La sentenza della Corte di giustizia delle comunità europee del 30 maggio 2006 avente ad oggetto le cause c-317/04 e c-318/04 e la vexata quaestio del trasferimento dei dati personali dei passeggeri degli aerei diretti negli Stati Uniti, (ovvero un argine

Scarica PDF Stampa
Dott. Giovanni Modesti[1]
“Chi è pronto a rinunciare alle proprie libertà fondamentali per comprarsi briciole di temporanea sicurezza non merita né la libertà né la sicurezza”
 
Benjamin Franklin
 
Sommario: Premessa; 1 – Il trasferimento dati dei passeggeri dall’Europa diretti o in transito verso gli Stati Uniti d’America; 2 – La sentenza della Corte di Giustizia delle Comunita’ europee del 30 maggio 2006. cause riunite c-317/04 e c-318/04; 2.1 – Il ricorso in merito alla causa c-318/04; 2.2 Il ricorso in merito alla causa c-317/04; Conclusione
  
PREMESSA
 
A seguito degli attentati dell’11 settembre 2001 cha hanno avuto luogo negli Stati Uniti si è registrata, nel nuovo continente, una diminuzione delle garanzie personali a fronte di un incremento delle misure di sorveglianza.
Ciò è avvenuto dopo che l’FBI e la CIA sono state accusate di non avere intercettato nessun segnale che facesse presagire l’attacco oltre che di una generica sottostima del problema terrorismo.
Forte della profonda frustrazione emersa presso la popolazione, il Governo statunitense ha cominciato a smantellare progressivamente le libertà individuali garantite dal Bill of Rights del 1971.
Dopo l’attacco terroristico alle Twin Towers e al Pentagono sono state approvate dal Parlamento statunitense una serie di leggi che andavano in questa direzione.
La prima, è quella nota come lo Usa Patriot Act[2] finalizzata a rafforzare la sicurezza nazionale degli Stati Uniti previa una contestuale riduzione dei diritti fino ad allora goduti dai cittadini statunitensi.
Sull’onda di questa deriva antilibertaria fortemente criticata, tra gli altri, dalle associazioni per la difesa dei diritti civili statunitensi, il 25 novembre del 2002 è stato adottato un decreto, firmato dal presidente Bush, con il quale si è riconosciuto il valore di legge del c.d. Homeland Security Act che ha portato alla, successiva, creazione del dipartimento denominato “Homeland Security Department”, ovvero il Dipartimento per la Sicurezza Interna.
Attraverso tale organo sono stati aggirati gli ‘ostacoli’ che ancora si frapponevano alla riduzione di alcuni tra i diritti fondamentali dei cittadini, infatti, il Dipartimento in parola ha avuto come mandato una serie di compiti quali: prevenire, proteggere dagli attacchi e rispondere agli atti di terrorismo sul suolo americano.
Lo scorso anno, precisamente ad aprile del 2005, è stata avanzata una proposta di legge mirata alla creazione di un enorme data base, denominato Homeland Security Operations Center Database[3], finalizzato ad agevolare la attività di prevenzione e di repressione nella lotta alle attività terroristiche.
L’Homeland Security Department finisce per avere implicazioni al di fuori del territorio degli USA in quanto prende in esame anche il campo dei trasporti. Tale Dipartimento ha il potere decisionale in merito al traffico aereo da e verso gli Stati Uniti, pertanto, anche i cittadini della Comunità Europea (CE) sono coinvolti da queste decisioni.
 
In Europa, a seguito degli attentati del 2001 verificatisi negli Usa è stato istituito un gruppo indipendente di esperti incaricati dalla Commissione europea di monitorare lo stato dei diritti fondamentali all’interno della UE, alla luce dei principi sanciti nella Carta dei diritti fondamentali dell’Unione europea.
In Italia, l’allora Presidente dell’Autorità garante, il Prof. Stefano Rodotà, ha manifestato viva preoccupazione per l’affermarsi di una deriva antilibertaria contestando la equazione ‘meno privacy, più sicurezza’[4].
In merito alla protezione dei dati personali e alla cooperazione con Paesi terzi, in particolare gli Usa, è stato ribadito il divieto di fornire agli Stati terzi assistenza “qualora ciò possa comportare la violazione di diritti fondamentali della persona in oggetto.” A tale proposito si è fatto riferimento sia all’art. 25 della direttiva 95/46/CE sia all’art. 8 della carta dei diritti fondamentali[5].
Per completezza, non può essere taciuta la Risoluzione adottata a Sidney il 10 – 12 settembre 2003, alla 25ma Conferenza Internazionale delle Autorità garanti per la protezione dei dati personali. La Risoluzione[6], votata alla unanimità ha chiesto che i dati dei viaggiatori diretti in Usa possano essere acquisiti e trasferiti soltanto all’interno di un “contesto che tenga conto della protezione dei dati e sulla base di un accordo internazionale.”
Forte della unanimità di posizioni registratasi a Sidney, il Parlamento europeo ha adottato la Risoluzione[7] (B5 – 0411/2003) ed  ha invitato la Commissione a proseguire nel suo lavoro avendo bene a mente determinati principi che sono imprescindibili, quali quelli che riguardano: la possibilità di trasferimento legittimo dei dati personali a terzi, il divieto di accesso ai data base delle compagnie aeree se l’accesso stesso non avviene in conformità ai principi stabiliti dalla direttiva 95/46/CE, ecc.
 
