La conclusione del primo accordo TFTP Il veto del Parlamento europeo

Come si accennava poc’anzi, alla fine del 2009 la SWIFT, in riscontro alle preoccupazioni espresse dalle istituzioni democratiche europee, smetteva di immagazzinare i duplicati dei dati relativi alle transazioni inter-bancarie provenienti Spazio economico Europeo nel suo server in Virginia, disponendone la registrazione esclusiva presso i server situati in Svizzera ed in Olanda. Tale scelta determinava, sostanzialmente la sottrazione dei dati di messaggistica finanziaria riguardanti lo spazio economico europeo al raggio d’azione delle subpoenas del Dipartimento del Tesoro Americano e spingeva gli USA, che intendevano continuare a percepire detti dati per le finalità di cui al TFTP, a dover cercare un accordo con l’Unione Europea374.

Il 27 luglio 2009 i 27 ministri degli Affari Esteri degli Stati membri davano mandato alla Commissione Europea e alla Presidenza Svedese dell’Unione di negoziare un accordo ad interim con gli Stati Uniti al fine di dare accesso a questi ultimi ai dati bancari SWIFT. L’accordo in questione sarebbe dovuto durare fino all’entrata in vigore del Trattato di Lisbona.

372 _{Comunicato Stampa USA to take account of EU data protection principles to process data received from SWIFT}

(28.06.2007) reperibile su

http://europa.eu/rapid/pressReleasesAction.dp?reference=IP/07/968&format=HTML&aged=0&language=EN&guiLan guage=en aggiornato al 25.09.2012

373

André PRÜM “Bataille politique autour de SWIFT : la lutte contre le terrorisme doit compter avec le respect de la vie

privée”, in Revue de Droit bancaire et financier n° 3, Mai 2010, alerte 9

116

Alla procedura di adozione della decisione, che non implicò alcuna approvazione parlamentare a livello nazionale o europeo, venne impresso un ritmo accelerato. Invero il Vice Presidente della Commissione Jacques Barrot ed il Consiglio Europeo miravano a finalizzare l’accordo prima dell’entrata in vigore del Trattato di Lisbona, eliminando così il Parlamento dal processo decisionale. Parte della dottrina ha fortemente criticato un simile atteggiamento, evidenziando come ironicamente la Svezia, che si è sempre vantata di essere campionessa della democrazia partecipativa si collocava ora “alla testa di un branco di burocrati Europei, non eletti e stra-pagati, nell’intento escludere i rappresentanti legittimi dei cittadini europei dai processi di negoziato e di voto”375.

Secondo il testo dell’accordo, l’Unione Europea avrebbe permesso alla SWIFT di condividere il nome, numero di conto, indirizzo, numero nazionale di identificazione e altri dati personali con le autorità statunitensi nel caso di sospetto che la persona in questione fosse in qualsiasi modo implicata in attività di terrorismo. La richiesta di informazione doveva essere ritagliata nella maniera più precisa possibile al fine di evitare che una quantità eccessiva di dati divenisse oggetto di valutazione da parte polizia e dai funzionari di intelligence. Tuttavia, laddove il fornitore dei dati si fosse rivelato incapace di identificare i dati richiesti per questioni tecniche, allora tutti i dati potenzialmente rilevanti avrebbero dovuto essere trasmessi in massa allo Stato richiedente. I dati trasmessi sarebbero stati custoditi dagli USA fino a cinque anni prima di essere cancellati.

L’accordo prevedeva che gli USA non sarebbero stati autorizzati a condividere i dati europei con paesi terzi e le transazioni tra paesi UE non sarebbero state monitorate. L’accordo iniziale doveva durare per nove mesi, con decorrenza dal 1 febbraio 2010 con l’ottica di stillare un accordo più durevole alla sua scadenza.

