Parere2/2004: sul livello di protezione adeguato dei dati a carattere personale contenuti nelle pratiche Passeggeri (PNR —Passenger Name Record) trasferite all'Ufficio delle dogane e della protezione di frontiera degli Stati Uniti (Bureau of Customs and Border Protection

CE - GRUPPO DI LAVORO PER LA TUTELA DEI DATI PERSONALI

Parere 2/2004 sul livello di protezione adeguato dei dati a carattere personale contenuti nelle pratiche Passeggeri (PNR —Passenger Name Record) trasferite all'Ufficio delle dogane e della protezione di frontiera degli Stati Uniti (Bureau of Customs and Border Protection - US CBP) - wp87

Adottato il 29 gennaio 2004

IL GRUPPO DI LAVORO SULLA PROTEZIONE DELLE PERSONE PER QUANTO RIGUARDA IL TRATTAMENTO DEI DATI A CARATTERE PERSONALE

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995¹,

visti l'articolo 29 e l'articolo 30, paragrafo 1, lettera a), e paragrafo 3, di tale direttiva,

visto il regolamento interno, in particolare gli articoli 12 e 14,

ha adottato il presente parere:

INTRODUZIONE

Sulla scia degli eventi dell'11 settembre 2001, gli Stati Uniti hanno adottato un insieme di leggi e di regolamenti che impongono alle compagnie aeree che gestiscono voli destinati al loro territorio di trasferire alle autorità americane dati personali sui passeggeri e sui membri dell'equipaggio dei voli destinati a tale paese o da esso provenienti. In particolare, le autorità hanno imposto alle compagnie aeree l'obbligo di fornire all'Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti (CBP) un accesso elettronico ai dati relativi ai passeggeri che figurano nelle pratiche "PNR" per i voli a destinazione degli Stati Uniti, provenienti da tale Paese o che lo attraversano. Le compagnie aeree che respingono tali domande sono suscettibili di essere sanzionate con pesanti ammende e anche con la perdita dei loro diritti di atterraggio, mentre i loro passeggeri subirebbero ritardi al loro arrivo negli Stati Uniti.

Il gruppo di lavoro ha emesso un primo parere nell'ottobre 2002 e un secondo il 13 giugno 2003. Quest'ultimo prendeva in considerazione la dichiarazione d'intenti degli Stati Uniti del 22 maggio 2003 ("Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Administration") che riflette l'ultimo stadio del dialogo relativo agli impegni della parte americana sulle condizioni di trattamento dei dati passeggeri PNR.

Nel suo parere del 13 giugno il gruppo di lavoro ha richiamato l'attenzione su numerose questioni di protezione dei dati che risultano dal trasferimento dei dati passeggeri PNR alle autorità americane. I principali punti in sospeso riguardano la finalità dei trasferimenti, il principio di proporzionalità per quanto riguarda i dati personali da trasferire nonché il momento dei trasferimenti e la durata di conservazione dei dati, il trattamento dei dati sensibili, l'importanza di adottare un metodo di trasferimento "push", lo stretto controllo degli ulteriori trasferimenti verso altre amministrazioni o autorità estere, le garanzie e i diritti delle persone interessate, il meccanismo d'applicazione e di risoluzione delle controversie, nonché il livello degli impegni.

Di recente, il gruppo di lavoro ha ricevuto la comunicazione della Commissione al Consiglio e al Parlamento intitolata: "Il trasferimento dei dati delle pratiche passeggeri (Passenger Name Record - PNR): la necessità di un approccio globale"² e una versione attualizzata della dichiarazione d'intenti americana datata 12 gennaio 2004 (Allegato I).

Conformemente al suo parere 4/2003, il gruppo di lavoro ritiene che sia opportuno emettere un nuovo parere alla luce degli ultimi sviluppi concernenti il trasferimento dei dati passeggeri PNR, tenendo conto in particolare dei risultati dei negoziati tra la Commissione europea e le autorità americane.

1. AZIONE CONTRO IL TERRORISMO E PROTEZIONE DELLE LIBERTÀ E DEI DIRITTI FONDAMENTALI

Come è già stato indicato nei pareri 6/2002 e 4/2003, i trasferimenti di dati ad autorità americane suscitano preoccupazioni nella pubblica opinione, hanno ripercussioni profonde e sensibili a livello politico e istituzionale e rivestono una dimensione internazionale.

La lotta contro il terrorismo è un elemento al tempo stesso valido e necessario nelle società democratiche. In questa lotta contro il terrorismo, è opportuno proteggere le libertà individuali e i diritti fondamentali, compresi il rispetto della vita privata e la protezione dei dati.

Questi diritti sono in particolare protetti dalla direttiva 95/46/CE, nonché dall'articolo 8 della Convenzione europea dei diritti dell'uomo, e costituiscono il nucleo fondamentale dei diritti tutelati dagli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea. La protezione dei dati è inoltre riconosciuta e rafforzata dal progetto di Costituzione europea discusso dalla Convenzione sul futuro dell'Europa.

