PARLAMENTO EUROPEO
Documento di seduta finale - 19 marzo 2004

Critiche al trasferimento di dati dei passeggeri in volo verso gli USA

Il Parlamento europeo ha adottato una risoluzione di Johanna L.A. BOOGERD-QUAAK (ELDR, NL) sul progetto di decisione della Commissione in merito al livello di protezione dei dati a carattere personale contenuti nelle pratiche passeggeri (PNR - Passenger Name Records) trasferite all'Ufficio delle dogane e della protezione di frontiera degli Stati Uniti. La risoluzione è stata adottata con 229 voti favorevoli, 202 contrari e 19 astensioni, i popolari hanno votato contro.

I deputati ritengono che la decisione dell'Esecutivo esuli dalle competenze di esecuzione conferitegli, in quanto il progetto di decisione non costituisce una base giuridica che possa, in seno all'Unione europea, modificare le finalità per cui sono stati raccolti dati nel PNR e permetterne il trasferimento totale o parziale a terzi da parte delle compagnie aeree. Secondo i parlamentari, non siamo neanche di fronte a un accordo internazionale in applicazione del quale la Commissione sarebbe tenuta ad autorizzare il trasferimento di tali dati. Essi considerano ambigua la formulazione di alcune clausole della decisione e degli impegni corrispondenti.

Secondo l'Aula, il progetto di decisione si fonda su impegni la cui obbligatorietà è lungi dall'essere evidente, sia per la fonte che è puramente amministrativa, sia per il contenuto in quanto, da una parte, si fa riferimento a garanzie che non sono ancora una base giuridica negli USA e, dall'altra, si mantiene la possibilità di modificare la regolamentazione in qualsiasi momento, in particolare per quanto riguarda le modalità di utilizzazione e riutilizzazione dei dati.

I deputati ritengono che l'importanza della questione sia tale che l'Unione europea debba regolarla con gli Stati Uniti sulla base di un vero accordo internazionale che, nel pieno rispetto dei diritti fondamentali, definisca: i dati che possono essere trasferiti in modo automatizzato (APIS) e i dati che possono essere trasferiti caso per caso; l'elenco dei reati gravi per cui è possibile avanzare una richiesta supplementare; l'elenco delle autorità e delle agenzie che potrebbero condividere i dati e le condizioni di tutela dei dati da rispettare: il periodo di conservazione per i due tipi di dati; il ruolo che le compagnie aeree devono svolgere nel trasferire i dati dei passeggeri; le garanzie da fornire ai passeggeri per consentire loro di correggere i dati che li riguardano; le responsabilità delle compagnie aeree nei confronti dei passeggeri e delle autorità pubbliche in caso di errori di trascrizione; il diritto di far ricorso ad un'autorità indipendente e a meccanismi di rimedio in caso di violazione dei diritti dei passeggeri.

L'Aula si dichiara disposta a esaminare in base alla procedura d'urgenza un accordo internazionale che rispetti i suddetti principi e nel frattempo invita gli Stati membri a imporre immediatamente il rispetto del diritto nazionale ed europeo sulla privacy, richiamando in particolare l'attenzione sull'obbligo alle compagnie aeree e alle agenzie di viaggio, sancito dalla direttiva 95/46/CE, di ottenere dai passeggeri il consenso per il trasferimento dei dati. La Commissione è invitata a bloccare il sistema pull, in base al quale gli USA non devono chiedere i dati, ma hanno un accesso immediato ad essi, sostituendolo con un sistema push. Un progetto di accordo sarà effettivamente sottoposto a votazione in seno alla commissione per le libertà e i diritti dei cittadini nel corso della prossima settimana, per poi essere eventualmente adottato dalla Plenaria nel corso della sessione di aprile.

Infine, i parlamentari invitano la Commissione a ritirare il progetto di decisione. Essi minacciano di adire la Corte di giustizia qualora il progetto di decisione venga adottato dall'Esecutivo e si riservano il diritto di adire la Corte di Giustizia per verificare la legalità del previsto accordo internazionale.