 
1.     IL TRASFERIMENTO DATI DEI PASSEGGERI DALL’EUROPA DIRETTI O IN TRANSITO VERSO GLI STATI UNITI D’AMERICA
 
La materia[8] era regolata attraverso una accordo stipulato tra gli Usa e l’Europa, c.d. Safe Harbor, approdo sicuro, che nasce per motivi di natura commerciale e non di sicurezza. Finalità di tale accordo era quello di assicurare stabilità alle transazioni commerciali tra i due continenti attese le differenze esistenti tra i due sistemi giuridici.
Il Safe Harbor[9] prendeva in considerazione anche la problematica legata al trasferimento dei dati personali e lo faceva recependo e impegnando le imprese commerciali al rispetto dei principi sanciti dalla Direttiva 46/95/CE[10] che, tra le altre cose, prevedeva – a tutela del cittadino: la regola del consenso al trattamento dei dati[11], la facoltà di accesso alle banche dati[12] che trattano i dati del cittadino e l’applicazione dei principi di finalità[13] e di pertinenza[14].
In merito a tale accordo, che mantiene una valenza di tipo commerciale, il Gruppo di lavoro istituito dalla Comunità europea ha sollevato una serie di preoccupazioni individuando diversi aspetti della problematica inerenti al trattamento dei dati personali[15].
Poiché negli Usa la tutela della sfera privata e del relativo trattamento dei dati personali è oggetto di una disciplina legislativa di settore, con la conseguenza che è la singola azienda a decidere se aderire a tali principi, il Gruppo di lavoro ritiene che tale situazione di per sé non permette una tutela adeguata nel trattamento dei dati personali.
Ulteriori ‘vulnus’ riguardano l’esercizio del diritto di accesso[16], il concetto di dati proprietari[17], ecc.
Lo stesso anno il Gruppo di lavoro, sollecitato dalla Commissione, ha prodotto un nuovo parere[18] con il quale, oltre a ribadire le perplessità manifestate in precedenza, ha posto la attenzione su taluni aspetti inerenti la tutela offerta attraverso il principio di ‘avviso[19]’ e il rilascio del ‘consenso[20]’, ritenendo che la Commissione debba adoperarsi per migliorare la applicazione di tali principi, in modo da renderli compatibili con quelli sanciti dalla normativa europea in materia di trattamento dei dati personali.
Un ulteriore parere[21]artt. 6 e 7) e agli ulteriori requisiti riguardanti i dati sensibili (art. 8)”. è stato fornito lo stesso anno ed ha riguardato le cd FAQ, cioè le domande poste frequentemente dal Ministero del Commercio Usa. Il Gruppo di lavoro ha affermato la propria impossibilità ad esprimere un giudizio esaustivo sulle stesse atteso che le FAQ trasmesse sono parziali. Circa il trattamento dei dati sensibili è ribadito che i principi Safe Harbor “riguardano solo la legittimità degli aspetti internazionali dei trasferimenti dei dati”; di conseguenza i controllori dei dati con sede in un paese della CE “sono soggetti alle disposizioni nazionali di applicazione di altre norme della direttiva, vale a dire quelle relative alla legittimità del trattamento (
Con successivo parere,[22] dello stesso anno, il Gruppo di lavoro si è espresso in maniera compiuta sulle FAQ riguardanti i seguenti aspetti del trattamento dei dati personali: dati sensibili, eccezioni riguardanti il trattamento dei dati personali a scopi giornalistici, responsabilità secondaria[23], cacciatori di teste, banche di investimento e revisione dei conti, ruolo delle autorità di protezione dei dati e autocertificazione.
Il gruppo di lavoro si è dichiarato insoddisfatto dell’attuale versione ed ha invitato la commissione a sollecitare la controparte statunitense ad apportare una serie di miglioramenti. In particolare si chiede di: individuare con precisione le aziende che aderiscono all’”approdo sicuro”; che sia assegnata la giurisdizione ad un organismo pubblico, adeguatamente autorizzato; che sia rinforzato il principio della scelta; ecc.
Successivamente alle stragi terroristiche del 2001 le garanzie recepite dalla Direttiva 95/46/CE non sono più ritenute cogenti dalle autorità americane in quanto di intralcio alle operazioni di intelligence finalizzate alla prevenzione e alla repressione degli attacchi terroristici sul territorio degli Stati Uniti.
Per tale motivo la Homeland Security Department ha stabilito, in prima battuta, la legittimità da parte dell’amministrazione statunitense di chiedere alle compagnie di trasporto aereo la trasmissione dei dati riguardanti i passeggeri ed i membri dell’equipaggio.
Ulteriori FAQ sono state inserite nell’Allegato II del 2000 e riguardano: la verifica, l’accesso, le risorse umane, i contratti, la risoluzione delle controversie e le modalità di controllo dell’applicazione, il principio della scelta, le informazioni relative ai viaggiatori, i medicinali e i prodotti farmaceutici, le informazioni pubbliche e di dominio pubblico.
