Garante per la protezione
    dei dati personali

Newsletter

LOTTA AL TERRORISMO E PRIVACY: I GARANTI UE CHIEDONO TUTELA PER I PASSEGGERI DELLE COMPAGNIE AEREE

Le esigenze di sicurezza e di lotta al terrorismo internazionale si possono armonizzare con un fermo rispetto della privacy. Per questo occorre utilizzare correttamente gli strumenti già disponibili nell'ambito della cooperazione giudiziaria internazionale per fare fronte ad esigenze di sicurezza interna e di ordine pubblico.

Questo il parere dei Garanti europei sul sistema denominato APIS (Advanced Passenger Information System), che prevede l'invio di informazioni relative a tutti i passeggeri in arrivo o in partenza negli Stati Uniti da parte di tutte le compagnie aeree (il testo del parere è disponibile in lingua inglese all'indirizzo
http://www.europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp66_en.pdf).

Gli attacchi terroristici dell'11 settembre hanno, infatti, comportato un aumento delle misure di sicurezza aeroportuali anche per quanto concerne i controlli sui dati personali dei passeggeri.

Il sistema APIS dopo l'attentato alle Tori gemelle dovrebbe essere potenziato sulla base di alcune disposizioni legislative approvate dal Congresso USA che hanno ampliato le categorie di dati oggetto di trasmissione. Oltre ad informazioni quali nominativo del passeggero, data di nascita, cittadinanza, sesso, dati del passaporto, ecc., anche tutti i dati trattati dai sistemi di prenotazione e controllo dovrebbero essere inviati, su richiesta, all’US Customs and Immigration and Naturalization Service per essere successivamente utilizzati da "altri organismi federali". Si tratta di dati (cosiddetti PNR, ossia Passenger Name Records) che riguardano, ad esempio, il percorso di volo, il numero della carta di credito, l'indirizzo di fatturazione, il posto assegnato, ma anche di informazioni relative a voli già effettuati (e quindi anche non diretti verso gli USA) come, per esempio, la richiesta di pasti speciali a bordo (che costituisce una possibile fonte di dati sensibili), eventuali contatti (numeri e indirizzi di parenti e/o conoscenti), dati sanitari (allergie, problemi di mobilità o di altra natura). Se una linea aerea omettesse di fornire queste informazioni, si ipotizzano severe sanzioni molto pesanti (divieto di atterraggio, sanzioni pecuniarie pari a ca. 5000 $ per ogni errore).

Numerosi aspetti della prospettiva sopra descritta hanno suscitato perplessità fra i Garanti europei, in relazione alla concorrente normativa dei Paesi europei e al diritto internazionale: a cominciare dalla previsione di sanzioni per le compagnie aeree in caso di mancato adempimento. Si tratta, infatti, di una misura unilaterale che non è sembrata compatibile con le convenzioni internazionali in materia di vettori aerei, né con le leggi nazionali dei Paesi ai quali appartengono le singole compagnie.

Tuttavia, sono risultate inaccettabili soprattutto le modalità di trattamento dei dati personali raccolti. Non è infatti prevista un'informativa adeguata per i passeggeri, né sono note le misure di sicurezza che gli USA adotterebbero per tutelare le informazioni che confluiscono nel database unico. Le finalità per le quali i dati sono trattati non sono compatibili con quelle per cui i dati sono stati inizialmente raccolti (consentire l'emissione del biglietto aereo e adempiere agli obblighi contrattuali assunti dalle singole compagnie aeree). Inoltre, i dati PNR possono riguardare anche dati di terzi, che non sono passeggeri, nonché dati relativi a passeggeri che non sono diretti negli USA.

Ancora più complessa è la questione relativa al trasferimento di questi dati verso gli USA. La materia non è regolamentata dall'accordo di "Porto Sicuro" (Safe Harbor) concluso fra Unione Europea ed USA proprio per consentire il trasferimento di dati personali dall'Europa verso gli USA. Anche le deroghe previste dall'articolo 26(1) della direttiva ai fini del trasferimento di dati verso Paesi terzi non sembrano applicabili al caso in questione: non si può parlare anzitutto di un vero e proprio "consenso informato", per i motivi sopra ricordati, né si può dire che il trasferimento dei dati sia "necessario" per l'adempimento di obblighi contrattuali fra titolare e interessato (molti dei dati non sono affatto "necessari", né "pertinenti" ai fini del contratto di volo), soprattutto se i dati si riferiscono a persone che non sono dirette negli Stati Uniti. Neppure si può affermare, hanno rilevato i Garanti europei, che il trasferimento sia necessario per la "salvaguardia di un interesse pubblico preminente" — trattandosi della decisione unilaterale di un Paese sovrano, che impone a tutti gli altri Stati determinati trattamenti dei dati personali dei rispettivi cittadini.

Quali soluzioni sono allora possibili? I Garanti europei ricordano che, da un lato, la direttiva europea sulla protezione dei dati autorizza trasferimenti verso Paesi che non offrono un livello adeguato di protezione solo se il titolare (destinatario dei dati) offre tutele adeguate per i dati personali in questione (articolo 26, comma 2). Quindi, invitano le autorità americane competenti ad aprire un tavolo di discussione per mettere a punto idonee garanzie, sulla base di un approccio concertato fra tutti gli Stati membri dell'UE. Inoltre, per quanto concerne le modalità di trattamento dei dati personali oggetto del trasferimento, l'articolo 13 della direttiva consente ai singoli Stati di limitare le garanzie previste dalla direttiva stessa (informativa, rispetto del principio di finalità) solo attraverso specifiche disposizioni nazionali di legge che si rendano necessarie per tutelare la sicurezza pubblica oppure per consentire la prevenzione e l'accertamento di reati penali. Anche su questo punto i Garanti hanno invitato gli Stati membri ad elaborare un approccio uniforme e congiunto.

Resta ferma, comunque, l'inaccettabilità di trasferire verso gli USA dati relativi a persone che non sono dirette negli USA — a meno che ciò avvenga sulla base di specifici accordi di cooperazione in materia giudiziaria e penale. Proprio questo punto è stato ulteriormente sottolineato: i Garanti europei hanno evidenziato, infatti, che il trasferimento di dati personali verso autorità pubbliche di Paesi terzi (come l'US Customs and Immigration and Nationalization Service) per motivi connessi all'ordine pubblico in tali Paesi rientra fra le materie del cosiddetto "Terzo Pilastro" dell'Unione. Si tratta, ossia, di materie che devono essere lasciate agli accordi di cooperazione giudiziaria e di polizia. Pertanto, è risultato necessario ripensare l'intero sistema dei trasferimenti di dati effettuati nell'ambito del trasporto aereo verso gli USA. La soluzione eventualmente concertata con le autorità americane potrebbe servire da modello anche per i trasferimenti di dati via APIS verso altri Paesi terzi.

A seguito dell'importante parere, inviato ai competenti organi italiani, come pure ad autorità statunitensi, la questione è sotto esame e "sospesa" in vari Paesi. Si attendono sviluppi per il mese di febbraio.