Osservazioni critiche in merito al testo dell’accordo PNR

Come si è visto, il nuovo testo dell’accordo affrontava alcuni dei rilievi problematici delle precedenti versioni e che avevano formato oggetto di aspre polemiche da parte del Parlamento Europeo e degli altri organismi istituzionali comunitari deputati alla tutela dei dati personali.

In particolare, l’accordo riduceva i dati PNR richiesti da 34 a 19 . Tuttavia, secondo quanto osservato da attenta dottrina521, questa riduzione del numero dei dati PNR era più teorica che pratica in quanto essa era frutto di una semplice fusione di rubriche di dati già esistenti piuttosto che una vera e propria riduzione del numero di dati richiesti522. All’atto pratico, infatti, nessuna tipologia di dato PNR sembrava essere stata realmente espunta dalla lista originaria.

Un secondo aspetto di critica da parte della dottrina riguardava il numero di autorità americane aventi accesso ai dati raccolti, che sotto l’impero dell’accordo del 2007 aveva subito un vistoso aumento523. Al di là del DHS, infatti, i dati PNR potevano essere diffusi a tutte le agenzie associate a quest’ultimo, ivi comprese la CIA e l’FBI. Inoltre, i dati PNR sarebbero stati suscettibili di trasferimento verso paesi terzi senza che fosse previsto almeno una consultazione preventiva delle

520

Flavien MARIATTE Conclusion du nouvel accord UE/USA sur le transfert des données PNR Europe n° 10, Octobre 2007, comm. 247

521

Loïc GRARD, nota 518

522

Idem.

152

autorità europee. Tale situazione suscitava le critiche del Presidente del Garante Europeo per la protezione dei dati Peter Hustinx524 che osservava come "there is no limitation to what U.S. authorities are allowed to do with” the data" and "[t]he absence of a robust legal mechanism that enables EU citizens to challenge the misuse of their personal information."

Insomma, che l’accordo costituisse una compressione della privacy dei passeggeri europei non vi è era ombra di dubbio. Già nel caso Leander525 la Corte di Strasburgo aveva evidenziato che la raccolta e la trasmissione di informazioni a carattere personale da parte di autorità pubbliche costituiva di per sé un’ingerenza ai sensi dell’art. 8 della CEDU.

Ma un diverso profilo di censura dell’accordo definitivo riguardava la durata di conservazione dei dati. La Corte di Strasburgo, nel caso Rotaru526, aveva avuto modo di affermare che la conservazione di dati personali in un file doveva avvenire soltanto per un periodo di tempo limitato. La dottrina527 non ha mancato di rilevare come detta durata fosse di tre anni e mezzo secondo l’accordo PNR del 2004 e come, detta durata, sotto l’impero dell’accordo PNR del 2007, fosse passata a 15 anni528. Il tutto sulla base di un termine che oltre ad essere di per sé eccessivamente ampio, era determinabile soltanto in funzione della discrezionalità delle competenti autorità USA. Infine, nessuna garanzia veniva fornita circa la distruzione dei dati non consultati529.

Un ulteriore profilo di critica atteneva alla violazione, da parte dell’Accordo del 2007, del principio della finalità limitata, secondo cui i dati personali devono essere raccolti per fini determinati e legittimi e non possono essere utilizzati in modo incompatibile con detti fini. Orbene, ai sensi dell’accordo punto 1 lettera DHS le competenti autorità USA avrebbero potuto utilizzare i dati PNR esclusivamente per fini di prevenzione e repressione di terrorismo internazionale e crimini connessi ad altri gravi reati compresa la criminalità organizzata. Tuttavia, mentre la lotta al terrorismo era una finalità ampia ma dal contenuto determinabile, altrettanto non poteva dirsi in relazione alla categoria degli “altri gravi reati”, posto che dalla disposizione in esame non era possibile evincere né di quali gravi reati si parlasse, né di quali fossero i parametri onde valutare detta gravità530.

Tale previsione, conseguentemente, violava il principio della finalità limitata e la relativa violazione era resa ancor più evidente in considerazione del fatto che, oltre a dette finalità, i dati

524

Letter from Peter Hustinx, European Data Protection Supervisor, to Wolfgang Schauble, Minister for the Interior (June 27, 2007), available at http://epic.org/privacy/pdf/hustinx-letter.pdf.