In merito alle richieste avanzate dalla Commissione dell’UE circa il risarcimento dei danni per violazione della sfera privata, la Federal Trade Commission (FTC) ha assicurato che sono regolamentate le modalità di tutela della privacy e, quindi, di risarcimento dei danni per violazione della privacy[24]. Va, comunque, ribadito che tali misure poste a tutela dei soggetti interessati i cui dati personali sono trattati non hanno valenza generale di legge ma sono subordinate all’accettazione delle stesse da parte della singola azienda commerciale!
Successivamente, le richieste hanno investito l’accesso ai dati contenuti nel c.d. Passenger Name Record (PNR) ovvero il registro con i nomi dei passeggeri.
Il Parlamento europeo ha autorizzato, attraverso una risoluzione, che nei trasporti verso gli USA sia consentito l’accesso elettronico a tali dati da parte delle autorità americane, anche prima dell’atterraggio.
La richiesta di tali dati non è un argomento ‘trattabile’ tant’è che gli USA si riservano, nel caso di diniego, la possibilità di revocare alla compagnia aerea, non ‘in linea’ con i desiderata americani, il permesso di atterraggio.
A fronte di tale atteggiamento che contrasta con i principi adottati dalla Comunità Europea in materia di trasmissione dei dati personali al di fuori della UE, le Autorità Garanti per il trattamento dei dati personali hanno costituito un Gruppo di lavoro con il compito di fornire un parere in merito. Il parere emesso il 13 giugno 2003 riteneva che non potessero essere recepite le richieste di accesso ai dati personali dei viaggiatori da parte delle autorità americane.
Nello specifico, si affermava che, pur a fronte di una evidente e condivisa preoccupazione degli Usa alla luce dei recenti attacchi terroristici, occorreva comunque garantire il rispetto dei diritti fondamentali e delle libertà individuali, di cui il diritto alla riservatezza e alla protezione dei dati rappresenta un importante tassello. Ebbene, nelle procedure predisposte dagli Usa non risultavano garantiti tali diritti.
In merito ai dati contenuti nel PNR il Gruppo di lavoro ha anche indicato quali – tra questi dati – possono essere acquisiti dalle autorità americane e quali debbono essere esclusi.
Al primo gruppo appartengono: la data di prenotazione, le date previste del viaggio, il nome del passeggero, eventuali altri nomi che compaiono nella prenotazione, altri nomi che compaiono nel PNR, l’itinerario completo, l’identificatore dei biglietti gratuiti, i biglietti di sola andata, le informazioni sulla creazione del biglietto, i dati relativi al costo del biglietto (ATFQ, Automatic Ticket Fare Quote), il numero del biglietto, la data di emissione del biglietto, i precedenti casi di assenza all’imbarco, il numero di valigie, il numero dell’etichetta apposta sulle valigie, eventuali segnalazioni su un passeggero senza prenotazione, il numero di valigie per tratta, i trasferimenti alla classe superiore a richiesta o meno del passeggero e tutti i cambiamenti ai dati del PNR in merito alle voci sopra esposte.    
Al secondo gruppo, relativo ai dati da non comunicare, vanno ascritti i dati considerati delicati dalla direttiva 46/95/Ce, ad es. la richiesta di pasti speciali dai quali è possibile desumere il credo religioso del viaggiatore o una sua patologia; si tratta, quindi, dei c.d. ‘dati sensibili[25]’.
I garanti europei per la protezione dei dati personali hanno espresso forti perplessità anche in merito alla durata del periodo di conservazione dei dati, prevista per un lasso di tempo pari a 3 anno e mezzo, per ciò che attiene al loro utilizzo[26] e di 7 od 8 anni, per il loro congelamento, prima di arrivare alla distruzione degli stessi!
Da notare che anche il Garante italiano[27] per il trattamento dei dati personali ha stigmatizzato la condotta della Commissione, dando pieno appoggio alle risultanze prodotte dal Gruppo di lavoro europeo.
Pur a fronte di tale pronuncia da parte dei Garanti e di una risoluzione adottata dal Parlamento europeo il 31 marzo 2004, nella quale si ribadiva la inadeguatezza degli impegni assunti dagli Usa in merito alla protezione dei dati personali, la Commissione europea ed il Consiglio hanno dato il via libera all’accordo con gli Stati Uniti[28].
In buona sostanza, la Commissione ha dichiarato di ritenere che gli impegni assunti dagli Usa, rectius, dall’ente deputato a gestire il traffico aereo ( = lo United States Bureau of Customs and Border Protection, altrimenti noto con l’acronimo: US CBP) fossero sufficienti a garantire una adeguata protezione dei dati contenuti nelle schede dei passeggeri[29].
A seguito di tale insanabile contrasto sorto tra: i Garanti europei della privacy e il Parlamento europeo, da una parte, e la Commissione europea dall’altra, il Parlamento ha presentato ricorso alla Corte di Giustizia.
 
