REGOLAMENTO (UE) 2025/13 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO, 19 dicembre 2024
G.U.U.E. 8 gennaio 2025, Serie L
Regolamento sulla raccolta e sul trasferimento di informazioni anticipate sui passeggeri a fini di prevenzione, accertamento, indagine e azione penale riguardo ai reati di terrorismo e ai reati gravi, e che modifica il regolamento (UE) 2019/818.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 28 gennaio 2025
Applicabile dal: (vedi nota)
Nota:
Per l'applicabilità si veda l'articolo 45
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 82, paragrafo 1, lettera d), e l'articolo 87, paragrafo 2, lettera a),
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo (1),
deliberando secondo la procedura legislativa ordinaria (2),
considerando quanto segue:
1) La dimensione transnazionale dei reati gravi e della criminalità organizzata e la costante minaccia di attacchi terroristici sul territorio europeo impongono di intervenire a livello dell'Unione per adottare misure adeguate che garantiscano la sicurezza in uno spazio di libertà, sicurezza e giustizia senza frontiere interne. Le informazioni sui passeggeri, come i dati del codice di prenotazione (Passenger Name Record - PNR) e in particolare le informazioni anticipate sui passeggeri (Advance Passenger Information - API), sono essenziali per identificare i passeggeri ad alto rischio, compresi quelli che non sarebbero altrimenti noti alle autorità di contrasto, per stabilire collegamenti tra i membri di gruppi criminali e contrastare le attività terroristiche.
2) Oltre ad istituire un quadro giuridico per la raccolta e il trasferimento dei dati API da parte dei vettori aerei al fine di migliorare i controlli di frontiera e contrastare l'immigrazione illegale, la direttiva 2004/82/CE del Consiglio (3) stabilisce che gli Stati membri possono utilizzare i dati API a fini di contrasto. La semplice creazione di tale possibilità fa tuttavia emergere una serie di lacune e difficoltà. In particolare, comporta che i dati API non siano raccolti e trasferiti sistematicamente dai vettori aerei per fini di contrasto. La possibilità di ricorrere ai dati API a fini di contrasto comporta inoltre che, quando gli Stati membri si avvalgono di tale possibilità, i vettori aerei debbano ottemperare, a norma del diritto nazionale, a requisiti divergenti per quanto riguarda i tempi e le modalità di raccolta e trasferimento dei dati API per dette finalità. Oltre a imporre ai vettori aerei costi e complicazioni inutili, tali divergenze vanno a scapito della sicurezza interna dell'Unione e di una cooperazione efficace tra le autorità di contrasto competenti degli Stati membri. Inoltre, dato che l'agevolazione dei controlli di frontiera e il contrasto della criminalità sono finalità di natura diversa, è opportuno istituire un quadro giuridico distinto per la raccolta e il trasferimento dei dati API in relazione a ciascuna di esse.
3) La direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio (4) stabilisce norme sull'uso dei dati PNR a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. Ai sensi di tale direttiva, gli Stati membri sono tenuti ad adottare i provvedimenti necessari affinché i vettori aerei trasferiscano i dati PNR, compresi i dati API raccolti, all'unità d'informazione sui passeggeri (UIP) nazionale istituita ai sensi di tale direttiva nel caso in cui abbiano già raccolto tali dati nel normale svolgimento della loro attività. Di conseguenza, la direttiva non garantisce che i dati API siano raccolti e trasferiti in tutti i casi, in quanto i vettori aerei non hanno alcuna ragione commerciale che li induca a raccogliere una serie completa di tali dati. E' importante garantire che le UIP ricevano i dati API insieme ai dati PNR, in quanto il trattamento congiunto di tali dati è necessario per permettere alle autorità competenti degli Stati membri di prevenire, accertare, indagare e perseguire efficacemente i reati di terrorismo e i reati gravi. In particolare, il trattamento congiunto consente di identificare con precisione i passeggeri che tali autorità potrebbero dovere esaminare ulteriormente, in conformità del diritto applicabile. La suddetta direttiva, inoltre, non specifica con precisione quali informazioni costituiscano dati API. Per tali motivi è opportuno stabilire norme complementari che impongano ai vettori aerei di raccogliere e successivamente trasferire una serie specificamente definita di dati API, norme che dovrebbero applicarsi nel caso in cui i vettori aerei siano tenuti, a norma della direttiva, a raccogliere e trasferire i dati PNR sullo stesso volo.
4) E' pertanto necessario stabilire norme chiare, armonizzate ed efficaci a livello dell'Unione sulla raccolta e sul trasferimento dei dati API a fini di prevenzione, accertamento, indagine e azione penale relativamente ai reati di terrorismo e ai reati gravi.
5) Tenuto conto dello stretto legame esistente tra i due atti, il presente regolamento dovrebbe essere inteso come un'integrazione delle norme della direttiva (UE) 2016/681, conformemente all'interpretazione fornita dalla Corte di giustizia dell'Unione europea (CGUE). Pertanto, i dati API dovrebbero essere raccolti e trasferiti soltanto a norma del presente regolamento conformemente ai requisiti specifici ivi previsti, anche per quanto riguarda le circostanze e le modalità. Tuttavia, le norme di tale direttiva si applicano a materie non specificamente disciplinate dal presente regolamento, in particolare in relazione al successivo trattamento dei dati API ricevuti dalle UIP, allo scambio di informazioni tra Stati membri, alle condizioni di accesso da parte dell'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol), ai trasferimenti verso paesi terzi, alla conservazione e anonimizzazione, nonché alla protezione dei dati personali. Nella misura in cui si applicano tali norme, si applicano anche le norme della direttiva citata relative alle sanzioni e alle autorità nazionali di controllo. Il presente regolamento dovrebbe lasciare impregiudicate tali norme e dovrebbe pertanto, in particolare, lasciare impregiudicati i requisiti e le misure di salvaguardia applicabili al trattamento dei dati API da parte delle UIP.
6) La raccolta e il trasferimento dei dati API incidono sulla vita privata delle persone fisiche e comportano il trattamento dei loro dati personali. Per rispettare pienamente i loro diritti fondamentali, in particolare il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali, conformemente alla Carta dei diritti fondamentali dell'Unione europea («Carta»), occorre stabilire limiti e garanzie adeguati. Per esempio, il trattamento dei dati API, specialmente quelli che costituiscono dati personali, dovrebbe rimanere strettamente limitato a quanto necessario e proporzionato per il conseguimento degli obiettivi perseguiti dal presente regolamento. Occorre inoltre garantire che il trattamento di tutti i dati API raccolti e trasferiti ai sensi del presente regolamento non comporti alcuna forma di discriminazione vietata dalla Carta.
7) Dato che il presente regolamento è complementare alla direttiva (UE) 2016/681, gli obblighi dei vettori aerei da esso previsti dovrebbero applicarsi a tutti i voli per i quali gli Stati membri sono tenuti ad imporre ai vettori aerei di trasmettere i dati PNR ai sensi della direttiva (UE) 2016/681, indipendentemente dal luogo di stabilimento dei vettori aerei che li operano. Tali voli dovrebbero riguardare i voli sia di linea che non di linea sia tra Stati membri e paesi terzi (voli extra-UE) sia tra diversi Stati membri (voli intra-UE), a condizione che questi ultimi partano, atterrino o effettuino uno scalo nel territorio di almeno uno Stato membro che abbia notificato la sua decisione di applicare la direttiva (UE) 2016/681 ai voli intra-UE conformemente all'articolo 2, paragrafo 1, di tale direttiva e in linea con la giurisprudenza della CGUE. Per quanto riguarda i voli intra-UE contemplati dal presente regolamento, un tale approccio mirato, attuato in applicazione dell'articolo 2 della direttiva (UE) 2016/681 e incentrato sulle esigenze di un'efficace applicazione della legge, dovrebbe essere richiesto anche in considerazione della necessità di garantire il rispetto delle prescrizioni del diritto dell'Unione in materia di necessità e proporzionalità del trattamento dei dati, libera circolazione delle persone e abolizione dei controlli alle frontiere interne. La raccolta di dati da altre operazioni di aeromobili civili, quali le scuole di volo, i voli medici, i voli di emergenza e i voli militari, non deve rientrare nell'ambito di applicazione del presente regolamento. Il presente regolamento lascia impregiudicata la raccolta di dati da tali voli secondo quanto previsto nel diritto nazionale compatibile con il diritto dell'Unione. La Commissione dovrebbe valutare la fattibilità di un sistema dell'Unione che obblighi gli operatori di voli privati a raccogliere e trasferire dati dei passeggeri dei trasporti aerei.
8) Gli obblighi spettanti ai vettori aerei di raccogliere e trasferire dati API a norma del presente regolamento dovrebbero includere tutti i passeggeri e i membri degli equipaggi sui voli verso l'Unione, i passeggeri e i membri degli equipaggi in transito la cui destinazione finale è al di fuori dell'Unione e qualsiasi membro dell'equipaggio non in servizio imbarcato su un volo operato da un vettore aereo nel quadro delle sue funzioni.
9) Di conseguenza, dato che la direttiva (UE) 2016/681 non si applica ai voli che partono e atterrano nel territorio dello stesso Stato membro senza scali nel territorio di un altro Stato membro o di un paese terzo, e tenuto conto della dimensione transnazionale dei reati di terrorismo e dei reati gravi contemplati dal presente regolamento, tali voli non dovrebbero rientrare neanche nell'ambito di applicazione del presente regolamento. Il presente regolamento non dovrebbe intendersi tale da pregiudicare la possibilità per gli Stati membri di imporre ai vettori aerei, ai sensi del loro diritto nazionale e nel rispetto del diritto dell'Unione, l'obbligo di raccogliere e trasferire dati API su tali voli nazionali.
10) Considerata la stretta relazione tra gli atti giuridici dell'Unione in questione e a fini di uniformità e coerenza, se del caso è opportuno allineare le definizioni di cui al presente regolamento a quelle di cui alla direttiva (UE) 2016/681 e al regolamento (UE) 2025/12 del Parlamento europeo e del Consiglio, interpretarle e applicarle alla luce di queste ultime (5).
11) In particolare, le informazioni, relative tanto al singolo passeggero e membro dell'equipaggio quanto al volo di tale passeggero e membro dell'equipaggio, che insieme costituiscono i dati API da raccogliere e successivamente trasferire a norma del presente regolamento dovrebbero essere elencate in modo chiaro ed esaustivo. A norma del presente regolamento e conformemente alle norme internazionali, le informazioni di volo dovrebbero comprendere informazioni sul posto a sedere e informazioni sul bagaglio, se disponibili, e informazioni sul valico di frontiera di ingresso nel territorio dello Stato membro interessato solo ove applicabile, non quando i dati API si riferiscono a voli intra-UE. Qualora le informazioni sul bagaglio e sul posto a sedere siano disponibili in altri sistemi informatici di cui dispone il vettore aereo, il gestore, il fornitore del sistema o l'autorità aeroportuale, i vettori aerei dovrebbero integrarle nei dati API da trasferire alla UIP. I dati API quali definiti e disciplinati dal presente regolamento non comprendono dati biometrici.
12) Per permettere alle persone di viaggiare senza essere munite di un documento di viaggio, qualora gli Stati membri consentano tale pratica a norma del diritto nazionale conformemente al diritto dell'Unione, anche sulla base di un accordo internazionale, dovrebbe essere possibile per uno Stato membro imporre ai vettori aerei l'obbligo di prevedere che i passeggeri possano caricare volontariamente dati API con mezzi automatizzati e che il vettore aereo conservi tali dati al fine di trasferirli per voli futuri.
13) Al fine di consentire flessibilità e innovazione, è opportuno lasciare in linea di principio a ciascun vettore aereo il compito di determinare in che modo adempiere ai propri obblighi di raccolta dei dati API previsti dal presente regolamento, tenendo conto dei diversi tipi di vettore aereo quale definito nel presente regolamento e dei rispettivi modelli imprenditoriali, anche per quanto riguarda i tempi dell'accettazione e la cooperazione con gli aeroporti. Tuttavia, considerando che esistono soluzioni tecnologiche adeguate che consentono di raccogliere automaticamente determinati dati API garantendo al contempo che siano esatti, completi e aggiornati, e tenendo conto dei vantaggi dell'uso di tale tecnologia in termini di efficacia ed efficienza, è opportuno imporre ai vettori aerei di raccogliere tali dati API con mezzi automatizzati, ottenendo informazioni dai dati del documento di viaggio leggibili meccanicamente. Qualora l'uso di tali mezzi automatizzati non sia tecnicamente possibile in circostanze eccezionali, i vettori aerei dovrebbero in via eccezionale raccogliere i dati API manualmente, durante la procedura di accettazione online o in fase di accettazione in aeroporto, in modo tale da garantire il rispetto degli obblighi previsti dal presente regolamento.
14) La raccolta dei dati API con mezzi automatizzati dovrebbe essere strettamente limitata ai dati alfanumerici contenuti nel documento di viaggio e non dovrebbe comportare la raccolta di alcun dato biometrico da tale documento. Poiché la raccolta dei dati API è parte della procedura di accettazione, online o in aeroporto, il presente regolamento non prevede l'obbligo per i vettori aerei di controllare il documento di viaggio del passeggero al momento dell'imbarco. Il rispetto del presente regolamento non comporta per i passeggeri l'obbligo di portare con sé un documento di viaggio al momento dell'imbarco. Ciò dovrebbe lasciare impregiudicati gli obblighi derivanti da altri atti giuridici dell'Unione o dal diritto nazionale compatibile con il diritto dell'Unione.
15) La raccolta dei dati API dai documenti di viaggio dovrebbe inoltre essere coerente con le norme dell'Organizzazione per l'aviazione civile internazionale (ICAO) sui documenti di viaggio a lettura ottica, che sono state incorporate nel diritto dell'Unione mediante il regolamento (UE) 2019/1157 del Parlamento europeo e del Consiglio (6), il regolamento (CE) n. 2252/2004 del Consiglio (7) e la direttiva (UE) 2019/997 del Consiglio (8).
16) Al fine di evitare che si verifichi una situazione in cui i vettori aerei debbano istituire e mantenere connessioni multiple con le UIP degli Stati membri per trasferire i dati API raccolti a norma del presente regolamento e quindi di ovviare alle inefficienze e ai rischi per la sicurezza che ne conseguirebbero, è opportuno prevedere un unico router, creato e gestito a livello dell'Unione in conformità del presente regolamento e del regolamento (UE) 2025/12, che funga da punto di collegamento e distribuzione per tali trasferimenti. Nell'interesse dell'efficienza e dell'efficacia in termini di costi, il router dovrebbe avvalersi, per quanto tecnicamente possibile e nel pieno rispetto delle norme del presente regolamento e del regolamento (UE) 2025/12, di componenti tecnici di altri sistemi pertinenti creati in base al diritto dell'Unione, in particolare il servizio web di cui al regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio (9), il portale dei vettori di cui al regolamento (UE) 2018/1240 del Parlamento europeo e del Consiglio (10) e il portale dei vettori di cui al regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio (11). Al fine di ridurre l'impatto sui vettori aerei e garantire un approccio armonizzato nei loro confronti, l'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), istituita dal regolamento (UE) 2018/1726 del Parlamento europeo e del Consiglio (12), dovrebbe progettare il router, per quanto possibile sul piano tecnico e operativo, in modo coerente e uniforme con gli obblighi imposti ai vettori aerei stabiliti dai regolamenti (CE) n. 767/2008, (UE) 2017/2226, e (UE) 2018/1240.
17) Al fine di garantire la leggibilità dei dati PNR da parte delle UIP e il corretto funzionamento dei loro sistemi PNR, i messaggi digitali inviati da un vettore aereo contenenti uno o più dati del codice di prenotazione («messaggi PNR») dovrebbero essere trasferiti dai vettori aerei e trasmessi dal router in un formato standardizzato mediante campi di dati o codici standardizzati, sia in termini di contenuto che di struttura. Prima che il router entri in funzione in riferimento ad altri dati PNR, i test che devono essere svolti da eu-LISA dovrebbero garantire la capacità, la velocità e l'affidabilità del router nel provvedere a tale standardizzazione. A tal fine, la Commissione dovrebbe adottare le misure necessarie per rivedere la normativa di attuazione vigente adottata a norma dell'articolo 16 della direttiva (UE) 2016/681 che stabilisce protocolli comuni e formati di dati supportati. Tale revisione dovrebbe essere effettuata in stretta consultazione con i rappresentanti degli Stati membri al fine di avvalersi delle loro competenze e garantire che, per il funzionamento del router, si tenga conto a livello dell'Unione delle buone prassi sviluppate a livello nazionale in sede di attuazione della direttiva (UE) 2016/681. Il gruppo di contatto API-PNR dovrebbe sostenere tale revisione.
18) Al fine di migliorare l'efficienza della trasmissione dei dati sul traffico aereo e di sostenere il monitoraggio dei dati API trasmessi alle UIP, il router dovrebbe ricevere informazioni sul traffico aereo in tempo reale raccolte da altre organizzazioni, come l'Organizzazione europea per la sicurezza della navigazione aerea («Eurocontrol»).