 

19 marzo

PROPOSTA DI RISOLUZIONE

presentata a norma dell'articolo 88 del regolamento dalla commissione delle libertà e i diritti dei cittadini, la giustizia e gli affari interni

sul progetto di decisione della Commissione che prende atto del livello di protezione adeguato dei dati a carattere personale contenuti nelle pratiche passeggeri (PNR - Passenger Name Records) trasferite all'Ufficio delle dogane e della protezione di frontiera degli Stati Uniti

Il Parlamento europeo,

- visti la direttiva 95/46/CE del Parlamento europeo e del Consiglio1, e in particolare il suo articolo 25, nonché il regolamento 2289/99/CE2,

- visto il progetto di decisione della Commissione che prende atto del livello di protezione adeguato dei dati a carattere personale contenuti nelle pratiche passeggeri (PNR - Passenger Name Records) trasferite all'Ufficio delle dogane e della protezione di frontiera degli Stati Uniti (C5-0124/2004),

- visti il parere espresso il 29 gennaio 2004 dal gruppo di lavoro articolo 29 sulla tutela dei dati personali e il 17 febbraio 2004 dal comitato di cui all'articolo 31 della direttiva sopra citata,

- vista la relazione Cappato (A5-0104/2004) concernente l'applicazione della direttiva sulla protezione dei dati (95/46/CE), approvata il 9 febbraio 2004,

- vista la posizione espressa dai parlamenti nazionali al riguardo,

- visti il parere della commissione belga per la privacy su due casi relativi al trasferimento da parte di tre compagnie aeree dei dati personali di alcuni passeggeri transatlantici - tra cui quelli di un deputato europeo - secondo il quale sono stati violati il diritto nazionale ed europeo in materia di privacy; la constatazione del Consiglio secondo la quale "le misure USA confliggono potenzialmente con la legislazione comunitaria e degli Stati membri sulla protezione dei dati" (2562a sessione del Consiglio Affari Generali - Bruxelles, 23 febbraio 2004); il documento interno della Commissione che conferma l'effettiva esistenza di tale conflitto; la condanna da parte del PE della flagrante violazione della legislazione sulla privacy; il fatto che le maggiori responsabilità incombono alla Commissione europea, agli Stati membri nonché a talune autorità garanti della privacy,

- visto l'articolo 8 della decisione 1999/468/CE del Consiglio, del 28 giugno1999, recante modalità per l'esercizio delle competenze di esecuzione conferite alla Commissione3,

- visto l'articolo 88 del suo regolamento,

A. ricordando che l'amministrazione USA, in applicazione del Transport Security Act (Legge sulla sicurezza dei trasporti) e dei relativi provvedimenti di attuazione, come l'Aviation Security Screening Records4 (Registri di controllo della sicurezza aerea) ha imposto alle compagnie aeree che operano in Europa di consentire l'accesso ai dati commerciali contenuti nelle pratiche passeggeri (PNR), al fine di stabilire preventivamente la minaccia potenziale che ogni passeggero potrebbe rappresentare e vietare l'imbarco a terroristi o individui responsabili di gravi crimini,

B. constatando che tale accesso è illegale secondo il diritto nazionale ed europeo sulla privacy, e che ciononostante né la Commissione, né gli Stati membri, né le autorità garanti della privacy e dotate di poteri vincolanti hanno operato per assicurare l'applicazione della legge,

C. ricordando che, nel settore dei trasporti aerei, la pratica passeggeri (PNR) è un archivio contenente una serie di informazioni commerciali che riguardano in particolare:

a) i dati che consentono di individuare il passeggero, le persone che lo accompagnano e coloro che hanno chiesto la prenotazione per suo conto, l'agenzia o il dipendente che l'hanno effettuata e/o che hanno emesso il biglietto, ecc.,

b) i dati concernenti il percorso per il quale è stato emesso il biglietto, ma anche tutti gli altri segmenti che costituiscono l'itinerario completo di un percorso composto da diverse tratte che implicano quindi più biglietti,

c) i dati concernenti i mezzi di pagamento, il numero di carta di credito del passeggero, le condizioni speciali concesse a categorie particolari (frequent flyers, membri di categorie speciali), gli indirizzi e-mail nonché gli indirizzi fisici e i numeri di telefono privati e/o professionali dichiarati al momento della prenotazione, le persone da avvisare, ecc.,

d) i dati relativi ad un servizio particolare connesso alle condizioni di salute della persona, alle sue preferenze alimentari, ecc.,

e) le osservazioni specifiche effettuate dal personale della compagnia aerea,

f) se del caso, dettagli sulle prenotazioni di un'automobile a noleggio e stanze d'albergo,

