I Rilievi critici del Gruppo per la tutela delle persone fisiche con riguardo al trattamento dei dati personali (Gruppo ex Art 29)

Il 13 giugno 2003 il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall’art. 29 della Direttiva, emanava un parere in cui esprimeva seri dubbi circa l’adeguatezza del livello di tutela dei dati garantito dagli undertakings del Governo USA435

. Tali dubbi sono stati successivamente reiterati in un parere del 29 gennaio 2004436.

In tali occasioni il Gruppo identificava una serie di aspetti problematici relativi alle richieste statunitensi e le ragioni per le quali queste ultime risultavano chiaramente in contrasto con i principi della direttiva 95/46/CE.

429 Cfr. GUUE L 220, pag. 1 430 Cfr. GUUE L 40, pag. 1 431 _{Cfr. Nota 25 supra} 432

Joint statement approvato al termine della riunione tenutasi a Bruxelles il 17 e il 18 febbraio 2003 tra rappresentanti della Commissione europea e del CBP

433

Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection Regarding the Handling of Passenger Name Record Data, 69 Fed. Reg. 41543 (Jul. 9, 2004);

434

Idem supra

435

Opinion 4/2003 on the Level of Protection ensured in the US for the Transfer of Passengers' Data reperibile su http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/wp78_en.pdf

436

Opinion 2/2004 on the Adequate Protection of Personal Data Contained in the PNR of Air Passengers to Be transferred to the United States' Bureau of Customs and Border Protection (US CBP)Adopted on 29 January 2004 consultabile su http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp87_en.pdf

133

Attesa l’elevata competenza del Gruppo ex art. 29 nel campo della tutela dei dati personali, nonché l’autorevolezza e la rilevanza del duplice intervento in questione, vale la pena di riassumerne in questa sede i contenuti principali.

Innanzitutto il Gruppo di Lavoro evidenziava come i dati richiesti dagli USA alle compagnie europee eccedessero quelli generalmente raccolti nell’esercizio dell’attività di impresa e come il trasferimento degli stessi non potesse essere considerato compatibile con lo scopo originario della loro raccolta da parte delle compagnie o delle agenzie di viaggio nell’ambito delle rispettive obbligazioni contrattuali437. Ciò configurava, dunque, oltre che una violazione del principio di limitazione dei dati, anche una violazione dell’art. 6 della Direttiva che codifica il principio della finalità del trattamento438.

In secondo luogo, il trasferimento in questione non poteva giustificarsi alla luce di alcuna delle deroghe di cui all’art. 26 della Direttiva posto che queste ultime si caratterizzano per il loro carattere eccezionale laddove, invece, il trasferimento dei dati PNR alle autorità americane sarebbe avvenuto, in forma continuativa e sistematica439. Allo stesso modo, tale trasferimento di massa non avrebbe potuto avvenire nel quadro del programma “Safe Harbor”, in quanto la condivisione dei dati PNR non avveniva per scopi commerciali, bensì per finalità di lotta al terrorismo ed alla criminalità organizzata440.

Inoltre, il Gruppo di Lavoro metteva in evidenza come, sempre a seguito dell’irrigidimento della normativa USA in materia di sicurezza aerea, la lista dei dati oggetto di trasmissione fosse andata ampliandosi sempre di più441.

Infine il Gruppo di Lavoro osservava come i dati trasmessi venissero inoltrati ad una banca dati centralizzata che veniva gestita sia dalla US Customs and Border Protection che dalla US

437

Cfr. Opinion 4/2003 sub nota 33

438 Idem 439 _{Idem ut supra} 440 Ibidem 441

Invero, le compagnie aeree avevano l’onere di inoltrare numerosi informazioni e partitamente: nome, cognome, data di nascita, nazionalità, sesso, numero di passaporto e luogo di emissione, paese di residenza, numero di visto USA, data e luogo di rilascio, numero di registrazione stranieri, indirizzo negli Stati Uniti durante la permanenza e qualsiasi informazione ritenuta necessaria al fine di identificare la persona che viaggia e proteggere la sicurezza nazionale. Quest’ultimo in particolare poteva contenere non soltanto informazioni relative ai voli passati ma anche informazioni etniche o religiose (scelta di un particolare menu halal o kosher ad esempio), l’affiliazione ad un determinato gruppo, dati relativi al luogo di residenza (indirizzo email, informazioni su amici, parenti, luogo di lavoro ecc.), dati medici( es. tipologia di assistenza medica richiesta, ossigeno, problemi di vista o mobilità che devono essere comunicati alla compagnia aerea) o altri dati connessi, quali le informazioni frequent flier. Inoltre, per i paesi (tra cui anche l’Italia) partecipanti al programma “Viaggio senza Visto”, il trasferimento dei dati biometrici era divenuto obbligatorio a far data dal 2004. Inoltre, tra i dati richiesti figuravano,altresì, i Passenger Name Records (PNR) i quali includono, oltre ai dati identificativi del passeggero e al numero di telefono, anche il numero di prenotazione PNR, la data della prenotazione, l’agenzia di viaggio, le informazioni figuranti sul biglietto, le informazioni relative alla carta di credito (numero di carta di credito, data di scadenza, indirizzo di fatturazione ecc.) il numero di poltrona e lo storico delle prenotazioni.

134 Immigration and Naturalization Service le quali potevano poi condividere i medesimi dati con altre agenzie federali nello scopo di “proteggere la sicurezza nazionale”. In altre parole, tali informazioni potevano essere utilizzate da praticamente tutte le agenzie federali USA e ciò risultava in contrasto con il principio di divieto di trasferimento ulteriore442.

Allo stesso modo il Gruppo di lavoro sottolineava che i dati avrebbero dovuto, comunque, essere trasferiti attraverso un sistema di tipo push, laddove il sistema allora in vigore era, invece, di tipo pull443. Infatti, con il sistema allora in vigore la CBP otteneva i dati PNR attraverso l'accesso diretto ai CRS ancor prima della partenza del volo. Il sistema di tipo push, invece, era maggiormente rispettoso della privacy dei passeggeri in quanto erano le compagnie aeree ad inviare i dati direttamente alla CBP e ciò consentiva un filtraggio dei dati sensibili da parte delle compagnie prima di essere inviati alla CBP.

Pertanto, nelle sue conclusioni, il Gruppo di Lavoro invitava la Commissione Europea ad avviare delle discussioni con il Governo degli USA al fine di delimitare con maggiore precisione gli obiettivi della raccolta dei dati, di determinare le tipologie di dati trasferibili e di ottenere garanzie in merito al trattamento ed alla comunicazione dei dati da parte delle agenzie federali. Invero, il riconoscimento in capo alle autorità doganali degli USA del diritto di accedere ai dati raccolti dalle compagnie europee implicava comunque l’attribuzione dell’esercizio di un potere sovrano sul territorio dell’Unione. Un trattato internazionale diveniva allora necessario per esprimere il consenso dell’Unione all’esercizio di una potestà sovrana straniera sul proprio territorio444

.

4. La definizione di un accordo ad interim e la successiva conclusione del primo accordo