19) Il router dovrebbe servire unicamente ad agevolare il trasferimento dei dati API e di altri dati PNR dai vettori aerei alle UIP a norma del presente regolamento e non dovrebbe costituire un archivio di dati API o di altri dati PNR. Pertanto, per ridurre al minimo il rischio di accesso non autorizzato o di altri usi impropri e conformemente al principio della minimizzazione dei dati, non si dovrebbe procedere ad alcuna conservazione a meno che non sia strettamente necessaria ai fini tecnici connessi alla trasmissione e i dati API o altri dati PNR dovrebbero essere cancellati dal router immediatamente, definitivamente e automaticamente nel momento in cui venga completata la trasmissione oppure, se del caso a norma del presente regolamento, in cui i dati API o altri dati PNR non debbano essere affatto trasmessi.
20) Affinché i vettori aerei possano beneficiare quanto prima dei vantaggi offerti dall'uso del router sviluppato da eu-LISA a norma del presente regolamento e del regolamento (EU) 2025/12 e si abituino a usarlo, è opportuno che abbiano la facoltà, ma non l'obbligo, di ricorrere al router, per un periodo transitorio, per trasferire le informazioni che sono tenuti a trasferire a norma della direttiva 2004/82/CE. Il periodo transitorio dovrebbe iniziare nel momento in cui il router entra in funzione e terminare quando cessano di applicarsi gli obblighi previsti da tale direttiva. Per garantire che tale uso volontario del router avvenga in modo responsabile, dovrebbe essere richiesto il previo consenso scritto dello Stato membro che deve ricevere le informazioni, su richiesta del vettore aereo e dopo che tale Stato membro abbia effettuato verifiche e ottenuto garanzie, se necessario. Analogamente, al fine di evitare che i vettori aerei inizino e interrompano ripetutamente l'uso del router, è opportuno che, una volta iniziato tale uso volontario, il vettore aereo sia tenuto a proseguirlo, a meno che non vi siano ragioni oggettive per interromperlo ai fini del trasferimento delle informazioni allo Stato membro competente, ad esempio quando risulti che le informazioni non sono trasferite in modo lecito, sicuro, efficace e rapido. Ai fini della corretta applicazione della facoltà di uso volontario del router, tenendo debitamente conto dei diritti e degli interessi di tutte le parti coinvolte, è opportuno stabilire nel presente regolamento le norme necessarie in materia di consultazioni e di comunicazione delle informazioni. L'uso volontario del router in applicazione della direttiva 2004/82/CE previsto dal presente regolamento non dovrebbe intendersi tale da incidere in alcun modo sugli obblighi dei vettori aerei e degli Stati membri ai sensi di tale direttiva.
21) Le disposizioni di cui al presente regolamento e ai corrispondenti atti delegati e di esecuzione dovrebbero comportare un'attuazione uniforme del presente regolamento da parte dei vettori aerei, riducendo così al minimo i costi di interconnessione dei rispettivi sistemi. Per facilitare l'attuazione armonizzata di tali disposizioni da parte dei vettori aerei, in particolare per quanto riguarda la struttura, il formato e il protocollo di trasmissione dei dati, la Commissione, sulla base della sua collaborazione con le UIP, le altre autorità degli Stati membri, i vettori aerei e le agenzie competenti dell'Unione, dovrebbe garantire che il manuale pratico da essa elaborato fornisca tutti gli orientamenti e i chiarimenti necessari.
22) Al fine di migliorare la qualità dei dati API, il router istituito nell'ambito del presente regolamento dovrebbe verificare se i dati API che gli sono stati trasferiti dai vettori aerei rispettano i formati di dati supportati. Se dalla verifica emerge che i dati non rispettano quei formati di dati, il router ne dovrebbe informare immediatamente e in modo automatizzato il vettore aereo interessato.
23) I passeggeri dovrebbero poter fornire autonomamente alcuni dati API durante la procedura di accettazione online mediante mezzi automatizzati, ad esempio attraverso un'applicazione sicura sullo smartphone, sul computer o sulla webcam del passeggero in grado di ottenere i dati del documento di viaggio leggibili meccanicamente. Ai passeggeri che non effettuano l'accettazione online i vettori aerei dovrebbero offrire la possibilità di presentare i necessari dati API leggibili meccanicamente durante in fase di accettazione all'aeroporto, grazie a un dispositivo self-service o al personale dei vettori aerei al banco d'accettazione. Fatta salva la libertà dei vettori aerei di fissare le tariffe aeree e di definire la propria politica commerciale, è importante che gli obblighi di cui al presente regolamento non comportino ostacoli sproporzionati per i passeggeri che non sono in grado di utilizzare mezzi online per fornire i dati API, quali tariffe supplementari per la fornitura dei dati API in aeroporto. Inoltre, il presente regolamento dovrebbe prevedere un periodo transitorio durante il quale ai passeggeri è data la possibilità di fornire manualmente i dati API durante la procedura di accettazione online. In tali casi, i vettori aerei dovrebbero utilizzare tecniche di verifica dei dati.
24) E' importante che i sistemi automatizzati di raccolta dei dati e gli altri processi istituiti nell'ambito del presente regolamento non abbiano un impatto negativo sui dipendenti del settore dell'aviazione, cui devono essere offerte opportunità di miglioramento del livello delle competenze e di riqualificazione che aumenterebbero l'efficienza e l'affidabilità della raccolta e del trasferimento dei dati, nonché le condizioni di lavoro nel settore.
25) Al fine di garantire il trattamento congiunto dei dati API e dei dati PNR per un contrasto efficace del terrorismo e dei reati gravi nell'Unione e, nel contempo, ridurre al minimo l'ingerenza nei diritti fondamentali dei passeggeri tutelati dalla Carta, le UIP dovrebbero essere le autorità competenti degli Stati membri incaricate di ricevere, e in seguito trattare ulteriormente e proteggere, i dati API raccolti e trasferiti a norma del presente regolamento. Per migliorare l'efficienza e ridurre al minimo i rischi per la sicurezza, il router, quale progettato, sviluppato, ospitato e tecnicamente mantenuto da eu-LISA in conformità del presente regolamento e del regolamento (UE) 2025/12, dovrebbe trasmettere alle UIP pertinenti i dati API raccolti e ad esso trasferiti dai vettori aerei a norma del presente regolamento. Visto il livello di protezione necessario per i dati API che costituiscono dati personali, anche per garantire la riservatezza delle informazioni in essi contenute, è opportuno che i dati API siano trasmessi dal router alle UIP pertinenti in modo automatizzato. Il presente regolamento non dovrebbe pregiudicare la possibilità per gli Stati membri di prevedere un unico punto di ingresso dei dati che garantisca la loro connessione e integrazione con il router.
26) Al fine di garantire il rispetto dei diritti sanciti dalla Carta nonché di garantire opzioni di viaggio accessibili e inclusive, in particolare per i gruppi vulnerabili e le persone con disabilità, e conformemente ai diritti delle persone con disabilità e delle persone a mobilità ridotta nel trasporto aereo di cui al regolamento (CE) n. 1107/2006 del Parlamento europeo e del Consiglio (13), i vettori aerei, con il sostegno degli Stati membri, dovrebbero garantire che sia sempre disponibile un'opzione che permetta ai passeggeri in aeroporto di fornire i dati necessari.
27) Per i voli extra-UE, l'UIP dello Stato membro nel cui territorio atterrerà o da cui partirà il volo dovrebbe ricevere dal router i dati API per tutti i voli per i quali sono raccolti i dati PNR conformemente alla direttiva (UE) 2016/681. Il router dovrebbe identificare il volo e le UIP corrispondenti utilizzando le informazioni contenute nel codice PNR di identificazione della pratica che, in quanto elemento di dati comune alle serie di dati API e alle serie di dati PNR, consente alle UIP il trattamento congiunto dei dati API e PNR.
28) Per quanto riguarda i voli intra-UE, in linea con la giurisprudenza della CGUE, al fine di evitare ingerenze indebite nei diritti fondamentali pertinenti dei passeggeri come tutelati dalla Carta e di garantire il rispetto degli obblighi previsti dal diritto dell'Unione in materia di libera circolazione delle persone e abolizione dei controlli alle frontiere interne, è opportuno prevedere un approccio selettivo. Vista l'importanza di garantire che i dati API possano essere trattati insieme ai dati PNR, tale approccio dovrebbe essere allineato a quello della direttiva (UE) 2016/681. Pertanto, i dati API relativi a detti voli dovrebbero essere trasmessi dal router alle UIP pertinenti solo se gli Stati membri hanno selezionato i voli in questione in applicazione dell'articolo 2 della direttiva (UE) 2016/681 e in conformità dell'approccio selettivo previsto nel presente regolamento. Solo in caso di una reale minaccia terroristica presente o prevedibile e sulla base di una decisione fondata su una valutazione della minaccia, limitata nel tempo allo stretto necessario e soggetta a un controllo efficace, gli Stati membri dovrebbero poter applicare la direttiva (UE) 2016/681 a tutti i voli intra-UE in arrivo nel loro territorio o in partenza dallo stesso. In altre situazioni dovrebbe essere previsto un approccio selettivo. Come ricordato dalla CGUE, la selezione implica che gli Stati membri debbano applicare gli obblighi in questione solo per quanto riguarda, tra l'altro, determinati collegamenti o modalità di viaggio o certi aeroporti, fatto salvo il riesame periodico della selezione stessa. Inoltre, la selezione dovrebbe essere basata su una valutazione obiettiva, debitamente motivata e non discriminatoria che tenga conto unicamente dei criteri che sono pertinenti ai fini di prevenzione, accertamento, indagine e azione penale riguardo ai reati di terrorismo e ai reati gravi che presentano un legame oggettivo, anche indiretto, con il trasporto aereo di passeggeri. Gli Stati membri dovrebbero conservare tutta la documentazione pertinente relativa alla valutazione al fine di consentire un adeguato controllo e di riesaminare la loro valutazione periodicamente e almeno ogni 12 mesi, in conformità dell'articolo 13, paragrafo 7, del presente regolamento.
29) Per consentire l'applicazione dell'approccio selettivo a norma del presente regolamento riguardo ai voli intra-UE, gli Stati membri dovrebbero essere tenuti a redigere gli elenchi dei voli o dei collegamenti selezionati e a inserirli nel router, in modo che eu-LISA possa garantire che il router trasmetta alle UIP pertinenti solo i dati API relativi a tali voli o collegamenti e che quelli relativi agli altri voli intra-UE siano cancellati immediatamente e definitivamente.
30) Al fine di aumentare la coesione tra gli approcci selettivi adottati dai vari Stati membri, la Commissione dovrebbe facilitare il regolare scambio di opinioni sulla scelta dei criteri di selezione, compresa la condivisione delle buone prassi, come pure, su base volontaria, lo scambio di informazioni sui voli selezionati.
31) Per evitare che sia compromessa, in particolare per rischi di elusione, l'efficacia del sistema basato sulla raccolta e sul trasferimento dei dati API istituito dal presente regolamento e dei dati PNR nell'ambito del sistema istituito dalla direttiva (UE) 2016/681 al fine di prevenire, accertare, indagare e perseguire i reati di terrorismo e i reati gravi, la selezione dei voli intra-UE da parte degli Stati membri dovrebbe essere considerata un'informazione riservata. Pertanto, tale informazione non dovrebbe essere condivisa con i vettori aerei, i quali dovrebbero essere tenuti a raccogliere i dati API su tutti i voli contemplati dal presente regolamento, compresi tutti i voli intra-UE, e a trasferirli in seguito al router, dove dovrebbe essere effettuata la necessaria selezione. Inoltre, il fatto di raccogliere i dati API su tutti i voli intra-UE impedisce ai passeggeri di sapere quali dati API di voli intra-UE selezionati, e quindi quali dati PNR, siano trasmessi alle UIP conformemente alla valutazione degli Stati membri. Tale approccio garantisce anche che eventuali modifiche della selezione possano essere effettuate in modo rapido ed efficace, senza imporre ai vettori aerei oneri economici e operativi indebiti.
32) Il presente regolamento non consente la raccolta o il trasferimento dei dati API sui voli intra-UE al fine di contrastare l'immigrazione illegale, conformemente al diritto dell'Unione e alla giurisprudenza della CGUE.
33) Per garantire il rispetto del diritto fondamentale alla protezione dei dati personali, il presente regolamento dovrebbe identificare il titolare del trattamento e il responsabile del trattamento e stabilire norme in materia di audit. Ai fini di un monitoraggio efficace, che garantisca un'adeguata protezione dei dati personali e riduca al minimo i rischi per la sicurezza, dovrebbero inoltre essere previste norme in materia di registrazione, sicurezza del trattamento e autocontrollo. Laddove riguardino il trattamento di dati personali, tali disposizioni dovrebbero essere in linea con gli atti giuridici dell'Unione di applicazione generale in materia di protezione dei dati personali, in particolare i regolamenti (UE) 2016/679 (14) e (UE) 2018/1725 (15) del Parlamento europeo e del Consiglio.
34) Lasciando impregiudicate le norme più specifiche stabilite nel presente regolamento per il trattamento dei dati personali, il regolamento (UE) 2016/679 dovrebbe applicarsi al trattamento dei dati personali da parte dei vettori aerei a norma del presente regolamento. La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (16) dovrebbe applicarsi al trattamento dei dati personali a norma del presente regolamento da parte delle autorità nazionali competenti, quali definite in tale direttiva, ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia da minacce alla pubblica sicurezza e la prevenzione delle stesse. Il regolamento (UE) 2018/1725 dovrebbe applicarsi al trattamento dei dati personali da parte di eu-LISA nell'esercizio delle sue responsabilità a norma del presente regolamento.
35) Tenuto conto del diritto dei passeggeri di essere informati in merito al trattamento dei loro dati personali, gli Stati membri dovrebbero provvedere affinché i passeggeri ricevano informazioni precise sulla raccolta dei dati API, sul trasferimento di tali dati all'UIP e sui loro diritti in qualità di interessati, che siano facilmente accessibili e comprensibili, al momento della prenotazione e al momento dell'accettazione.
36) Gli audit della protezione dei dati personali per i quali sono responsabili gli Stati membri dovrebbero essere effettuati dalle autorità di controllo indipendenti di cui all'articolo 41 della direttiva (UE) 2016/680 o da un organismo di audit incaricato a tal fine dall'autorità di controllo.
37) Le finalità delle operazioni di trattamento a norma del presente regolamento, vale a dire la trasmissione dei dati API dai vettori aerei alle UIP degli Stati membri tramite il router, sono intese ad assistere dette autorità nell'adempimento dei loro obblighi e compiti in conformità della direttiva (UE) 2016/681. Pertanto, gli Stati membri dovrebbero designare le autorità titolari del trattamento dei dati nel router e responsabili per la trasmissione dei dati dal router alle UIP e per il loro trattamento successivo in conformità della direttiva (UE) 2016/681. Gli Stati membri dovrebbero comunicare tali autorità alla Commissione e a eu-LISA. Per il trattamento dei dati personali nel router, gli Stati membri dovrebbero essere contitolari del trattamento a norma dell'articolo 21 della direttiva (UE) 2016/680. I vettori aerei, a loro volta, dovrebbero essere titolari distinti del trattamento per quanto riguarda il trattamento dei dati API che costituiscono dati personali a norma del presente regolamento. Su tale base, sia i vettori aerei che le UIP dovrebbero essere titolari distinti per quanto riguarda le operazioni di trattamento dei dati API a norma del presente regolamento. In quanto responsabile della progettazione, dello sviluppo, dell'hosting e della gestione tecnica del router, eu-LISA dovrebbe essere responsabile del trattamento dei dati API che costituiscono dati personali tramite il router, compresa la trasmissione dei dati dal router alle UIP e la loro conservazione nel router, nella misura in cui tale conservazione sia necessaria a fini tecnici.
38) Il router da creare e gestire a norma del presente regolamento e del regolamento (UE) 2025/12 dovrebbe ridurre e semplificare le connessioni tecniche necessarie per trasferire i dati API a norma del presente regolamento, limitandole a un'unica connessione per vettore aereo e per UIP. Pertanto, il presente regolamento dovrebbe fare obbligo a ogni UIP e ogni vettore aereo di stabilire una connessione con il router e di conseguire la necessaria integrazione con lo stesso, per garantire il corretto funzionamento del sistema di trasferimento dei dati API istituito dal presente regolamento. La progettazione e lo sviluppo del router da parte di eu-LISA dovrebbero consentire la connessione e l'integrazione efficaci ed efficienti dei sistemi e delle infrastrutture dei vettori aerei mediante la definizione di tutte le norme e di tutti i requisiti tecnici pertinenti. Per garantire il corretto funzionamento del sistema istituito dal presente regolamento è opportuno prevedere norme dettagliate. In fase di progettazione e sviluppo del router, eu-LISA dovrebbe garantire che i dati API e gli altri dati PNR trasferiti dai vettori aerei e trasmessi alle UIP siano criptati durante il transito.