D. considerando che i dati PNR variano a seconda delle pratiche commerciali seguite da ogni compagnia aerea e sono trattati da centri di prenotazione e che, di conseguenza, le compagnie aeree dovrebbero mettere a punto programmi adeguati per estrapolare i dati che potrebbero legittimamente essere trasferiti,

E. considerando che è opportuno ricorrere ad una maggiore trasparenza come strumento per impedire crimini terroristici; che in ambito accademico si è suggerito che talvolta il terrorismo può essere contrastato dando prova di maggiore trasparenza se le informazioni disponibili ai massimi livelli politici e amministrativi vengono rese accessibili anche al personale di livello inferiore all'interno degli organi interessati,

Quanto ai principi di tutela dei dati da parte dell'Europa

F. considerando che l'articolo 8, paragrafo 2 della Convenzione europea dei diritti dell'uomo, come viene interpretato dalla Corte europea dei diritti dell'uomo (CEDU)5 , ammette un'ingerenza nella vita privata solo quando "... sia prevista dalla legge6, sia necessaria7 in una società democratica8 per perseguire scopi legittimi e non sia sproporzionata9 in rapporto all'obiettivo perseguito",

G. consapevole che, in questa fase, non esiste normativa specifica nell'Unione europea che consenta di utilizzare a fini di sicurezza pubblica i dati commerciali PNR e che tale normativa è indispensabile per modificare la finalità per cui i dati sono stati originariamente raccolti e per autorizzare l'utilizzazione di questi dati a scopi di sicurezza pubblica,

H. ricordando che questa nuova normativa deve definire esattamente i dati da raccogliere, le norme da seguire per la loro elaborazione e le responsabilità di tutte le parti interessate (passeggeri, compagnie aeree e autorità pubbliche); che questa nuova normativa potrebbe essere adottata dagli Stati membri (a norma dell'articolo 13 della direttiva 95/46/CE e dell'articolo 9 della Convenzione 108 del Consiglio d'Europa) o dall'Unione europea, per la quale la Commissione si è impegnata a preparare una proposta legislativa per il secondo semestre del 2004 e che un'iniziativa è già stata presentata dal Regno di Spagna,

I. considerando che il Consiglio ha di recente approvato il mandato negoziale della Commissione per un accordo internazionale in questo settore senza coinvolgere affatto i parlamenti nazionali degli Stati membri e che è quanto mai necessario un rigoroso controllo dei parlamenti nazionali,

...e da parte degli Stati Uniti

J. considerando che negli Stati Uniti la protezione della vita privata, pur essendo citata dal quarto emendamento alla Costituzione, non è considerata come un diritto fondamentale, ma

a) è disciplinata da disposizioni specifiche (che tuttavia non contemplano il settore dei trasporti) e dal Freedom of Information Act (Legge sulla libertà di informazione),

b) permette ai soli cittadini USA e immigrati legali di beneficiare di una protezione dei dati e, in particolare, del diritto di accesso e di rettifica relativamente ai soli dati detenuti dalle autorità pubbliche federali (Privacy Act del 1974), in modo che

c) nessuna tutela giuridica è attualmente garantita per i dati dei passeggeri non americani e in particolare europei, né alcun diritto di ricorso giurisdizionale contro eventuali abusi delle misure restrittive della libertà di circolazione,

Quanto all'impatto giuridico di una decisione in materia di adeguatezza a norma

dell'articolo 25 della direttiva 95/46/CE

K. consapevole del fatto che il progetto di decisione presentato dalla Commissione:

a) è una misura di semplice esecuzione della direttiva 95/46/CE che non può avere l'effetto di ridurre i criteri di protezione dei dati garantiti nella UE come stabilito dalla direttiva 95/46/CE,

b) riguarda una situazione caratterizzata ancora da un limbo giuridico sia negli Stati Uniti (nessuna legislazione sulla privacy è stata adottata per tutelare ogni individuo a prescindere dalla cittadinanza) che in Europa (non è stata adottata alcuna legislazione specifica che consenta il legittimo trasferimento di dati PNR ad autorità pubbliche),

c) una volta adottato, priverà in pratica gli Stati membri (attualmente responsabili di garantire la protezione delle persone quanto ai dati PNR) di ogni possibilità di bloccare i trasferimenti per garantire i diritti dei loro cittadini,

