Parere 5/2007: sul nuovo accordo tra l'Ue e gli USA sul trattamento e sul trasferimento dei dati del codice PNR da parte dei vettori aerei al Dipartimento per la Sicurezza interna degli Stati Uniti concluso nel luglio 2007

Parere 5/2007 - WP138
relativo al nuovo accordo tra l'Unione europea e gli Stati Uniti d'America sul trattamento e sul trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) da parte dei vettori aerei al Dipartimento per la Sicurezza interna degli Stati Uniti concluso nel luglio 2007

adottato il 17° agosto 2007

Sintesi

Il presente parere si prefigge di valutare le conseguenze sui diritti e sulle libertà fondamentali e sul diritto alla privacy dei passeggeri in particolare, del terzo e nuovo accordo sul trasferimento dei dati del codice di prenotazione (PNR) al Dipartimento per la Sicurezza interna degli Stati Uniti (DHS).

La conclusione di un nuovo accordo di lungo periodo fornisce una base giuridica per il trasferimento dei dati dei passeggeri. Il Gruppo di lavoro ha sempre sostenuto la lotta contro il terrorismo internazionale e la criminalità organizzata internazionale, impegno che considera necessario e legittimo. Tuttavia, qualsiasi limitazione dei diritti e delle libertà fondamentali dell'individuo, compreso il diritto alla privacy e alla protezione dei dati, deve essere adeguatamente giustificata e in grado di bilanciare correttamente esigenze di sicurezza pubblica e altri interessi pubblici, come il diritto dei cittadini alla privacy. Il Gruppo di lavoro non crede che l'accordo abbia trovato questo giusto equilibrio.

Le questioni relative alla protezione dei dati incluse nel nuovo accordo sono, ai fini della presente analisi, così riassumibili, :

1. in generale, le garanzie previste dall'accordo precedente sono notevolmente ridimensionate;

2. il nuovo accordo non offre soluzioni ad importanti questioni e carenze e prevede troppe deroghe.

Per quanto riguarda il punto 1:

a. Il numero dei dati trasferibili è aumentato, e comprende anche informazioni su terzi oltre che sugli interessati.

b. Continua il filtro dei dati sensibili da parte del DHS, anche con un sistema "push".

c. In casi eccezionali il DHS può usare dati sensibili, possibilità che l'accordo precedente escludeva.

d. I trasferimenti successivi ad agenzie nazionali ed estere sono semplificati e non sono più soggetti alle stesse garanzie di protezione dei dati.

e. Il termine per la conservazione dei dati è portato ad un minimo di 15 anni, con possibilità di proroga.

f. Il meccanismo di revisione congiunta non prevede la partecipazione di autorità indipendenti per la protezione dei dati.

Per quanto riguarda il punto 2:

a. Le garanzie contenute nell'accordo e nella lettera del DHS non sono formulate con precisione e danno adito a troppe deroghe, che le autorità degli Stati Uniti possono applicare con esclusiva discrezionalità.

b. Le finalità del trasferimento dei dati e le relative ampie deroghe non sono sufficientemente precisate e superano quelle ammesse dalle norme sulla protezione dei dati.

c. La transizione da un sistema "pull" ad un sistema "push" è infine prevista per il 1° gennaio 2008, ma non è ancora chiaro se e come sarà messo a punto questo nuovo metodo di trasferimento.

d. Non è chiaro come il DHS, autorizzato in casi eccezionali a recuperare dati diversi da quelli indicati nell'elenco, potrà accedere a tali dati una volta realizzato il passaggio da un sistema "pull" ad un sistema "push".

e. Non si sa ancora quando e in quali circostanze avrà luogo una revisione congiunta.

f. L'accordo non prevede un meccanismo di composizione delle controversie e affida il compito alle Parti contraenti, elemento particolarmente rilevante ai fini della revisione congiunta.

g. Non è chiaro il sistema di trasferimento successivo dei dati dalle agenzie terze ad altri servizi.

h. Non si conoscono gli effetti delle disposizioni di reciprocità sul livello di protezione dei dati in un sistema PNR dell'UE.

i. i L'accordo presenta il rischio che ogni modifica della normativa statunitense possa incidere unilateralmente sul livello di protezione dei dati previsto nel nuovo accordo sui PNR.

Il Gruppo di lavoro deplora che sia stata persa l'opportunità di adottare un approccio più equilibrato basato su esigenze effettive. Si è discusso molto del nuovo accordo, ma il Gruppo di lavoro avrebbe preferito una conclusione diversa dei negoziati UE-USA e ritiene che il nuovo accordo non abbia trovato un giusto equilibrio che salvaguardi i diritti fondamentali dei cittadini per quanto riguarda la protezione dei dati.

Poiché molti punti dell'accordo rimangono oscuri, il Gruppo di lavoro chiederà alla Commissione chiarimenti scritti sulle questioni seguenti:

• a quali compagnie aeree si applica l'accordo;

• in quali circostanze i dati possono essere usati per finalità diverse da quelle menzionate ai punti 1), 2) e 3) dell'articolo I della lettera del DHS;

• in quali casi eccezionali funzionerà il sistema "pull", e come sarà esercitato il controllo su queste competenze eccezionali nella giurisdizione dell'UE;

• cosa garantisce che la scadenza attualmente fissata al 1° gennaio 2008 non sarà ancora rinviata, per esempio per discussioni sui requisiti;

• quali sono le 13 compagnie aeree che, in base all'articolo VIII della lettera del DHS, inoltrano i dati (sistema "push") e quali le condizioni cui devono conformarsi;

• come e quando sarà preparata e si svolgerà la procedura di revisione;

• come interpretare l'articolo 5 del nuovo accordo e l'articolo IX della lettera del DHS sulla reciprocità, che contengono una dichiarazione ambigua sulle aspettative degli Stati Uniti.

Il Gruppo di lavoro si rammarica inoltre di non essere stato consultato né invitato ad esprimere un parere sugli aspetti relativi alla protezione dei dati dell'accordo, malgrado il suo ruolo di organo consultivo ufficiale dell'UE per la protezione dei dati e mancando un quadro o gruppo equivalente per le attività del terzo pilastro.

Questa omissione è quanto più criticabile dal momento che i membri del Gruppo di lavoro sono le autorità di controllo per quanto riguarda la conformità dei vettori aerei alla normativa sulla protezione dei dati, cui spetterà applicare l'accordo in stretta collaborazione con le autorità dell'UE per la protezione dei dati.