39) Considerati gli interessi dell'Unione in gioco, tutti i costi sostenuti da eu-LISA per assolvere ai compiti relativi al router a norma del presente regolamento dovrebbero essere a carico del bilancio dell'Unione, compresi la progettazione e lo sviluppo del router, l'hosting e la gestione tecnica del router e la struttura di governance presso eu-LISA a sostegno della progettazione, dello sviluppo, dell'hosting e della gestione tecnica del router. Lo stesso potrebbe valere per i costi sostenuti dagli Stati membri in relazione alle loro connessioni e alla loro integrazione con il router e alla loro manutenzione a norma del presente regolamento, conformemente al diritto dell'Unione applicabile. E' importante che il bilancio dell'Unione fornisca un sostegno finanziario adeguato agli Stati membri per tali costi. A tal fine, il fabbisogno finanziario degli Stati membri dovrebbe essere sostenuto dal bilancio generale dell'Unione, conformemente alle norme di ammissibilità e ai tassi di cofinanziamento stabiliti dai pertinenti atti giuridici dell'Unione. Il contributo annuale dell'Unione assegnato a eu-LISA dovrebbe coprire i fabbisogni relativi all'hosting e alla gestione tecnica del router sulla base di una valutazione effettuata da eu-LISA. Il bilancio dell'Unione dovrebbe coprire anche il sostegno, come la formazione, offerto da eu-LISA ai vettori aerei e alle UIP per consentire un trasferimento e una trasmissione efficaci dei dati API attraverso il router. I costi sostenuti dalle autorità nazionali di controllo indipendenti in relazione ai compiti affidati loro a norma del presente regolamento dovrebbero essere sostenuti dai rispettivi Stati membri.
40) A norma del regolamento (UE) 2018/1726, gli Stati membri possono incaricare eu-LISA di agevolare la connettività con i vettori aerei al fine di assistere gli Stati membri nell'attuazione della direttiva (UE) 2016/681, in particolare raccogliendo e trasferendo dati PNR tramite un router. A tal fine, e per ragioni di efficienza ed efficacia in termini di costi sia per gli Stati membri che per i vettori aerei, il presente regolamento dovrebbe imporre ai vettori aerei di utilizzare il router per il trasferimento alle banche dati delle rispettive UIP di altri dati PNR contemplati dalla direttiva (UE) 2016/681, nell'ambito delle misure nazionali di attuazione della disposizione di tale direttiva relativa all'obbligo per gli Stati membri di garantire che i vettori aerei trasferiscano, tramite il «metodo push», i dati PNR alle UIP pertinenti.
41) Al fine di garantire che i dati in questione siano trattati in modo lecito, sicuro, efficace e rapido, le norme stabilite dal presente regolamento in relazione al router e alla trasmissione dei dati API dal router alle UIP dovrebbero applicarsi di conseguenza anche ad altri dati PNR. Tali norme comprendono anche gli obblighi del presente regolamento per quanto riguarda il trasferimento e la trasmissione di dati relativi ai voli intra-UE, in linea con la giurisprudenza della CGUE, nonché i collegamenti dei vettori aerei e dell'UIP al router. Per quanto riguarda le norme sui tempi dei trasferimenti, i protocolli di trasmissione e i formati dei dati in cui i messaggi PNR devono essere trasferiti al router, si applicano le disposizioni pertinenti della direttiva (UE) 2016/681.
42) E' opportuno chiarire che l'uso del router in relazione ad altri dati PNR incide unicamente sul modo in cui tali dati sono trasferiti e trasmessi alle banche dati delle UIP degli Stati membri interessati. Gli obblighi del presente regolamento in materia di raccolta dei dati API non sono applicabili a tutti gli altri dati PNR. Tale raccolta dovrebbe invece continuare ad essere disciplinata unicamente dalla direttiva (UE) 2016/681, solo nella misura in cui i vettori aerei abbiano già raccolto tali dati nel normale svolgimento della loro attività ai sensi della disposizione pertinente di tale direttiva. Inoltre, come nel caso dei dati API raccolti dai vettori aerei e trasferiti alle UIP a norma del presente regolamento, è opportuno lasciare impregiudicate le norme di tale direttiva per quanto riguarda le materie non specificamente disciplinate dal presente regolamento, in particolare le norme sul successivo trattamento di altri dati PNR ricevuti dalle UIP. Pertanto, le suddette norme continuano ad applicarsi in relazione a tali dati.
43) Non si può escludere che, a causa di circostanze eccezionali e nonostante l'adozione di tutte le misure ragionevoli a norma del presente regolamento, l'infrastruttura centrale o uno dei componenti tecnici del router o le infrastrutture di comunicazione che lo collegano alle UIP e ai vettori aerei non funzionino correttamente, con conseguente impossibilità tecnica per i vettori aerei di trasferire o per le UIP di ricevere i dati API. Data l'indisponibilità del router e il fatto che in generale non sarà ragionevolmente possibile per i vettori aerei trasferire i dati API interessati dal guasto in modo lecito, sicuro, efficace e rapido con mezzi alternativi, l'obbligo per i vettori aerei di trasferire tali dati API al router dovrebbe cessare di applicarsi fintanto che persiste l'impossibilità tecnica. Tuttavia, per garantire la disponibilità dei dati API necessari a fini di prevenzione, accertamento, indagine e azione penale riguardo ai reati di terrorismo e ai reati gravi, i vettori aerei dovrebbero continuare a raccogliere e conservare i dati API in modo che possano essere trasferiti non appena sia stata risolta l'impossibilità tecnica. In tal caso le parti interessate dovrebbero informarsi immediatamente a vicenda e adottare immediatamente tutte le misure necessarie per porre rimedio all'impossibilità tecnica, al fine di ridurne al minimo la durata e le conseguenze negative. Tale disposizione dovrebbe lasciare impregiudicati l'obbligo imposto dal presente regolamento a tutte le parti interessate di garantire il corretto funzionamento del router e dei rispettivi sistemi e infrastrutture, nonché l'imposizione di sanzioni ai vettori aerei in caso di mancato rispetto di tali obblighi, anche quando applicano detta disposizione in casi ingiustificati. Per scoraggiare tali usi impropri e facilitare il controllo e, se necessario, l'imposizione di sanzioni, i vettori aerei che applicano detta disposizione in caso di guasti del proprio sistema e della propria infrastruttura dovrebbero riferire in merito all'autorità di controllo competente.
44) Qualora i vettori aerei mantengano collegamenti diretti con le UIP per il trasferimento dei dati API, tali collegamenti possono costituire mezzi adeguati, che garantiscono il livello di sicurezza dei dati necessario, per trasferire i dati API direttamente alle UIP in caso di impossibilità tecnica di utilizzare il router. In casi eccezionali di impossibilità tecnica di utilizzare il router, le UIP dovrebbero poter chiedere ai vettori aerei di utilizzare tali mezzi adeguati, il che non comporta l'obbligo per i vettori aerei di mantenere o introdurre tali collegamenti diretti o qualsiasi altro mezzo adeguato che garantisca il necessario livello di sicurezza dei dati per trasferire i dati API direttamente alle UIP. Il trasferimento eccezionale dei dati API con qualsiasi altro mezzo adeguato, come la posta elettronica cifrata o un portale web sicuro, ed escludendo l'uso di formati elettronici non standard, dovrebbe garantire il necessario livello di sicurezza, qualità e protezione dei dati. I dati API ricevuti dalle UIP mediante tali altri mezzi adeguati dovrebbero essere ulteriormente trattati in conformità delle norme e delle garanzie in materia di protezione dei dati di cui alla direttiva (UE) 2016/681. A seguito della notifica da parte di eu-LISA che l'impossibilità tecnica è stata risolta e qualora sia confermato che la trasmissione dei dati API attraverso il router all'UIP è stata completata, l'UIP dovrebbe cancellare immediatamente i dati API ricevuti in precedenza mediante qualsiasi altro mezzo adeguato. Tale cancellazione non dovrebbe riguardare casi specifici in cui i dati API ricevuti dalle UIP mediante qualsiasi altro mezzo adeguato sono stati nel frattempo ulteriormente trattati in conformità della direttiva (UE) 2016/681 al fine specifico di prevenire, accertare, indagare e perseguire i reati di terrorismo e i reati gravi.
45) E' opportuno prevedere che siano designate e abilitate autorità nazionali quali autorità nazionali di controllo delle API incaricate di monitorare l'applicazione delle norme del presente regolamento, così da garantire che siano effettivamente applicate dai vettori aerei. Gli Stati membri possono designare le loro UIP come autorità nazionali di controllo delle API. Le disposizioni del presente regolamento relative a tale monitoraggio, anche per quanto riguarda l'imposizione di sanzioni ove necessario, dovrebbero lasciare impregiudicati i compiti e i poteri delle autorità di controllo istituite a norma del regolamento (UE) 2016/679 e della direttiva (UE) 2016/680, anche in relazione al trattamento dei dati personali a norma del presente regolamento.
46) E' opportuno che gli Stati membri prevedano sanzioni effettive, proporzionate e dissuasive, che includano sanzioni pecuniarie e non pecuniarie, a carico dei vettori aerei che non si conformano agli obblighi di cui al presente regolamento, compresi quelli in materia di raccolta di dati API con mezzi automatizzati e di trasferimento dei dati conformemente ai tempi, ai formati e ai protocolli richiesti. In particolare, gli Stati membri dovrebbero garantire che la reiterata inosservanza, da parte dei vettori aerei in quanto persone giuridiche, dell'obbligo di trasferire i dati API al router a norma del presente regolamento sia soggetta a sanzioni pecuniarie proporzionate fino al 2 % del fatturato globale del vettore aereo nell'esercizio precedente. Inoltre, gli Stati membri dovrebbero poter applicare sanzioni, anche pecuniarie, ai vettori aerei per altre forme di inosservanza degli obblighi previsti dal presente regolamento.
47) Nel prevedere le norme sulle sanzioni applicabili ai vettori aerei a norma del presente regolamento, gli Stati membri potrebbero tenere conto della fattibilità tecnica e operativa di garantire la completa accuratezza dei dati. Inoltre, quando sono imposte sanzioni, dovrebbero esserne stabiliti l'applicazione e il valore. Le autorità nazionali di controllo delle API potrebbero tenere conto delle azioni intraprese dal vettore aereo per attenuare il problema e del suo livello di cooperazione con le autorità nazionali.
48) Poiché il router dovrebbe essere progettato, sviluppato, ospitato e gestito tecnicamente da eu-LISA, è necessario modificare il regolamento (UE) 2018/1726 aggiungendo tale compito a quelli di eu-LISA. Al fine di conservare le relazioni e le statistiche del router nell'archivio centrale di relazioni e statistiche (CRRS), istituito dal regolamento (UE) 2019/818 del Parlamento europeo e del Consiglio (17), è necessario modificare tale regolamento. Al fine di sostenere l'applicazione del presente regolamento da parte dell'autorità nazionale di controllo delle API è necessario che le modifiche del regolamento (UE) 2019/818 includano disposizioni relative alle statistiche sull'accuratezza e sulla completezza dei dati API, ad esempio indicando se i dati sono stati raccolti con mezzi automatizzati. E' altresì importante raccogliere statistiche affidabili e utili sull'attuazione del presente regolamento al fine di sostenerne gli obiettivi e di fungere da base per le valutazioni a norma del presente regolamento. Su richiesta della Commissione, eu-LISA dovrebbe fornirle statistiche su aspetti specifici connessi all'attuazione del presente regolamento, quali le statistiche aggregate sulla trasmissione di dati API alle UIP. Tali statistiche non dovrebbero contenere dati personali. Pertanto, il CRRS dovrebbe fornire statistiche basate sui dati API solo ai fini dell'attuazione e di un efficace monitoraggio dell'applicazione del presente regolamento. I dati che il router trasmette automaticamente al CRRS a tal fine non dovrebbero consentire l'identificazione dei passeggeri interessati.
49) Al fine di aumentare la chiarezza e la certezza del diritto, contribuire a garantire la qualità dei dati, garantire l'uso responsabile dei mezzi automatizzati per la raccolta dei dati API leggibili meccanicamente a norma del presente regolamento e garantire la raccolta manuale dei dati API in circostanze eccezionali e durante il periodo transitorio, al fine di chiarire i requisiti tecnici applicabili ai vettori aerei e necessari per garantire che i dati API da essi raccolti a norma del presente regolamento siano trasferiti al router in modo sicuro, efficace, rapido e che non incide più del necessario sul viaggio dei passeggeri e sui vettori aerei, nonché al fine di garantire che i dati inesatti, incompleti o non più aggiornati siano rettificati, integrati o aggiornati, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 del trattato sul funzionamento dell'Unione europea (TFUE) per porre termine al periodo transitorio per la raccolta manuale dei dati API; per adottare misure relative ai requisiti tecnici e alle norme operative che i vettori aerei dovrebbero rispettare in relazione all'uso di mezzi automatizzati per la raccolta di dati API leggibili meccanicamente a norma del presente regolamento e alla raccolta manuale dei dati API in circostanze eccezionali e durante il periodo transitorio, compresi i requisiti in materia di sicurezza dei dati; per stabilire norme dettagliate sui protocolli comuni e sui formati di dati supportati da usare per il trasferimento criptato dei dati API al router, compresi i requisiti di sicurezza dei dati; e per stabilire norme dettagliate in materia di correzione, integrazione e aggiornamento dei dati API. E' di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni con i pertinenti portatori di interessi, compresi i vettori aerei, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (18). In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati. Tenuto conto dello stato dell'arte, tali requisiti tecnici e norme operative potrebbero cambiare nel tempo.
50) E' opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di esecuzione del presente regolamento, in particolare per quanto concerne l'entrata in funzione del router, le norme tecniche e procedurali per le verifiche e le notifiche dei dati, le norme tecniche e procedurali per la trasmissione dei dati API dal router alle UIP che assicurino una trasmissione sicura, efficace e rapida che non incida più del necessario sul viaggio dei passeggeri e sui vettori aerei, e le connessioni e l'integrazione delle UIP con il router, e al fine di specificare le responsabilità degli Stati membri in qualità di contitolari del trattamento, ad esempio per quanto riguarda l'identificazione e la gestione degli incidenti di sicurezza, comprese le violazioni dei dati personali, e il rapporto tra i contitolari del trattamento ed eu-LISA in qualità di responsabile del trattamento, compresa l'assistenza di eu-LISA ai titolari del trattamento con misure tecniche e organizzative adeguate, nella misura in cui sia possibile, per l'adempimento degli obblighi del titolare del trattamento di rispondere alle richieste di esercizio dei diritti dell'interessato. E' altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (19).
51) Tutte le parti interessate, in particolare i vettori aerei e le UIP, dovrebbero avere il tempo sufficiente per compiere i preparativi necessari a ottemperare ai rispettivi obblighi stabiliti dal presente regolamento, tenendo conto del fatto che alcuni di questi preparativi, come quelli relativi agli obblighi in materia di connessione e integrazione con il router, potranno essere ultimati solo dopo il completamento delle fasi di progettazione e sviluppo del router stesso e una volta che questo sarà entrato in funzione. Pertanto, il presente regolamento dovrebbe applicarsi solo a decorrere da una data appropriata successiva alla data di entrata in funzione del router, specificata dalla Commissione in conformità del presente regolamento e del regolamento (UE) 2025/12. Tuttavia, la Commissione dovrebbe potere adottare atti delegati e di esecuzione a norma del presente regolamento già da una data anteriore, in modo da garantire che il sistema istituito dal presente regolamento sia operativo non appena possibile.
52) Le fasi di progettazione e sviluppo del router previste dal presente regolamento e dal regolamento (UE) 2025/12 dovrebbero essere avviate e completate quanto prima in modo che il router possa entrare in funzione il prima possibile, il che richiederà anche l'adozione degli atti di esecuzione pertinenti previsti dal presente regolamento. Ai fini di uno sviluppo agevole ed efficace di tali fasi, dovrebbe essere istituito un apposito consiglio di gestione del programma con la funzione di supervisionare eu-LISA nello svolgimento dei suoi compiti durante tali fasi. Il consiglio di gestione del programma dovrebbe cessare di esistere due anni dopo l'entrata in funzione del router. E' inoltre opportuno istituire, in conformità del regolamento (UE) 2018/1726, un apposito organo consultivo, il gruppo consultivo API-PNR, con l'obiettivo di fornire consulenza a eu-LISA e al consiglio di gestione del programma sulle fasi di progettazione e di sviluppo del router, nonché a eu-LISA per quanto riguarda l'hosting e la gestione del router. Il consiglio di gestione del programma e il gruppo consultivo API-PNR dovrebbero essere istituiti e gestiti secondo i modelli dei consigli di gestione del programma e dei gruppi consultivi esistenti.
53) Dovrebbero essere forniti senza indugio anche i chiarimenti previsti dal presente regolamento in merito all'applicazione delle specifiche relative all'uso di mezzi automatizzati in applicazione della direttiva 2004/82/CE. Le disposizioni concernenti tali questioni dovrebbero pertanto applicarsi a decorrere dalla data di entrata in vigore del presente regolamento. Inoltre, al fine di consentire il prima possibile l'uso volontario del router, è opportuno che si applichino il prima possibile, ossia dall'entrata in funzione del router, le disposizioni relative a tale uso e altre disposizioni necessarie a garantire che tale uso avvenga in modo responsabile.