Pertanto le libertà e i diritti fondamentali relativi ai principi che disciplinano la protezione dei dati a carattere personale dell'Unione europea devono essere limitati solo nei casi in cui ciò risulta necessario all'interno di una società democratica o per le esigenze di tutela degli interessi pubblici così, come sono definiti in modo esaustivo negli strumenti sopra menzionati.

Tenuto conto del volume e della sensibilità dei dati in questione, nonché del numero di individui coinvolti (dai 10 agli 11 milioni di passeggeri l'anno), la richiesta di comunicare a un'autorità pubblica i dati personali raccolti a fini commerciali e che figurano nelle basi di dati delle compagnie aeree che propongono voli a destinazione degli Stati Uniti o che transitano per gli Stati Uniti, nonché nei sistemi di prenotazione correlati, fornendo a tale autorità un accesso a questi sistemi, è senza precedenti nella storia dei rapporti tra gli Stati Uniti e l'Europa e costituisce un'eccezione al principio fondamentale di specificazione della finalità in materia di protezione dei dati. È quindi opportuno dar prova di prudenza, tenendo conto anche delle possibilità di estrapolazione dei dati cui tale evoluzione apre la strada, in particolare per i residenti europei, nonché del rischio che ne deriva di sorveglianza generalizzata e di controllo da parte di un paese terzo.

Inoltre, analoghi flussi di dati delle compagnie aeree sono già stati richiesti e/o proposti da molti altri paesi terzi. Ciò solleva la questione dell'uguaglianza di trattamento dei paesi terzi e pone in evidenza la necessità di adottare un approccio globale per l'utilizzazione dei dati dei trasporti aerei ai fini di sicurezza in un contesto multilaterale.

Non è certo che la lotta contro il terrorismo e il mantenimento della sicurezza interna saranno più efficaci mettendo parzialmente tra parentesi i principi di proporzionalità e di minimizzazione dei dati, mentre il rispetto di questi principi costituisce una garanzia essenziale per la protezione dei diritti dei cittadini ed è meglio adeguato ai bisogni dello sviluppo commerciale.

A tale riguardo, il gruppo di lavoro rileva che la questione del trasferimento dei dati passeggeri PNR si pone anche per altri paesi, e ciò richiede un approccio globale uniforme su scala mondiale, vale a dire un'armonizzazione delle soluzioni previste per i vari paesi.

Il gruppo di lavoro osserva inoltre che l'esperienza recente acquisita da taluni paesi, e in particolare dall'Australia, mostra che è possibile dare una risposta proporzionata e ragionevole alle legittime esigenze di sicurezza interna e di lotta contro il terrorismo utilizzando sistemi che sono compatibili con i principi fondamentali di rispetto della vita privata e della protezione dei dati a carattere personale.

2. ATTI LEGISLATIVI DA ADOTTARE

Il gruppo di lavoro deduce dalla comunicazione che, secondo la Commissione, la definizione di una base giuridica di qualità per il trasferimento di dati PNR alle autorità americane debba passare attraverso una decisione della Commissione basata sull'articolo 25, paragrafo 6, della direttiva 95/46/CE in combinazione con un accordo internazionale che autorizza le compagnie aeree a trattare le esigenze americane come esigenze giuridiche nell'ambito dell'Unione europea e vincolando gli Stati Uniti alla reciprocità e al rispetto dei diritti dei residenti dell'UE ("due process"). A tal fine, la Commissione prevede di stipulare un "accordo bilaterale leggero" con gli Stati Uniti.

Tenuto conto della mancanza di documenti pertinenti e considerando le competenze degli Stati membri per quanto riguarda l'attuazione degli articoli 6 e 7 della direttiva 95/46/CE, il gruppo di lavoro non è in grado di adottare un parere sul contenuto nonché sulla possibile base giuridica e sul valore di un simile accordo.

Il gruppo di lavoro intende sottolineare tuttavia che le decisioni della Commissione adottate sulla base dell'articolo 25, paragrafo 6 della direttiva, fanno riferimento per loro stessa natura alla protezione adeguata dei dati personali una volta che essi siano stati trasferiti a un paese terzo e che, sino ad oggi, hanno riguardato i trasferimenti a organismi del settore privato situati in paesi terzi. E' la prima volta che un trasferimento viene operato sulla base di un obbligo giuridico posto da un paese terzo che esige dagli operatori dell'UE di trasferire dati ad un'autorità pubblica di tale paese terzo, in modo non conforme alle disposizioni della direttiva.