 
2.     LA SENTENZA DELLA CORTE DI GIUSTIZIA DELLE COMUNITA’ EUROPEE DEL 30 MAGGIO 2006. CAUSE RIUNITE C-317/04 E C-318/04.
 
Il Parlamento ha prodotto due ricorsi, il primo, sostenuto dal Garante europeo della protezione dei dati, contro il Consiglio dell’Unione europea, convenuto nella causa C-317/04 e sostenuto dalla Commissione delle Comunità europee e dal Regno Unito di Gran Bretagna e Irlanda del Nord; il secondo ricorso, contro la Commissione delle Comunità europee, convenuta nella causa C-318/04, sostenuta dal Regno Unito di Gran Bretagna e Irlanda del Nord.
Nello specifico, con il ricorso contro la causa C-317/04, il Parlamento europeo chiede l’annullamento della decisione del Consiglio del 17 maggio 2004, 2004/496/CE[30], relativa alla conclusione di un accordo tra la Comunità europea e gli Usa sul trattamento e sul trasferimento dei dati di identificazione delle pratiche (PNR) da parte dei vettori aerei all’ufficio doganale e di protezione dei confini del dipartimento per la sicurezza interna degli Stati Uniti.
Con il ricorso, invece, contro la causa C-318/04, il Parlamento chiede l’annullamento della decisione della Commissione 14 maggio 2004, 2004/535/CE, relativa al livello di protezione adeguato dei dati personali contenuti nelle schede nominative dei passeggeri aerei trasferiti all’Ufficio delle dogane e della protezione delle frontiere degli Usa, lo United States Bureau of Customs and Border Protection.
I giudici della Corte di Giustizia hanno inquadrato la problematica racchiusa nei due ricorsi, che sono stati peraltro accomunati, nel seguente contesto normativo:
1. La Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali del 4.11.1950, all’art. 8 dispone che: “1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. 2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine pubblico e alla prevenzione dei reati,…”.
2. La direttiva del Parlamento europeo e del Consiglio del 24.10.1995, la 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tale direttiva al tredicesimo considerando dispone che le “attività previste dai titoli V e VI del trattato sull’Unione europea attinenti alla pubblica sicurezza, alla difesa, alla sicurezza dello Stato o alle attività dello Stato in materia di diritto penale non rientrano nel campo d’applicazione del diritto comunitario, fatti salvi gli obblighi che incombono agli Stati membri,…”.  
Il cinquantasettesimo considerando enuncia che: “…deve essere vietato il trasferimento di dati personali verso un paese terzo che non offre un livello di protezione adeguato”.
3. L’art. 2[31] della direttiva in questione contiene la definizione di una serie di concetti quali i ‘dati personali’ e il ‘trattamento di dati personali’[32].
4. L’art. 4 della direttiva delimita il campo di applicazione della stessa che, pertanto si applica “al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi. 2. Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali: effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario…e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale.
5. In base all’art. 7 della direttiva, il trattamento di dati personali può essere effettuato solo quando: “c) è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure…e) è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati, oppure f) è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela…”.
6. L’art. 25 della direttiva è inserito nel Capo IV relativo al ‘Trasferimento di dati personali verso Paesi terzi’ prevede che: “1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può avere luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato…2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati;….
7. Ex art. 26 della direttiva, “In deroga all’articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata…può avvenire a condizione che: …d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante…”.
 
La Commissione della Comunità europea ha adottato la decisione sulla adeguatezza, sulla scorta della citata direttiva, ed in particolare dell’art. 25. Tale decisione, tra le altre cose, afferma che: “Il trattamento da parte del CBP (United States Bureau of Customs and Border Protection – Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti) dei dati personali contenuti nei PNR (Passenger Name Records – schede nominative dei passeggeri) dei passeggeri aerei che gli sono inviati è disciplinato dalle disposizioni che figurano nella ‘Dichiarazione d’impegno del ministro della Sicurezza interna (Department for Homeland Security – Ufficio delle dogane e della protezione delle frontiere – CBP) dell’11 maggio 2004 e dalla legislazione americana, alle condizioni previste dalla dichiarazione di impegno.
I dati PNR “devono essere utilizzati al solo scopo di prevenire e di combattere il terrorismo e i reati collegati al terrorismo, altri reati gravi, compresa la criminalità organizzata, che, per natura, rivestono un carattere transnazionale, e la fuga in caso di mandato d’arresto emesso o di pena detentiva comminata per quei reati”.
La Commissione della Comunità europea, in tale senso, ha ritenuto che il CBP è “…in grado di garantire un livello di protezione adeguato dei dati delle schede nominative dei passeggeri trasmessi dalla Comunità per quanto riguarda i voli con destinazione o partenza dagli Stati Uniti…”.
L’Ufficio delle dogane e della protezione della Sicurezza interna (Department of Homeland Security), a sua volta, ha fatto propria una dichiarazione di impegno al fine di garantire una adeguata protezione al trattamento dei dati personali relativi ai passeggeri diretti o in transito verso gli Usa. Nello specifico, in tale dichiarazione è affermato che: “…1. …ciascun vettore aereo che assicura il trasporto aereo internazionale di passeggeri da e per gli Stati Uniti deve fornire al PCB un accesso elettronico ai dati del PNR…3. I dati del PNR sono utilizzati dal CBP al solo fine di prevenire e combattere: 1. il terrorismo e i crimini commessi; 2. altri reati gravi, compresa la criminalità organizzata transnazionale; e 3. la fuga dall’arresto o da pena detentiva per i suddetti crimini…”.
In merito al trasferimento dei dati contenuti nel PNR ad altri paesi, “ Il CBP, nell’esercizio del suo potere discrezionale, trasmetterà i dati del PNR ad altre autorità governative, comprese le autorità degli altri paesi incaricate di fare rispettare la legge o della lotta contro il terrorismo, previo esame del caso singolo, a fini di prevenzione e lotta contro i reati…”.
Sulla scorta di queste assicurazioni fornite dall’ente doganale statunitense, il Consiglio ha adottato la decisione 2004/496, autorizzando “…la Commissione a negoziare, in nome della Comunità, un accordo con gli Stati Uniti d’America sul trattamento e sul trasferimento dei dati di identificazione delle pratiche (PNR) da parte dei vettori aerei all’ufficio doganale e di protezione dei confini del dipartimento per la sicurezza interna degli Stati Uniti”.
Il testo dell’accordo stipulato tra la Commissione, a nome della CE, e gli USA, recita: “…1) il CBP può accedere elettronicamente ai dati PNR provenienti dai sistemi di prenotazione/controllo…dei vettori aerei situati nel territorio degli Stati membri della Comunità europea…per tutto il periodo in cui la decisione è applicabile e solo finchè non sia in vigore un sistema soddisfacente che permetta la trasmissione di tali dati da parte dei vettori aerei….2) ciascun vettore aereo che assicura il trasporto di passeggeri da o per gli Stati Uniti nello spazio aereo estero tratta i dati PNR contenuti nei suoi sistemi automatizzati di prenotazione come richiesto dal CBP…” e quest’ultimo ne attesta la conformità.
In merito alla entrata in vigore di tale accordo la data di decorrenza viene fatta coincidere con quella di firma dell’accordo stesso, (id est, il 28 maggio 2004).
 
