Per combattere il terrorismo, dal 2016, la direttiva europea Pnr (Passenger name record) impone alle compagnie aeree di trasmettere alle autorità nazionali i dati di prenotazione dei passeggeri che entrano ed escono dai confini dell’Unione europea. La norma prevede che gli Stati membri possano estendere tale possibilità anche ai voli interni all’Unione.
Nel 2017 l’ong belga Ligue des droits humains (Ldh) aveva denunciato l’illegittimità di tale previsione alla Corte costituzionale che ha rimandato la questione alla Corte di Giustizia europea. Secondo Ldh la direttiva Pnr consente un uso troppo ampio di quei dati, non rispettando la privacy dei passeggeri, mentre la possibilità di estendere tale trasmissione anche ai voli interni costituirebbe un ostacolo alla libera circolazione delle persone, re-introducendo una sorta di controllo alle frontiere.
Il 21 giugno 2022 la Corte di Giustizia europea si è pronunciata sulla richiesta belga negando la contrarietà della direttiva alla Carta dei diritti fondamentali dell’Unione europea, ma ponendo alcuni importanti paletti. La Corte ha ricordato che ogni norma europea deve essere letta alla luce della Carta. Pertanto, anche quanto permesso dalla direttiva Pnr non può essere portato a conseguenze tali da mettere a rischio i diritti fondamentali, inclusa la protezione dei dati personali.
Nel caso concreto, la violazione dei dati personali e della privacy dei passeggeri può essere giustificata dalla direttiva solo se opportunamente bilanciata dalla necessità di tutelare un altro interesse pubblico come quello alla sicurezza, ma non deve sfociare nella sorveglianza di massa indiscriminata.
La Corte stabilisce che gli Stati potranno chiedere i dati dei passeggeri per i voli intra-Ue solo se esiste una concreta, futura o imminente, possibilità di un attacco terroristico e solo per il tempo ritenuto strettamente necessario. Tale lasso temporale dovrà essere poi valutato da un soggetto terzo e indipendente come un tribunale o un’Autorità amministrativa. In assenza di una minaccia, invece, il monitoraggio dei voli interni potrà essere fatto solo su determinate tratte e aeroporti considerati a rischio e anche in questo caso tale scelta dovrà essere rivalutata periodicamente.
Per quanto riguarda l’uso di questi dati, potranno essere confrontati solo con un database di persone sospette e solo nella ricerca di un possibile terrorista che si sospetta possa aver viaggiato in aereo. In tale ricerca non potranno usarsi sistemi di intelligenza artificiale e machine learning senza supervisione umana.
L’uso e la trasmissione di questi dati dopo la partenza o l’arrivo del passeggero sarà consentito solo in presenza di nuovi indizi e prove che possano condurre a un ragionevole sospetto che il passeggero sia collegato ad attività terroristiche. Salvo casi di urgenza, tale possibilità dovrà comunque essere soggetta ad una richiesta motivata all’autorità competente.
Inoltre, la Corte si è pronunciata su un punto che per anni è stato molto discusso, la conservazione di quei dati per 5 anni. Per la Corte, il tempo massimo di conservazione deve essere di sei mesi per quei passeggeri per cui non è stato riscontrato alcun nesso con possibili attività terroristiche. Da ultimo, la Corte ha stabilito che i dati ottenuti nell’ambito di applicazione della direttiva Pnr non possono essere usati per migliorare il controllo alle frontiere o per contrastare l’immigrazione illegale.