Al fine di garantire per tali trasferimenti una corretta base giuridica, è prevista una formula composta da una decisione sul carattere adeguato della protezione e da un accordo internazionale; tale formula dovrà avere una serie di effetti giuridici. Il gruppo di lavoro ritiene che, nella misura in cui l'accordo internazionale consente di legittimare una limitazione al diritto della vita privata o una restrizione al principio di limitazione ad una determinata finalità prevista all'articolo 6 della direttiva, tale accordo dovrà in ogni caso rispettare i limiti posti dall'articolo 8 della Convenzione europea dei diritti dell'uomo e dall'articolo 13 della direttiva.

3. CAMPO DI APPLICAZIONE DEL PRINCIPIO DI PROTEZIONE ADEGUATA E DI UN EVENTUALE ACCORDO: IL SISTEMA CAPPS II E LA TSA (TRANSPORTATION SECURITY ADMINISTRATION)

Il gruppo di lavoro ha esplicitamente escluso il programma CAPPS II e qualunque altro sistema in grado di realizzare operazioni di trattamento di dati su grande scala dal campo di applicazione del suo parere 4/2003.

Tali sistemi presentano infatti differenze qualitative rispetto al semplice trasferimento di dati passeggeri PNR e sollevano questioni gravi che devono essere chiarite e trattate specificamente dal gruppo di lavoro, tenuto conto degli effetti generalizzati che avrebbero sui diritti fondamentali delle persone interessate.

Il sistema CAPPS II solleva in particolare un certo numero di questioni specifiche che richiedono non solo una particolare attenzione da parte del gruppo di lavoro, ma anche clausole di salvaguardia diverse e più efficaci. Qualunque decisione futura sul sistema CAPSS II dovrà essere analizzata specificamente dal gruppo di lavoro e non dovrà derivare da un'estensione automatica del campo di applicazione della prima decisione della Commissione sul livello di protezione adeguato dei trasferimenti di dati passeggeri PNR verso gli Stati Uniti.

Di conseguenza, considerando che il gruppo di lavoro non è stato informato né consultato a proposito del quadro giuridico definitivo del sistema CAPSS II, qualunque utilizzazione di dati a carattere personale da parte della TSA nel quadro del sistema CAPSS II così come è proposta e qualunque prova relativa dovranno essere esclusi ora e in futuro dal campo di applicazione della decisione della Commissione. In altri termini, le riflessioni contenute nel presente parere si basano sul presupposto secondo il quale la decisione della Commissione non sarà estesa in futuro al sistema CAPPS II, né direttamente, né indirettamente attraverso un riferimento alla legislazione interna degli Stati Uniti. In caso contrario, sarebbe opportuno esprimere sin d'ora osservazioni molto più critiche.

Di conseguenza, il gruppo di lavoro raccomanda alla Commissione di precisare, attraverso una clausola specifica nella decisione, che le autorità americane devono astenersi dall'utilizzare i dati passeggeri PNR trasmessi dall'UE non solo per mettere in opera il sistema CAPPS II, ma anche per effettuare le relative prove.

Il gruppo di lavoro ritiene che una simile clausola dovrà inoltre applicarsi a qualunque altra utilizzazione dei dati sui passeggeri europei trasmessi dalle compagnie aeree nel quadro di altri programmi quali "Terrorism Information Awareness" e "US VISIT" o i programmi di trattamento di dati biometrici.

4. LIVELLO DEGLI IMPEGNI

Il gruppo di lavoro ricorda che qualunque decisione della Commissione non dovrà basarsi su semplici "impegni" da parte delle autorità amministrative, ma su impegni che siano ufficialmente pubblicati almeno a livello del Registro federale e abbiano forza esecutiva negli Stati Uniti. Più in particolare, non dovrà esserci dubbio in merito all'effetto creativo di diritti a vantaggio di terzi.

Su tale punto, è chiaro che gli impegni presi dagli Stati Uniti non avranno forza esecutiva dal lato degli Stati Uniti. Inoltre, il nuovo paragrafo 47 aggiunto alla fine della dichiarazione d'intenti chiarisce in modo esplicito la forza esecutiva degli impegni presi dagli Stati Uniti, disponendo che "essi non creano diritti o vantaggi a beneficio di persone o parti, private o pubbliche".

Il gruppo di lavoro sottolinea pertanto che il livello degli impegni da parte degli Stati Uniti non può essere considerato come conforme alle esigenze poste nel suo parere 4/2003 e considera che tale questione sia una condizione essenziale che dovrà essere affrontata prima che possa essere formalizzato un accordo.

5. ASPETTI SPECIFICI

Tenuto conto del contesto globale sopra descritto, le domande americane, così come esse risultano dalla dichiarazione d'intenti (versione aggiornata del 12 gennaio 2004) devono essere valutate alla luce dei pareri emessi in questo settore dal gruppo di lavoro, in particolare il parere 4/2003 del 13 giugno 2003.