Il Gruppo di lavoro vorrebbe continuare a collaborare in maniera costruttiva con il Consiglio dell'Unione europea e con la Commissione europea, specie per l'attuazione del nuovo accordo. In particolare, si aspetta di essere coinvolto nella preparazione e nello svolgimento concreto della revisione congiunta. Conta infine di essere associato ai futuri dibattiti sulla definizione di dati sensibili e alle altre attività di follow-up.

PARERE 5/2007 DEL GRUPPO PER LA TUTELA DELLE PERSONE CON

RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

relativo all'accordo tra l'Unione europea e gli Stati Uniti d'America sul trattamento e sul trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) da parte dei vettori aerei al Dipartimento per la Sicurezza interna degli Stati Uniti concluso nel luglio 2007

I Introduzione

Il nuovo accordo

Nel luglio 2007¹ l'Unione europea ha concluso un nuovo accordo con gli Stati Uniti d'America sul trasferimento dei dati del codice di prenotazione (Passenger Name Record, PNR) e sul loro trattamento da parte del Dipartimento per la Sicurezza interna degli Stati Uniti (DHS), in sostituzione del precedente accordo interinale con gli Stati Uniti sui PNR del 19 ottobre 2006 scaduto il 31 luglio 2007.

In attesa della sua entrata in vigore negli Stati membri, l'accordo sarà applicato in via provvisoria a decorrere dalla data della firma e scadrà alla data di applicazione di un accordo sostitutivo tra le Parti e comunque entro sette anni dalla firma.

L'accordo intende assicurare certezza del diritto ai vettori aerei che effettuano voli da e per gli Stati Uniti, ai passeggeri e alle autorità per la protezione dei dati degli Stati membri dell'UE sostituendo l'accordo interinale dell'ottobre 2006 tra l'Unione europea e gli Stati Uniti. L'accordo interinale era stato concluso a seguito della sentenza della Corte europea di giustizia del 30 maggio 2006 che annullava la decisione 2004/496/CE del Consiglio del 17 maggio 2004 (relativa alla conclusione di un accordo tra la Comunità europea e gli Stati Uniti d’America sul trattamento e trasferimento dei dati PNR da parte dei vettori aerei all’ufficio doganale e di protezione dei confini del dipartimento degli Stati Uniti (CBP)) e la decisione 2004/535/CE della Commissione del 14 maggio 2004 (la cosiddetta "decisione sull'adeguatezza"), perché fondate su una base giuridica errata.

Il nuovo accordo si caratterizza per i seguenti elementi:

è firmato da entrambe le Parti;

contiene una lettera (lettera del DHS) nella quale il Dipartimento fornisce garanzie sul modo in cui intende assicurare la protezione dei dati PNR;

comprende la risposta con cui l'UE accusa ricevuta della lettera del DHS e conferma che sulla base delle garanzie ricevute considera adeguato il livello di protezione dei dati PNR negli Stati Uniti.

Il contesto

Il Gruppo di lavoro prende atto della conclusione di un nuovo accordo di lungo periodo che fornisce una base giuridica per il trasferimento dei dati dei passeggeri. Apprezza inoltre gli sforzi prodotti dai negoziatori dell'UE per giungere ad un accordo ed evitare un vuoto giuridico malgrado le reticenze statunitensi.

Il Gruppo di lavoro ritiene doveroso esprimere il proprio parere sulla riservatezza connessa alla trasmissione dei dati personali alle autorità statunitensi dal momento che i passeggeri, i responsabili politici e le autorità per la protezione dei dati hanno bisogno di conoscere il livello di protezione attualmente garantito dal nuovo accordo. Inoltre, i dati PNR sono prima raccolti e poi trasmessi dalle compagnie aeree, che sono soggette al controllo delle autorità nazionali per la protezione dei dati (autorità di controllo).

Il Gruppo di lavoro ha sempre sostenuto la lotta contro il terrorismo internazionale e la criminalità organizzata internazionale, perché la considera necessaria e legittima. Riconosce che i dati personali possono essere uno strumento prezioso, ma ritiene che la raccolta e il trattamento dei dati relativi ai passeggeri non possano bastare da soli a sconfiggere il fenomeno e che occorrerebbe sfruttare tutti gli altri mezzi disponibili oltre a rafforzare la sicurezza e a garantire un trasporto aereo sicuro ed efficiente.

Ogni anno milioni di passeggeri attraversano l'Atlantico e con la conclusione dell'accordo "cieli aperti" il loro numero dovrebbe aumentare rapidamente. I vettori aerei raccolgono e usano i dati dei passeggeri a fini commerciali ed occorre ribadire che nella lotta contro il terrorismo e la criminalità correlata il rispetto dei diritti fondamentali e delle libertà individuali, compreso il diritto alla privacy e alla protezione dei dati, deve essere garantito e non è negoziabile.

Qualsiasi limitazione di tali diritti e libertà deve essere adeguatamente giustificata e deve bilanciare l'esigenza di tutelare la sicurezza pubblica con gli altri interessi pubblici, come il diritto dei cittadini alla privacy. Una sorveglianza generale ingiustificata e sproporzionata da parte di un paese terzo sarebbe incompatibile con la dignità umana e il diritto alla privacy.

Alla luce di quanto precede, il nuovo accordo di lungo periodo deve essere esaminato in funzione dei principi fondamentali della protezione dei dati, come il principio di proporzionalità, il principio di minimizzazione dei dati, la competenza del responsabile del trattamento e i diritti di informazione e impugnazione degli interessati, per giungere ad una valutazione corretta del livello di protezione dei dati da quello garantito.

Valutazione del Gruppo di lavoro articolo 29

In questo parere il Gruppo di lavoro, un organo indipendente costituito dai garanti europei della protezione dei dati, intende esaminare attentamente il livello di protezione dei dati del nuovo accordo di lungo periodo, confrontandone le disposizioni con quelle degli accordi precedenti alla luce di norme consolidate sulla protezione dei dati, come quelle della direttiva 95/46/CE² e della convenzione 108 del Consiglio d'Europa³, e di altri suoi pareri già adottati al riguardo. Il presente parere intende inoltre offrire una valutazione delle implicazioni dell'accordo sulla privacy per i passeggeri in volo da e per gli Stati Uniti.