54) Dovrebbe esistere un'unica struttura di governance ai fini del presente regolamento e del regolamento 2025/12. Al fine di consentire e promuovere la comunicazione tra i rappresentanti dei vettori aerei e i rappresentanti delle autorità degli Stati membri competenti a norma del presente regolamento e del regolamento 2025/12 per la trasmissione dei dati API dal router, dovrebbero essere istituiti due organismi appositi al più tardi due anni dopo l'entrata in funzione del router. Le questioni tecniche relative all'uso e al funzionamento del router dovrebbero essere discusse in seno al gruppo di contatto API-PNR, nel quale dovrebbero essere presenti anche rappresentanti di eu-LISA. Le questioni politiche, come quelle relative alle sanzioni, dovrebbero essere discusse in seno al gruppo di esperti API.
55) Il presente regolamento dovrebbe essere oggetto di valutazioni periodiche per garantire il controllo della sua effettiva applicazione. In particolare, la raccolta di dati API non dovrebbe andare a scapito dell'esperienza di viaggio dei passeggeri legittimi. La Commissione dovrebbe pertanto includere, nelle sue relazioni di valutazione periodiche relative all'applicazione del presente regolamento, una valutazione dell'impatto del presente regolamento sull'esperienza di viaggio dei passeggeri legittimi. La valutazione dovrebbe comprendere anche una valutazione della qualità dei dati inviati dal router, nonché delle prestazioni del router nei confronti delle UIP.
56) Dato che il presente regolamento richiede ulteriori adeguamenti e costi amministrativi da parte dei vettori aerei, l'onere normativo complessivo per il settore dell'aviazione dovrebbe essere oggetto di un attento riesame. In tale contesto, la relazione di valutazione del funzionamento del presente regolamento dovrebbe valutare in che misura gli obiettivi del presente regolamento siano stati conseguiti e in quale misura quest'ultimo abbia inciso sulla competitività del settore.
57) Poiché gli obiettivi del presente regolamento, vale a dire contribuire alla prevenzione, all'accertamento, all'indagine e al perseguimento di reati di terrorismo e reati gravi, tenuto conto della dimensione transnazionale dei reati in questione e della necessità di cooperare su base transfrontaliera per contrastarli efficacemente, non possono essere conseguiti in misura sufficiente dai singoli Stati membri ma possono essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea (TUE). Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
58) Il presente regolamento non pregiudica le competenze degli Stati membri per quanto riguarda il diritto nazionale in materia di sicurezza nazionale, a condizione che tale diritto sia conforme al diritto dell'Unione.
59) Il presente regolamento non pregiudica la competenza degli Stati membri di raccogliere, ai sensi del loro diritto nazionale, i dati dei passeggeri da prestatori di servizi di trasporto diversi da quelli specificati nel presente regolamento, a condizione che tale diritto nazionale sia conforme al diritto dell'Unione.
60) A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non partecipa all'adozione del presente regolamento, non è da esso vincolata, né è soggetta alla sua applicazione.
61) A norma dell'articolo 3 del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, l'Irlanda ha notificato che desidera partecipare all'adozione e all'applicazione del presente regolamento.
62) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere l'8 febbraio 2023 (20),
HANNO ADOTTATO IL PRESENTE REGOLAMENTO:
GU C 228, del 29.6.2023.
Posizione del Parlamento europeo del 25 aprile 2024 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 12 dicembre 2024.
Direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l'obbligo dei vettori di comunicare i dati relativi alle persone trasportate (GU L 261 del 6.8.2004).
Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (GU L 119 del 4.5.2016).
Regolamento (UE) 2025/12 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, sulla raccolta e sul trasferimento delle informazioni anticipate sui passeggeri al fine di migliorare e agevolare le verifiche alle frontiere esterne, che modifica i regolamenti (UE) 2018/1726 e (UE) 2019/817 e abroga la direttiva 2004/82/CE del Consiglio (GU L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/12/oj)
Regolamento (UE) 2019/1157 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sul rafforzamento della sicurezza delle carte d'identità dei cittadini dell'Unione e dei titoli di soggiorno rilasciati ai cittadini dell'Unione e ai loro familiari che esercitano il diritto di libera circolazione (GU L 188 del 12.7.2019).
Regolamento (CE) n. 2252/2004 del Consiglio, del 13 dicembre 2004, relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri (GU L 385 del 29.12.2004).
Direttiva (UE) 2019/997 del Consiglio, del 18 giugno 2019, che istituisce un documento di viaggio provvisorio dell'UE e abroga la decisione 96/409/PESC (GU L 163 del 20.6.2019).
Regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio, del 30 novembre 2017, che istituisce un sistema di ingressi/uscite (EES) per la registrazione dei dati di ingresso e di uscita e dei dati relativi al respingimento dei cittadini di paesi terzi che attraversano le frontiere esterne degli Stati membri e che determina le condizioni di accesso al sistema di ingressi/uscite a fini di contrasto e che modifica la Convenzione di applicazione dell'Accordo di Schengen e i regolamenti (CE) n. 767/2008 e (UE) n. 1077/2011 (GU L 327 del 9.12.2017).
Regolamento (EU) 2018/1240 del Parlamento europeo e del Consiglio, del 12 settembre 2018, che istituisce un sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) e che modifica i regolamenti (UE) n. 1077/2011, (UE) n. 515/2014, (UE) 2016/399, (UE) 2016/1624 e (UE) 2017/2226 (GU L 236 del 19.9.2018).
Regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (regolamento VIS) (GU L 218 del 13.8.2008).
Regolamento (UE) 2018/1726 del Parlamento europeo e del Consiglio, del 14 novembre 2018, relativo all'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), che modifica il regolamento (CE) n. 1987/2006 e la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (UE) n. 1077/2011 (GU L 295 del 21.11.2018).
Regolamento (CE) n. 1107/2006 del Parlamento europeo e del Consiglio, del 5 luglio 2006, relativo ai diritti delle persone con disabilità e delle persone a mobilità ridotta nel trasporto aereo (GU L 204 del 26.7.2006).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018).
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016).
Regolamento (UE) 2019/818 del Parlamento europeo e del Consiglio, del 20 maggio 2019, che istituisce un quadro per l'interoperabilità tra i sistemi di informazione dell'UE nel settore della cooperazione di polizia e giudiziaria, asilo e migrazione, e che modifica i regolamenti (UE) 2018/1726, (UE) 2018/1862 e (UE) 2019/816 (GU L 135 del 22.5.2019).
GU L 123 del 12.5.2016.
Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, ELI: http://data.europa.eu/eli/reg/2011/182/oj).
GU C 84 del 7.3.2023.
Oggetto
Al fine di prevenire, accertare, indagare e perseguire i reati di terrorismo e i reati gravi, il presente regolamento stabilisce norme riguardanti:
a) la raccolta delle informazioni anticipate sui passeggeri (API) relative ai voli extra-UE e ai voli intra-UE a cura dei vettori aerei;
b) il trasferimento dei dati API e di altri dati PNR al router a cura dei vettori aerei;
c) la trasmissione dal router alle unità d'informazione sui passeggeri («UIP») dei dati API e di altri dati PNR relativi ai voli extra-UE e ai voli intra-UE selezionati.
Il presente regolamento non pregiudica il regolamento (UE) 2016/679, il regolamento (UE) 2018/1725 e la direttiva (UE) 2016/680.
Ambito di applicazione
Il presente regolamento si applica ai vettori aerei che operano:
a) voli extra-UE;
b) voli intra-UE che partono, arrivano o effettuano uno scalo nel territorio di almeno uno Stato membro che ha notificato alla Commissione la decisione di applicare la direttiva (UE) 2016/681 ai voli intra-UE conformemente all'articolo 2, paragrafo 1, di tale direttiva.
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) «vettore aereo»: un vettore aereo come definito all'articolo 3, punto 1, della direttiva (UE) 2016/681;
2) «volo extra-UE»: un volo extra-UE come definito all'articolo 3, punto 2, della direttiva (UE) 2016/681;
3) «volo intra-UE»: un volo intra-UE come definito all'articolo 3, punto 3, della direttiva (UE) 2016/681;
4) «volo di linea»: un volo di linea come definito all'articolo 3, punto 5, del regolamento (UE) 2025/12;
5) «volo non di linea»: un volo non di linea come definito all'articolo 3, punto 6, del regolamento (UE) 2025/12;
6) «passeggero»: un passeggero come definito all'articolo 3, punto 4, della direttiva (UE) 2016/681;
7) «equipaggio»: l'insieme delle persone a bordo di un aeromobile durante il volo, esclusi i passeggeri, che opera l'aeromobile o lavora a bordo, compresi l'equipaggio di condotta e l'equipaggio di cabina;
8) «informazioni anticipate sui passeggeri» o «dati API»: i dati e le informazioni di volo di cui all'articolo 4, paragrafi 2 e 3, rispettivamente;
9) «altri dati del codice di prenotazione» o «altri dati PNR»: il codice di prenotazione come definito all'articolo 3, punto 5, della direttiva (UE) 2016/681 e specificato all'allegato I di tale direttiva, ad eccezione del punto 18 di tale allegato;
10) «unità d'informazione sui passeggeri» o «UIP»: l'unità d'informazione sui passeggeri figurante nelle notifiche degli Stati membri alla Commissione e nelle relative modifiche pubblicate dalla Commissione a norma dell'articolo 4, paragrafo 5, della direttiva (UE) 2016/681;
11) «reato di terrorismo»: un reato di terrorismo di cui agli articoli da 3 a 12 della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio (1);
12) «reato grave»: un reato grave come definito all'articolo 3, punto 9, della direttiva (UE) 2016/681;
13) «router»: il router di cui all'articolo 9 del presente regolamento e all'articolo 11 del regolamento (UE) 2025/12;
14) «dati personali»: i dati personali come definiti all'articolo 3, punto 1, della direttiva (UE) 2016/680 e all'articolo 4, punto 1, del regolamento (UE) 2016/679;
15) «dati sul traffico aereo in tempo reale»: informazioni sul traffico aereo in entrata e in uscita di un aeroporto disciplinato dal presente regolamento.
Direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, del 15 marzo 2017, sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475/GAI del Consiglio e che modifica la decisione 2005/671/GAI del Consiglio (GU L 88 del 31.3.2017).
Raccolta dei dati API a cura dei vettori aerei
1. I vettori aerei raccolgono i dati API di ciascun passeggero e membro dell'equipaggio sui voli di cui all'articolo 2 da trasferire al router conformemente all'articolo 5. Qualora il volo sia operato in code-sharing tra vettori aerei, l'obbligo di trasferire i dati API spetta al vettore aereo che opera il volo.
2. I dati API consistono esclusivamente nei seguenti dati relativi a ciascun passeggero e membro dell'equipaggio sul volo:
a) cognome, nome o nomi;
b) data di nascita, sesso e cittadinanza;
c) tipo e numero del documento di viaggio e codice a tre lettere del paese di rilascio del documento di viaggio;
d) data di scadenza della validità del documento di viaggio;
e) numero identificativo del codice di prenotazione (PNR) usato dal vettore aereo per localizzare un passeggero nel suo sistema d'informazione (PNR di identificazione della pratica);
f) informazioni sul posto a sedere, corrispondenti al posto nell'aeromobile assegnato al passeggero, ove tali informazioni siano disponibili;
g) il numero o i numeri di etichetta del bagaglio e il numero e il peso dei bagagli imbarcati, ove tali informazioni siano disponibili;
h) un codice indicante il metodo utilizzato per raccogliere e convalidare i dati di cui alle lettere da a) a d).
3. I dati API consistono inoltre esclusivamente nelle seguenti informazioni di volo relative al volo di ciascun passeggero e membro dell'equipaggio:
a) numero identificativo del volo o, qualora il volo sia operato in code-sharing tra vettori aerei, numeri identificativi del volo, se disponibili, o altro mezzo chiaro e adeguato di identificazione del volo;
b) ove applicabile, valico di frontiera di ingresso nel territorio dello Stato membro;
c) codice dell'aeroporto di arrivo o, se è previsto che il volo atterri in uno o più aeroporti situati nel territorio di uno o più Stati membri ai quali si applica il presente regolamento, i codici degli aeroporti di scalo nei territori degli Stati membri interessati;
d) codice dell'aeroporto di partenza del volo;
e) codice dell'aeroporto del primo punto di imbarco, se disponibile;
f) data e ora locali di partenza;
g) data e ora locali di arrivo;
h) dati di contatto del vettore aereo;
i) formato utilizzato per il trasferimento dei dati API.
4. I vettori aerei raccolgono i dati API in modo da garantire che i dati API che trasferiscono conformemente all'articolo 5 siano esatti, completi e aggiornati. Il rispetto di tale obbligo non impone ai vettori aerei di controllare il documento di viaggio al momento dell'imbarco, fatto salvo il diritto nazionale compatibile con il diritto dell'Unione.
5. Il presente regolamento non impone ai passeggeri l'obbligo di portare con sé un documento di viaggio quando viaggiano, fatti salvi altri atti giuridici dell'Unione o il diritto nazionale compatibile con il diritto dell'Unione.
6. Uno Stato membro può imporre ai vettori aerei l'obbligo di prevedere la possibilità per i passeggeri di caricare volontariamente i dati di cui all'articolo 4, paragrafo 2, lettere da a) a d), del regolamento (UE) 2025/12 con mezzi automatizzati e di far conservare tali dati dal vettore aereo al fine di trasferirli per voli futuri a norma dell'articolo 5 del presente regolamento e in modo conforme ai requisiti di cui ai paragrafi 4, 7 e 8 del presente articolo. Lo Stato membro che impone tale obbligo stabilisce le norme e le garanzie in materia di protezione dei dati, in conformità del regolamento (UE) 2016/679, comprese le norme sul periodo di conservazione. Tuttavia, i dati sono cancellati se il passeggero non acconsente più alla loro conservazione o al più tardi alla data di scadenza della validità del documento di viaggio.
7. I vettori aerei raccolgono i dati API di cui al paragrafo 2, lettere da a) a d), ricorrendo a mezzi automatizzati per raccogliere i dati del documento di viaggio del passeggero interessato leggibili meccanicamente. La raccolta è conforme ai requisiti tecnici e alle norme operative dettagliati di cui al paragrafo 12, una volta che tali norme siano state adottate e siano applicabili.
I vettori aerei che mettono a disposizione una procedura di accettazione online consentono ai passeggeri di fornire i dati API di cui al paragrafo 2, lettere da a) a d), con mezzi automatizzati durante tale procedura. I vettori aerei mettono i passeggeri che non effettuano l'accettazione online in condizione di presentare tali dati API con mezzi automatizzati all'accettazione in aeroporto, con l'assistenza di un dispositivo self-service o del personale del vettore aereo allo sportello.
Se è tecnicamente impossibile usare mezzi automatizzati, i vettori aerei raccolgono in via eccezionale i dati API di cui al paragrafo 2, lettere da a) a d), manualmente, nel corso dell'accettazione online o dell'accettazione in aeroporto, in modo tale da garantire il rispetto del paragrafo 4.
8. I mezzi automatizzati usati dai vettori aerei per raccogliere i dati API conformemente al presente regolamento sono affidabili, sicuri e aggiornati. I vettori aerei provvedono affinché i dati API siano criptati durante il trasferimento dal passeggero ai vettori aerei.
9. Durante un periodo transitorio, e in aggiunta ai mezzi automatizzati di cui al paragrafo 7, i vettori aerei fanno in modo che i passeggeri possano fornire i dati API manualmente nel corso dell'accettazione online. In tal caso i vettori aerei utilizzano tecniche di verifica dei dati per garantire la conformità al paragrafo 4.
10. Il periodo transitorio di cui al paragrafo 9 non pregiudica il diritto dei vettori aerei di verificare, in aeroporto prima dell'imbarco dell'aeromobile, i dati API raccolti nell'ambito dell'accettazione online al fine di garantire la conformità al paragrafo 4, conformemente al diritto dell'Unione applicabile.
11. Alla Commissione è conferito il potere di adottare, a partire da quattro anni dopo l'entrata in funzione del router in relazione ai dati API di cui all'articolo 34 e sulla base di una valutazione della disponibilità e dell'accessibilità dei mezzi automatizzati di raccolta dei dati API, un atto delegato conformemente all'articolo 43 per porre fine al periodo transitorio di cui al paragrafo 9 del presente articolo.
12. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 43 per integrare il presente regolamento stabilendo requisiti tecnici e norme operative dettagliati per la raccolta dei dati API di cui al paragrafo 2, lettere da a) a d) del presente articolo, con mezzi automatizzati conformemente ai paragrafi 7 e 8 del presente articolo, e per la raccolta manuale di dati API in circostanze eccezionali conformemente al paragrafo 7 del presente articolo e durante il periodo transitorio di cui al paragrafo 9 del presente articolo. Tali requisiti tecnici e norme operative comprendono requisiti di sicurezza dei dati e di utilizzo dei mezzi automatizzati più affidabili disponibili per raccogliere i dati di un documento di viaggio leggibili meccanicamente.