A. NATURA TRANSITORIA DEL LIVELLO DI PROTEZIONE ADEGUATO

Un durata di tre anni e mezzo è stata suggerita per l'insieme delle misure, compresi la dichiarazione d'intenti, la constatazione di protezione adeguata e l'accordo internazionale corrispondente.

Il gruppo di lavoro accoglie con favore l'introduzione di una "clausola di caducità" dell'accordo e spera che il periodo di tre anni e mezzo proposto nel suo parere 4/2003 sarà preso in considerazione.

B. LIMITAZIONE AD UNA FINALITÀ SPECIFICA

Il DHS (Ministero americano della sicurezza interna) utilizzerà i dati passeggeri PNR per le esigenze del CBP, al fine di prevenire e combattere:

1) Il terrorismo e i crimini connessi

2) Altri reati gravi, compreso il crimine organizzato, di natura transnazionale;

3) la fuga dall'arresto o custodia per i crimini sopra descritti.

Il gruppo di lavoro rileva che la descrizione delle finalità dell'uso dei dati PNR è più rigorosa e precisa di quanto non fosse in precedenza. Tuttavia, la categoria 2 rimane vaga, in particolare per quanto riguarda il campo di applicazione degli "altri reati gravi" indicati nella dichiarazione americana. Inoltre, la finalità delle misure rimane molto più ampia della lotta contro gli atti di terrorismo, sulla quale il gruppo di lavoro riteneva che fosse opportuno mantenere l'accento (parere 4/2003).

C. ELENCO DEI DATI TRA TRASFERIRE

Il CBP propone ora che i trasferimenti di dati passeggeri PNR comprenda un elenco di 34 elementi informativi, e ciò è stato approvato dalla Commissione. Questo elenco risulta dall'esclusione di 4 ambiti di dati (identificazione dei biglietti gratuiti, numero dei bagagli, numero di bagagli per ciascun segmento, passaggi alla classe superiore volontari/involontari) dalla lista dei 38 elementi PNR che figura all'Allegato B della dichiarazione d'intenti del 22 maggio 2003³.

Il gruppo di lavoro osserva che i progressi realizzati per quanto riguarda l'elenco dei dati da trasmettere sono molto limitati. In effetti, l'elenco americano modificato contiene sempre i 20 elementi di cui il gruppo di lavoro riteneva il trasferimento sproporzionato e problematico nel suo parere 4/2003.

È opportuno inoltre rilevare che le autorità americane hanno fatto passare il numero di elementi da trasmettere da 38 a 34 solo sopprimendo quattro elementi che erano stati accettati dal gruppo di lavoro nel suo parere del 13 giugno. Per quanto riguarda i 20 elementi che continuano ad essere richiesti dalle autorità americane anche se non sono stati accettati dal gruppo di lavoro, non è stata fornita alcuna indicazione o spiegazione per giustificare la necessità del loro trattamento o il loro carattere proporzionale e non eccessivo nella lotta contro il terrorismo in una società democratica.

Il gruppo di lavoro ricorda l'elenco dei 19 elementi accettati nel suo parere del 13 giugno 2003, e il fatto che qualunque aggiunta a questo elenco è soggetta ad una rigorosa verifica dei principi di proporzionalità e di minimizzazione dei dati.

D. DATI SENSIBILI

Il dialogo ha in particolare consentito di fare in modo che alcuni dati PNR non saranno utilizzati, ma soppressi dalle autorità americane, tenendo presente che a tale riguardo l'articolo 8, paragrafo 1, della direttiva fa riferimento ai dati a carattere personale che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché il trattamento dei dati relativi alla salute e alla vita sessuale.

L'elenco dei codici e degli ambiti dei dati da sopprimere non è ancora disponibile. Il gruppo di lavoro tiene tuttavia a sottolineare che se alcuni codici devono chiaramente essere soppressi (ad esempio quelli che riguardano le preferenze alimentari, lo stato di salute o le condizioni religiose, quali "Tariffa pellegrino", "missionario" o "clero", altri codici richiedono un esame approfondito, in particolare gli ambiti "liberi" del tipo "Notazioni generali" che sono suscettibili di contenere dati sensibili. Nella loro dichiarazione d'intenti (versione 12 gennaio) le autorità americane fanno sapere che questi elementi sarebbero soppressi attraverso l'utilizzazione di un elenco di parole che fanno scattare la procedura di soppressione. Un simile approccio non garantisce l'eliminazione dell'insieme dei dati sensibili che figurano in questi ambiti. Pertanto l' unica soluzione sicura consisterebbe nell'escludere questi campi dal trasferimento, conformemente al parere 4/2003.

A tale proposito, il gruppo di lavoro ricorda il suo parere del 13 giugno 2003 secondo il quale il trasferimento di dati sensibili deve essere escluso. Non si può quindi prevedere di procedere a soppressioni solo dopo aver trasmesso i dati sensibili alle autorità americane. Il gruppo di lavoro invita la Commissione a trovare soluzioni tecniche adeguate (come ad esempio filtri) al fine di evitare qualunque trasmissione di dati sensibili alle autorità americane.