Contrariamente agli accordi precedenti, il nuovo accordo sui dati PNR non rinvia ai cosiddetti impegni sottoscritti dal CBP nel maggio 2004, rendendoli ormai obsoleti. Pur rappresentando da un punto di vista giuridico un impegno unilaterale degli Stati Uniti, questi impegni erano in realtà il risultato di negoziati lunghi e complessi volti ad ottenere un livello adeguato di protezione per l'impiego dei dati PNR su cui la Commissione europea ha basato la sua decisione cosiddetta "sull'adeguatezza" (2004/535/CE). Durante e dopo questi negoziati il Gruppo di lavoro ha adottato una serie di pareri relativi al livello di protezione dei dati⁴.

Attualmente ad assicurare la salvaguardia della protezione dei dati PNR dei passeggeri UE sono le cosiddette garanzie contenute nel nuovo accordo e in particolare nella lettera del DHS. Queste garanzie sostituiscono quindi gli impegni.

Per questo motivo, nel presente parere si procederà ad un confronto approfondito tra le garanzie offerte nella lettera del DHS e gli impegni del 2004, prima di trarre conclusioni riguardo al livello di protezione della privacy.

II Il nuovo accordo PNR

1 Campo di applicazione e natura giuridica

Il nuovo accordo dichiara di applicarsi ai vettori aerei che effettuano voli da e per gli Stati Uniti. Non è chiaro se rientrino nel suo campo di applicazione, per esempio, i vettori aerei che effettuano voli da un paese terzo transitando per l'UE, e neppure quali siano i limiti della giurisdizione dell'UE: il trattamento oppure il responsabile del trattamento? L'accordo non risolve questi problemi e il Gruppo di lavoro confida che la Commissione europea fornisca un chiarimento scritto su questi punti.

A norma dell'articolo 1, l'accordo e la lettera del DHS sono vincolanti per le due Parti. Entrambi saranno pubblicati nella Gazzetta ufficiale dell'Unione europea (serie L), ma non è chiaro se la lettera del DHS sarà pubblicata nel Registro federale degli Stati Uniti. Se gli Stati Uniti non si conformano all'accordo, l'Unione europea può denunciarlo ai sensi dell'articolo 8. L'accordo e la lettera non si applicano direttamente ai privati, compagnie aeree o cittadini. L'accordo si applica negli Stati membri, fatte salve le disposizioni di diritto interno.

2 Limitazione della finalità

Il nuovo accordo PNR comporta una serie di considerandi e 9 articoli e disciplina il trasferimento dei dati PNR dai vettori aerei al Dipartimento della sicurezza interna degli Stati Uniti. Le finalità del trasferimento sono indicate nei considerandi: la prevenzione e la lotta contro il terrorismo e la criminalità transnazionale. La lettera del DHS precisa: 1) prevenire e combattere il terrorismo e i reati ad esso connessi, 2) altri reati gravi di natura transnazionale, tra cui la criminalità organizzata, e 3) la fuga in caso di mandato d’arresto emesso o di pena detentiva comminata per quei reati.

Le finalità menzionate nel nuovo accordo sono le stesse dell'accordo interinale. Non fornendo una definizione di cosa si intenda per reati connessi al terrorismo e reati gravi di natura transnazionale, tra cui la criminalità organizzata, si lascia spazio alle interpretazioni.

Il Gruppo di lavoro considera ancora troppo vaste le finalità e avrebbe preferito definizioni più chiare di cosa si intende con reati connessi al terrorismo e reati gravi.

Stando alla lettera del DHS, i dati PNR possono essere usati anche in altri casi, per esempio quando sia necessario per salvaguardare gli interessi vitali dell'interessato o di altre persone, in linea con i vecchi impegni; possono poi essere impiegati in qualsiasi procedimento giudiziario penale, quindi anche in caso di microcriminalità o reati minori non correlati al terrorismo o di reati gravi di natura transnazionale; possono infine essere usati secondo quanto altrimenti previsto dalla legge statunitense. Questo impiego figurava anche negli impegni del 2004, ma in relazione ai trasferimenti successivi. Nel nuovo accordo ha preso più spazio ed è stato incluso come una finalità specifica, piuttosto che come una conseguenza del trasferimento successivo.

Il Gruppo di lavoro è preoccupato per questa modifica delle finalità, soprattutto perché le aveva già considerate ampie nel quadro del precedente accordo. Spera in un chiarimento scritto della Commissione, che definisca le circostanze in cui i dati possono essere usati per finalità diverse da quelle indicate ai punti 1, 2 e 3.

3 Beneficiari dei dati sui passeggeri

Mentre l'accordo precedente elencava nei suoi considerandi una serie limitata di servizi del DHS abilitati a ricevere i dati PNR e quelli non autorizzate ad usarli (per esempio, i servizi per la cittadinanza e l'immigrazione e i servizi segreti), il nuovo accordo non contiene disposizioni di questo tipo. Stabilisce soltanto che il DHS tratta i PNR provenienti dall'Unione europea come dati sensibili e riservati secondo la normativa statunitense. I servizi del DHS in precedenza non chiaramente definiti o finanche esclusi dalla possibilità di ricevere direttamente i PNR, ora non sono più considerati "agenzie terze" né sono più soggetti a condizioni per quanto riguarda il trasferimento successivo dei dati PNR.

Il Gruppo di lavoro si rammarica che sia stata di tanto ampliata la rosa dei possibili beneficiari e avrebbe piuttosto ritenuto importante limitare il numero di servizi abilitati ad usare i PNR per controllare il flusso dei dati. La situazione attuale è di fatto un ridimensionamento significativo delle misure di salvaguardia del precedente regolamento.

4 Trasferimenti successivi

Il trasferimento successivo dei dati PNR ad "agenzie terze" del DHS, ad altre autorità statunitensi e ad autorità governative straniere era disciplinato unicamente dagli impegni, mentre il precedente accordo interinale manteneva la situazione del primo accordo PNR del 2004.