Obblighi dei vettori aerei riguardo ai trasferimenti di dati API e di altri dati PNR
1. I vettori aerei trasferiscono i dati API criptati al router con mezzi automatizzati ai fini della loro trasmissione alle UIP in conformità dell'articolo 12. Il trasferimento dei dati API a cura dei vettori aerei è conforme alle norme dettagliate di cui al paragrafo 4 del presente articolo, una volta che tali norme siano state adottate e siano applicabili.
2. Allorché adottano misure a norma dell'articolo 8, paragrafo 1, della direttiva (UE) 2016/681, gli Stati membri impongono ai vettori aerei di trasferire esclusivamente al router gli altri eventuali dati PNR raccolti nel corso della loro normale attività, conformemente ai protocolli comuni e ai formati di dati di cui all'articolo 16 di tale direttiva.
3. I vettori aerei trasferiscono i dati API:
a) per i passeggeri:
i) di ciascun passeggero al momento dell'accettazione, ma non prima delle 48 ore precedenti l'orario di partenza del volo previsto; e
ii) di tutti i passeggeri imbarcati immediatamente dopo la chiusura del volo, vale a dire una volta che i passeggeri sono saliti a bordo dell'aeromobile pronto per il decollo e l'imbarco o lo sbarco di passeggeri dall'aeromobile non è più possibile;
b) per tutti i membri dell'equipaggio immediatamente dopo la chiusura del volo, vale a dire una volta che l'equipaggio è salito a bordo dell'aeromobile pronto per il decollo e lo sbarco dell'equipaggio dall'aeromobile non è più possibile.
4. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 43 per integrare il presente regolamento stabilendo le norme dettagliate necessarie sui protocolli comuni e sui formati di dati supportati da usare per il trasferimento criptato dei dati API al router di cui al paragrafo 1 del presente articolo, tra cui il trasferimento dei dati API al momento dell'accettazione e i requisiti per la sicurezza dei dati. Tali norme dettagliate assicurano che i vettori aerei trasferiscano i dati API utilizzando la stessa struttura e lo stesso contenuto.
Periodo di conservazione e cancellazione dei dati API
I vettori aerei conservano, per un periodo di 48 ore dal momento del ricevimento da parte del router dei dati API ad esso trasferiti in conformità dell'articolo 5, paragrafo 3, lettera a), punto ii), e lettera b), i dati API relativi a tutti i passeggeri e all'intero equipaggio che hanno raccolto a norma dell'articolo 4. Alla scadenza di tale periodo cancellano i dati API in questione immediatamente e definitivamente, fatta salva la possibilità per i vettori aerei di conservarli e utilizzarli ove necessario per il normale svolgimento della loro attività in conformità del diritto applicabile e fatto salvo l'articolo 16, paragrafi 1 e 3.
Correzione, completamento e aggiornamento dei dati API
1. Se viene a conoscenza del fatto che i dati che conserva a norma del presente regolamento sono stati trattati illecitamente o non costituiscono dati API, il vettore aereo li cancella immediatamente e definitivamente. Se tali dati sono stati trasferiti al router, il vettore aereo informa immediatamente l'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA). Non appena riceve l'informazione, eu-LISA la comunica immediatamente alle UIP che hanno ricevuto i dati trasmessi tramite il router.
2. Se viene a conoscenza del fatto che i dati conserva a norma del presente regolamento sono inesatti, incompleti o non più aggiornati, il vettore aereo provvede immediatamente a rettificarli, integrarli o aggiornarli. Ciò non pregiudica la facoltà del vettore aereo di conservare e usare i dati ove necessario per il normale svolgimento della sua attività conformemente alla legge applicabile.
3. Se un vettore aereo, dopo il trasferimento dei dati API a norma dell'articolo 5, paragrafo 3, lettera a), punto i), ma prima del trasferimento a norma dell'articolo 5, paragrafo 3, lettera a), punto ii), viene a conoscenza del fatto che i dati che ha trasferito sono inesatti, trasferisce immediatamente i dati API corretti al router.
4. Se un vettore aereo, dopo il trasferimento dei dati API a norma dell'articolo 5, paragrafo 3, lettera a), punto ii), o lettera b), viene a conoscenza del fatto che i dati che ha trasferito sono inesatti, incompleti o non più aggiornati, trasferisce immediatamente i dati API rettificati, integrati o aggiornati al router.
5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 43 per integrare il presente regolamento stabilendo le opportune norme dettagliate in materia di rettifica, integrazione e aggiornamento dei dati API ai sensi del presente articolo.
Diritti fondamentali
1. La raccolta e il trattamento di dati personali in conformità del presente regolamento e del regolamento (UE) 2025/12 da parte dei vettori aerei e delle autorità competenti non danno luogo a discriminazioni nei confronti delle persone per i motivi elencati all'articolo 21 della Carta dei diritti fondamentali dell'Unione europea («Carta»).
2. Il presente regolamento rispetta pienamente la dignità umana nonché i diritti fondamentali e i principi riconosciuti dalla Carta, incluso il diritto al rispetto della vita privata, all'asilo, alla protezione dei dati personali, alla libertà di circolazione e a mezzi di ricorso effettivi.
3. E' prestata particolare attenzione ai minori, alle persone anziane, alle persone con disabilità e alle persone vulnerabili. L'interesse superiore del minore costituisce una considerazione preminente nell'attuazione del presente regolamento.
Router
1. eu-LISA progetta, sviluppa, ospita e gestisce a livello tecnico, in conformità degli articoli 25 e 26, un router al fine di facilitare il trasferimento dei dati API e di altri dati PNR criptati dai vettori aerei alle UIP conformemente al presente regolamento.
2. Il router è costituito da:
a) un'infrastruttura centrale comprendente una serie di componenti tecnici che permettono il ricevimento e la trasmissione dei dati API e di altri dati PNR criptati;
b) un canale di comunicazione sicuro tra l'infrastruttura centrale e le UIP, nonché un canale di comunicazione sicuro tra l'infrastruttura centrale e i vettori aerei per il trasferimento e la trasmissione dei dati API e di altri dati PNR come pure per le comunicazioni ad essi relative, nonché per l'inserimento, da parte degli Stati membri, dei voli selezionati di cui all'articolo 12, paragrafo 4, ed eventuali aggiornamenti;
c) un canale sicuro per ricevere dati del traffico aereo in tempo reale.
3. Fatto salvo l'articolo 10 del presente regolamento, il router condivide e riutilizza, se del caso e nella misura tecnicamente possibile, i componenti tecnici, compresi i componenti hardware e software, del servizio web di cui all'articolo 13 del regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio, il portale per i vettori di cui all'articolo 6, paragrafo 2, lettera k), del regolamento (UE) 2018/1240 e il portale per i vettori di cui all'articolo 45 quater del regolamento (CE) n. 767/2008.
eu-LISA progetta il router, per quanto possibile sul piano tecnico e operativo, in modo coerente e uniforme con gli obblighi riguardanti i vettori aerei di cui ai regolamenti (CE) n. 767/2008, (UE) 2017/2226 e (UE) 2018/1240.
4. Il router estrae automaticamente e rende disponibili i dati, conformemente all'articolo 39 del presente regolamento, all'archivio centrale di relazioni e statistiche (CRRS) istituito dall'articolo 39 del regolamento (UE) 2019/818.
5. eu-LISA progetta e sviluppa il router in modo tale che, per qualsiasi trasferimento di dati API e di altri dati PNR dai vettori aerei al router conformemente all'articolo 5 e per qualsiasi trasmissione dei dati API e di altri dati PNR dal router alle UIP a norma dell'articolo 12 e al CRRS conformemente all'articolo 39, paragrafo 2, i dati API e gli altri dati PNR siano sottoposti a cifratura da punto a punto durante il transito.
Uso esclusivo del router
Ai fini del presente regolamento, il router è usato soltanto:
a) dai vettori aerei per trasferire i dati API e altri dati PNR criptati in conformità del presente regolamento;
b) dalle UIP per ricevere i dati API o altri dati PNR criptati in conformità del presente regolamento;
c) sulla base di accordi internazionali che permettono il trasferimento dei dati PNR mediante il router, conclusi dall'Unione con i paesi terzi che hanno concluso un accordo che ne prevede l'associazione all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen.
Il presente articolo lascia impregiudicato l'articolo 12 del regolamento (UE) n. 2025/12.
Verifiche del formato e del trasferimento dei dati
1. Il router verifica, in modo automatizzato e sulla base dei dati del traffico aereo in tempo reale, se il vettore aereo ha trasferito i dati API a norma dell'articolo 5, paragrafo 1, o altri dati PNR a norma dell'articolo 5, paragrafo 2.
2. Il router verifica immediatamente e in modo automatizzato se i dati API che gli sono stati trasferiti a norma dell'articolo 5, paragrafo 1, sono conformi alle norme dettagliate sui formati di dati supportati di cui all'articolo 5, paragrafo 4.
3. Il router verifica immediatamente e in modo automatizzato se gli altri dati PNR trasferitivi a norma dell'articolo 5, paragrafo 2, sono conformi alle norme dettagliate sui formati di dati supportati di cui all'articolo 16 della direttiva (UE) 2016/681.
4. Qualora dalla verifica di cui al paragrafo 1 del presente articolo emerga che il vettore aereo non ha trasferito i dati o qualora dalla verifica di cui al paragrafo 2 o 3 del presente articolo emerga che i dati non sono conformi alle norme dettagliate sui formati di dati supportati, il router avvisa immediatamente e in modo automatizzato il vettore aereo interessato e le UIP degli Stati membri a cui i dati andavano trasmessi a norma dell'articolo 12, paragrafo 1. In questi casi il vettore aereo trasferisce immediatamente i dati API e altri dati PRN in conformità dell'articolo 5.
5. La Commissione adotta atti di esecuzione che specificano le norme tecniche e procedurali dettagliate necessarie per le verifiche e gli avvisi di cui ai paragrafi da 1 a 4 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 42, paragrafo 2.
Trasmissione dei dati API e di altri dati PNR dal router alle UIP
1. In seguito alle verifiche del formato e del trasferimento dei dati di cui all'articolo 11, il router trasmette i dati API ed eventuali altri dati PNR criptati ad esso trasferiti dai vettori aerei a norma dell'articolo 5, paragrafi 1 e 2, e, se del caso, dell'articolo 7, paragrafi 3 e 4, alle UIP dello Stato membro nel cui territorio atterrerà o partirà il volo, o a entrambi gli Stati membri in questione nel caso di voli intra-UE. Il router trasmette tali dati immediatamente e in maniera automatizzata, senza modificarne in alcun modo il contenuto. Qualora un volo faccia uno o più scali nel territorio di Stati membri diversi da quello da cui è partito, il router trasmette i dati API ed altri eventuali dati PNR alle UIP di tutti gli Stati membri interessati.
Ai fini di tale trasmissione eu-LISA istituisce e tiene aggiornata una tabella di corrispondenza tra i diversi aeroporti di origine e di destinazione e i paesi a cui appartengono.
Tuttavia, per i voli intra-UE il router trasmette solo i dati API e altri dati PNR dei voli inclusi nell'elenco di cui al paragrafo 4 alle UIP del caso.
2. Il router trasmette i dati API e altri dati PNR secondo le norme dettagliate di cui al paragrafo 6, una volta che tali norme siano state adottate e siano applicabili.
3. Gli Stati membri provvedono affinché le loro UIP, quando ricevono i dati API e altri dati PNR a norma del paragrafo 1, confermino immediatamente e in maniera automatizzata il ricevimento di tali dati nel router.
4. Ciascuno degli Stati membri che decidono di applicare la direttiva (UE) 2016/681 ai voli intra-UE conformemente all'articolo 2 di tale direttiva redige un elenco dei voli o di collegamenti intra-UE selezionati. Gli Stati membri possono utilizzare il codice dell'aeroporto di partenza e dell'aeroporto di arrivo per indicare i voli o i collegamenti selezionati. Conformemente all'articolo 2 di tale direttiva e all'articolo 13 del presente regolamento, tali Stati membri riesaminano periodicamente e, se necessario, aggiornano gli elenchi. Uno Stato membro può selezionare tutti i voli o i collegamenti intra-UE quando debitamente giustificato, in conformità della direttiva (UE) 2016/681 e dell'articolo 13 del presente regolamento.
Entro la data di applicazione del presente regolamento di cui all'articolo 45, secondo comma, gli Stati membri inseriscono nel router i voli o i collegamenti selezionati, con mezzi automatizzati mediante il canale di comunicazione sicuro di cui all'articolo 9, paragrafo 2, lettera b), e successivamente gli eventuali aggiornamenti.
5. Le informazioni inserite dagli Stati membri nel router sono trattate in modo riservato e l'accesso a tali informazioni da parte del personale di eu-LISA è limitato a quanto strettamente necessario per la risoluzione di problemi tecnici. eu-LISA garantisce, non appena il router riceve tali informazioni o eventuali aggiornamenti delle stesse da parte di uno Stato membro, che il router trasmetta immediatamente i dati API e altri dati PNR all'UIP dello Stato membro in questione per quanto riguarda i voli o i collegamenti selezionati, in conformità del paragrafo 1.
6. La Commissione adotta atti di esecuzione che specificano le norme tecniche e procedurali dettagliate necessarie per la trasmissione dei dati API e di altri dati PNR dal router di cui al paragrafo 1 del presente articolo e per l'inserimento di informazioni nel router di cui al paragrafo 4 del presente articolo, comprese le prescrizioni relative alla sicurezza dei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 42, paragrafo 2.
Selezione dei voli intra-UE
1. Gli Stati membri che decidono, a norma dell'articolo 2 della direttiva (UE) 2016/681, di applicare tale direttiva e, di conseguenza, il presente regolamento ai voli intra-UE selezionano i voli intra-UE in questione a norma del presente articolo.
2. Gli Stati membri possono applicare la direttiva (UE) 2016/681 e, di conseguenza, il presente regolamento a tutti i voli intra-UE in arrivo o in partenza dal loro territorio soltanto in caso di minaccia terroristica reale e attuale o prevedibile, sulla base di una decisione basata su una valutazione della minaccia, limitata nel tempo allo stretto necessario e soggetta a un controllo efficace da parte di un giudice o di un organo amministrativo indipendente la cui decisione è vincolante.
3. In assenza di una minaccia terroristica reale e attuale o prevedibile, gli Stati membri che applicano la direttiva (UE) 2016/681 e, di conseguenza, il presente regolamento ai voli intra-UE selezionano i voli intra-UE in questione in funzione dell'esito di una valutazione effettuata sulla base dei requisiti di cui ai paragrafi da 4 a 7 del presente articolo.
4. La valutazione di cui al paragrafo 3:
a) è effettuata in maniera obiettiva, debitamente motivata e non discriminatoria conformemente all'articolo 2 della direttiva (UE) 2016/681;
b) tiene conto unicamente dei criteri che sono pertinenti ai fini della prevenzione, dell'accertamento, dell'indagine e dell'azione penale riguardo ai reati di terrorismo e ai reati gravi che presentano un nesso oggettivo, anche indiretto, con il trasporto aereo di passeggeri e non si basa esclusivamente sulle ragioni di cui all'articolo 21 della Carta di qualsiasi passeggero o gruppo di passeggeri;
c) utilizza soltanto le informazioni in grado di garantire una valutazione obiettiva, debitamente motivata e non discriminatoria.
5. Sulla base della valutazione di cui al paragrafo 3, gli Stati membri selezionano unicamente i voli intra-UE relativi, tra l'altro, a determinati collegamenti, modalità di viaggio o certi aeroporti per i quali vi siano indizi di reati di terrorismo e di reati gravi e che giustifichino il trattamento dei dati API e di altri dati PNR. La selezione dei voli intra-UE è limitata a quanto strettamente necessario per conseguire gli obiettivi della direttiva (UE) 2016/681 e del presente regolamento.
6. Gli Stati membri conservano tutta la documentazione della valutazione di cui al paragrafo 3, compresi, se del caso, gli eventuali riesami, e su richiesta la mettono a disposizione, in conformità della direttiva (UE) 2016/680, delle loro autorità di controllo indipendenti e delle autorità nazionali di controllo.
7. A norma dell'articolo 2 della direttiva (UE) 2016/681, gli Stati membri riesaminano periodicamente, e almeno ogni 12 mesi, la loro valutazione di cui al paragrafo 3 per tenere conto dei cambiamenti delle circostanze che hanno giustificato la selezione dei voli intra-UE e al fine di garantire che la selezione dei voli intra-UE continui a essere limitata allo stretto necessario.
8. La Commissione facilita uno scambio regolare di vedute sui criteri di selezione per la valutazione di cui al paragrafo 3, tra cui la condivisione delle buone prassi nonché, su base volontaria, lo scambio di informazioni sui voli selezionati.
