Crea sito

La direttiva sul Passenger Name Record europeo: tra onde emotive e realismo

di Chiara Maggi

 

Il Passenger Name Record è un codice che identifica un utente di un servizio di trasporto, non necessariamente legato a vettori aerei, a cui sono associate una serie di informazioni relative al suddetto utente.

Ciò che è stato approvato giovedì 14 aprile dal Parlamento europeo è una direttiva che regolamenta l’utilizzo di queste informazioni raccolte dalle compagnie aeree per fini di antiterrorismo e che soprattutto mira ad agevolare la cooperazione tra le forze dell’ordine europee, dato che già diversi Paesi nell’Unione Europea hanno sistemi di raccolta di questi dati (come il Regno Unito – fin dal 2011 –, il Belgio – da novembre 2015): ciò che manca, infatti, è l’uniformità[1] di questi sistemi a livello comunitario, che da un lato ne migliori la fruibilità e dall’altro garantisca anche un adeguato livello di protezione alle informazioni in essi contenuti.

La direttiva necessita ancora dell’approvazione del Consiglio[2] ed è un’altra delle tante misure di mass surveillance adottate a seguito di eventi particolarmente drammatici; un esempio, insomma, di legislazione (apparentemente) emergenziale. “Apparentemente” perché è un progetto che risale almeno al 2011 (anche se già nel 2007 la Commissione Europea aveva approvato una proposta del Consiglio di una decisione-quadro sull’utilizzo di questi dati a fini di law enforcement), ma che era stato bloccato dal Comitato del Parlamento europeo “Libertà Civili, Giustizia e Affari Interni”, in quanto non era stato ritenuto all’altezza del test di proporzionalità tra le misure prese (cioè una limitazione del diritto alla privacy) e il fine che si voleva perseguire (prevenzione di attacchi terroristici). La stessa lettera della direttiva fa rientrare il provvedimento nel più ampio Programma di Stoccolma[3], cioè una serie di iniziative a livello d’Unione Europea che agevolino la cooperazione tra gli Stati nel campo processuale penale.

Il problema del controllo dei foreign fighters, e in secondo luogo anche i tragici fatti di Parigi, tuttavia, hanno fatto cambiare idea al Comitato che, quindi, ha approvato il progetto iniziale verso la fine del 2015.

Gli Stati membri dovranno istituire – nell’arco di due anni dall’entrata in vigore della direttiva – delle Passenger Information Units (PIUs) che gestiscano queste informazioni: si occuperanno della loro raccolta, custodia e trattamento e saranno responsabili del loro trasferimento alle autorità competenti nazionali, ad Europol e alle unità di altri Stati membri (condizionato a valutazioni strettamente legate al singolo caso concreto ed esclusivamente per ragioni di prevenzione, ricerca, indagine e perseguimento di reati terroristici o crimini particolarmente gravi). Le informazioni saranno conservate per un massimo di cinque anni, ma già dopo sei mesi dalla raccolta andranno adeguatamente sottoposti a un processo di mascheramento, al fine di non renderli immediatamente riconducibili a un dato individuo.

Secondo la direttiva, saranno coinvolti solo i passeggeri che usufruiranno di voli da e per Paesi extracomunitari. Gli Stati, però, potranno estendere il sistema anche a voli intracomunitari (a patto di informare a riguardo la Commissione Europea) e includere anche dati raccolti non solo dalle compagnie aeree, ma anche da tour operator e agenti di viaggio.

Per ciascuna PIU vi sarà un responsabile della sicurezza del trattamento dei dati; tutti gli accessi ai database dovranno essere accuratamente documentati e non si potranno raccogliere dati riguardanti etnia, orientamento politico, religioso o sessuale, stato di salute e appartenenze a organizzazioni sindacali.

 

A distanza di due anni dalla scadenza della direttiva, la Commissione si impegna a valutare la compliance degli Stati con gli standard di protezione dei dati, l’efficacia dello scambio di informazioni tra gli Stati e l’adeguatezza dei dati raccolti rispetto alle esigenze perseguite e al periodo di trattamento.