L. deplorando che, per tutto il 2003, la Commissione non abbia tenuto conto delle ripetute richieste del Parlamento europeo e delle autorità di controllo dei dati che la invitavano:

a) a definire i dati che potrebbero essere trasferiti legittimamente senza rischi (vedasi l'elenco dei 19 punti proposti il 13 giugno 2003 dal Gruppo Articolo 29)10,

b) a sostituire immediatamente il sistema "PULL" (utilizzato senza base giuridica dall'amministrazione USA e senza filtri per i dati sensibili o per i voli non transatlantici) col sistema "PUSH" (che permette a ogni compagnia aerea di trasferire solo i dati legittimi e per i soli voli con destinazione USA),

c) a negoziare un accordo internazionale con gli USA che preveda garanzie reali per i passeggeri o quantomeno la stessa protezione di cui beneficiano i cittadini USA,

M. facendo proprie gran parte delle riserve formulate all'unanimità dalle autorità di controllo dei dati riunite in seno al gruppo di lavoro previsto dall'articolo 29 della direttiva, precisamente il 29 gennaio 200411,

1. ritiene che la decisione della Commissione del ... , che prende atto del livello di protezione adeguato dei dati a carattere personale contenuti nelle pratiche passeggeri (PNR - Passenger Name Records) trasferite all'Ufficio delle dogane e della protezione di frontiera degli Stati Uniti, esuli dalle competenze di esecuzione conferite alla Commissione, in quanto:

Per quanto riguarda la base giuridica e la forma

1.1. il progetto di decisione non è (e non potrebbe essere):

a) una misura legislativa che possa, in seno all'Unione europea, modificare le finalità per cui sono stati raccolti dati nel PNR e permetterne il trasferimento totale o parziale a terzi da parte delle compagnie aeree12; esso può avere però quale probabile risultato una riduzione dei criteri di protezione dei dati previsti dalla direttiva 95/46 all'interno dell'UE o la creazione di nuovi criteri d'intesa con paesi terzi;

b) un accordo internazionale in applicazione del quale la Commissione sarebbe tenuta ad autorizzare il trasferimento di tali dati; non si può che deplorare l'ambigua formulazione di alcune clausole della decisione e degli impegni corrispondenti (come quelle relative alla durata, ai meccanismi di controllo, ai casi di sospensione o revoca della decisione, alle condizioni di intervento degli Stati membri, ecc.) che potrebbero indurre falsamente a ritenere che tale testo sia suscettibile di creare alcuni obblighi in quanto sono esplicitamente esclusi dalla clausola 47 la quale stipula che "tali impegni non creano alcun diritto o vantaggio per alcuna persona o parte, privata o pubblica";

Per quanto riguarda il contenuto

1.2. il progetto di decisione si fonda su "impegni" la cui obbligatorietà è lungi dall'essere evidente:

a) sia per la fonte che è puramente amministrativa (e quindi soggetta a possibili ristrutturazioni interne al Departement of Home Security (DHS - Ministero della sicurezza interna) che renderebbero obsolete le separazioni tra strutture interne);

b) sia per il contenuto in quanto, da una parte, si fa riferimento a garanzie che non sono ancora una base giuridica negli USA e, dall'altra, si mantiene la possibilità di modificare la regolamentazione in qualsiasi momento, in particolare per quanto riguarda le modalità di utilizzazione e riutilizzazione dei dati;

2. ritiene che l'importanza della questione sia tale che l'Unione europea debba regolarla con gli Stati Uniti sulla base di un vero accordo internazionale che, nel pieno rispetto dei diritti fondamentali, definisca:

a) i dati che possono essere trasferiti in modo automatizzato (APIS) e i dati che possono essere trasferiti caso per caso;

b) l'elenco dei reati gravi per cui è possibile avanzare una richiesta supplementare;

c) l'elenco delle autorità e delle agenzie che potrebbero condividere i dati e le condizioni di tutela dei dati da rispettare:

d) il periodo di conservazione per i due tipi di dati, fermo restando che i dati relativi alla prevenzione di gravi reati devono essere scambiati sulla base dell'accordo UE/USA sulla cooperazione giudiziaria e l'estradizione;

e) il ruolo che le compagnie aeree devono svolgere nel trasferire i dati dei passeggeri e gli strumenti previsti (APIS, PNR, ecc.) a fini di sicurezza pubblica;

f) le garanzie da fornire ai passeggeri per consentire loro di correggere i dati che li riguardano o fornire spiegazioni in caso di discordanze tra i dati connessi a un contratto di viaggio e i dati figuranti nei documenti di identità, nei visti e nei passaporti;

g) le responsabilità delle compagnie aeree nei confronti dei passeggeri e delle autorità pubbliche in caso di errori di trascrizione o di codificazione e la tutela dei dati trattati;

h) il diritto di far ricorso ad un'autorità indipendente e a meccanismi di rimedio in caso di violazione dei diritti dei passeggeri;