 
            2.1         IL RICORSO IN MERITO ALLA CAUSA C-318/04
 
Il Parlamento ha adito la Corte di Giustizia delle Comunità Europee deducendo quattro motivi di annullamento relativi ai seguenti vizi: eccesso di potere, violazione dei principi essenziali della direttiva, violazione dei diritti fondamentali e violazione del principio di proporzionalità.
In merito al primo motivo di annullamento, id est: l’eccesso di potere, il Parlamento ritiene che la decisione “della Commissione è stata adottata ultra vires, in quanto non sarebbero state rispettate le disposizioni emanate con la direttiva” in particolare in riferimento “all’esclusione delle attività che non rientrano nell’ambito di applicazione del diritto comunitario”. Tant’è che “il trattamento dei dati PNR dopo il trasferimento all’autorità americana di cui alla decisione sull’adeguatezza sarà, effettuato per l’esercizio di attività proprie degli Stati…”.
Invece, “…la Commissione…ritiene che le attività dei vettori aerei rientrino chiaramente nell’ambito di applicazione del diritto comunitario” in quanto il trattamento dei suddetti dati avverrebbe all’interno della Comunità. Di tal guisa che “Nel trattamento dei dati PNR i vettori aerei perseguirebbero semplicemente lo scopo di rispettare le prescrizioni del diritto comunitario” compreso l’obbligo oggetto dell’accordo.
La Corte ha deciso quanto segue: l’art. 3, numero 2 primo trattino della Direttiva esclude dal suo ambito di applicazione “i trattamenti di dati personali effettuati per l’esercizio di attività che non rientrano nell’ambito di applicazione del diritto comunitario…e comunque i trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato e le attività dello Stato in materia di diritto penale”.
Riguardo all’ambito di disciplina dei dati contenuti nel PNR, la Corte ha espresso un distinguo tra i dati relativi ai PNR raccolti dalle compagnie aeree, che rientrano nell’ambito di una attività disciplinata dal diritto comunitario, e gli stessi dati trattati “per salvaguardare la pubblica sicurezza e a fini repressivi”, per un ambito che esula dal campo di applicazione del diritto comunitario.
Di conseguenza “la prima parte del primo motivo, relativa ad una violazione dell’art. 3, n. 2, primo trattino della direttiva, è quindi fondata”.
 
 
            2.2         IL RICORSO IN MERITO ALLA CAUSA C-317/04
 
Il ricorso su questa causa è fondato sulla deduzione di sei motivi di annullamento “relativi alla scelta erronea dell’art. 95 CE come fondamento giuridico della decisione 2004/496 e alla violazione, rispettivamente, dell’art. 300, n. 3, secondo comma, CE, dell’art. 8 della CEDU, del principio di proporzionalità[33], dell’obbligo di motivazione e del principio di leale cooperazione”.
In merito alla eccezione relativa alla scelta erronea dell’art. 95 CE come fondamento giuridico della decisione 2004/496, la Corte ha deciso che il citato articolo “non è idoneo a fondare la competenza della Comunità, a concludere l’accordo”, in quanto l’accordo riguarda aspetti quali il trasferimento dei dati e la adeguatezza di tale modalità di trattamento, che “sono esclusi dall’ambito di applicazione della direttiva. Conseguentemente, la decisione 2004/496 non è stata validamente adottata sul fondamento dell’art. 95 CE”[34]. Ragion per cui la Corte ha reputato non necessario passare ad esaminare gli altri punti del ricorrente.
La Corte, infine, si è posta il problema della determinazione degli effetti della sentenza, stabilendo che “Gli effetti della decisione sull’adeguatezza devono…essere mantenuti fino al 30 settembre 2006, senza che, tuttavia, tali effetti siano mantenuti oltre la data di estinzione dell’accordo”.
Attraverso la sentenza oggetto della trattazione, la Corte ha deciso di annullare sia la decisione del Consiglio del 17.5.2004, 2004/496/CE, “relativa alla conclusione di un accordo tra la Comunità europea e gli Stati Uniti d’America sul trattamento e trasferimento dei dati di identificazione delle pratiche…da parte dei vettori aerei all’ufficio doganale…” sia la decisione della Commissione del 14.5.2004, 2004/535/CE, “relativa al livello di protezione adeguato dei dati personali contenuti nelle schede nominative dei passeggeri aerei trasferiti all’Ufficio dogane e della protezione alle frontiere degli Stati Uniti…”.
 
 
Conclusione
 
La decisione adottata dalla Corte di Giustizia delle Comunità europee recepisce le istanze prodotte dal Parlamento europeo e dal Gruppo di lavoro dei Garanti per la protezione dei dati personali.
Tale recepimento però non verte sul merito delle eccezioni prodotte dagli istanti in quanto la Corte si è limitata a invalidare le decisioni della Commissione e del Consiglio, considerando che la base giuridica di tali decisioni fosse inappropriata.
Restano, pertanto, inevase una serie di domande: occorre un nuovo accordo che disciplini la trasmissione dei dati dei passeggeri in volo per gli Usa? Tenuto conto che la base giuridica di tale accordo non può essere ricercata nella direttiva 95/46/Ce a quale norma dovrà farsi riferimento?
Questi ed altri quesiti al momento restano senza risposta!
 