Cancellazione dei dati API e di altri dati PRN dal router
I dati API e altri dati PNR trasferiti al router a norma del presente regolamento sono conservati nel router solo per il tempo necessario a completare la trasmissione alle pertinenti UIP conformemente al presente regolamento e sono cancellati dal router immediatamente, definitivamente e in modo automatizzato in entrambe le situazioni seguenti:
a) se è confermato, a norma dell'articolo 12, paragrafo 3, che è stata completata la trasmissione dei dati API e di altri dati PNR alle pertinenti UIP;
b) se i dati API o altri dati PNR si riferiscono a voli intra-UE diversi da quelli inclusi negli elenchi di cui all'articolo 12, paragrafo 4.
Il router informa automaticamente eu-LISA e le UIP della cancellazione immediata dei voli intra-UE di cui alla lettera b).
Trattamento dei dati API e di altri dati PRN da parte delle UIP
I dati API e altri dati PNR trasmessi alle UIP conformemente al presente regolamento sono successivamente trattati dalle UIP in conformità della direttiva (UE) 2016/681, in particolare per quanto riguarda le norme sul trattamento dei dati API e di altri dati PNR da parte delle UIP, comprese quelle di cui agli articoli 6, 10, 12 e 13 della direttiva in parola ed esclusivamente ai fini della prevenzione, dell'accertamento, dell'indagine e dell'azione penale riguardo ai reati di terrorismo e ai reati gravi.
In nessun caso le UIP o altre autorità competenti trattano i dati API e altri dati PNR a scopo di profilazione, come indicato all'articolo 11, paragrafo 3, della direttiva (UE) 2016/680.
Azioni in caso di impossibilità tecnica di usare il router
1. Qualora, a causa di un guasto del router, sia tecnicamente impossibile utilizzarlo per trasmettere i dati API o altri dati PNR, eu-LISA ne informa immediatamente i vettori aerei e le UIP in maniera automatizzata. In tal caso eu-LISA adotta immediatamente misure per rimediare all'impossibilità tecnica di usare il router e, una volta risolto il problema, ne informa immediatamente i vettori aerei e le UIP.
Nel periodo che intercorre tra tali notifiche non si applica l'articolo 5, paragrafo 1, nella misura in cui l'impossibilità tecnica impedisce il trasferimento dei dati API o di altri dati PNR al router. I vettori aerei conservano i dati API o altri dati PNR fino a quando l'impossibilità tecnica non sia stata risolta. Non appena risolta l'impossibilità tecnica, i vettori aerei trasferiscono i dati al router conformemente all'articolo 5, paragrafo 1.
Qualora sia tecnicamente impossibile utilizzare il router e in casi eccezionali legati agli obiettivi del presente regolamento che rendono necessario che le UIP ricevano immediatamente i dati API o altri dati PNR durante l'impossibilità tecnica di utilizzare il router, le UIP possono chiedere ai vettori aerei di utilizzare qualsiasi altro mezzo appropriato che garantisca il necessario livello di sicurezza, qualità e protezione dei dati per trasferire i dati API o altri dati PNR direttamente alle UIP. Le UIP trattano i dati API o altri dati PNR ricevuti con qualsiasi altro mezzo appropriato conformemente alle norme e alle garanzie di cui alla direttiva (UE) 2016/681.
A seguito della notifica da parte di eu-LISA che l'impossibilità tecnica è stata risolta e qualora sia confermato, conformemente all'articolo 12, paragrafo 3, che la trasmissione dei dati API o di altri dati PNR tramite il router alla pertinente UIP è stata completata, l'UIP cancella immediatamente i dati API o altri dati PNR ricevuti con qualsiasi altro mezzo appropriato.
2. Qualora, a causa di un guasto dei sistemi o delle infrastrutture di uno Stato membro di cui all'articolo 23, sia tecnicamente impossibile utilizzare il router per trasmettere i dati API o altri dati PNR, l'UIP di tale Stato membro ne informa immediatamente le altre UIP, eu-LISA e la Commissione in maniera automatizzata. In tal caso lo Stato membro adotta immediatamente misure per rimediare all'impossibilità tecnica di usare il router e, una volta risolto il problema, ne informa immediatamente le altre UIP, eu-LISA e la Commissione. Il router conserva i dati API o altri dati PNR fino a quando l'impossibilità tecnica non sia stata risolta. Non appena risolta l'impossibilità tecnica, il router trasmette i dati a norma dell'articolo 12, paragrafo 1.
Qualora sia tecnicamente impossibile utilizzare il router e in casi eccezionali legati agli obiettivi del presente regolamento che rendono necessario che le UIP ricevano immediatamente i dati API o altri dati PNR durante l'impossibilità tecnica di utilizzare il router, le UIP possono chiedere ai vettori aerei di utilizzare qualsiasi altro mezzo appropriato che garantisca il necessario livello di sicurezza dei dati, qualità e protezione dei dati per trasferire i dati API o altri dati PNR direttamente alle UIP. Le UIP trattano i dati API o altri dati PNR ricevuti con qualsiasi altro mezzo appropriato conformemente alle norme e alle garanzie di cui alla direttiva (UE) 2016/681.
A seguito della notifica da parte di eu-LISA che l'impossibilità tecnica è stata risolta, e qualora sia confermato, a norma dell'articolo 12, paragrafo 3, che la trasmissione dei dati API o di altri dati PNR tramite il router alla pertinente UIP è stata completata, l'UIP cancella immediatamente i dati API o altri dati PNR ricevuti con qualsiasi altro mezzo appropriato.
3. Qualora, a causa di un guasto dei sistemi o delle infrastrutture di un vettore aereo di cui all'articolo 24, sia tecnicamente impossibile utilizzare il router per trasferire i dati API o altri dati PNR, il vettore aereo ne informa immediatamente le UIP, eu-LISA e la Commissione in maniera automatizzata. In tal caso il vettore aereo adotta immediatamente misure per rimediare all'impossibilità tecnica di usare il router e, una volta risolto il problema, ne informa immediatamente le UIP, eu-LISA e la Commissione.
Nel periodo che intercorre tra tali notifiche non si applica l'articolo 5, paragrafo 1, nella misura in cui l'impossibilità tecnica impedisce il trasferimento dei dati API o altri dati PNR al router. I vettori aerei conservano i dati API o altri dati PNR fino a quando l'impossibilità tecnica non sia stata risolta. Non appena risolta l'impossibilità tecnica, i vettori aerei trasferiscono i dati al router a norma dell'articolo 5, paragrafo 1.
Qualora sia tecnicamente impossibile utilizzare il router e in casi eccezionali legati agli obiettivi del presente regolamento che rendono necessario che le UIP ricevano immediatamente i dati API o altri dati PNR durante l'impossibilità tecnica di utilizzare il router, le UIP possono chiedere ai vettori aerei di utilizzare qualsiasi altro mezzo appropriato che garantisca il necessario livello di sicurezza, qualità e protezione dei dati per trasferire i dati API o altri dati PNR direttamente alle UIP. Le UIP trattano i dati API o altri dati PNR ricevuti con qualsiasi altro mezzo appropriato conformemente alle norme e alle garanzie di cui alla direttiva (UE) 2016/681.
A seguito della notifica da parte di eu-LISA che l'impossibilità tecnica è stata risolta e qualora sia confermato, a norma dell'articolo 12, paragrafo 3, che la trasmissione dei dati API o di altri dati PNR tramite il router alla pertinente UIP è stata completata, l'UIP cancella immediatamente i dati API o altri dati PNR ricevuti con qualsiasi altro mezzo appropriato.
Una volta risolta l'impossibilità tecnica, il vettore aereo interessato presenta senza ritardo all'autorità nazionale di controllo delle API di cui all'articolo 37 una relazione contenente tutti i dettagli necessari sull'impossibilità tecnica, compresi i motivi, la portata e le conseguenze, nonché le misure adottate per porvi rimedio.
Registrazioni
1. I vettori aerei creano registrazioni di tutte le operazioni di trattamento riguardanti i dati API a norma del presente regolamento effettuate con i mezzi automatizzati di cui all'articolo 4, paragrafo 7. Tali registrazioni riguardano la data, l'ora e il luogo di trasferimento dei dati API. Esse non includono dati personali diversi dalle informazioni necessarie per identificare i membri del personale del vettore aereo.
2. eu-LISA conserva le registrazioni di tutte le operazioni di trattamento relative al trasferimento e la trasmissione di dati API e di altri dati PNR tramite il router a norma del presente regolamento. Le registrazioni riguardano:
a) il vettore aereo che ha trasferito i dati API e altri dati PNR al router;
b) il vettore aereo che ha trasferito altri dati PNR al router;
c) le autorità competenti e le UIP a cui sono stati trasmessi i dati API tramite il router;
d) le UIP a cui sono stati trasmessi altri dati PNR tramite il router;
e) la data e l'ora del trasferimento o della trasmissione di cui alle lettere da a) e d) e il luogo di tale trasferimento o trasmissione;
f) ogni accesso del personale di eu-LISA necessario per la manutenzione del router, di cui all'articolo 26, paragrafo 3;
g) ogni altra informazione relativa a tali operazioni di trattamento necessaria per monitorare la sicurezza e l'integrità dei dati API e di altri dati PNR e la liceità di detti trattamenti.
Tali registrazioni non includono dati personali diversi dalle informazioni necessarie per identificare i membri del personale di eu-LISA di cui alla lettera f) del primo comma.
3. Le registrazioni di cui ai paragrafi 1 e 2 del presente articolo sono usate solo per garantire la sicurezza e l'integrità dei dati API e di altri dati PNR e la liceità del trattamento, in particolare per quanto riguarda la conformità alle disposizioni del presente regolamento, compresi i procedimenti sanzionatori applicabili per violazione di tali disposizioni conformemente agli articoli 37 e 38.
4. I vettori aerei ed eu-LISA adottano misure adeguate per proteggere le registrazioni da essi create a norma, rispettivamente, dei paragrafi 1 e 2 dall'accesso non autorizzato e da altri rischi per la sicurezza.
5. L'autorità nazionale di controllo delle API di cui all'articolo 37 e le UIP hanno accesso alle registrazioni pertinenti di cui al paragrafo 1 del presente articolo se necessario per le finalità di cui al paragrafo 3 del presente articolo.
6. I vettori aerei ed eu-LISA conservano le registrazioni da essi create a norma, rispettivamente, dei paragrafi 1 e 2 per un anno dal momento della creazione. Alla scadenza di tale periodo cancellano le registrazioni immediatamente e definitivamente.
Tuttavia, se le registrazioni sono necessarie per le procedure volte a monitorare o garantire la sicurezza e l'integrità dei dati API o la liceità delle operazioni di trattamento di cui al paragrafo 3 e se tali procedure sono già iniziate alla scadenza del periodo di cui al primo comma del presente paragrafo, i vettori aerei ed eu-LISA conservano le registrazioni per il tempo necessario a tali procedure. In tal caso, essi cancellano immediatamente le registrazioni quando non sono più necessarie per tali procedure.
Responsabilità in materia di protezione dei dati
1. I vettori aerei sono titolari del trattamento ai sensi dell'articolo 4, punto 7, del regolamento (UE) 2016/679, per il trattamento dei dati API e di altri dati PNR che costituiscono dati personali in relazione alla loro raccolta e al loro trasferimento al router a norma del presente regolamento.
2. Ciascuno Stato membro designa un'autorità competente quale titolare del trattamento conformemente al presente articolo. Gli Stati membri informano la Commissione, eu-LISA e gli altri Stati membri in merito a tali autorità.
Tutte le autorità competenti designate dagli Stati membri sono contitolari del trattamento a norma dell'articolo 21 della direttiva (UE) 2016/680 ai fini del trattamento dei dati personali nel router.
3. eu-LISA è un responsabile del trattamento ai sensi dell'articolo 3, punto 12, del regolamento (UE) 2018/1725 ai fini del trattamento tramite il router dei dati API e di altri dati PNR che costituiscono dati personali ai sensi del presente regolamento, comprese la trasmissione dei dati dal router alle UIP e la conservazione di tali dati nel router per motivi tecnici. eu-LISA garantisce che il router sia gestito conformemente al presente regolamento.
4. La Commissione adotta atti di esecuzione che stabiliscono le rispettive responsabilità dei contitolari del trattamento e i rispettivi obblighi tra i contitolari del trattamento e il responsabile del trattamento. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 42, paragrafo 2.
Informazioni destinate ai passeggeri
Conformemente all'articolo 13 del regolamento (UE) 2016/679, i vettori aerei forniscono ai passeggeri, in merito ai voli contemplati dal presente regolamento, informazioni sulle finalità della raccolta dei loro dati personali, sul tipo di dati personali raccolti, sui destinatari dei dati personali e sui mezzi per esercitare i loro diritti in qualità di interessati.
Tali informazioni sono comunicate ai passeggeri per iscritto e in un formato facilmente accessibile al momento della prenotazione e dell'accettazione, indipendentemente dai mezzi utilizzati per raccogliere i dati personali al momento dell'accettazione, conformemente all'articolo 4.
Sicurezza
1. eu-LISA garantisce la sicurezza e la cifratura dei dati API e di altri dati PNR, in particolare di quelli che costituiscono dati personali, che tratta a norma del presente regolamento. Le UIP e i vettori aerei garantiscono la sicurezza dei dati API, in particolare di quelli che costituiscono dati personali, che trattano a norma del presente regolamento. eu-LISA, le UIP e i vettori aerei cooperano, secondo le rispettive responsabilità e nel rispetto del diritto dell'Unione, per garantire tale sicurezza.
2. eu-LISA garantisce la sicurezza e la riservatezza dei dati relativi ai voli e ai collegamenti selezionati dagli Stati membri a norma dell'articolo 12, paragrafo 4. Le UIP e i vettori aerei garantiscono la sicurezza dei dati API, in particolare di quelli che costituiscono dati personali, che trattano a norma del presente regolamento. eu-LISA, le UIP e i vettori aerei cooperano, secondo le rispettive responsabilità e nel rispetto del diritto dell'Unione, per garantire tale sicurezza.
3. eu-LISA adotta le misure necessarie per garantire la sicurezza del router e dei dati API e di altri dati PNR trasmessi tramite il router, in particolare di quelli che costituiscono dati personali, anche elaborando, attuando e aggiornando periodicamente un piano di sicurezza, un piano di continuità operativa e un piano di ripristino in caso di disastro, al fine di:
a) proteggere fisicamente il router, anche mediante l'elaborazione di piani di emergenza per la protezione dei componenti critici;
b) impedire, in particolare mediante tecniche appropriate di cifratura, il trattamento non autorizzato dei dati API o di altri dati PNR, compreso l'accesso non autorizzato a tali dati e la loro copia, modifica o cancellazione, sia all'atto del loro trasferimento dal router e verso il medesimo, sia durante la loro conservazione sul router, ove necessaria per completare la trasmissione;
c) garantire che le persone autorizzate ad accedere al router abbiano accesso solo ai dati previsti dalla loro autorizzazione di accesso;
d) garantire che sia possibile verificare e accertare a quali UIP sono trasmessi i dati API o altri dati PNR tramite il router;
e) riferire adeguatamente al consiglio di amministrazione in merito a eventuali anomalie nel funzionamento del router;
f) monitorare l'efficacia delle misure di sicurezza richieste a norma del presente articolo e del regolamento (UE) 2018/1725, nonché valutare e aggiornare tali misure ove necessario alla luce degli sviluppi tecnologici o operativi.
Le misure di cui al primo comma del presente paragrafo non pregiudicano l'articolo 32 del regolamento (UE) 2016/679 né l'articolo 33 del regolamento (UE) 2018/1725 né l'articolo 29 della direttiva (UE) 2016/680.
Verifica interna
I vettori aerei e le UIP controllano l'ottemperanza ai rispettivi obblighi ai sensi del presente regolamento, in particolare per quanto riguarda il trattamento dei dati API che costituiscono dati personali. Per i vettori aerei, il controllo comprende la verifica frequente delle registrazioni di cui all'articolo 17.
Audit della protezione dei dati personali
1. Le autorità di controllo indipendenti di cui all'articolo 41 della direttiva (UE) 2016/680 svolgono, almeno ogni quattro anni, un audit delle operazioni di trattamento dei dati API che costituiscono dati personali effettuate dalle UIP ai fini del presente regolamento. Gli Stati membri provvedono affinché le proprie autorità di controllo indipendenti dispongano delle risorse e delle competenze sufficienti per assolvere ai compiti loro assegnati dal presente regolamento.
2. Il Garante europeo della protezione dei dati svolge almeno una volta l'anno un audit delle operazioni di trattamento dei dati API e di altri dati PNR che costituiscono dati personali effettuate da eu-LISA ai fini del presente regolamento, conformemente ai pertinenti principi internazionali di audit. Una relazione su tale audit è trasmessa al Parlamento europeo, al Consiglio, alla Commissione, agli Stati membri e a eu-LISA. A eu-LISA è data la possibilità di presentare osservazioni prima dell'adozione della relazione.
3. In relazione alle operazioni di trattamento di cui al paragrafo 2 del presente articolo, su richiesta eu-LISA fornisce al Garante europeo della protezione dei dati le informazioni da questo sollecitate e gli consente di accedere a tutti i documenti richiesti, alle registrazioni di cui all'articolo 17, paragrafo 2, e a tutti i suoi locali in qualsiasi momento.