3. si dichiara disposto a esaminare in base alla procedura d'urgenza un accordo internazionale che rispetti i suddetti principi; ritiene che, se fosse adottato tale accordo, la Commissione europea potrebbe legittimamente dichiarare che i dati sarebbero adeguatamente protetti negli USA;

4. invita la Commissione a presentare al Parlamento una nuova decisione in materia di adeguatezza, a chiedere al Consiglio il mandato per un nuovo e rigoroso accordo internazionale nel rispetto dei principi enunciati nella presente risoluzione e a presentare questi testi al vertice transatlantico del giugno 2004 con l'Amministrazione USA;

5. invita, in attesa di una soluzione legislativa definitiva o della conclusione di uno o più accordi internazionali:

a) gli Stati membri a imporre immediatamente il rispetto del diritto nazionale ed europeo sulla privacy, richiamando in particolare l'attenzione sull'obbligo fatto, a norma dell'articolo 26, paragrafo 1, lettera a) della direttiva 95/46/CE, alle compagnie aeree e alle agenzie di viaggio di ottenere dai passeggeri il consenso per il trasferimento dei dati; tale consenso deve essere concesso spontaneamente e i passeggeri devono essere informati in merito alle possibilità di scelta per influenzare il contenuto del proprio PNR, alle conseguenze di un mancato consenso e all'assenza di un livello adeguato di protezione negli Stati Uniti;

b) la Commissione ad intervenire per assicurare l'applicazione del regolamento (CE) n. 2289/99 e, nella fattispecie, a verificare che i dati non siano trasferiti, in particolare attraverso i sistemi telematici di prenotazione (CRS), senza il consenso del passeggero e che le amministrazioni di paesi terzi non abbiano accesso a tali sistemi;

6. invita la Commissione a bloccare:

a) il sistema "pull" a partire dal 1° luglio 2004 e, dopo tale data, ad applicare il sistema "push" con i 19 punti proposti il 13 giugno 2003 dal gruppo di lavoro articolo 29;

b) le iniziative concernenti l'istituzione di una gestione centralizzata europea dei dati PNR come delineato nella Comunicazione COM(2003) 826 e come è stato recentemente confermato dal Commissario competente alla commissione parlamentare, in quanto tali iniziative violano per il momento i principi di proporzionalità e di sussidiarietà;

7. si riserva comunque il diritto di adire la Corte di giustizia qualora il progetto di decisione venga adottato dalla Commissione; ricorda alla Commissione l'obbligo di cooperazione leale tra istituzioni previsto all'articolo 10 del Trattato e la invita a non adottare, durante il periodo elettorale, una decisione come quella esaminata dalla presente risoluzione;

8. si riserva il diritto di adire la Corte di Giustizia per verificare la legalità del previsto accordo internazionale e, in particolare, la sua compatibilità con la tutela di un diritto fondamentale;

9. ritiene estremamente importante che l'esito dei negoziati non sia adottato come modello per le ulteriori attività dell'UE in ordine al varo delle proprie misure finalizzate alla lotta contro la criminalità, alla memorizzazione dei dati nonché alla tutela della privacy;

10. invita la Commissione a ritirare il progetto di decisione;

11. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione, ai parlamenti e ai governi degli Stati membri, nonché al Congresso degli Stati Uniti.


NOTE
1 GU L 281 del 23.11.1995, pag. 31.

2 GU L 220 del 29.7.1989, modificato da ultimo dal regolamento (CE) del Consiglio n. 323/1999 dell'8.2.1999, GU L 40 del 13.2.1999, pag. 1.

3 GU L 184 del 17.7.1999, pag. 23.

4 FEDERAL REGISTER 68 FR 2101 " il TSA intende utilizzare questo sistema di registrazioni per agevolare il passeggero TSA e il programma di verifica della sicurezza aerea ai sensi dell'Aviation and Transportation Security Act. Il TSA intende usare il sistema CAPPS II per effettuare valutazioni dei rischi al fine di garantire la sicurezza dei passeggeri e dei voli.