 
 
Dott. Giovanni Modesti


[1] L’Autore, funzionario AUSL, è Docente Incaricato di: Diritto Privato al Corso di Laurea Specialistica in Scienze Infermieristiche ed Ostetriche, e di: Elementi di Diritto Pubblico al Corso di Laurea in Tecnico di Laboratorio Biomedico; presso la Università “G.D’Annunzio” – Facoltà di Medicina e Chirurgia di Chieti-Pescara; a.a. 2005/2006.
 
[2] Uniting and Strengthening America by Providing Appropriate Tool Required to Intercept and Obstruct Terrorism Act of 2001, nota come Usa Patriot Act, consente agli organi di polizia di effettuare intercettazioni telefoniche ed informatiche, perquisizioni ed acquisizioni di dati ecc., oltre a permettere la detenzione di persone straniere che abbiano violato le leggi sulla immigrazione o che, comunque, siano ritenute una minaccia per la sicurezza nazionale.
[3]Questa enorme banca dati sarà il risultato delle informazioni aventi attinenza, in maniera diretta o indiretta, con la sicurezza nazionale. Le informazioni saranno reperite, oltre che dagli enti e dai servizi di intelligenze, anche da privati.
[4] Nel merito egli ha sostenuto che “Le esigenze di lotta al terrorismo richiedono ancora maggiori garanzie. Se si fa scendere il grado di tutela della privacy potremmo creare condizioni più favorevoli all’azione dei terroristi. Un esempio è dato dalla facilità con cui si accede alle liste dei passeggeri sugli aerei…Quelle che servono sono quindi raccolte mirate…non schedature di massa.” (Newsletter del 17 – 23 settembre 2001).
[5]Per una più dettagliata esposizione della posizione adottata dalla UE si rimanda alle Newsletter del Garante per la protezione dei dati personali n. 169 del 28 aprile – 4 maggio 2003 e n. 175 del 16 – 22 giugno 2003.
[6]Si veda la Newsletter del Garante per la protezione dei dati personali n. 182 del 8 – 14 settembre 2003.
[7]Si rimanda alla Newsletter del Garante per la protezione dei dati personali n. 186 del 6 12 ottobre 2003.
[8]Bibliografia di riferimento: Busia G., Il via libera alla schedatura lede la privacy dei viaggiatori, su “Guida al Diritto – Il Sole 24 Ore, n. 24/2006;  Gil A., UE: verrà negato il trasferimento dei dati personali dei passeggeri che volano negli Stati Unit?, su www.apogeonline.com; Elia E., Trasferimento dei dati personali all’estero, su www.comuni.it; Calvano R., La Corte di giustizia annulla l’accordo con gli Usa che prevede il trasferimento dei dati personali dei passeggeri europei alle autorità statunitensi; su www.curia.eu.int; Elia E., Trasferimento dati personali all’esterop: USA-UE: due scuole di pensiero a confronto, su www.comuni.it/praticaforense/articolo.php?idart=44; Lisi A, e De Giorni M., Si ripropone lo scontro UE-USA nei voli transatlantici: la tutela privacy tra esigenze di sicurezza internazionale e diritti della persona, su www.diritto.it;
[9]Principi di approdo sicuro (Safe Harbor) del Dipartimento del commercio degli Stati Uniti, 21 luglio 2000. Tale documento parte dalla constatazione che a decorrere dal 25 ottobre 1998 “è entrata in vigore la legislazione globale dell’Unione europea in tema di riservatezza dei dati personali, ossia la direttiva sulla protezione dei dati…Tale documento dispone che i dati personali possano venire trasferiti solamente in paesi non appartenenti all’UE che garantiscano un livello ‘adeguato’ di protezione della riservatezza. Per quanto Stati Uniti ed Unione europea condividano il principio di rafforzare la tutela della sfera privata dei rispettivi cittadini, gli Stati Uniti applicano un metodo diverso da quello adottato dall’Unione europea. Gli Stati Uniti si basano su un approccio settoriale costituito da una combinazione di legislazione, regolamentazione e autoregolamentazione; invece l’Europa si è data una normativa generale. Viste le differenze, molte organizzazioni americane hanno manifestato incertezze sull’impatto dello standard UE di ‘adeguatezza’ per quanto riguarda il trasferimento di dati personali dall’Unione europea agli Stati Uniti.”
[10]Direttiva Ce 24 ottobre 1995, n. 95/46/CE. Direttiva del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. (Gazzetta Ufficiale C.E. n. L 281 del 23 novembre 1995)
[11]Direttiva n. 95/46/CE, art. 2, comma 1, lett. h) “ ‘consenso della persona interessata’: qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento”.
[12]Direttiva n. 95/46/CE, art. 12, “ Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento: a) liberamente e senza costrizione…: la conferma dell’esistenza o meno di trattamenti di dati che la riguardano e l’informazione almeno sulle finalità dei trattamenti…; la comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti…; la conoscenza della logica applicata nei trattamenti automatizzati dei dati che lo interessano…; a seconda dei casi, la rettifica la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva…; la notificazione ai terzi, ai quali sono stati comunicati i dati, di qualsiasi rettifica, cancellazione o congelamento…”.
[13]Direttiva n. 95/46/CE, art. 6, comma 1, lett. b) , i dati personali devono essere “rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità….;”
[14]Direttiva n. 95/46/CE, art. 6, comma 1, lett. c) , i dati personali devono essere “adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;”