E. UTILIZZAZIONE DEI DATI DERIVATI DALLE PRATICHE PASSEGGERI PNR

In una formula aggiunta alla dichiarazione, le autorità americane descrivono le limitazioni che esistono per quanto riguarda il loro accesso ai dati "derivati" da pratiche PNR i quali sono suscettibili di rivelare alcuni aspetti della vita di un passeggero e rischiano di interferire gravemente con il diritto della persona interessata a una vita privata e familiare, conformemente all'articolo 8 della Convenzione europea dei diritti dell'uomo. La nuova formulazione è la seguente:

"Ulteriori informazioni personali ricercate come risultato diretto dei dati del PNR possono essere ottenute da fonti estranee al governo solo mediante canali legali, e solo a fini legittimi di contrasto del terrorismo o di applicazione delle leggi. Ad esempio, se in un PNR figura un numero di carta di credito, possono essere ricercate informazioni sulle transazioni legate a quel conto mediante procedimenti legali come un ordine di comparizione emesso da un gran giurì o da un giudice, o come altrimenti previsto dalla legge. Inoltre, l'accesso ai dati relativi agli indirizzi di posta elettronica ottenuti da un PNR deve rispettare le norme di legge degli USA per gli ordini di comparizione, i provvedimenti dei giudici, i mandati d'arresto e gli altri procedimenti autorizzati dalla legge, a seconda del tipo delle informazioni ricercate."

Questi chiarimenti sono benvenuti. Tuttavia, non dissipano completamente le preoccupazioni del gruppo di lavoro. In particolare, le finalità per le quali i dati passeggeri PNR possono essere utilizzati non devono comprendere altri imperativi di "applicazione delle leggi" non specificati. Inoltre, l'accesso alle messaggerie elettroniche e ad altre informazioni personali derivate da una pratica PNR deve iscriversi unicamente nel quadro delle esigenze procedurali previste negli strumenti internazionali di cooperazione giudiziaria e di polizia. Inoltre, deve essere chiaro che in caso di abuso un individuo può presentare un ricorso dinanzi a un'autorità indipendente.

F. PERIODO DI CONSERVAZIONE DEI DATI

Il CBP conserverà i dati passeggeri PNR ai fini convenuti dal CBP per tre anni e mezzo. I dati che sono consultati manualmente durante questo periodo saranno conservati in uno schedario di dati cancellati per altri 8 anni.

Il gruppo di lavoro rileva che si tratta di un miglioramento rispetto ai 7 anni inizialmente proposti nella dichiarazione del 22 maggio. Una durata di tre anni e mezzo rimane tuttavia molto più lunga del periodo di "alcune settimane o alcuni mesi" auspicato dal gruppo di lavoro nel suo parere 4/2003. Il gruppo di lavoro dubita che l'immagazzinamento generalizzato dell'insieme dei dati PNR per periodi così lunghi possa essere giudicato "proporzionale e necessario in una società democratica".

Inoltre, la conservazione dei dati per altri otto anni, prevista per il semplice caso in cui tali dati siano stati consultati, è sproporzionata nella misura in cui non vi è un collegamento con un'inchiesta concreta o un mandato concernenti la persona i cui dati sono consultati; ciò rende quindi possibile superare de facto il limite di tre anni e mezzo.

Da notare al riguardo che è possibile prevedere soluzioni che sono più rispettose dei principi di protezione dei dati, ma che restano efficaci nella lotta contro la criminalità. L'Australia, ad esempio, ha elaborato un sistema nel quadro del quale le dogane di questo paese conservano o immagazzinano dati su un passeggero solo se quest'ultimo ha commesso un atto illegale o se i dati sono necessari per le esigenze di un'inchiesta riguardante un presunto delitto.

G. METODO DI TRASFERIMENTO

Per quanto riguarda il metodo di trasferimento, il gruppo di lavoro ricorda il suo parere 4/2003 nel quale considera che il solo meccanismo di trasferimento la cui attuazione non crea problemi gravi è quello del "push" (tramite il quale i dati sono selezionati e trasferiti dalle compagnie aeree alle amministrazioni americane) piuttosto che quello del "pull" (tramite il quale le autorità americane hanno un accesso in linea diretto alle basi di dati delle compagnie aeree ed ai sistemi di prenotazione).

Anche se le autorità americane non pongono più obiezioni da alcuni mesi sul sistema "push", il gruppo di lavoro è estremamente preoccupato per il fatto che i meccanismi tecnici che consentono di applicare un tale sistema gestito direttamente dalle compagnie aeree europee non sono ancora in funzione. Il gruppo di lavoro ritiene che debbano essere attuate misure concrete entro l'aprile del 2004 e incoraggia vivamente la Commissione ad adottare immediatamente le misure necessarie per raggiungere questo obiettivo. Inoltre, il gruppo di lavoro sottolinea che il livello di protezione assicurato dagli Stati Uniti non potrà essere considerato come adeguato senza l'instaurazione di un sistema "push".