Va segnalato che accordi di trasferimento di dati relativi ai PNR sono già stati siglati, diversi anni orsono, tra l’UE e altri Paesi, cioè Stati Uniti (2012), Australia (2011), Canada (2014), mentre al momento sono in corso negoziati per giungere ad accordi analoghi anche con il Messico.

Il problema di queste misure è sempre il bilanciamento tra i diritti che vengono compressi e le esigenze di prevenzione di attacchi.

Qui, la raccolta dei dati sarà indiscriminata e resa accessibile alle autorità competenti nazionali tramite il metodo push (non, quindi, un accesso diretto delle autorità ai database delle compagnie – il c.d. metodo pull -, ma una disclosure delle informazioni mediata dalle società, su richiesta delle autorità), un procedimento scelto apposta perché garantisce un più elevato livello di protezione. L’ampiezza del raggio di chi verrà coinvolto in questi sistemi è indubbiamente una delle criticità, anche se le informazioni possono essere utilizzate solo in caso di reati di una certa gravità, elencati puntualmente nella Direttiva.

Dall’altro lato, si è visto, però, come nel caso degli attentati di Bruxelles gravissima fosse stata la mancanza di scambio di informazioni e cooperazione già all’interno dello stesso Stato belga; perciò, con questa misura apparentemente andrebbe nella giusta direzione, pur essendo un’iniziativa ideata con largo anticipo rispetto a questi tragici avvenimenti.

Ma è quello di cui abbiamo veramente bisogno adesso? Certamente lo scambio di informazioni, come appena ribadito, è stato uno dei punti di maggior fallimento degli apparati di sicurezza belgi, però occorre ricordarci quali sono le maggiori minacce al momento.

I foreign fighters, uno dei più importanti input che hanno portato all’approvazione della legge[4], come si muovono? Dall’Europa arrivano solitamente a Istanbul in aereo, ma poi usano voli interni turchi o si muovono in altro modo per arrivare al confine siriano: i voli interni turchi non rientrerebbero in questa normativa e un numero ingente di persone comuni va a Istanbul per ragioni del tutto lecite. In questo caso, forse, gioverebbe di più una migliore collaborazione con le forze di intelligence turche. Come tornano in Europa? Sostanzialmente nello stesso modo in cui arrivano in Siria, eventualmente cercando di depistare le ricerche attraverso viaggi in altri Paesi prima di tornare direttamente in Europa.

Da ultimo, questo registro potrà essere utilizzato solo se ci sono già delle indagini in corso, ma se guardiamo ai problemi a cui abbiamo assistito nella cattura di Salah Abdeslam, notiamo come altre sono state le difficoltà che hanno impedito un arresto più rapido[5] e che questo registro probabilmente non sarebbe stato così cruciale.

Verrebbe da dire, dunque, che questa misura potrebbe andare nella giusta direzione, sì, ma non centra l’obiettivo, almeno se è limitata esclusivamente al trasporto aereo. È stata una misura di cui non si è per nulla parlato se non dopo gli attacchi di Parigi (dove questo registro non sarebbe servito). Gran parte dei mass media hanno iniziato a trattarne solo a inizio dicembre, contestualmente alla ripresa dell’interesse del legislatore europeo a riguardo e su impulso della Francia, ed era definita – all’epoca – una misura importantissima per evitare ulteriori disastri come quelli del novembre 2015 a Parigi: il collegamento, ad un’analisi più accurata, non sussiste; la strage di Bruxelles è avvenuta comunque e anche in quel caso questo strumento non sarebbe servito.

Ulteriori perplessità, infine, suscita il fatto che a pochi giorni dall’approvazione gli sia stata dedicata scarsa attenzione sui media, non ottenendo, quindi, neanche un ritorno politico che vada nella direzione di rassicurare la popolazione anche solo di facciata con misure che, dal punto di vista sostanziale, non hanno poi questo effettivo impatto.