[15]Parere 26 gennaio 1999, n. 1. Parere del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali riguardante il livello di protezione dei dati negli Stati Uniti e le discussioni in corso tra la Commissione delle Comunità Europee e il Governo degli Stati Uniti.
[16]Parere 26 gennaio 1999, n. 1, punto 7. lett. a) “il diritto di accesso delle persone è limitato a quanto è ‘ragionevole’, le direttive OCSE sulla tutela della sfera privata non limitano il diritto in quanto tale, affermano solo che esso va esercitato ‘in modo ragionevole’”.
[17]Parere 26 gennaio 1999, n. 1, punto 7. lett. c) “i dati ‘proprietari’ e quelli elaborati manualmente sono esclusi dall’ambito di applicazione dei principi USA; il principio della ‘scelta’ non garantisce alcuna tutela ai dati raccolti da terzi e quello di ‘accesso’ esclude le informazioni provenienti da pubblici registri”.
[18]Parere 3 maggio 1999, n. 2 Parere del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali riguardante l’adeguatezza dei ‘principi internazionali per un approdo sicuro’ stabiliti dal Ministero del commercio USA il 19 aprile 1999.
[19]In merito al ‘principio di avviso, il parere n. 3 dispone che “ affinchè sia coerente con il principio di ‘sicurezza dei dati’, si ricorda che la persona va informata che saranno raccolti dati solo nei limiti necessari per soddisfare le finalità della raccolta stessa.” La persona deve, inoltre, sapere “che tipo di informazioni personali si raccolgono su di lei”.
[20]Il consenso al trattamento dei propri dati personali deve essere “ concesso liberamente, in maniera specifica e informata, e che la mancanza di una risposta non possa essere interpretata come un tacito consenso.”
[21]Parere 7 giugno 1999, n. 4 Parere del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali riguardante le FAQ (domande poste frequentemente) che saranno pubblicate dal Ministro del Commercio Usa in relazione ai principi “Approdo sicuro” (Safe Harbor) proposti.
[22]Parere 3 dicembre 1999, n. 7 Parere del gruppo di lavoro sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali riguardante il livello di tutela dei dati offerto dai principi dell’”approdo sicuro” (Safe Harbor) pubblicati con le FAQ (domande poste frequentemente) ed altri documenti in materia dal Ministero del commercio Usa il 15 e 16 novembre 1999.
[23]La ipotesi di ‘responsabilità accessoria’ è riferita ai fornitori di servizi su Internet e ai vettori di telecomunicazioni che non sono responsabili quando per conto di un’altra organizzazione ‘semplicemente’ trasmettono, indirizzano, comunicano od archiviano temporaneamente informazioni tali da violare i principi contenuti nell’accordo cd. dell’approdo sicuro.
[24]Allegato IV-Tutela della riservatezza e risarcimento danni, autorizzazioni legali, fusioni e acquisizioni secondo la legge degli Stati Uniti. “…l’uso dei dati personali, in modo contrastante con i principi di ‘approdo sicuro’ può dar luogo ad una responsabilità legale…Nel contesto dell’approdo sicuro, la dichiarazione pertinente è la dichiarazione pubblica con la quale l’organizzazione s’impegna a conformarsi ai principi denominati di ‘approdo sicuro’. Avendo assunto un tale impegno, un’osservanza consapevole di quei principi potrebbe motivare un’azione legale per falsa dichiarazione promossa da quanti hanno prestato fede alla falsa dichiarazione. Poiché l’impegno ad attenersi ai principi è preso nei confronti del pubblico in generale, le persone interessate e i responsabili del trattamento in Europa che trasferiscono dati personali all’organizzazione statunitense potrebbero intraprendere un’azione legale nei confronti dell’organizzazione statunitense per falsa dichiarazione.”Circa le ipotesi in presenza delle quali la parte lesa ha il diritto di ottenere un indennizzo, l’Allegato in esame indica: “a) il pregiudizio per la privacy derivante dalla violazione; b) il danno psicologico dimostrato, nel caso in cui esso sia di natura normalmente attribuibile ad una tale violazione; c) ogni danno particolare di cui la violazione sia una causa legale.”
[25]La Direttiva n. 95/46/CE, all’art. 8, individua le categorie di dati rientranti tra quelli cd ‘sensibili: “dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.”
[26]Al contrario di quanto accade presso il sistema australiano, con approvazione dei Garanti europei, in cui i dati di tutti i passeggeri vengono conservati solo in presenza di un reato o di una indagine per un presunto reato.
[27]Newsletter n. 212 del 10-16 maggio 2004, nella quale si afferma che “I dati sensibili…saranno accessibili e cominceranno ad essere filtrati soltanto quando un apposito sistema diventerà operativo. Inoltre, i dati potranno essere trattati per finalità che esorbitano dalla mera lotta al terrorismo ed essere ulteriormente trasmessi ad altre autorità, anche di paesi terzi. Infine, i diritti dei passeggeri europei ad essere informati, ad accedere ai propri dati ed eventualmente a rettificarli non sembrano adeguatamente garantiti…”.
[28]Sulle ‘divergenze’ tra la Commissione e il Parlamento europeo si è soffermato il commissario responsabile del mercato interno, Frederik Bolkestein, che ha condotto i negoziati per conto della Commissione, affermando che “Anche se il parlamento europeo è di parere diverso, la Commissione ritiene che la soluzione negoziata migliorerà la situazione dei cittadini e delle compagnie aeree dell’Unione europea, in quanto attiverà importanti garanzie dagli USA in materia di rispetto dei diritti alla protezione dei dati e di maggiore certezza del diritto”. L’alternativa a tale accordo, a detta di Bolkestein, “ non sarebbero state ulteriori concessioni da parte degli USA, ma l’incertezza del diritto e la potenziale sconfessione degli impegni da essi assunti in materia di protezione dei dati trasmessi…”.