H. MOMENTO DEL TRASFERIMENTO

Nel suo parere 4/2003, il gruppo di lavoro ritiene che i servizi dell'US CBP dovrebbero ricevere i dati relativi a un volo specifico non prima di 48 ore prima del decollo. Dopo di ciò, i dati dovrebbero essere aggiornati una sola volta.

Su questo punto, l'ultima versione della dichiarazione è rigorosamente fedele alla versione precedente, che prevede un trasferimento dei dati 72 ore prima del decollo e un massimo di tre aggiornamenti.

Il gruppo di lavoro deplora che non sia stato ottenuto alcun miglioramento su questo punto durante i negoziati.

I. TRASFERIMENTO DI DATI PASSEGGERI PNR VERSO ALTRE AUTORITÀ AMMINISTRATIVE O ESTERE

Nel suo parere 4/2003, il gruppo di lavoro chiede che gli altri organismi pubblici abilitati a ricevere i dati siano identificati con precisione, aggiungendo che qualunque ulteriore trasferimento diretto o indiretto dovrà essere subordinato all'accettazione di impegni specifici almeno altrettanto favorevoli di quelli che sono forniti alla Commissione dalle autorità americane per quanto riguarda la protezione dei dati trasferiti. Inoltre, il numero di autorità suscettibili di ricevere i dati dovrà essere ristretto.

Il gruppo di lavoro nota che non è stato ancora redatto alcun elenco globale delle autorità cui i dati sono suscettibili di essere trasferibili. Inoltre, il gruppo di lavoro rimane preoccupato dalle disposizioni che consentono al CBP di divulgare dati conformemente alle "altre esigenze previste dalla legge", in particolare se queste disposizioni sono previste alla luce delle leggi e dei protocolli di accordo che obbligano gli Stati Uniti a condividere i loro dati con altri paesi.

In particolare, il meccanismo di cui ai punti 29 e 35 della dichiarazione differisce sensibilmente dal principio di limitazione ad una specifica finalità così come affermato dal gruppo di lavoro (vale a dire la lotta contro il terrorismo e i reati connessi con il terrorismo) e anche dalle più ampie finalità così come definite ai punti 1 e 3 della dichiarazione.

J. GARANZIE — DIRITTI DELLE PERSONE INTERESSATE

1) INFORMAZIONI CHIARE ALLE PERSONE INTERESSATE

Ai termini del parere 4/2003, e conformemente all'articolo 10 della direttiva, un'informazione chiara e precisa dovrebbe essere fornita alle persone interessate sull'identità del responsabile del trattamento, sulla finalità del trattamento e su qualunque altra informazione, come l'esistenza di un diritto di accesso e di rettifica e le vie di ricorso effettive che sono aperte.

Il gruppo di lavoro rileva che il CBP fornirà informazioni ai viaggiatori. A tal fine, il gruppo di lavoro osserva che sarà possibile redigere rapidamente una nota informativa tipo una volta che il quadro giuridico sarà stato fissato in modo più preciso, tenuto conto anche del progetto sottoposto al gruppo di lavoro. È tuttavia opportuno considerare che una nota informativa globale può servire quale complemento, ma in nessun caso può considerarsi un sostituto ai requisiti giuridici che devono essere rispettati affinché i trasferimenti di dati passeggeri PNR verso gli Stati Uniti siano legittimi.

2) ACCESSO

Nel suo parere del 4/2003, il gruppo di lavoro sottolinea la necessità di garanzie realmente applicabili con riferimento alle regole generali poste dalla Legge sulla libertà d'informazione (FOIA), al fine di garantire che queste ultime non saranno utilizzate da terzi per accedere a dati passeggeri PNR in possesso dell'amministrazione americana e che il diritto di accesso delle persone interessate ai propri dati sarà rispettato in modo generale e non ambiguo.

Per quanto riguarda l'accesso dei terzi, il gruppo di lavoro accoglie favorevolmente i chiarimenti forniti dal CBP nel documento "Exemptions Under the Freedom of Information Act (FOIA) Applicable to Passenger Name Record (PNR) Data".

Tuttavia, per quanto riguarda l'accesso dei passeggeri ai propri dati, il gruppo di lavoro continua ad avere timori sul modo in cui talune esenzioni potrebbero essere utilizzate per opporsi ai diritti di una persona interessata, consentendo in tal modo all'amministrazione di rifiutarle l'accesso ai suoi dati.