Gli impegni stabilivano che i PNR provenienti dall'Unione europea potevano essere trasferiti ad altre autorità governative, comprese quelle di paesi terzi, soltanto caso per caso al fine di prevenire e combattere il terrorismo e reati correlati, altri reati gravi di natura transnazionale, tra cui la criminalità organizzata, e la fuga in caso di mandato d’arresto emesso o di pena detentiva comminata per quei reati. Il mancato rispetto delle condizioni per il trasferimento poteva dar luogo ad un'ispezione e ad una relazione del direttore della privacy (Chief Privacy Officer) del DHS a seguito della quale l'autorità ricevente poteva essere privata del diritto ad altri trasferimenti di dati PNR da parte del CBP.

Anche se ai sensi dell'articolo II della lettera del DHS si applicano alcune limitazioni alla divulgazione dei PNR, il fatto che siano state ampliate le finalità per lo scambio dei dati implica una maggiore probabilità che anche le agenzie governative che si occupano di procedimenti penali diversi da quelli connessi alla lotta contro il terrorismo e reati correlati ricevano e trattino i dati PNR. Lo stesso accade quando i dati PNR sono necessari in altri casi previsti dalla normativa statunitense. Non esiste più una limitazione specifica per cui i dati possano essere scambiati solo in singoli casi, e ciò potrebbe aprire la strada in futuro ad eventuali trasferimenti in blocco.

Per quanto riguarda i trasferimenti successivi dei PNR da "agenzie terze" alle altre agenzie, nel quadro dell'accordo precedente il proprietario dei dati era considerato il DHS e la loro diffusione era possibile soltanto previo consenso esplicito del CBP per controllare il flusso dei dati. Soppressa questa utile limitazione, sorgono dei problemi riguardo alla qualità e ai periodi di conservazione dei dati una volta che un'agenzia terza abbia trasferito ad altri beneficiari le informazioni personali . Non è più chiaro chi sia il responsabile del trattamento e della successiva divulgazione di questi dati.

Le garanzie per la protezione dei dati previste nel nuovo accordo sono molto meno vincolanti nella misura in cui ampliano da un lato l'elenco delle agenzie potenzialmente ammissibili e facilitano dall'altro il trasferimento verso altre agenzie.

Per quanto riguarda la diffusione dei PNR alle autorità di paesi terzi, le vecchie garanzie previste negli impegni, che limitavano la trasmissione caso per caso, non sono più d'applicazione. Se garantiscono un livello di protezione dei dati identico a quello assicurato dal DHS, i paesi terzi possono chiedere lo scambio dei dati personali. A questo punto, è opportuno anche chiedersi in che modo i trasferimenti successivi saranno controllati una volta che il paese terzo sarà entrato in possesso di quei dati.

5 Elementi di dati

L'elenco degli elementi di dati di cui all'allegato A degli impegni statunitensi del maggio 2004 è stato modificato nel nuovo accordo e figura ora all'articolo III della lettera del DHS.

L'accordo precedente indicava 34 elementi di dati distinti da trasferire in quanto contenuti nei sistemi di prenotazione delle compagnie aeree. Il nuovo accordo enumera 19 tipi di informazione PNR suddivisi in più gruppi dando così l'impressione di un volume nettamente inferiore di dati trasferibili. In realtà, il nuovo elenco non contiene la voce "passeggero senza prenotazione" presente nel vecchio accordo, ma comprende tutti gli altri 33 elementi di dati del vecchio elenco, anche se in forma leggermente diversa.

Inoltre, il nuovo elenco comprende elementi di dati precedentemente non inclusi ampliando così l'entità delle informazioni richieste dal DHS. La stessa considerazione vale per numerosi elementi di dati.

a Elemento di dati 5 (informazioni disponibili sui viaggiatori abituali "frequent flyer"): mentre nel quadro del vecchio accordo la richiesta si limitava alle miglia utilizzate e agli indirizzi, nel nuovo si aggiunge la richiesta di informazioni sul numero della carta "frequent flyer", sui biglietti gratuiti, ecc. Nel vecchio accordo non era prevista la trasmissione di dati sui vari benefici concessi.

b Elemento di dati 7 (tutte le informazioni di contatto disponibili): anche se questa voce ne comprende alcune precedenti: indirizzo (6), indirizzo di fatturazione (8), recapiti telefonici (9) e indirizzi di posta elettronica (17), non si può escludere che siano comunicate anche altre informazioni, per esempio, l'indirizzo di posta elettronica del datore di lavoro.

c Elemento di dati 15 (tutte le informazioni relative al bagaglio): mentre nel quadro dell'accordo precedente si chiedevano soltanto informazioni sui numeri di etichetta dei bagagli, d'ora in poi dovranno essere comunicati tutti gli altri particolari, come il numero o le dimensioni dei bagagli (bulk luggage), il che amplia una volta di più il campo di applicazione del precedente accordo.

Mentre il Gruppo di lavoro ha chiesto insistentemente di ridurre il numero degli elementi di dati considerati necessari nella lotta contro il terrorismo e la criminalità correlata⁵, il nuovo accordo amplia l'elenco chiedendo maggiori informazioni sugli interessati. Questa modifica non si giustifica in alcun modo e deve essere considerata sproporzionata.

Dati personali di terzi

Va rammentato anche che nel quadro dell'accordo precedente il DHS avrebbe potuto chiedere dati relativi non all'interessato ma a terzi, per esempio l'indirizzo di fatturazione, l'indirizzo di posta elettronica, l'agente di viaggi, le informazioni sulla fonte, ecc. Ai sensi del nuovo accordo non solo è possibile chiedere maggiori informazioni sul passeggero, ma anche sui terzi, per esempio su benefici vari eventualmente contenuti nei sistemi di prenotazione delle compagnie aeree.

Questo sviluppo preoccupa il Gruppo di lavoro in quanto è assai improbabile che i terzi siano al corrente del trasferimento dei dati personali al DHS, e ancor meno del loro diritto alla riservatezza in casi siffatti. Questo significa che i terzi non possono esercitare i diritti riconosciuti all'interessato nel quadro dell'accordo.

Dati supplementari

Va inoltre notato che l'articolo III, sezione 3 della lettera del DHS stabilisce che quest'ultimo può usare in casi eccezionali altri elementi di dati diversi da quelli indicati nell'elenco, ma comunque contenuti nei sistemi di prenotazione delle compagnie aeree, ampliando così notevolmente l'entità di tali dati. Il Gruppo di lavoro ribadisce che esistono altri canali giuridici nel quadro del terzo pilastro⁶ per accedere a informazioni a carattere personale in situazioni eccezionali senza compromettere la privacy dei passeggeri. Trova inoltre preoccupante l'affermazione secondo cui il DHS informerà la Commissione europea in merito all'uso di questi dati "di norma entro 48 ore": ciò implica che il DHS può decidere se e quando informare la Commissione.