[29]Attraverso la Decisione 2004/535/CE, del 14 maggio 2004, relativa al livello di protezione adeguato dei dati personali contenuti nelle schede nominative dei passeggeri aerei trasferiti all’Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti, Bureau of Customs and Border Protection “ (Gazzetta Ufficiale L. 235 del 06.07.2004), la Commissione ha adottato la seguente decisione: “art. 1. Ai fini dell’applicazione dell’articolo 25, paragrafo 2, della direttiva 95/46/CE, per tutte le attività che rientrano nel campo di applicazione di detta direttiva, si considera che i “Principi di approdo sicuro in materia di riservatezza”…applicati in conformità agli orientamenti forniti dalle ‘Domande più frequenti’…, pubblicate dal Dipartimento del commercio degli Stati Uniti in data 21 luglio 2000, garantiscano un livello adeguato di protezione dei dati personali trasferiti dalla Comunità a organizzazioni aventi sede negli Stati Uniti sulla base della seguente documentazione pubblicata dal Dipartimento del commercio degli Stati Uniti:…”.La Commissione ha però riconosciuto agli Stati membri la facoltà di “potere adottare misure per garantire l’ottemperanza alle disposizioni nazionali adottate in forza di disposizioni diverse dall’art. 25 della direttiva 95/46/CE”.
[30] Decisione del Consiglio 17.5.2004 n. 2004/496/CE: “ Il CBP può accedere elettronicamente ai dati PNR provenienti dai sistemi di prenotazione/controllo (‘sistemi di prenotazione’) dei vettori aerei situati nel territorio degli Stati membri della Comunità europea, in assoluta conformità della decisione, per tutto il periodo in cui la decisione è applicabile e solo finchè non sia in vigore un sistema soddisfacente che permetta la trasmissione di tali dati da parte dei vettori aerei. Ciascun vettore aereo che assicura il trasporto di passeggeri da o per gli Stati Uniti nello spazio aereo tratta i dati PNR contenuti nei suoi sistemi automatizzati di prenotazione come richiesto dal CBP in assoluta conformità della decisione e per tutto il periodo in cui la decisione è applicabile…Il CBP tratta i dati PNR ricevuti e i titolari dei dati interessati da tale trattamento in conformità delle leggi e degli obblighi costituzionali statunitensi, senza discriminazioni illegittime, in particolare in base alla nazionalità e al paese di residenza. Il CBP e la Commissione europea rivedono congiuntamente e su base periodica l’attuazione del presente accordo…”
[31]Direttiva n. 95/46/CE, art.2, comma 1, lett, a) e b): “a) ‘dati personali’ qualsiasi informazione concernente una persona fisica identificata o identificabile (‘persona interessata’); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale; b) ‘trattamento di dati personali’ (‘trattamento’): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione;”.
[32]  Sia consentito rimandare a Modesti G., Commento breve al D.Lgs.vo n. 196/2003. Codice in materia di protezione dei dati personali, su www.dirittosuweb.com; ottobre 2005 e su www.diritto.it/articoli/dir_privacy/diritto_privacy.html; (2005); Introduzione al Decreto Legislativo n. 196 del 2003 (Codice in materia di protezione dei dati personali) con particolare riferimento alle misure di sicurezza, su www.filodiritto.com/diritto/privato/informaticagiuridica/introduzioneprivacymisuresicurezzamodesti.htm; (2005)
[33]A tale proposito, J.M. Cavada, presidente della commissione parlamentare per le libertà civili, la giustizia e gli affari interni, in una intervista rilasciata in data 07.9.2005, ha affermato: “Per quanto concerne l’accordo concluso con le autorità americane…secondo il Parlamento e le autorità preposte alla protezione dei dati, il numero dei dati che gli Stati Uniti ci chiedono di trasferire è troppo elevato, i tempi di conservazione dei dati troppo lunghi, il numero delle autorità destinatarie troppo altro e gli obiettivi individuati troppo numerosi, e tutto ciò senza le necessarie garanzie.”. In riferimento all’equilibrio che deve esserci tra le libertà degli individui e la protezione dello stato sociale, ha dichiarato che “Lo Stato non deve sapere tutto; è fondamentale rispettare il principio di proporzionalità. Non è lo Stato che controlla i cittadini, ma i cittadini che controllano lo Stato. Occorre evitare l’istituzione di un dispositivo che rischierebbe di tradursi in un sistema di controllo di massa”.
[34] L’Avvocato generale della Corte di Giustizia, Philippe Lèger, pur ritenendo infondate le motivazioni addotte dal Parlamento europeo, ha affermato che la decisione della Commissione sull’adeguatezza non può validamente fondarsi sulla Direttiva 95/46/CE poiché questa non si applica al trattamento dei dati personali raccolti per l’esercizio di attività non rientranti nell’ambito del diritto comunitario e, comunque, ai trattamenti il cui oggetto sia la pubblica sicurezza o le attività dello Stato attinenti a settori del diritto penale.
 

Modesti Giovanni

Scrivi un commento

Accedi per poter inserire un commento