Inoltre, il gruppo di lavoro sottolinea che il diritto di accesso delle persone interessate non è stato esplicitamente esteso, come era auspicato nel parere 4/2003, ai nuovi dati suscettibili di essere generati dal trattamento dei dati trasmessi dall'Europa (profilo di rischio, elenchi d'esclusione, ecc.).

3) RETTIFICA

Nel suo parere 4/2003, il gruppo di lavoro insiste sull'importanza di fornire alle persone interessate un meccanismo efficace per ottenere la rettifica dei loro dati. Il gruppo di lavoro rileva che il campo d'applicazione della legge americana sulla vita privata ("US Privacy Act") è limitato ai residenti americani. Pertanto la questione della non discriminazione dei residenti europei rispetto ai cittadini americani non è sempre risolta ed è opportuno determinare se il meccanismo di rettifica esposto nella dichiarazione possa essere considerato uno strumento efficace e giuridicamente vincolante per quanto riguarda il diritto di rettifica che il FOIA concede ai cittadini americani e ai residenti esteri.

4) RICORSI

Il "DHS Privacy Office" (Ufficio responsabile per la protezione della vita privata del Ministero della sicurezza interna) ha concordato di esaminare rapidamente i ricorsi che gli saranno presentati dalle autorità incaricate della protezione dei dati degli Stati membri per conto di un residente dell'Unione europea il quale ritenga che il DHS, compreso il suo "Privacy Office", non ha trattato il suo ricorso in modo soddisfacente.

Il gruppo di lavoro accoglie con favore questa evoluzione. È importante che una persona possa ottenere un aiuto qualificato in alcuni casi; tuttavia, la questione relativa all'indipendenza reale del "Chief Privacy Officer" (direttore responsabile per la privacy del DHS) così come è stata sollevata nel parere 4/2003 del gruppo, non è stata ancora risolta. I membri del gruppo di lavoro ritengono che le disposizioni interne che sono state adottate per quanto riguarda le funzioni del "panel" cui si fa riferimento nell'FAQ 5 dell'Accordo sulla sfera di sicurezza possano essere utili in questo contesto. Essi studieranno le correzioni che sarà eventualmente opportuno effettuare al fine di un'applicazione nel contesto dei PNR.

Il gruppo di lavoro deplora d'altro canto che i passeggeri non abbiano la garanzia di poter ricorrere in tutti casi a un meccanismo di ricorso veramente indipendente in caso di controversie con il DHS. Inoltre, sembra ora che la dichiarazione non avrà effetti giuridici vincolanti né genererà obblighi il cui rispetto possa essere preteso dinanzi a un tribunale (cfr. il precedente punto 9). Ciò costituisce un'importante differenza rispetto ai diritti di cui gode qualunque individuo i cui dati sono trattati nell'UE, indipendentemente dalla sua nazionalità.

K. AUDIT

La nuova formulazione seguente è stata inserita nella dichiarazione d'intenti (paragrafo 43)

"Il CBP, in collaborazione col DHS, s'impegna a partecipare, una volta all'anno o anche più spesso se così deciso dalle parti, a un'analisi congiunta con la Commissione, assistita come del caso da esperti degli Stati membri dell'Unione europea⁴, sull'attuazione della presente dichiarazione d'intenti, al fine di contribuire da entrambe le parti all'effettivo funzionamento dei procedimenti descritti nella dichiarazione stessa. Detta analisi congiunta può riguardare i risultati della relazione annuale presentata al Congresso dal direttore per la privacy del DHS (come previsto al paragrafo 42 della presente dichiarazione d'intenti) e, nella misura in cui ciò è autorizzato dal direttore per la privacy, tutti gli audit effettuati nel periodo cui si riferisce la relazione, o altri risultati riguardanti in particolare la sicurezza dei dati, la condivisione del PNR con le autorità designate e l'accesso personale al PNR nelle banche dati rilevanti, nonché il trattamento dei reclami. Nella misura in cui ciò è autorizzato dal direttore per la privacy del DHS, l'analisi congiunta può comprendere un esame dell'applicazione della dichiarazione d'intenti e può anche riguardare questioni che possono aiutare a migliorare i risultati dell'uso dei dati del PNR ai fini di cui al paragrafo 3 della presente dichiarazione d'intenti."

Si tratta di un'altra evoluzione favorevole e il gruppo di lavoro si aspetta che tali revisioni siano realizzate con l'apertura e la trasparenza necessarie a garantirne l'efficacia. In ogni caso, i membri del gruppo di lavoro s'impegnano a partecipare eventualmente a qualunque revisione di questo tipo e ad osservare le regole di confidenzialità concordate tra le due parti. Il gruppo di lavoro si riserva evidentemente il diritto di rianalizzare la questione, se lo ritiene necessario, qualunque sia il calendario di tali revisioni.