Connessione delle UIP al router
1. Gli Stati membri provvedono affinché le loro UIP siano connesse al router. Essi provvedono affinché i loro sistemi e infrastrutture nazionali per ricevere e trattare ulteriormente i dati API e altri dati PNR trasferiti a norma del presente regolamento siano integrati con il router.
Gli Stati membri provvedono affinché la connessione e l'integrazione con il router consentano alle loro UIP di ricevere e trattare ulteriormente i dati API in questione e altri dati PNR, nonché di scambiare qualsiasi comunicazione ad essi relativa, in modo lecito, sicuro, efficace e rapido.
2. La Commissione adotta atti di esecuzione che specificano le norme dettagliate necessarie per le connessioni e l'integrazione con il router di cui al paragrafo 1 del presente articolo, tra cui i requisiti per la sicurezza dei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 42, paragrafo 2.
Connessione dei vettori aerei al router
1. I vettori aerei garantiscono la loro connessione al router. Essi provvedono affinché i loro sistemi e infrastrutture per il trasferimento dei dati API e altri dati PNR al router a norma del presente regolamento siano integrati con il router.
I vettori aerei provvedono affinché la connessione e l'integrazione con il router consentano loro di trasferire tali dati API e altri dati PNR, nonché di scambiare tutte le comunicazioni ad essi relative, in modo lecito, sicuro, efficace e rapido. A tal fine, i vettori aerei effettuano prove del trasferimento dei dati API e di altri dati PNR al router in cooperazione con eu-LISA a norma dell'articolo 27, paragrafo 3.
2. La Commissione adotta atti di esecuzione che specificano le norme dettagliate necessarie per le connessioni e l'integrazione con il router di cui al paragrafo 1 del presente articolo, tra cui i requisiti per la sicurezza dei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 42, paragrafo 2.
Compiti di eu-LISA relativi alla progettazione e allo sviluppo del router
1. eu-LISA è responsabile della progettazione dell'architettura fisica del router, compresa la definizione delle sue specifiche tecniche.
2. eu-LISA è responsabile dello sviluppo del router, compresi gli eventuali adeguamenti tecnici necessari per il suo funzionamento.
Lo sviluppo del router comporta l'elaborazione e l'applicazione delle specifiche tecniche, il collaudo e la gestione e il coordinamento generale della fase di sviluppo.
3. eu-LISA garantisce che il router sia progettato e sviluppato in modo tale da fornire le funzionalità specificate nel presente regolamento ed entri in funzione non appena possibile dopo l'adozione da parte della Commissione degli atti delegati previsti all'articolo 4, paragrafo 12, all'articolo 5, paragrafo 3, e all'articolo 7, paragrafo 2, nonché degli atti di esecuzione previsti all'articolo 11, paragrafo 5, all'articolo 12, paragrafo 4, all'articolo 23, paragrafo 2, all'articolo 24, paragrafo 2, del presente regolamento, nonché degli atti di esecuzione di cui all'articolo 16, paragrafo 3, della direttiva (UE) 2016/681, e dopo l'esecuzione di una valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 del regolamento (UE) 2016/679.
4. eu-LISA fornisce alle UIP, alle altre autorità competenti degli Stati membri e ai vettori aerei una serie di prove di conformità. La serie di prove di conformità comprende un ambiente di prova, un simulatore, serie di dati di prova e un piano di prova. La serie di prove di conformità consente i collaudi generali del router di cui ai paragrafi 5 e 6 e rimane a disposizione una volta completato tali collaudi.
5. Quando ritiene completata la fase di sviluppo riguardo ai dati API, eu-LISA effettua senza indebito ritardo un collaudo generale del router in cooperazione con le UIP, altre autorità competenti degli Stati membri e i vettori aerei, e ne comunica l'esito alla Commissione.
6. Quando ritiene completata la fase di sviluppo riguardo ad altri dati PNR, eu-LISA effettua senza indebito ritardo collaudi generali del router per garantirne l'affidabilità delle connessioni con i vettori aerei e le UIP, la necessaria trasmissione standardizzata di altri dati PNR da parte dei vettori aerei e il trasferimento e la trasmissione di altri dati PNR a norma dell'articolo 16 della direttiva (UE) 2016/681, tra cui l'uso dei protocolli comuni e dei formati di dati standardizzati supportati di cui all'articolo 16, paragrafi 2 e 3, di tale direttiva per garantire la leggibilità degli altri dati PNR. Tali collaudi sono effettuati in collaborazione con le UIP e altre autorità competenti degli Stati membri nonché i vettori aerei. eu-LISA informa la Commissione dell'esito di tali collaudi.
Compiti di eu-LISA relativi all'hosting e alla gestione tecnica del router
1. eu-LISA ospita il router nei suoi siti tecnici.
2. eu-LISA è responsabile della gestione tecnica del router, compresi la manutenzione e gli adeguamenti tecnici, in modo tale da garantire che i dati API e altri dati PNR siano trasmessi in modo sicuro, efficace e rapido tramite il router a norma del presente regolamento.
La gestione tecnica del router consiste nell'esecuzione dell'insieme dei compiti e nell'attuazione delle soluzioni tecniche necessari per il suo corretto funzionamento a norma del presente regolamento in modo ininterrotto, 24 ore su 24 e 7 giorni su 7. Comprende la manutenzione e gli adeguamenti tecnici necessari per garantire che il router funzioni a un livello di qualità tecnica soddisfacente, specialmente per quanto riguarda la disponibilità, l'esattezza e l'affidabilità della trasmissione dei dati API e di altri dati PNR, conformemente alle specifiche tecniche e, per quanto possibile, in linea con le esigenze operative delle UIP e dei vettori aerei.
3. Il personale di eu-LISA non ha accesso ad alcun tipo di dati API o di altri dati PNR trasmessi tramite il router. Tale divieto non impedisce tuttavia al personale di eu-LISA di avere accesso a tali dati nella misura strettamente necessaria per la manutenzione e la gestione tecnica del router.
4. Fatti salvi il paragrafo 3 del presente articolo e l'articolo 17 dello statuto dei funzionari dell'Unione europea di cui al regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (1), eu-LISA applica ai membri del proprio personale che operano con i dati API e altri dati PNR trasmessi tramite il router adeguate norme in materia di segreto professionale o altri obblighi di riservatezza equivalenti. Tale obbligo vincola il personale anche dopo che ha lasciato l'incarico o cessato di lavorare, ovvero portato a termine le proprie attività.
GU L 56 del 4.3.1968.
Compiti di supporto di eu-LISA relativi al router
1. eu-LISA, su richiesta delle UIP, di altre autorità competenti degli Stati membri o di vettori aerei, impartisce loro una formazione sull'uso tecnico del router nonché sulla connessione al router e sull'integrazione con quest'ultimo.
2. eu-LISA fornisce supporto alle UIP per quanto riguarda il ricevimento dei dati API e di altri dati PNR tramite il router a norma del presente regolamento, in particolare per quanto riguarda l'applicazione degli articoli 12 e 23.
3. A norma dell'articolo 24, paragrafo 1, e avvalendosi delle prove di conformità di cui all'articolo 25, paragrafo 4, eu-LISA effettua prove del trasferimento dei dati API e di altri dati PNR al router in cooperazione con i vettori aerei.
Consiglio di gestione del programma
1. Entro il 28 gennaio 2025, il consiglio di amministrazione di eu-LISA istituisce un consiglio di gestione del programma. Questo è costituito da 10 membri:
a) sette membri nominati dal consiglio di amministrazione di eu-LISA tra i suoi membri o supplenti;
b) il presidente del gruppo consultivo API-PNR di cui all'articolo 29;
c) un membro del personale di eu-LISA nominato dal suo direttore esecutivo; e
d) un membro nominato dalla Commissione.
Per quanto riguarda la lettera a), i membri nominati dal consiglio di amministrazione di eu-LISA sono eletti solo tra i suoi membri o i suoi supplenti degli Stati membri cui si applica il presente regolamento.
2. Il consiglio di gestione del programma elabora il proprio regolamento interno che deve essere adottato dal consiglio di amministrazione di eu-LISA.
La presidenza è esercitata da uno Stato membro che è membro del consiglio di gestione del programma.
3. Il consiglio di gestione del programma sorveglia l'effettivo adempimento dei compiti di eu-LISA relativi alla progettazione e allo sviluppo del router conformemente all'articolo 25.
Su richiesta del consiglio di gestione del programma, eu-LISA fornisce informazioni dettagliate e aggiornate sulla progettazione e sullo sviluppo del router, comprese le risorse assegnate da eu-LISA.
4. Il consiglio di gestione del programma presenta periodicamente, almeno tre volte a trimestre, relazioni scritte sui progressi compiuti nella progettazione e nello sviluppo del router al consiglio di amministrazione di eu-LISA.
5. Il consiglio di gestione del programma non ha potere decisionale, né mandato di rappresentare il consiglio di amministrazione di eu-LISA o i suoi membri.
6. Il consiglio di gestione del programma cessa di esistere alla data di applicazione del presente regolamento di cui all'articolo 45, secondo comma.
Gruppo consultivo API-PNR
1. A partire dal 28 gennaio 2025, il gruppo consultivo API-PNR, istituito a norma dell'articolo 27, paragrafo 1, lettera d sexies), del regolamento (UE) 2018/1726, fornisce al consiglio di amministrazione di eu-LISA le competenze necessarie relative all'API-PNR, in particolare nel contesto della preparazione del suo programma di lavoro annuale e della sua relazione annuale di attività.
2. Ove disponibili, eu-LISA fornisce al gruppo consultivo API-PNR versioni, anche intermedie, delle specifiche tecniche e delle serie di prove di conformità di cui all'articolo 25, paragrafi 1, 2 e 4.
3. Il gruppo consultivo API-PNR svolge le seguenti funzioni:
a) fornisce consulenza a eu-LISA e al consiglio di gestione del programma in merito alla progettazione e allo sviluppo del router conformemente all'articolo 25;
b) fornisce consulenza a eu-LISA in merito all'hosting e alla gestione tecnica del router conformemente all'articolo 26;
c) fornisce il proprio parere al consiglio di gestione del programma, su sua richiesta, sui progressi della progettazione e dello sviluppo del router, compresi i progressi relativi alle specifiche tecniche e alle serie di prove di conformità di cui al paragrafo 2.
4. Il gruppo consultivo API-PNR non ha potere decisionale, né mandato di rappresentare il consiglio di amministrazione di eu-LISA o i suoi membri.
Gruppo di contatto API-PNR
1. Entro la pertinente data di applicazione del presente regolamento di cui all'articolo 45, secondo comma, il consiglio di amministrazione di eu-LISA istituisce un gruppo di contatto API-PNR.
2. Il gruppo di contatto API-PNR consente la comunicazione tra le autorità competenti degli Stati membri e i vettori aerei su questioni tecniche relative ai rispettivi compiti e obblighi ai sensi del presente regolamento.
3. Il gruppo di contatto API-PNR è composto da rappresentanti delle autorità competenti degli Stati membri e dei vettori aerei, dal presidente del gruppo consultivo API-PNR e da esperti di eu-LISA.
4. Il consiglio di amministrazione di eu-LISA stabilisce il regolamento interno del gruppo di contatto API-PNR, previo parere del gruppo consultivo API-PNR.
5. Ove ritenuto necessario, il consiglio di amministrazione di eu-LISA può anche istituire sottogruppi del gruppo di contatto API-PNR per discutere specifiche questioni tecniche relative ai rispettivi compiti e obblighi delle autorità competenti degli Stati membri e dei vettori aerei a norma del presente regolamento.
6. Il gruppo di contatto API-PNR, compresi i suoi sottogruppi, non ha potere decisionale, né mandato di rappresentare il consiglio di amministrazione di eu-LISA o i suoi membri.
Gruppo di esperti API
1. Entro la data di applicazione del presente regolamento di cui all'articolo 45, secondo comma, lettera a), la Commissione istituisce un gruppo di esperti API conformemente alle norme orizzontali sulla creazione e il funzionamento dei gruppi di esperti della Commissione.
2. Il gruppo di esperti API consente la comunicazione tra le autorità competenti degli Stati membri e tra le autorità competenti degli Stati membri e i vettori aerei su questioni politiche relative ai rispettivi compiti e obblighi a norma del presente regolamento, anche in relazione alle sanzioni di cui all'articolo 38.
3. Il gruppo di esperti API è presieduto dalla Commissione e costituito conformemente alle norme orizzontali per la creazione e il funzionamento dei gruppi di esperti della Commissione. E' composto da rappresentanti delle autorità competenti degli Stati membri, da rappresentanti dei vettori aerei e da esperti di eu-LISA. Ove pertinente per lo svolgimento dei suoi compiti, il gruppo di esperti API può invitare i portatori di interessi pertinenti, in particolare rappresentanti del Parlamento europeo, del Garante europeo della protezione dei dati e delle autorità nazionali di controllo indipendenti, a partecipare ai suoi lavori.
4. Il gruppo di esperti API svolge i propri compiti nel rispetto del principio della trasparenza. La Commissione pubblica sul suo sito web i processi verbali delle riunioni del gruppo di esperti API e altri documenti pertinenti.
Spese a carico di eu-LISA, del Garante europeo della protezione dei dati, delle autorità nazionali di controllo e degli Stati membri
1. Le spese sostenute da eu-LISA per l'istituzione e il funzionamento del router a norma del presente regolamento sono a carico del bilancio generale dell'Unione.
2. Le spese sostenute dagli Stati membri per l'attuazione del presente regolamento, in particolare per la connessione e l'integrazione con il router di cui all'articolo 23 sono a carico del bilancio generale dell'Unione, conformemente alle norme di ammissibilità e ai tassi di cofinanziamento stabiliti negli atti giuridici dell'Unione applicabili.
3. Le spese sostenute dal Garante europeo della protezione dei dati in relazione ai compiti affidatigli a norma del presente regolamento sono a carico del bilancio generale dell'Unione.
4. Le spese sostenute dalle autorità nazionali di controllo indipendenti in relazione ai compiti affidati loro a norma del presente regolamento sono a carico degli Stati membri.
Responsabilità relative al router
Lo Stato membro o il vettore aereo è responsabile di un danno arrecato al router conseguente all'inosservanza degli obblighi di cui al presente regolamento, come previsto dal diritto nazionale o dell'Unione applicabile, a meno che e nella misura in cui si dimostri che eu-LISA, un altro Stato membro o un altro vettore aereo abbia omesso di adottare provvedimenti ragionevolmente idonei a prevenire il danno o ridurne al minimo l'impatto.
Entrata in funzione del router in relazione ai dati API
La Commissione determina senza indebito ritardo, mediante un atto di esecuzione, la data a partire dalla quale il router entra in funzione in relazione ai dati API, una volta che eu-LISA le abbia comunicato il positivo completamento del collaudo generale del router di cui all'articolo 25, paragrafo 5. Tale atto di esecuzione è adottato conformemente alla procedura d'esame di cui all'articolo 42, paragrafo 2.
La Commissione fissa la data di cui al primo comma entro 30 giorni dalla data di adozione dell'atto di esecuzione.
Entrata in funzione del router in relazione ad altri dati PNR
La Commissione determina senza indebito ritardo, mediante un atto di esecuzione, la data a partire dalla quale il router entra in funzione in relazione ad altri dati PNR, una volta che eu-LISA le abbia comunicato il positivo completamento del collaudo generale del router di cui all'articolo 25, paragrafo 6, in particolare per quanto riguarda l'affidabilità delle connessioni del router con i vettori aerei e le UIP e la leggibilità degli altri dati PNR trasferiti dai vettori aerei e trasmessi dal router nel formato standardizzato necessario, conformemente all'articolo 16 della direttiva (UE) 2016/681. Tale atto di esecuzione è adottato conformemente alla procedura d'esame di cui all'articolo 42, paragrafo 2.
La Commissione fissa la data di cui al primo comma entro 30 giorni dalla data di adozione dell'atto di esecuzione.
Uso volontario del router
1. I vettori aerei sono autorizzati a usare il router per trasmettere le informazioni di cui all'articolo 3, paragrafi 1 e 2, della direttiva 2004/82/CE o altri dati PNR raccolti a norma dell'articolo 8 della direttiva (UE) 2016/681 a una o più delle UIP responsabili, conformemente a tali direttive, a condizione che lo Stato membro interessato abbia acconsentito a tale uso e a decorrere da una data appropriata da esso stabilita. Tale Stato membro acconsente solo dopo aver accertato che, in particolare per quanto riguarda sia la connessione della propria UIP con il router sia quella del vettore aereo interessato, le informazioni possono essere trasmesse in modo lecito, sicuro, efficace e rapido.
2. Il vettore aereo che inizia a usare il router conformemente al paragrafo 1 del presente articolo continua a usarlo per trasmettere tali informazioni alla UIP dello Stato membro interessato fino alla data di applicazione pertinente del presente regolamento di cui all'articolo 45, secondo comma. Tuttavia tale uso è interrotto, a decorrere da una data appropriata stabilita da tale Stato membro, qualora questo ritenga che sussistano ragioni oggettive che richiedono detta interruzione e ne abbia informato il vettore aereo.