Rimane da vedere come il DHS recupererà gli elementi di dati supplementari contenuti nei sistemi di prenotazione delle compagnie aeree quando si sarà passati da un sistema di trasmissione "pull" ad un sistema "push". Il nuovo accordo PNR non prevede disposizioni precise e sembrerebbe che anche dopo l'attivazione del sistema "push" sarà mantenuto un sistema "pull" per le circostanze eccezionali. Per queste ragioni, il Gruppo di lavoro attende spiegazioni scritte dalla Commissione europea su come funzionerà il sistema "pull" nei casi eccezionali, e su come sarà esercitato il controllo su queste competenze eccezionali nella giurisdizione dell'UE.

6 Informazioni analitiche

L'articolo IX della lettera del DHS stabilisce che quest'ultimo incoraggerà il trasferimento delle informazioni analitiche ricavate dai dati PNR da parte delle competenti autorità statunitensi alle autorità di polizia e giudiziarie degli Stati membri interessati e, se del caso, a Europol e Eurojust.

Non è chiaro cosa comprenderanno queste informazioni analitiche e se conterranno dati personali⁷.

Al medesimo articolo si legge anche che il DHS si aspetta che l'UE e i suoi Stati membri incoraggino nello stesso modo le loro autorità competenti a fornire le informazioni analitiche ricavate dai dati PNR al DHS e alle altre autorità statunitensi interessate. Questo trasferimento di dati agli Stati Uniti non è contemplato nel nuovo accordo che è limitato al trasferimento dei dati PNR contenuti nei sistemi di prenotazione delle compagnie aeree.

Le informazioni analitiche non sono comprese nell'elenco esaustivo di cui all'articolo III della lettera del DHS in cui figurano tutti gli elementi di dati trasferibili. A seconda della natura delle informazioni analitiche, un loro scambio diretto con le altre agenzie statunitensi amplierebbe di molto l'elenco degli elementi di dati, che non avrebbe più carattere esaustivo. Lo scambio di informazioni di questo tipo, che non è attualmente previsto dall'accordo, dovrebbe essere oggetto di altri strumenti giuridici. Per questo motivo, al Gruppo di lavoro risulta evidente che l'aspettativa espressa dal DHS nella lettera di accompagnamento all'accordo non ha fondamento giuridico e che il suo valore giuridico è discutibile.

7 Metodo di trasferimento dei dati PNR

Come nell'accordo precedente, si prevede il passaggio ad un sistema "push" per la trasmissione dei dati PNR in una fase successiva, ma soltanto per le compagnie aeree che si conformano alle esigenze tecniche del DHS. In caso contrario, le autorità statunitensi continueranno a procurarsi i dati PNR servendosi di un sistema "pull".

In passato le compagnie aeree europee hanno investito molto nel sistema "push" e oggi ne confermano la fattibilità tecnica. I loro sforzi erano diretti a rispettare la scadenza inizialmente stabilita dagli impegni del 2004 per fine dicembre 2006. Va ancora ribadito che in questa fase dal punto di vista della protezione dei dati il sistema "push" è l'unico accettabile per il trasferimento dei dati personali e che ogni ulteriore ritardo solleva la questione dell'effettiva intenzione del DHS di modificare la prassi attuale. Facendo riferimento a suoi pareri precedenti, il Gruppo di lavoro osserva con grande preoccupazione che, sin dalla firma del primo accordo PNR nel maggio 2004, l'attuazione del sistema "push" ha subito ritardi.

Il Gruppo si aspetta che la Commissione europea garantisca che la scadenza ora fissata per il 1° gennaio 2008 non sarà ancora rinviata, per esempio per discussioni sui requisiti e conta sul fatto che la Commissione chiarisca quali sono le 13 compagnie aeree che, stando all'articolo VIII della lettera del DHS, applicano già un sistema "push" per l'invio dei dati, e quali gli obblighi cui sono soggette.

È preoccupante constatare che il passaggio a un sistema "push" funzionante dipende dalla discrezionalità unilaterale del DHS e che il nuovo accordo non prevede che siano concordati né modalità per attuare rapidamente il sistema, né un meccanismo per affrontare problemi irrisolti. Dato che i vettori aerei sono condizionati direttamente dalle specifiche tecniche relative al modo in cui sono tenuti a trasferire i dati PNR, sarebbe opportuno ascoltarli ed entrambe le Parti contraenti dovrebbero tenere conto delle loro preoccupazioni. Consentire ad una Parte di decidere unilateralmente quali requisiti tecnici siano necessari per il passaggio da un sistema"pull" ad un sistema "push" ostacola la transizione finale verso quest'ultimo.

Per quanto riguarda il numero di operazioni di invio, la lettera di accompagnamento fa riferimento soltanto agli aggiornamenti ritenuti necessari senza indicare la frequenza con la quale i vettori aerei devono trasferire i dati dopo l'invio iniziale nelle 72 ore precedenti la partenza. Il Gruppo di lavoro ritiene che questa decisione non debba essere lasciata alla discrezionalità del DHS perché gli aggiornamenti devono essere proporzionati e tenere conto delle implicazioni sulla privacy dei passeggeri e delle ripercussioni finanziarie sui vettori aerei. Occorre trovare una soluzione accettabile per tutti, cosa che è di per sé preferibile ad una decisione unilaterale.

Inoltre, né l'accordo né la lettera del DHS parlano di una limitazione delle richieste di invio dei dati prima delle 72 ore.

8 Dati sensibili e filtro

Strettamente collegato alla questione delle modalità di trasferimento dei dati PNR è il problema di come filtrare i dati dei passeggeri (articolo III della lettera del DHS).

