Ancora un no dei Garanti per la privacy europei alle richieste dell’Amministrazione Usa. Sono ancora insufficienti le garanzie che le autorità americane offrono riguardo al trasferimento dei dati dei passeggeri europei che volano negli Usa.

Il Gruppo che riunisce le Autorità europee di protezione dati ha ritenuto che, nonostante alcuni miglioramenti, non sussistano le condizioni per valutare "adeguata" la protezione dei dati personali che dovrebbero essere trasferiti negli Usa secondo quanto richiesto dalle autorità americane. Da un parte non vengono rispettati i principi fondamentali sanciti dalla Direttiva europea, e dall’altra gli "impegni" assunti dall’Amministrazione americana non hanno alcun valore di vincolo giuridico.

La posizione del Gruppo, che riunisce a Bruxelles le Autorità europee di protezione dati, presieduto da Stefano Rodotà, è espressa in un parere adottato lo scorso 29 gennaio relativo alla "Protezione adeguata dei dati personali contenuti nel Passenger Name Record" (PNR) da trasferire al Bureau of Customs and Border Protection (Ufficio per la tutela doganale e dei confini) degli Usa (disponibile in inglese al seguente indirizzo: http://www.europa.eu.int/... ). É la terza volta che i Garanti si pronunciano sul tema, dopo il parere dell’ottobre 2002 e quello del 13 giugno 2003 (v. Newsletter 16 - 22 giugno 2003).

Pur dando atto di alcuni miglioramenti rispetto alla configurazione inizialmente prospettata dall’Amministrazione Usa - alla luce dell’ultima versione del documento contenente gli "impegni" Usa (12 gennaio 2004) in materia, e della Comunicazione indirizzata dalla Commissione europea al Parlamento europeo ed al Consiglio dell’Ue sul "Trasferimento dei dati contenuti nel Passenger Name Record" del mese di dicembre 2003, nonché degli sviluppi del dialogo in corso fra Amministrazione Usa e Commissione europea proprio su questo tema - il Gruppo non ha ritenuto che fossero state soddisfatte le condizioni minime (in parte già indicate a suo tempo) per consentire alla Commissione Ue di giungere alla valutazione di "adeguatezza" che la Direttiva europea 95/46 prevede al fine di trasferire lecitamente dati personali verso un Paese terzo (come gli Stati Uniti).


In che cosa consistono queste condizioni?
A) Alla decisione sulle richieste statunitensi, la Commissione prevede di associare anche un "accordo leggero" bilaterale che autorizzerebbe le linee aeree a considerare la richiesta Usa un obbligo di legge, imponendo per altro verso agli Usa di garantire ai cittadini europei l’esercizio dei propri diritti. A giudizio dei Garanti, anche in questo accordo bilaterale non è possibile prescindere dai principi fondamentali stabiliti dall’Articolo 8 della Convenzione europea dei diritti dell’uomo e dall’Articolo 13 della direttiva (che fissano i casi in cui è ammesso un limite al diritto alla privacy e al rispetto del principio di finalità nell’uso dei dati personali). In particolare, qualsiasi decisione della Commissione dovrà chiarire che i dati PNR dovranno essere utilizzati soltanto per i fini specificati e non, ad esempio, anche per testare il funzionamento del sistema denominato CAPPS II (un altro sistema per verificare i dati di chiunque transiti nel territorio americano, più ambizioso nella sua configurazione, che prevede controlli incrociati fra database commerciali, anagrafici, e di altro genere) o in altri sistemi o programmi messi a punto dall’Amministrazione Usa (come il Total Information Awareness).
B) Negli "impegni" assunti dall’Amministrazione statunitense, anche nella versione più recente, si dice chiaramente (punto 47) che non si intende "creare o conferire alcun diritto o beneficio in capo a persone o soggetti privati o pubblici". In sostanza, la decisione della Commissione, a giudizio del Gruppo, non può basarsi su impegni unilaterali privi di vincolatività giuridica per la controparte americana e tali da non creare diritti che i terzi (in questo caso i cittadini europei) possano far valere negli Usa in caso di controversie.
C) Il sistema deve rispettare almeno i principi fondamentali stabiliti dalla Direttiva europea, ossia:

principio di finalità: i dati del PNR devono essere utilizzati soltanto per contrastare il terrorismo ed altri specifici reati connessi al terrorismo, senza servire per la lotta "ad altre gravi forme di criminalità" (definizione troppo imprecisa e comunque non collegabile alla lotta al terrorismo, che è la finalità per cui tutto il sistema è stato costituito); inoltre, devono essere specificati chiaramente i soggetti ai quali i dati possono essere comunicati negli Stati Uniti (nessun elenco risulta ancora disponibile), e non deve essere ammessa l’utilizzazione dei dati in rapporto, ad esempio, ad altri sistemi come il CAPPS II o il Total Information Awareness;
principio di proporzionalità: devono essere trasferiti solo i dati necessari per le finalità indicate evitando la raccolta di informazioni eccessive o non pertinenti (almeno 20 delle 34 categorie proposte sono già state ritenute sproporzionate dal Gruppo nel parere 4/2003). Anche per questo motivo, i Garanti hanno più volte sostenuto l’opportunità di un sistema cosiddetto "push", in cui siano le linee aeree a selezionare e trasmettere direttamente i dati personali alle Autorità americane, criticando invece il sistema opposto (detto "pull") in cui sono queste ultime ad accedere ai database delle linee aeree per prelevare le 34 categorie di dati contenuti nel PNR;
conservazione per periodi limitati: i dati personali devono essere conservati per un periodo limitato. I tre anni e mezzo proposti dall’Amministrazione Usa, pur costituendo un miglioramento rispetto ai 7 anni inizialmente prospettati, restano un periodo sproporzionato a giudizio del Gruppo. Inoltre, il sistema prevede che qualunque informazione visionata sia conservata successivamente per altri 8 anni, indipendentemente dalle motivazioni che hanno condotto a visionare tale informazione (quindi anche in assenza di un’indagine in corso, o di un mandato di arresto concernente una specifica persona);
divieto di trattare dati sensibili: i dati sensibili non devono essere "cancellati" dalle Autorità Usa una volta trasferiti. Il Gruppo ritiene necessario evitarne il trasferimento tout court, ad esempio attraverso sistemi di filtraggio che impediscano la trasmissione di dati sensibili alle autorità americane;
esercizio dei diritti degli interessati: i passeggeri devono ricevere informazioni chiare e accurate su chi tratterà i loro dati e per quali scopi, e sulle modalità per esercitare i diritti riconosciuti dalla Direttiva e dalle leggi nazionali (accesso, rettifica). Il Gruppo ha sollecitato, in particolare, l’utilizzo del modello di informativa messo a punto dal Gruppo stesso a tale scopo. Inoltre, restano dubbi sui poteri e l’effettiva indipendenza del Chief Privacy Officer creato presso il Department of Homeland Security, anche alla luce, come già ricordato, della non vincolatività giuridica degli "impegni" assunti dall’Amministrazione Usa.


Fonte: comunicazioni ufficiali del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).