Il Consiglio decideva di accelerare i tempi della stipula dell’accordo al 30 novembre 2009, suscitando le ire del Parlamento Europeo, poiché appariva evidente che la manovra era diretta a far entrare in vigore il testo prima della Riforma di Lisbona, privando così il Parlamento dei suoi eguali poteri decisionali e di veto nell’area della giustizia e degli affari interni.

Soltanto l’opposizione di alcuni parlamenti nazionali fece si che il testo dovette alla fine essere deciso con la procedura di co-decisione. Tuttavia, sebbene il Presidente del Parlamento Europeo avesse chiesto al Consiglio e alla Commissione di riferire il testo in assemblea al fine di dare tempo al Parlamento di studiare l’accordo, la Presidenza Spagnola finse un ritardo adducendo motivi di traduzione e annunciò che il testo sarebbe stato trasmesso all’assemblea il 25 gennaio 2010. Il Parlamento scoprì dunque che il testo dell’accordo era già stato pubblicato sulla Gazzetta Ufficiale

375

Sylvia Kierkegaard “US War on terror EU swift(ly) signs blank cheque on EU data”, in Computer Law & Security Law Review 27 (2011) 451 - 464

117

il 13 gennaio376 e che, con ogni evidenza, la scusa del ritardo era stata pianificata per evitare che il Parlamento, la cui riunione plenaria era prevista per l’8-11 febbraio, potesse raggiungere una decisione definitiva prima dell’entrata in vigore provvisoria dell’accordo del 1 febbraio 2010. Il Consiglio e la Commissione avevano così beffato il Parlamento, l’accordo ad interim entrava provvisoriamente in vigore per nove mesi decorsi i quali avrebbe dovuto essere rimpiazzato con un nuovo accordo.

Secondo la dottrina, l’accordo ad interim del 30 novembre 2009 presentava diverse lacune. Esso, infatti, si fondava su di una nozione di lotta al terrorismo i cui confini, nella legislazione americana, erano alquanto labili. Ciò faceva si che la trasmissione dei dati non corrispondesse ad uno scopo determinato con un grado di precisione necessaria al fine di permettere un efficace controllo di opportunità377.

Allo stesso modo, l’accordo sembrava travalicare i confini del principio di proporzionalità che, invero, costituisce una condizione essenziale per qualsiasi ingerenza nel rispetto dei diritti fondamentali. Come stabilito dalla Corte EDU, infatti, “le pouvoir de surveiller en secret les citoyens n'est tolérable d'après la Convention que dans la mesure strictement nécessaire à la sauvegarde des institutions démocratiques (...). Les États contractants ne disposent pas pour autant d'une latitude illimitée pour assujettir à des mesures de surveillance secrète les personnes soumises à leur juridiction (...). Dans le contexte de l'article 8, cela signifie qu'il faut rechercher un équilibre entre l'exercice par l'individu du droit que lui garantit le paragraphe 1 et la nécessité, d'après le paragraphe 2, d'imposer une surveillance secrète pour protéger la société démocratique dans son

ensemble”378 Allo stesso modo la Corte insiste sul fatto che “des transferts massifs et

indifférenciés de données ne satisfont certainement pas à cette exigence”379. Orbene, ciò è proprio

quello che tendeva ad autorizzare l’accordo ad interim, nella misura in cui il sistema non permetteva apparentemente di ricercare dei dati in maniera obiettiva ma soltanto la comunicazione di pacchetti di informazioni riguardanti a delle intere serie di transazioni380.

Inoltre, l’accordo non prevedeva le garanzie indispensabili al fine di prevenire e riparare degli eventuali abusi. Cosicché esso mancava di organizzare con sufficiente precisione i diritti di accesso, di rettifica e di ricorso della persona interessata, di fissare la durate della conservazione dei dati o di

376

Cons. UE, déc. n° 2010/16/PESC/JAI, 30 nov. 2009, relative à la signature, au nom de l'Union européenne, de l'accord entre l'Union européenne et les États-Unis d'Amérique sur le traitement et le transfert de données de messagerie financière de l'Union européenne aux États-Unis d'Amérique aux fins du programme de surveillance du financement du terrorisme : JOUE n° L 8, 13 janv. 2010, p. 9 à 16

377 _{André PRÜM, nota 373} 378

Cfr. Corte Edu, sentenza sul ricorso n° 5029/71 del 6 settembre 1978, Klass et a. c/ Germania.