Uno dei principi fondamentali della protezione dei dati è la competenza del responsabile del trattamento dei dati personali, quale definita nella direttiva 95/46/CE (articolo 2, lettera d)) in combinato disposto con l'articolo 6, paragrafo 2 che stabiliscono che la persona o l'istituzione che determina le finalità e gli strumenti del trattamento è considerata il responsabile del trattamento ed è quindi responsabile dei dati. Disposizioni analoghe figurano all'articolo 2, lettera d) e all'articolo 5 della Convenzione 108. Nel caso dei dati dei passeggeri, sono le compagnie aeree a raccogliere i dati e a trattarli a fini commerciali. Per questo motivo, spetterebbe a loro fare in modo che soltanto i dati elencati nell'accordo e nella lettera del DHS siano trasmessi a quest'ultimo. L'elenco dei dati PNR da trasferire di cui all'articolo III della lettera del DHS non include dati sensibili. Tuttavia, i dati sensibili possono rientrare nei campi di dati elencati alle voci n. 17 "osservazioni generali, comprese le informazioni OSI, SSI e SSR" e n. 19 "cronistoria delle modifiche del PNR". Poiché i dati sensibili non rientrano fra gli elementi di dati trasferibili, il DHS si impegna a filtrarli. Dovrebbe però competere al responsabile del trattamento filtrare tutti i dati prima dell'invio con sistema "push", per evitare di trasferire dati non contemplati dall'accordo, compresi quelli sensibili.

Il Gruppo di lavoro giudica contrario ai principi della protezione dei dati che il nuovo accordo sollevi il responsabile del trattamento da ogni responsabilità, lasciando al DHS il compito di filtrare certi dati; considerazione quanto più pertinente per i dati sensibili, che saranno esclusi dal trattamento. Eppure, stando al nuovo accordo, il DHS può addirittura usare i dati sensibili in suo possesso in circostanze eccezionali.

Anche se il DHS si impegna a mantenere un log di accesso ai dati sensibili e a cancellarli entro 30 giorni una volta che non sia più richiesta la conservazione, rimane il problema di come controllare l'uso e il flusso dei dati dopo che il DHS ha comunicato i dati sensibili ad altre agenzie nazionali e estere e non ne è più il proprietario.

Va inoltre notato che i dati sensibili, quali definiti nella Convenzione 108 o nella direttiva, saranno identificati dal DHS in consultazione con la Commissione europea. Poiché il concetto e l'importanza dei dati sensibili possono variare col tempo, è necessario identificare continuamente i nuovi dati sensibili e sottoporli ad un riesame periodico in stretta collaborazione con le autorità per la protezione dei dati e con l'industria aeronautica, in modo da tenere aggiornato l'elenco. Nel nuovo accordo la questione rimane irrisolta. Il Gruppo di lavoro si aspetta di essere associato a futuri dibattiti sulla definizione di dati sensibili.

9 Conservazione dei dati

Il nuovo accordo non contiene disposizioni sul periodo di conservazione dei dati PNR immagazzinati dal DHS. La conservazione dei dati è comunque disciplinata dall'articolo VII della lettera del DHS che distingue tra una base dati analitica attiva, dove i dati sono conservati per sette anni raddoppiando così la durata indicata in precedenza, e uno status di dati dormienti che cessano di essere operativi e sono conservati per altri otto anni. Gli impegni del 2004 specificavano che i dati sarebbero stati trasferiti in un file di dati cancellati per otto anni, ma questa disposizione riguardava soltanto un volume molto limitato di dati per i quali vi è stato un accesso manuale nel periodo iniziale di tre anni e sei mesi.

Dal punto di vista della protezione dei dati non c'è differenza tra periodi di accesso attivi e periodi cosiddetti dormienti. Fintanto che sono accessibili, anche se in misura molto limitata e riservata nel periodo dormiente, i dati personali restano a disposizione in una base dati e il DHS può sia consultarli che trattarli . Per questo motivo, il periodo di conservazione è stato di fatto portato da tre anni e sei mesi a 15 anni.

Neanche questo periodo può dirsi definito: la lettera di accompagnamento va in effetti oltre affermando che il DHS prevede che i dati PNR saranno cancellati alla fine di tale periodo e che nel contesto di future discussioni si deciderà se e quando distruggere i dati PNR, il che suggerisce che il periodo di conservazione potrebbe essere ulteriormente prolungato, ipotesi estremamente preoccupante e incompatibile con le norme consolidate sulla privacy, come l'articolo 5, lettera e) della Convenzione 108 e l'articolo 6, lettera e) della direttiva.

Il Gruppo di lavoro ha già giudicato eccessivo conservare i dati per tre anni e sei mesi tenuto conto delle finalità per cui sono conservati. Non è stato dimostrato in alcun modo che tale periodo è necessario (come prescrive l'articolo 8 della Convenzione europea dei diritti dell'uomo), o che è troppo breve.

Inoltre, la lettera del DHS stabilisce che ai dati PNR raccolti nel quadro dell'accordo precedente si applica lo stesso periodo di conservazione a lungo termine stabilito per i dati raccolti nel quadro del nuovo accordo. Questa decisione è contraria agli impegni assunti dagli Stati Uniti nel maggio 2004 che fissavano un periodo di conservazione generale e concordato di tre anni e sei mesi. Il DHS ha prolungato unilateralmente il termine di conservazione dei PNR raccolti nel quadro del primo accordo (dal 28 maggio 2004 ad ottobre 2006). Qualsiasi dato trasferito al DHS nel corso di questo periodo è stato trasmesso a condizione di essere distrutto dopo tre anni e sei mesi, a meno che l'accesso a tali dati non fosse stato manuale. Questo principio è stato annullato dalla lettera del DHS e la decisione del Dipartimento di prolungare unilateralmente il periodo di conservazione senza prove convincenti non è accettabile.

10 Revisione congiunta

Ai sensi dell'articolo 4 del nuovo accordo e dell'articolo X della lettera del DHS, le Parti contraenti procederanno a una verifica periodica dell'attuazione dell'accordo, della lettera del DHS, delle politiche e pratiche degli Stati Uniti e dell'UE in materia di PNR, al fine di assicurare l'efficacia dei rispettivi sistemi in termini di funzionamento e di tutela della vita privata. Inoltre, la lettera del DHS sottolinea che durante la verifica saranno esaminati anche i casi in cui c'è stato accesso a dati sensibili. Nella verifica, il DHS sarà rappresentato dal Segretario alla sicurezza interna e l'UE sarà rappresentata dal commissario competente per la giustizia, la libertà e la sicurezza, oppure da funzionari reciprocamente accettabili che le Parti convengano di designare. L'UE e il DHS determineranno di concerto le modalità dettagliate delle verifiche.

