europea per i diritti fondamentali, alla quale si aggiunge il parere del Supervisore europeo Data Protection.
Molti sono i dubbi in relazione al testo attuale. La conservazione dei dati per 5 anni è decisamente più ampia rispetto a quella stabilita dalla direttiva Data Retention, dichiarata invalida. Ugualmente la PNR prevede la raccolta indiscriminata di dati, quindi una sorveglianza non mirata, che è stata dichiarata illegittima dalla Corte europea.
Una relazione commissionata dal Consiglio d'Europa sulla PNR, e redatta da Douwe Korff, professore di diritto internazionale presso la London Metropolitan University, e Marie Georges, esperta indipendente per conto del CNIL, evidenzia come dopo le rivelazioni di Snowden il quadro sia enormemente cambiato.
Non siamo più di fronte alla valutazione di strumenti di identificazione di una persona, oggi la sorveglianza ha più a che fare con operazioni di data mining per scandagliare i Big Data (enormi quantità di dati derivanti casomai dall'incrocio di più database), al fine di creare “profili” poi utilizzati per individuare statisticamente un soggetto che in base ai comportamenti attuati sia più o meno predisposto a diventare un “terrorista”. Siamo sempre più vicini al “pre-crimine” di Minority Report di Philip Dick, nel senso che non ci si occupa più soltanto di scovare terroristi, ma di etichettare gli individui sulla base di meri algoritmi. Statisticamente vuol dire che può anche accadere che l'algoritmo prenda un abbaglio, etichettando come terrorista chi non lo è (non lo sarà?!).
Da questo tipo di approccio sorge anche un evidente paradosso. Nell'era in cui le stesse istituzioni europee pretendono dai motori di ricerca una rigida applicazione del diritto all'oblio, imponendogli di dimenticare il passato, i database utilizzati dalle istituzioni invece non dimenticano nulla, ed ogni evento negativo tornerà a tormentarci in futuro.
In base a documenti trapelati dall'NSA si è scoperto che l'Agenzia americana, come del resto il DHS, utilizza i PNR come parte della profilazione e analisi della rete sociale dei cittadini e degli stranieri. L'NSA correla ben 164 tipi di relazioni per costruire della reti sociali e comunità di interessi.
Lo stesso sistema Secure Flight americano nel 2009 è passato da un sistema black-list a un sistema white-list. Cioè se prima si identificavano i passeggeri a rischio in base alle corrispondenze con gli elenchi No Fly, oggi si assegna la categoria (alto rischio, basso rischio, rischio sconosciuto) anche in base ad una analisi demandata ad algoritmi. Il check-in dei passeggeri di fatto inizia molto prima dell'imbarco, analizzando il database dell'Homeland Security (Automated Targeting System) al fine di scovare corrispondenze di comportamenti devianti.
I soggetti catalogati ad alto rischio si trovano a subire controlli invasivi se non addirittura vedersi negato l'imbarco. Secondo l'Ufficio Privacy della Transportation Security Administration si sono avute ben 13mila richieste di risarcimento danni in soli 9 mesi, da parte di soggetti che hanno ritenuto di essere stati sottoposti a controlli eccessivi.
Progetti pilota dopo la bocciatura
Un altro punto debole è l'efficacia. La Commissione continua a presentare la proposta PNR come un mezzo indispensabile per catturare terroristi e criminali. Ma attualmente non esiste alcuna prova che tali forme di sorveglianza di massa siano efficaci nella prevenzione del crimine.
Ad esempio la Francia ha partecipato a numerosi progetti PNR pilota, finanziati dalla Commissione europea per un totale di 50 milioni di euro, che purtroppo non hanno impedito i recenti attacchi sul suolo francese.
Tra l'altro occorre notare che tali progetti sono stati avviati dopo la bocciatura del Parlamento europeo, quindi sono soldi spesi, inutilmente (e in epoca di crisi), saltando una democratica decisione del Parlamento europeo.
Si deve inoltre considerare che tali accordi non coprono tutto il mondo, in particolare non esistono accordi con l'Asia, la Turchia, il Pakistan, e l'Africa. Insomma queste schedature di massa riguarderebbero europei e americani.
Lo stesso Garante Privacy UE ha criticato la proposta PNR, ritenendola una «legge invasiva, costosa e non è detto che sia vincente». Secondo Giovanni Buttarelli, infatti, si deve evitare «una rete a strascico che catturi tutto» con una «moltitudine di dati di cui non siamo neanche poi capaci di analizzare l'efficacia». E propone «un approccio più selettivo».
La sorveglianza mirata è più efficace della raccolta indiscriminata dei dati dei passeggeri.
Ciò che serve, infatti, non è l'ennesima norma che assomiglia più ad una schedatura di massa dell'intera popolazione, al fine di raccogliere dati che un giorno potrebbero, forse, rivelarsi utili, bensì un approccio mirato, basato su una corretta valutazione dei rischi dei voli e delle persone.
Occorre facilitare lo scambio di informazioni tra i vari servizi di sicurezza e polizie degli Stati dell'Unione, e occorre una legge che differenzi le categorie di dati, le misure e la durata di conservazione dei dati a seconda della gravità dei reati, e soprattutto ammetta la conservazione solo in caso di collegamento tra il soggetto e una oggettiva minaccia per la sicurezza pubblica. Occorre anche prevedere criteri oggettivi che limitino l'accesso ai dati e soprattutto misure di sicurezza adeguate che impediscano l'accesso non autorizzato ai dati.
Tutto il resto sarebbe una sorveglianza di massa, illegittima secondo la Corte di Giustizia dell'Unione europea.
I dati che possono essere presenti in un PNR:
- numero del passaporto;
- paese di rilascio del passaporto;
- data di scadenza del passaporto;
- nome;
- cognome;
- genere;
- data di nascita;
- nazionalità;
- Passenger Name Record code locator;
- data di prenotazione del volo;
- altri nomi sul Passenger Name Record (PNR);
- indirizzo;
- modalità di pagamento;
- indirizzo di fatturazione;
- numero di telefono;
- itinerario completo;
- informazioni frequent flyer;
- agenzia di viaggi;
- agente di viaggio;
- condivisione codice PNR;
- status di viaggio del passeggero;
- indirizzo email;
- numero del biglietto;
- numero di posto;
- data di emissione del biglietto;
- bagaglio;
- richieste di servizio particolari, quali le preferenze dei pasti;
- cronistoria delle modifiche del PNR;
- numero di viaggiatori nel PNR;
- biglietti di sola andata.