Rieccoci con i PNR! Nuovo accordo UE-U.S.A., nuove schermaglie tra istituzioni europee

0

Necessity and proportionality are key principles without which the fight against terrorism will never be effective”: queste le parole usate del Parlamento europeo nella risoluzione 5 maggio 2010, richiamate dal Garante europeo, Peter Hustinx, a conclusione e sintesi del suo parere del 9 dicembre scorso in merito alla proposta del Consiglio di un nuovo accordo sull’uso ed il trasferimento dei PNR (Passenger Name Record) al DHS (Department of Homeland Security) americano.

Peccato che, a pochi giorni di distanza, il Consiglio abbia adottato il nuovo accordo  sullo scambio dei dati PNR (l’accordo è stato firmato dai rappresentanti UE e U.S.A. il 15 dicembre 2011) senza affatto recepire le osservazioni del Privacy Supervisor. 

Un atto, quello dell’EPS, tra i tanti sintomatici del radicale disaccordo insito nelle istituzioni europee (Parlamento, EDPS, e Gruppo di Lavoro Art.29 da un lato e Commissione e Consiglio dall’altro) sull’annosa questione dei PNR.

 La querelle va infatti avanti su fronti contrapposti sin dal 2004, ovvero sin dai tempi del primo accordo PNR stipulato, con un vero e proprio atto di forza, dal Consiglio in risposta alla richiesta  avanzata dagli USA, dopo i fatti dell’11 settembre 2001, alle compagnie aeree, in volo da o per gli Stati Uniti, di accesso ai dati contenuti nel sistema di prenotazione e partenza dei voli al fine di verificare l’identità dei passeggeri in transito sul territorio americano.

All’epoca, nonostante l’opinione contraria del Parlamento europeo (che riteneva giuridicamente necessario la sottoscrizione di un accordo internazionale nel rispetto dei diritti fondamentali) e del Gruppo europeo di Lavoro Articolo 29 (che aveva espresso delle riserve sulle garanzie di un adeguato livello di protezione dei dati da parte degli U.S.A.), nel maggio 2004 la Commissione dava parere favorevole circa l’adeguatezza del livello di protezione dei dati PNR trasferendi dalle compagnie aeree europee al Dipartimento per la Sicurezza americano ed il Consiglio approvava l’accordo impegnando la Comunità europea al trasferimento dei dati stessi, giustificando il provvedimento con l’esigenza di salvaguardare la concorrenza nel mercato interno europeo in materia di trasporto aereo (sic!).

Nella diatriba, il 30 maggio 2006, interveniva (nelle cause congiunte C-317/04 e C-318/04 intentate dal Parlamento europeo) la Corte di Giustizia, la quale annullava la decisione del Consiglio sancendo che l’art.95 del Trattato non poteva costituire la base normativa su cui legittimare l’accordo atteso che il trasferimento di dati personali, nel caso di specie, non era riferibile a soggetti privati ma ad autorità statali per finalità di pubblica sicurezza (a cui, pertanto, non poteva applicarsi la direttiva 95/46/CE).

Nel luglio 2007 veniva siglato un nuovo accordo, questa volta tra Unione europea e Stati Uniti, a cui faceva immediatamente seguito una nuova risoluzione del Parlamento che criticava l’iter procedurale seguito, considerato solo apparentemente corretto in quanto non era stato richiesto il parere del Parlamento stesso, come previsto dagli artt.24, 38 e 39 del Trattato nel caso di accordi con più Stati od organizzazioni internazionali.

 Con l’entrata in vigore del trattato di Lisbona, il 1° dicembre 2009, la situazione si è ulteriormente arrovogliata in quanto il Parlamento è chiamato non più solo ad esprimere un parere bensì ad approvare gli accordi dell’Unione europea con gli Stati Uniti sul trasferimento dei PNR ed è in tale contesto normativo che, con risoluzione in data 5 maggio 2010, il Parlamento decideva di rinviare la votazione sulla richiesta di approvazione dell’accordo del 2007 fintantoché non venisse accertata la conformità delle modalità di utilizzo dei dati PNR col diritto dell’Unione, tenuto conto del  principio essenziale per cui l’Unione europea è fondata sullo stato di diritto e che pertanto qualsiasi trasferimento di dati personali da parte dell’Unione europea e dei suoi Stati membri verso paesi terzi per finalità di pubblica sicurezza (del paese terzo…), al fine di offrire le necessarie garanzie ai cittadini dell’Unione, deve basarsi su accordi internazionali aventi il rango di atti legislativi, deve rispettare le garanzie procedurali e deve ottemperare alla normativa sulla protezione dei dati.