525 _{Leander c. Svezia, sentenza del 26 marzo 1987 §§ 19-22, série A no 116, reperibile su reperibile su}

www.echr.coe.int

526

Rotaru c. Romania, Sentenza del 4 maggio 2000 reperibile su www.echr.coe.int

527 _{Flavien MARIATTE , nota 517} 528

Di cui sette anni in una banca dati attiva, otto anni in una banca dati dormiente, non operativa

529

Cfr. Flavien MARIATTE, nota 517

153

PNR avrebbero potuto essere utilizzati “in qualsiasi procedimento giudiziario penale o secondo quanto altrimenti previsto dalla legge”. In altre parole, forte era il sospetto che i dati PNR potessero finire con l’essere utilizzati in procedimenti penali che nulla avevano a che vedere con terrorismo e criminalità organizzata531.

Anche la mancanza di solidi mezzi di ricorso in favore dei cittadini europei ha costituito un profilo rilevante di critica all’accordo del 2007. In particolare, in considerazione del punto 9 par. 2 dell’accordo PNR del 2007 dopo l’affermazione del principio per cui “il presente accordo non intende derogare o apportare modifiche alle leggi degli Stati Uniti d’America o dell’Unione Europea o dei suoi Stati membri” si soggiunge che esso “non crea né conferisce alcun diritto o

beneficio ad altre persone o enti pubblici o privati” 532

.

In altri termini la rilevanza della lettera del DHS e delle garanzie ivi previste dal punto di vista degli interessati dal trattamento era pressoché nulla ed eventuali violazioni avrebbero potuto essere fatte valere ed avere conseguenze esclusivamente su di un piano politico nella misura i cui le competenti autorità comunitarie avessero lamentato il mancato rispetto degli impegni assunti dalle autorità USA e quindi delle norme attributive di diritti ai singoli533.

Infatti, sebbene la lettera del DHS sostanzialmente si impegnasse a riconoscere ai cittadini europei i mezzi di ricorso di cui al Privacy Act del 1973, era pur vero che quest’ultimo strumento normativo non era invocabile da parte di cittadini di stati diversi dagli USA o, comunque, non residenti negli USA. Conseguentemente, diveniva lecito chiedersi se una decisione politica contenuta nella lettera del DHS fosse realmente in grado di estendere la tutela di uno strumento normativo e consentire così ai cittadini europei di beneficiare dei diritti di accesso, rettifica e di rimedio giurisdizionale534.

L’accordo in esame, inoltre, non soddisfaceva le aspettative circa le garanzie apprestate a tutela dei dati sensibili. Sebbene questi ultimi risultassero espunti dalle 19 categorie di dati oggetto di trasmissione, deve sottolinearsi come alcune categorie quali le “osservazioni generali” nonché la cronistoria delle modifiche al PNR potevano comunque includere dati sensibili535 . Invero, sebbene la lettera del DHS prevedeva che gli USA avrebbero fatto ricorso ad “un sistema automatizzato che filtra i codici e termini PNR sensibili” e che non utilizzava tali informazioni, ciò nondimeno il DHS se necessario avrebbe comunque potuto utilizzare dati sensibili contenuti nei PNR “in casi eccezionali in cui vi fosse pericolo o fosse seriamente minacciata la vita della persona interessata o

531

Idem

532 _Ibidem 533

Cfr. Alfredo Terrasi, nota 463

534

Idem

154

di altre persone”. 536

Come è stato osservato, il carattere troppo elastico di tale eccezione avrebbe potuto vanificare, sulla base di valutazioni completamente discrezionali della autorità USA, le già scarse garanzie previste nella lettera del DHS, configurando così una situazione difficilmente compatibile con il requisito delle garanzie appropriate di cui all’art. 6 della Convenzione 108537

. Infine, l’accordo era criticabile perché le istituzioni comunitarie avevano sostanzialmente proceduto ad una svendita della tutela dei dati personali dei passeggeri in funzione di un accordo le cui finalità erano esclusivamente quelle di salvaguardare le esigenze di sicurezza degli USA e non anche quelle dell’Unione Europea. Dall’accordo PNR, infatti, l’Unione Europea non avrebbe ricavato nulla, neppure sotto il profilo della sicurezza538.

Le osservazioni che precedono lasciavano presagire, pertanto, che il contenzioso internazionale sui PNR non si sarebbe affatto risolto con questo accordo, anzi ne giustificavano vieppiù la durata temporanea.