379

Cfr. Corte Edu, sentenza sul ricorso n° 12661/87 del 25 febbraio 1993, Miailhe c/ Francia

118

instaurare le procedure di controllo per vegliare al rispetto della finalità del trasferimento381. In definitiva, ciò che rilevava la dottrina, era che, come peraltro affermato dalla Corte Europea dei Diritti Umani382, uno Stato di diritto non può esimersi dal rispettare i diritti fondamentali di ciascun cittadino, non potendo la lotta al terrorismo condurre all’utilizzo di mezzi che minino i fondamenti di una società democratica383.

Successivamente, come prevedibile, in data 4 febbraio 2010 la Commissione per le libertà civili del Parlamento Europeo respinse il testo. In una lettera indirizzata alla Commissione il Garante Europeo per la Protezione dei dati sottolineava come le misure previste dal TFTP fossero altamente invasive della privacy. In particolare, vi dovevano essere delle ragioni forti affinché tali misure intrusive fossero da considerarsi necessarie e proporzionate. Orbene, nell’ottica del Garante le prove fornite non dimostravano interamente la necessità ed il reale valore aggiunto con rispetto a misure maggiormente specifiche di combattimento al terrorismo. Nell’accordo TFTP diversamente da quanto avviene nel PNR non vi era alcun elemento di collegamento tra i dati trattati e gli USA; il controller era situato in Europa le banche dati erano, anch’esse, in Europa. In particolare il Garante esprimeva preoccupazione per quanto riguarda i trasferimenti di dati in massa in quanto il ricorso ad essi non è certamente limitato e può svilupparsi in una pratica comune. La definizione dello scopo per il quale i dati vengono trasferiti era più ampia di quella dell’art. 1 della Decisione Quadro del Consiglio 2002/475/JHA sulla lotta al Terrorismo. La conservazione di dati per 5 anni non è sostenuta dalla prova che questo periodo sia proporzionato. Inoltre l’accordo non specificava per quanto tempo i dati dovessero essere immagazzinati.

In definitiva il Garante Europeo opinava che non sufficienti elementi fossero stati forniti al fine di giustificare la necessità e la proporzionalità di tale accordo altamente invasivo per la privacy che in molti aspetti confligge con altri strumenti europei ed internazionali in tale area. Inoltre, alcuni elementi dell’accordo non sono definiti in maniera sufficientemente chiara da rendere prevedibile per gli europei i cui dati vengono trasferiti gli USA lasciando permanere diverse pericolose lacune che dovrebbero essere analizzate sotto la prospettiva dell’art. 1 TFUE ed il nuovo quadro normativo introdotto dal Trattato di Lisbona.

In data 11 febbraio 2010, la sessione plenaria del Parlamento respinse l’accordo TFTP. La principale motivazione del rigetto concerneva il trasferimento di blocchi di dati al Dipartimento del Tesoro. Inoltre i membri del parlamento avevano richiesto ulteriori stipule quali reciprocità nell’accesso alle informazioni di cittadini USA ove l’Unione Europea dovesse decidere di creare un simile TFTP, più stringenti limitazioni sull’immagazzinamento dei dati, rimedi per i cittadini

381

Idem

382

Corte Edu, sentenza sul ricorso n° 28341/95 del 4 maggio 2000, Rotaru c/ Romania

119

europei ove i dati vengano utilizzati per fini non consentiti e la possibilità di rescindere l’accordo in caso di prove di violazioni della privacy.

4. La rinegoziazione di un nuovo accordo. L’approvazione del TFTP II da parte del