5 CEDU, sentenza Amann contro Svizzera del 16 febbraio 2000, raccolta delle sentenze e decisioni 2000-II, par. 65, e Rotaru contro Romania del 4 maggio 2000, raccolta delle sentenze e delle decisioni 2000-V, par. 43).

6 Il ricorso a una "legge" è tanto più giustificato quando si tratta della protezione di un diritto fondamentale e tale protezione non può essere lasciata a misure di tipo amministrativo o a semplici provvedimenti di attuazione. Una "legge" deve inoltre essere elaborata con precisione sufficiente per consentire ai destinatari delle sue disposizioni di conformarvi la propria condotta e rispondere all'esigenza di prevedibilità che deriva dalla giurisprudenza della Corte europea dei diritti dell'uomo (vedasi in particolare CEDU, sentenza Rekvényi contro Ungheria del 20 maggio 1999, raccolta delle sentenze e decisioni 1999-III, par. 34). Nel caso in questione, la legge deve anche comportare disposizioni esplicite e dettagliate sulle persone autorizzate a consultare i fascicoli, la natura di tali fascicoli, la procedura da seguire e l'uso che può essere fatto delle informazioni così ottenute (vedasi CEDU, sentenza Rotaru contro Romania, 4 maggio 2000).

7 Il concetto di "necessità" implica l'esigenza sociale imperiosa che la misura adottata sia proporzionata allo scopo legittimo perseguito (vedasi in particolare CEDU, sentenza Gillow contro Regno Unito del 24 novembre 1986, Serie A n_ 109, par. 55) e che, in questa prospettiva, il legislatore usufruisca di un margine di valutazione "la cui ampiezza non dipende solo dalla finalità ma anche dal carattere proprio dell'ingerenza" (vedasi CEDU, sentenza Leander contro Svezia del 26 marzo 1987, Serie A n_ 116, par. 59).

8 Il criterio di società "democratica" si applica alle relazioni tra poteri pubblici e cittadini ed è da considerare tanto più presente quando sono i cittadini a controllare le istituzioni e non il contrario. Evidentemente, qualunque sia la natura di tali relazioni, in ogni democrazia è essenziale valutare con molta cautela ogni forma di raccolta e di stoccaggio sistematico dei dati, soprattutto qualora tali dati riguardino persone che non rappresentano un pericolo per la collettività.

9 Il criterio di proporzionalità si applica a tutti i parametri del trattamento dei dati (ad esempio in che momento i dati vengono trasferiti, quali dati sono trasferiti, a chi, per fare cosa, durata della conservazione, durata della deroga). Nel quadro del diritto europeo tali valutazioni devono anche essere fatte tenendo presente le esigenze di sussidiarietà che disciplinano i rapporti tra gli Stati membri e l'Unione europea. Ciò è tanto più necessario nel caso in cui gli Stati membri venissero privati della possibilità di intervenire da un atto di un'Istituzione.

10 "I dati dovrebbero includere le informazioni seguenti: "PNR record locator code", data di prenotazione, data/e prevista/e del viaggio, nome del passeggero, altri nomi presenti nel PNR, l'itinerario di viaggio, le coordinate dei biglietti gratuiti, biglietti di sola andata, "ticketing field information", dati "ATFQ (Automatic Ticket Fare Quote)", numero del biglietto, data in cui il biglietto è stato emesso, "no show history", numero di bagagli, numero identificativo dei bagagli, "no show information", numero di bagagli per ogni segmento, modifiche volontarie o involontarie di classe, dettagli delle modifiche effettuate sui dati PNR e riguardanti gli elementi precedentemente menzionati".

11 http:www.europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp87-fr.pdf.

12 Peraltro, l'obbligo imposto alle compagnie aeree dalla legislazione americana non può essere considerato come un obbligo legale sufficiente ai sensi dell'articolo 7, lettera c) della direttiva 95/46/CE che va interpretato alla luce dei diritti fondamentali i quali, secondo una giurisprudenza costante, fanno parte integrante dei principi generali del diritto di cui la Corte assicura il rispetto (cfr. in particolare sentenza del 6 marzo 2001, Connolly/Commissione, C-274/99 P, Rec. p. I-1611, punto 37).