Rispetto alle disposizioni degli impegni, le norme di protezione dei dati relative al controllo indipendente sono state notevolmente ridimensionate.

Innanzitutto, gli impegni prevedevano una verifica congiunta periodica, tutti gli anni, o più spesso, se concordato tra le Parti. Il nuovo accordo non si esprime chiaramente sulla frequenza della revisione o sulla sua organizzazione. La lettera del DHS non specifica una data precisa, né fornisce indicazioni sull'inizio dei lavori di preparazione.

In secondo luogo, la lettera del DHS non afferma più che le Parti contraenti devono essere assistite da rappresentanti indipendenti delle autorità europee di contrasto e/o delle autorità degli Stati membri. Una perizia e un controllo indipendenti in materia di protezione dei dati sono pilastri fondamentali di un'efficace protezione della privacy, perché permettono di colmare adeguatamente le lacune e di tenere conto dei timori degli interessati.

Dato il successo riportato da una revisione congiunta organizzata nel quadro del primo accordo PNR dalle Parti contraenti, con la partecipazione delle autorità indipendenti per la protezione dei dati, il Gruppo di lavoro ribadisce l'importanza di associare strettamente tali autorità alle eventuali revisioni future. L'assenza di autorità indipendenti può indebolire le garanzie dei passeggeri per quanto riguarda la protezione dei loro dati. Per questo motivo, il Gruppo di lavoro si aspetta di essere coinvolto nella preparazione e nello svolgimento concreto della revisione congiunta e chiede alla Commissione di chiarire urgentemente per iscritto quando e come sarà preparata e realizzata.

Un altro problema nasce dal fatto che la revisione avrà luogo soltanto se entrambe le Parti saranno d'accordo sui dettagli. Quindi, se le Parti non si accordano o una sola fa ostruzione, non ci sarà alcuna revisione e le questioni pendenti non saranno affrontate in modo adeguato. Il nuovo accordo non prevede un meccanismo inteso a risolvere tali conflitti e conferisce ampia discrezionalità alle Parti che possono influenzare le modalità e l'organizzazione della revisione secondo le loro intenzioni. Il Gruppo di lavoro attende chiarimenti dalla Commissione anche su questo punto, visto che tra l'altro non si è svolta alcuna revisione congiunta nel quadro dell'accordo interinale sui PNR perché le Parti contraenti non sono riuscite a trovare un'intesa sui dettagli.

11 Diritti degli interessati, compresa la possibilità di impugnazione

Le salvaguardie sulla protezione dei dati relative al trasferimento e al trattamento dei dati PNR da parte delle autorità statunitensi non sono parte integrante dell'accordo ma figurano nella lettera di accompagnamento in cui il DHS illustra le garanzie che intende riconoscere ai passeggeri.

Sebbene l'accordo e la lettera del DHS siano giuridicamente vincolanti, quest'ultima rimane vaga su molti punti, come vuole illustrare il presente parere, e per quanto riguarda l'applicazione delle garanzie molto è lasciato alla discrezione delle autorità statunitensi, si pensi al passaggio da un sistema "pull" ad un sistema "push" e al periodo di conservazione dei dati di 15 anni. Si pone il problema di come possano avere valore giuridico le garanzie fornite nella lettera del DHS se così tante questioni rimangono aperte. Per questo motivo, il Gruppo di lavoro ritiene le garanzie giuridiche previste nella lettera del DHS molto più deboli di quelle dell'accordo precedente.

Anche se l'articolo V della lettera del DHS prevede misure di cui possono disporre i passeggeri, non si capisce se la lettera sarà pubblicata nel Registro federale e se possa costituire una base giuridica per l'esercizio dei diritti sulla protezione dei dati negli Stati Uniti. Pertanto, il Gruppo di lavoro invita la Commissione europea ad adoperarsi affinché la lettera sia pubblicata nel Registro federale.

Ciò detto, il Gruppo di lavoro esprime apprezzamento per la decisione politica del DHS di estendere la protezione amministrativa prevista dalla legge sul rispetto della privacy (Privacy Act) anche ai passeggeri che non sono cittadini statunitensi né risiedono legalmente negli Stati Uniti. Quindi, in ossequio al diritto universale alla protezione dei dati, i cittadini non statunitensi non sono più discriminati. Nonostante questo passo avanti, rimane molto da fare per garantire che questi diritti possano essere esercitati nella pratica, obiettivo rispetto al quale le autorità nazionali della protezione dei dati hanno un ruolo da svolgere,

Il Gruppo di lavoro accoglie favorevolmente anche la decisione degli Stati Uniti e dell'Unione europea di dare maggiore visibilità agli avvisi che illustrano i sistemi PNR ai passeggeri ed incoraggia le compagnie aeree ad inserire tali avvisi nel contratto ufficiale di trasporto. Questa nuova disposizione migliorerà sicuramente la trasparenza informando i passeggeri transatlantici sui loro diritti e sulle loro possibilità di impugnazione.

Il Gruppo di lavoro, rappresentando le autorità nazionali per la protezione dei dati, ha avuto un ruolo fondamentale nella redazione e promozione degli avvisi delle compagnie aeree ai passeggeri, e si aspetta di continuare questo importante lavoro in futuro.

12 Impatto dell'accordo su un futuro sistema UE di dati PNR

L'articolo 5 del nuovo accordo e l'articolo IX della lettera del DHS sulla reciprocità contengono una dichiarazione ambigua sulle aspettative degli Stati Uniti per quanto riguarda le misure di protezione dei dati applicabili agli Stati Uniti e un eventuale futuro sistema europeo di dati PNR. Ciò dovrebbe implicare che gli Stati Uniti non si aspettano da un siffatto sistema futuro norme meno rigide di quelle previste dal nuovo accordo; la dichiarazione però potrebbe anche essere interpretata come una richiesta del DHS all'UE di non introdurre norme più rigide di protezione dei dati in un sistema UE, pena la sospensione dell'accordo. Questo sviluppo sarebbe molto preoccupante e potrebbe minare lo sforzo dell'Unione europea volto a garantire un alto livello di protezione dei dati in un suo futuro sistema PNR. È essenziale che la Commissione europea fornisca chiarimenti scritti sul significato esatto della dichiarazione.