3. Lo Stato membro in questione:
a) consulta eu-LISA prima di acconsentire all'uso volontario del router in conformità del paragrafo 1;
b) salvo in situazioni di urgenza debitamente giustificata, offre al vettore aereo interessato la possibilità di presentare osservazioni sulla sua intenzione di interrompere tale uso a norma del paragrafo 2 e, se del caso, consulta eu-LISA al riguardo;
c) informa immediatamente eu-LISA e la Commissione dell'accettazione e dell'eventuale interruzione di tale uso, fornendo tutte le informazioni necessarie, tra cui, a seconda dei casi, la data di inizio dell'uso e la data e i motivi dell'interruzione.
Autorità nazionale di controllo delle API
1. Gli Stati membri designano una o più autorità nazionali di controllo delle API incaricate di monitorare, nel loro territorio, l'applicazione delle disposizioni del presente regolamento da parte dei vettori aerei e di garantirne l'osservanza.
2. Gli Stati membri provvedono affinché le autorità nazionali di controllo delle API dispongano di tutti i mezzi e i poteri di indagine e di esecuzione necessari per svolgere i loro compiti a norma del presente regolamento, anche imponendo, se del caso, le sanzioni di cui all'articolo 38. Gli Stati membri provvedono affinché l'esercizio dei poteri conferiti all'autorità nazionale di controllo delle API sia soggetto a garanzie adeguate nel rispetto dei diritti fondamentali garantiti dal diritto dell'Unione.
3. Entro la data di applicazione pertinente del presente regolamento di cui all'articolo 45, secondo comma, gli Stati membri comunicano alla Commissione il nome e i dati di contatto delle autorità designate a norma del paragrafo 1 del presente articolo. Essi informano la Commissione senza ritardo di successivi cambiamenti o modifiche di quanto sopra.
4. Il presente articolo non pregiudica i poteri delle autorità di controllo di cui all'articolo 51 del regolamento (UE) 2016/679, all'articolo 41 della direttiva (UE) 2016/680 e all'articolo 15 della direttiva (UE) 2016/681.
Sanzioni
1. Gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione del presente regolamento e adottano tutte le misure necessarie per assicurarne l'applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive.
2. Gli Stati membri notificano tali norme e misure alla Commissione entro la pertinente data di applicazione del presente regolamento di cui all'articolo 45, secondo comma, e provvedono poi a dare immediata notifica delle eventuali modifiche successive.
3. Gli Stati membri provvedono a che, nel decidere se imporre una sanzione e nel determinarne il tipo e il livello, le autorità nazionali di controllo delle API tengano conto di tutte le circostanze pertinenti, che possono comprendere:
a) la natura, la gravità e la durata della violazione;
b) il grado di responsabilità del vettore aereo;
c) le precedenti infrazioni da parte del vettore aereo;
d) il livello generale di cooperazione del vettore aereo con le autorità competenti;
e) le dimensioni del vettore aereo, ad esempio il numero annuo di passeggeri trasportati;
f) se siano già state applicate sanzioni da altre autorità nazionali di controllo delle API allo stesso vettore aereo per la medesima violazione.
4. Gli Stati membri garantiscono che il reiterato mancato trasferimento dei dati API conformemente all'articolo 5, paragrafo 1, sia soggetto a sanzioni pecuniarie proporzionate fino al 2 % del fatturato globale del vettore aereo per l'esercizio precedente. Gli Stati membri provvedono affinché l'inosservanza di altri obblighi di cui al presente regolamento sia soggetta a sanzioni proporzionate, anche pecuniarie.
Statistiche
1. Al fine di sostenere l'attuazione e la verifica dell'applicazione del presente regolamento e sulla base delle informazioni statistiche di cui ai paragrafi 5 e 6, eu-LISA pubblica ogni trimestre statistiche sul funzionamento del router e sull'osservanza, da parte dei vettori aerei, degli obblighi previsti dal presente regolamento. Tali statistiche non consentono l'identificazione delle persone fisiche.
2. Per le finalità di cui al paragrafo 1, il router trasmette automaticamente i dati elencati ai paragrafi 5 e 6 al CRRS.
3. Ai fini dell'attuazione e della verifica dell'applicazione del presente regolamento, ogni anno eu-LISA compila i dati statistici in una relazione annuale relativa all'anno precedente. eu-LISA pubblica la relazione annuale e la trasmette al Parlamento europeo, al Consiglio, alla Commissione, al Garante europeo della protezione dei dati, all'Agenzia europea della guardia di frontiera e costiera e alle autorità nazionali di controllo delle API di cui all'articolo 37. La relazione annuale non divulga metodi di lavoro riservati né compromette le indagini delle autorità competenti degli Stati membri in corso.
4. Su richiesta della Commissione, eu-LISA le fornisce statistiche su aspetti specifici connessi all'attuazione del presente regolamento nonché le statistiche di cui al paragrafo 3.
5. Il CRRS fornisce a eu-LISA le seguenti informazioni statistiche necessarie ai fini delle relazioni di cui all'articolo 44 e dell'elaborazione di statistiche conformemente al presente articolo, senza che tali statistiche sui dati API consentano l'identificazione dei passeggeri interessati:
a) se i dati riguardano un passeggero o un membro dell'equipaggio;
b) la cittadinanza, il sesso e l'anno di nascita del passeggero o del membro dell'equipaggio;
c) la data e il primo punto di imbarco, la data e l'aeroporto di partenza e la data e l'aeroporto di arrivo;
d) il tipo di documento di viaggio, il codice a tre lettere del paese di rilascio e la data di scadenza della validità del documento di viaggio;
e) il numero di passeggeri registrati sullo stesso volo;
f) il codice del vettore aereo che opera il volo;
g) se il volo è di linea o non di linea;
h) se i dati API sono stati trasferiti immediatamente dopo la chiusura del volo;
i) se i dati personali del passeggero sono esatti, completi e aggiornati;
j) i mezzi tecnici utilizzati per raccogliere i dati API.
6. Il CRRS fornisce a eu-LISA le seguenti informazioni statistiche necessarie ai fini delle relazioni di cui all'articolo 44 e dell'elaborazione di statistiche conformemente al presente articolo, senza che tali statistiche su altri dati PNR consentano l'identificazione dei passeggeri interessati:
a) la data e l'ora in cui il router ha ricevuto il messaggio PNR;
b) le informazioni di volo contenute nell'itinerario di viaggio del messaggio PNR specifico;
c) informazioni sul code share (codici comuni) contenute nel messaggio PNR specifico.
7. Ai fini delle relazioni di cui all'articolo 44 e dell'elaborazione di statistiche conformemente al presente articolo, eu-LISA conserva i dati di cui ai paragrafi 5 e 6 del presente articolo nel CRRS. Essa conserva tali dati per un periodo di cinque anni in conformità del paragrafo 2, assicurandosi nel contempo che non consentano l'identificazione dei passeggeri interessati. Il CRRS fornisce al personale debitamente autorizzato delle UIP e di altre autorità competenti degli Stati membri relazioni e statistiche personalizzabili sui dati API di cui al paragrafo 5 del presente articolo e su altri dati PNR di cui al paragrafo 6 del presente articolo ai fini dell'attuazione e della verifica dell'applicazione del presente regolamento.
8. L'utilizzo dei dati di cui ai paragrafi 5 e 6 del presente articolo non comporta la profilazione delle persone di cui all'articolo 11, paragrafo 3, della direttiva (UE) 2016/680 né una discriminazione nei confronti delle persone per i motivi menzionati all'articolo 21 della Carta. I dati di cui ai paragrafi 5 e 6 del presente articolo non sono utilizzati per il confronto o la comparazione con dati personali o per la combinazione con dati personali.
9. Le procedure poste in essere da eu-LISA per monitorare lo sviluppo e il funzionamento del router di cui all'articolo 39, paragrafo 2, del regolamento (UE) 2019/818 comprendono la possibilità di produrre statistiche periodiche per assicurare tale monitoraggio.
Manuale pratico
La Commissione, in stretta cooperazione con le UIP, le altre autorità pertinenti degli Stati membri, i vettori aerei e gli organi e organismi competenti dell'Unione, redige e mette a disposizione del pubblico un manuale pratico contenente orientamenti, raccomandazioni e buone prassi per l'attuazione del presente regolamento, anche per quanto riguarda il rispetto dei diritti fondamentali e le sanzioni di cui all'articolo 38.
Il manuale pratico tiene conto degli altri manuali pertinenti.
La Commissione adotta il manuale pratico sotto forma di raccomandazione.
Modifiche del regolamento (UE) 2019/818
All'articolo 39 del regolamento (UE) 2019/818, i paragrafi 1 e 2 sono sostituiti dai seguenti:
«1. E' istituito un archivio centrale di relazioni e statistiche (CRRS) al fine di sostenere gli obiettivi del SIS, dell'Eurodac e dell'ECRIS-TCN, in conformità dei rispettivi strumenti giuridici che disciplinano tali sistemi, e fornire dati statistici intersistemici e relazioni analitiche a scopi strategici, operativi e di qualità dei dati. Il CRRS sostiene inoltre gli obiettivi del regolamento (UE) 2025/13 del Parlamento europeo e del Consiglio (*1).
2. eu-LISA istituisce, attua e ospita nei suoi siti tecnici il CRRS contenenti i dati e le statistiche di cui all'articolo 74 del regolamento (UE) 2018/1862 e all'articolo 32 del regolamento (UE) 2019/816, separati per logica dal sistema di informazione dell'UE. eu-LISA raccoglie anche i dati e le statistiche dal router di cui all'articolo 39, paragrafo 1, del regolamento (UE) 2025/13. L'accesso al CRRS è concesso mediante un accesso controllato e sicuro e specifici profili di utente, unicamente a fini di elaborazione di relazioni e statistiche, alle autorità di cui all'articolo 74 del regolamento (UE) 2018/1862, all'articolo 32 del regolamento (UE) 2019/816 e all'articolo 13, paragrafo 1, del regolamento (UE) 2025/13.
______________
(*1) Regolamento (UE) 2025/13 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, sulla raccolta e sul trasferimento di informazioni anticipate sui passeggeri a fini di prevenzione, accertamento, indagine e azione penale riguardo ai reati di terrorismo e ai reati gravi, e che modifica il regolamento (UE) 2019/818 (GU L, 2025/13, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/13/oj).».
Procedura di comitato
1. La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.
2. Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011. Qualora il comitato non esprima alcun parere, la Commissione non adotta il progetto di atto di esecuzione e si applica l'articolo 5, paragrafo 4, terzo comma, del regolamento (UE) n. 182/2011.
Esercizio della delega
1. Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.
2. Il potere di adottare atti delegati di cui all'articolo 4, paragrafi 11 e 12, all'articolo 5, paragrafo 4, e all'articolo 7, paragrafo 5, è conferito alla Commissione per un periodo di cinque anni a decorrere dal 28 gennaio 2025 La Commissione elabora una relazione sulla delega di potere al più tardi nove mesi prima della scadenza del periodo di cinque anni. La delega di potere è tacitamente prorogata per periodi di identica durata, a meno che il Parlamento europeo o il Consiglio non si oppongano a tale proroga al più tardi tre mesi prima della scadenza di ciascun periodo.
Per quanto riguarda un atto delegato adottato a norma dell'articolo 4, paragrafo 11, se il Parlamento europeo o il Consiglio hanno sollevato obiezioni a norma del paragrafo 6 del presente articolo, essi non possono opporsi alla proroga tacita di cui al primo comma del presente paragrafo.
3. La delega di potere di cui all'articolo 4, paragrafo 12, all'articolo 5, paragrafo 4, e all'articolo 7, paragrafo 5, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.
4. Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.
5. Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.
6. L'atto delegato adottato ai sensi dell'articolo 4, paragrafi 11 o 12, dell'articolo 5, paragrafo 4, o dell'articolo 7, paragrafo 5, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.
Monitoraggio e valutazione
1. eu-LISA provvede affinché siano istituite procedure per monitorare lo sviluppo del router rispetto agli obiettivi relativi alla pianificazione e ai costi, nonché per monitorare il funzionamento del router rispetto agli obiettivi prefissati in termini di risultati tecnici, di rapporto costi/benefici, di sicurezza e di qualità del servizio.
2. Entro il 29 gennaio 2026 e successivamente ogni anno durante la fase di sviluppo del router, eu-LISA elabora una relazione sullo stato di sviluppo del router e la presenta al Parlamento europeo e al Consiglio. La relazione include informazioni dettagliate sui costi sostenuti e sui rischi che possono incidere sulle spese complessive che sono a carico del bilancio generale dell'Unione a norma dell'articolo 32.
3. Una volta entrato in funzione il router, eu-LISA elabora e presenta al Parlamento europeo e al Consiglio una relazione che illustra nel dettaglio il modo in cui sono stati conseguiti gli obiettivi, in particolare quelli relativi alla pianificazione e ai costi, giustificando eventuali scostamenti.
4. Entro il 29 gennaio 2029 e successivamente ogni quattro anni, la Commissione elabora una relazione contenente una valutazione globale del presente regolamento, anche sulla necessità e il valore aggiunto della raccolta dei dati API, comprendente una valutazione di quanto segue:
a) l'applicazione del presente regolamento;
b) la misura in cui il presente regolamento ha conseguito i suoi obiettivi;
c) l'impatto del presente regolamento sui diritti fondamentali tutelati dal diritto dell'Unione;
d) l'impatto del presente regolamento sull'esperienza di viaggio dei passeggeri legittimi;
e) l'impatto del presente regolamento sulla competitività del settore dell'aviazione e gli oneri a carico delle imprese;
f) la qualità dei dati API trasmessi dal router alle UIP;
g) le prestazioni del router nei confronti delle UIP.
Ai fini della lettera e) del primo comma, la relazione della Commissione esamina inoltre l'interazione del presente regolamento con altri pertinenti atti legislativi dell'Unione, in particolare i regolamenti (CE) n. 767/2008, (UE) 2017/2226 e (UE) 2018/1240, al fine di valutare l'impatto complessivo sui vettori aerei degli obblighi di comunicazione correlati, individuare le disposizioni che potrebbero essere aggiornate e semplificate, se del caso, per attenuare l'onere che grava sui vettori aerei e prendere in considerazione le azioni e le misure che potrebbero essere adottate per ridurre la pressione sui costi totali per i vettori aerei.
5. La valutazione di cui al paragrafo 4 comprende anche un'analisi della necessità, della proporzionalità e dell'efficacia dell'inclusione della raccolta e del trasferimento obbligatori dei dati API relativi ai voli intra-UE rientranti nell'ambito di applicazione del presente regolamento.
6. La Commissione presenta la relazione di valutazione al Parlamento europeo, al Consiglio, al Garante europeo della protezione dei dati e all'Agenzia dell'Unione europea per i diritti fondamentali. Se del caso, alla luce della valutazione condotta, la Commissione presenta al Parlamento europeo e al Consiglio una proposta legislativa intesa a modificare il presente regolamento.
7. Gli Stati membri e i vettori aerei comunicano a eu-LISA e alla Commissione, su richiesta, le informazioni necessarie per redigere le relazioni di cui ai paragrafi 2, 3 e 4. In particolare, gli Stati membri forniscono informazioni quantitative e qualitative in merito alla raccolta dei dati API da un punto di vista operativo. Le informazioni fornite non includono dati personali. Gli Stati membri possono astenersi dal fornire tali informazioni se necessario, e nella debita misura, per non divulgare metodi di lavoro riservati o non compromettere le indagini delle loro UIP o altre autorità competenti in corso. La Commissione garantisce che tutte le informazioni riservate comunicate siano adeguatamente protette.
Entrata in vigore e applicabilità
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Esso si applica:
a) in relazione ai dati API, a decorrere dalla data corrispondente a due anni dopo l'entrata in funzione del router, determinata dalla Commissione conformemente all'articolo 34; e
b) in relazione ad altri dati PNR, a decorrere dalla data corrispondente a quattro anni dall'entrata in funzione del router, determinata dalla Commissione in conformità dell'articolo 35.
Tuttavia:
a) l'articolo 4, paragrafo 12, l'articolo 5, paragrafo 3, l'articolo 7, paragrafo 5, l'articolo 11, paragrafo 5, l'articolo 12, paragrafo 6, l'articolo 18, paragrafo 4, l'articolo 23, paragrafo 2, l'articolo 24, paragrafo 2, gli articoli 25, 28 e 29, l'articolo 32, paragrafo 1, e gli articoli 34, 35, 42 e 43 si applicano a decorrere dal 28 gennaio 2025;
b) l'articolo 6, l'articolo 17, paragrafi 1, 2 e 3, l'articolo 18, paragrafi 1, 2 e 3, gli articoli 19, 20, 26, 27, 33 e 36 si applicano a decorrere dalla data di entrata in funzione del router, determinata dalla Commissione conformemente agli articoli 34 e 35.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.
Fatto a Bruxelles, il 19 dicembre 2024
Per il Parlamento europeo
La presidente
R. METSOLA
Per il Consiglio
Il presidente
BO'KA J.