L. ANALISI INCROCIATA DI SCHEDE

I recenti avvenimenti dimostrano che un nuovo elemento deve essere preso in considerazione oltre a quelli che sono stati ricordati sino ad ora. I dati passeggeri PNR raccolti dal CBP sono confrontati negli Stati Uniti con elenchi di persone ricercate. Queste operazioni di analisi incrociata di schede sono all'origine dell'annullamento all'ultimo minuto di molti voli provenienti dall'UE. Le informazioni fornite successivamente al pubblico mostrano che tali annullamenti erano dovuti ad errori o a casi di confusione d'identità o di omonimia con persone sospettate di terrorismo.

Queste circostanze si iscrivono nel quadro della qualità dei dati e del principio di protezione dei dati. Il gruppo di lavoro ritiene che altre iniziative debbano essere adottate per evitare di esporre i passeggeri, i membri dell'equipaggio e le compagnie aeree a questo tipo di problemi.

CONCLUSIONI

Il gruppo di lavoro ricorda che l'obiettivo globale, conformemente a quanto indicato nel suo parere 4/2003, è la messa a punto di un quadro giuridico chiaro affinché qualunque trasferimento di dati delle compagnie aeree verso gli Stati Uniti sia compatibile con i principi di protezione dei dati personali. Il gruppo di lavoro ha preso nota dei progressi realizzati nel dialogo USA-UE per quanto riguarda i dati passeggeri PNR, in particolare l'ultima dichiarazione del 12 gennaio 2004 recentemente presentata dall'amministrazione americana, ed esprime soddisfazione per i miglioramenti rispetto alla versione precedente.

Secondo il gruppo di lavoro, tuttavia, i limitati progressi che sono stati registrati non consentono di giudicare che sia stato raggiunto un livello adeguato di protezione dei dati. Il gruppo di lavoro ritiene che qualunque soluzione dovrà rispettare almeno i seguenti principi di protezione dei dati:

- Qualità dei dati:

il trasferimento di dati deve unicamente avere come finalità la lotta contro gli atti di terrorismo e taluni reati collegati al terrorismo (da definire);
l'elenco dei dati da trasferire deve essere proporzionale e non deve essere eccessivo;
le analisi incrociate di dati relativi a individui sospetti devono rispettare norme di qualità elevate in grado di garantire la certezza dei risultati;
i periodi di conservazione dei dati devono essere brevi e proporzionali;
i dati dei passeggeri non devono essere utilizzati per realizzare e/o sperimentare il sistema CAPPS II o sistemi analoghi.

- I dati sensibili non devono essere trasmessi.

- Diritti delle persone interessate:

È opportuno trasmettere informazioni chiare, attuali e comprensibili ai passeggeri;
Un diritto d'accesso e di rettifica deve essere concesso senza discriminazioni;
È opportuno prevedere disposizioni sufficienti in grado di garantire ai passeggeri il diritto di rivolgersi a un organo di ricorso veramente indipendente.

- Livello d'impegno delle autorità americane:

Gli impegni presi dalla parte americana devono avere un carattere giuridico chiaramente vincolante per gli USA;
È opportuno chiarire il campo di applicazione, la base giuridica e il valore di un eventuale "accordo internazionale leggero".

- Gli ulteriori trasferimenti di dati passeggeri PNR ad altri governi o organismi esteri devono essere strettamente limitati.

- Metodo di trasferimento: è opportuno utilizzare un metodo di trasferimento "push", attraverso il quale i dati sono selezionati e trasferiti dalle compagnie aeree alle amministrazioni americane.

Fatto a Bruxelles, il 29 gennaio 2004

Dal gruppo di lavoro
Il Presidente
Stefano RODOTA'

1 GU n. L 281 del 23/11/1995, pag. 31, disponibile al seguente indirizzo:
http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
2 COM(2003)826 def.
3 Anche se l'Allegato B della dichiarazione d'intenti del 22 maggio 2003 enumera 39 elementi, solo 38 possono realmente figurare in un PNR, poiché il vecchio settore OSI ("other service information") dovrebbe essere utilizzato solo se un codice SSR ("special service request") non è disponibile, conformemente al servizio di prenotazione IATA-Manuale, 20a edizione, effettivo 1° giugno 2003-31 maggio 2003, punto 10.3, pag. 127.
4 La composizione delle équipe delle due parti sarà comunicata in anticipo e può comprendere le autorità competenti per la privacy/la protezione dei dati, i controlli doganali e altre forme di applicazione delle norme, sicurezza dei confini e/o dell'aviazione. Le autorità partecipanti dovranno rispettare la riservatezza delle discussioni e saranno sottoposte ai nulla osta di sicurezza eventualmente necessari. La riservatezza però non sarà un ostacolo a che entrambe le parti possano riferire in modo appropriato dei risultati dell'analisi congiunta alle rispettive autorità competenti, compresi il Congresso degli USA e il Parlamento europeo. Le due parti determinano insieme le modalità dettagliate per l'analisi congiunta.