Chiedeva il Parlamento che qualsiasi nuovo strumento legislativo sui PNR fosse preceduto da una valutazione d’impatto sulla privacy e da un test di proporzionalità al fine di dimostrare  l’insufficienza degli strumenti giuridici già esistenti.

Sulla stessa linea si poneva il WP 29, il quale con i pareri 7/2010 e 10/2011 si esprimeva su due  proposte della Commissione, sottolineando come l’esigenza primaria nell’ipotesi di trasferimento dei dati dei passeggeri europei al DHS fosse il rispetto dei principi di necessità e proporzionalità.

In particolare, pur essendo la seconda proposta (di direttiva) della Commissione del febbraio 2011 accompagnata da una valutazione d’impatto, il WP 29 osservava come, pur nella condivisione della legittimità della lotta contro il terrorismo e la criminalità organizzata, fosse indispensabile perseguire il giusto equilibrio tra la tutela della sicurezza pubblica e le limitazioni del diritto al rispetto della vita privata garantito dall’articolo 8 della CEDU e dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea.

Anche il recente intervento dell’EDPS si muove lungo la stessa direttrice.

Il Garante europeo, chiamato a fornire un parere sulla proposta del nuovo accordo UE-U.S.A.  esordisce ricordando come, secondo la Carta dei diritti fondamentali dell’Unione europea, ogni limitazione dei diritti fondamentali deve essere necessaria, proporzionata e prevista dalla legge.

Pur dando atto che la bozza del nuovo accordo apporta dei notevoli miglioramenti rispetto all’accordo del 2007, l’EDPS osserva che:

  1. lo scopo dell’agreement dovrebbe essere meglio specificato atteso che, allo stato, l’indicazione dei reati (di stampo terroristico, ma non solo) per i quali i dati dei passeggeri possono essere trattati dal DHS non è affatto precisa;
  2. la lista dei dati PNR dovrebbe essere ridotta poiché l’abbassamento a 19 categorie di dati è solo fittizio in quanto in sostanza i dati che potranno essere trasmessi sono gli stessi dell’accordo 2007, solo diversamente collocati e, soprattutto, si riferiscono anche a persone che prenotano un volo ma che poi materialmente non voleranno verso gli States;
  3. il DHS non dovrebbe trattare dati sensibili (e.g. richieste di sedie a rotelle o di pasti particolari), laddove invece la proposta di accordo prevede, sebbene previo filtraggio e mascheramento degli stessi, la possibilità in capo al DHS di conservarli per 30 giorni al fine di utilizzarli “in specific cases”…non meglio specificati;
  4. il periodo di data retention è eccessivo e sproporzionato. L’art.8 dell’accordo prevede la conservazione dei PNR per 5 anni in un database “attivo” ed altri 10 anni in un DB “passivo”; l’EDPS chiede che i dati vengano anonimizzati (irreversibilmente) o distrutti immediatamente dopo la loro analisi o al massimo dopo 6 mesi;
  5. l’accordo dovrebbe bandire completamente il pull system, ovverosia la possibilità concessa all’autorità di sicurezza americana di accedere direttamente ai dati PNR delle compagnie aeree a favore del push method, ovvero la fornitura dei dati al DHS da parte delle compagnie stesse;
  6. l’accordo dovrebbe garantire maggiormente i diritti dei passeggeri (alla loro privacy, ma anche alla riparazione in caso di danni);
  7. l’accordo dovrebbe prevedere che ulteriori trasferimenti dal DHS ad altre autorità interne statunitensi o di Paesi terzi possano essere effettuate solo se i riceventi sono in grado di  garantire un livello di tutela pari a quello previsto nell’accordo stesso e chiede che venga stilato un elenco tassativo di tali autorità.

 

Ma il rilievo più “disappointed” del Garante consiste nella disarmante presa di coscienza che  l’accordo è stato proposto (ormai anche approvato) a poche settimane dal termine previsto per l’adozione della proposta di revisione dell’intero tessuto legislativo europeo in tema di data protection.

Se a ciò si aggiunge la circostanza che, come abbiamo visto sopra, la Commissione da parte sua sta portando avanti una proposta di direttiva sui PNR (che riguarderà il trattamento dei dati PNR di tutti i voli verso qualsiasi paese terzo, posto che ad oggi sono stati stipulati accordi ad hoc solo con U.S.A., Canada e Australia), appare chiaro che la sottoscrizione del nuovo accordo in data 15 dicembre concreta l’ennesimo colpo di mano del Consiglio nella dibattuta materia.

Ora, però, la mano ripassa al Parlamento.

Speriamo bene che una mano non lavi l’altra…

Share this article!
Share.

About Author

Leave A Reply