Va inoltre notato che l'articolo sulla reciprocità non è equilibrato, dato che gli Stati Uniti sono tenuti soltanto a "promuovere attivamente" la collaborazione delle compagnie aeree statunitensi, mentre l'Unione europea deve assicurarla.

III Conclusione

Il Gruppo di lavoro prende atto della conclusione di un nuovo accordo di lungo periodo con gli Stati Uniti sul trasferimento dei dati PNR al DHS. Il Gruppo ritiene tale accordo fondamentale per evitare incertezze sul piano giuridico per gli Stati membri, i passeggeri e i vettori aerei.

Il Gruppo di lavoro apprezza il fatto che il DHS migliorerà la trasparenza del trattamento dei dati promuovendo l'informazione dei passeggeri. Rammenta di aver consultato in passato il direttore della privacy del DHS al riguardo e di aver successivamente adottato due pareri⁸ per fornire orientamenti ai vettori aerei e sensibilizzare i passeggeri. Plaude poi alla decisione politica del DHS di estendere il diritto alla protezione della privacy ai cittadini non americani, che il precedente accordo PNR non contemplava.

Il Gruppo di lavoro lamenta però che questi miglioramenti minori siano controbilanciati da una riduzione generale del livello di protezione dei dati. Le garanzie offerte nella lettera del DHS sono di lungi più deboli di quelle previste negli impegni. Deplora inoltre che l'UE abbia giudicato l'accordo adeguato in termini di salvaguardia senza consultare nessuna autorità preposta alla protezione dei dati e ciò nonostante il fatto che l'accordo dovrà essere attuato dagli Stati membri in stretta collaborazione le autorità nazionali di controllo.

Il Gruppo di lavoro ritiene che le finalità del trasferimento dei dati PNR siano troppo ampie, più ampie di quelle riconosciute dalle norme sulla protezione dei dati, e che le importanti deroghe a queste finalità non siano adeguatamente specificate. È preoccupato per il fatto che il numero delle agenzie del DHS che possono ricevere i dati è aumentato considerevolmente e che non esiste un elenco chiaro di tutte le entità autorizzate ad accedere a tali dati.

Per quanto riguarda il metodo di trasferimento dei dati PNR, il Gruppo di lavoro osserva con molta preoccupazione che l'attuazione di un sistema "push" è stata rinviata dopo la firma del primo accordo PNR del maggio 2004 e che non deve essere più posticipata. È contrario alla disposizione del nuovo accordo secondo la quale il passaggio da un sistema "pull" ad uno "push" può avvenire soltanto a discrezione del DHS senza tenere conto dei diritti legittimi dei vettori aerei interessati. Lo stesso ragionamento vale per il volume di invii, che dipende sempre dalla discrezionalità del DHS. È necessario trovare una soluzione che rafforzi il rispetto della privacy in modo soddisfacente ed economicamente fattibile per tutti per non discriminare nessuno, in particolare le compagnie aeree europee.

Dato che il periodo di conservazione dei dati è stato notevolmente allungato, così come l'elenco degli elementi di dati, le garanzie fornite nell'accordo precedente risultano ridimensionate in misura considerevole. Il fatto che a filtrare i dati sensibili continui ad essere il DHS, che può usarli in casi eccezionali, non è conforme alle norme consolidate sulla protezione dei dati, quali definite nella convenzione 108 e nella direttiva.

Il Gruppo di lavoro sottolinea la necessità di associare pienamente le autorità per la protezione dei dati ad ogni revisione indipendente, sia nella fase di preparazione che di realizzazione. La Commissione europea deve chiarire quando e come sarà preparata e realizzata la revisione.

Non esiste una base giuridica per il trasferimento di informazioni analitiche e il valore giuridico delle aspettative del DHS al riguardo rimane discutibile.

Infine, il Gruppo di lavoro non sottovaluta i miglioramenti minori apportati dal nuovo accordo rispetto al precedente, ma è molto deluso dall'inadeguatezza delle nuove norme sulla protezione dei dati. Il nuovo accordo non garantisce neppure il livello di protezione della privacy assicurato dal precedente, che il Gruppo aveva già considerato debole nei suoi pareri precedenti.

Dal confronto effettuato nel presente parere con le norme consolidate sulla protezione dei dati, quali definite nella convenzione 108 e nella direttiva, il nuovo accordo sui PNR non esce vincente. Il nuovo accordo sarà fonte di comprensibili preoccupazioni per tutti i passeggeri transatlantici che tengono al rispetto della loro vita privata.

Fatto a Bruxelles, il 17 agosto 2007

Per il Gruppo di lavoro

Il presidente

Peter SCHAAR

NOTE

1 L'accordo è stato firmato il 23 luglio dall'UE e il 26 luglio dagli Stati Uniti ed è consultabile al seguente indirizzo: http://www.dhs.gov/xnews/releases/pr_1185470531857.shtm L'accordo è stato pubblicato anche nella Gazzetta ufficiale del 4 agosto 2007 (GU L 204 del 4.8.2007, pag. 18). http://eur-lex.europa.eu/JOHtml.do?uri=OJ:L:2007:204:SOM:EN:HTML

2 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

3 Convenzione sulla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale, adottata il 28 gennaio 1981.

4 WP 78 adottato il 13 giugno 2003, WP 87 adottato il 29 gennaio 2004, WP 95 adottato il 22 giugno 2004.

5 WP 78 Parere 4/2003 sul livello di protezione garantito negli Stati Uniti per il trasferimento dei dati relativi ai passeggeri, adottato il 13 giugno 2003.

6 Accordo sull'estradizione tra l'Unione europea e gli Stati Uniti d'America e accordo sulla mutua assistenza giudiziaria tra l'Unione europea e gli Stati Uniti d'America, firmati entrambi il 25 giugno 2003.

7 WP 136 "Parere 4/2007 sul concetto di dati personali" adottato il 20 giugno 2007.

8 WP Parere 8/2004 sull’informazione dei passeggeri in merito al trasferimento di schede nominative dei passeggeri aerei (PNR) sui voli tra l’Unione europea e gli Stati Uniti d’America, adottato il 30 settembre 2004, WP 132 Parere 2/2007 sull'informazione dei passeggeri in merito al trasferimento di dati PNR alle autorità statunitensi, adottato il 15 febbraio 2007, e nota informativa breve per i voli tra l’Unione europea e gli Stati Uniti.