I successivi accordi sui PNR con gli Stati Uniti

Nel luglio 2007 venne raggiunto un accordo tra l’UE e gli Stati Uniti

riguardo al trasferimento dei dati PNR217_{, ma arrivò immediata una risoluzione}

215 _{Sentenza del 30 maggio 2006, nota 203, punto 65} 216 _{Sentenza del 30 maggio 2006, nota 203, punto 65}

217 _{Accordo sul trattamento e sul trasferimento dei dati del codice di prenotazione (Passenger Name} Record, PNR) da parte dei vettori aerei al Dipartimento per la sicurezza interna degli Stati Uniti (DHS) (Accordo PNR del 2007)

105

del Parlamento che ne criticava l’iter legislativo, nel quale non era stato richiesto il parere di quest’ultimo218.

In seguito, dopo l’entrata in vigore del Trattato di Lisbona, il 1 dicembre 2009, cambiava un fattore molto importante: il consenso del Parlamento europeo diventava necessario all’approvazione dell’accordo, e questi domandava una maggiore attenzione alla protezione degli standard di protezione dei dati personali. Infatti in base all’articolo 218 TFUE

l’approvazione del Parlamento europeo era una condizione necessaria per concludere accordi che riguardano settori in cui si applica la procedura ordinaria. Fa parte di essi, in seguito all’abolizione del sistema a tre pilastri prodotta dal Trattato di Lisbona, anche la cooperazione giudiziaria e di polizia.

Il 5 maggio 2010 il Parlamento adottava una risoluzione con la quale rinviava la sua votazione, necessaria all’approvazione dell’accordo del 2007, fino a quando le modalità d’uso dei dati PNR non fossero state conformi al diritto europeo e, in particolar modo, all’attenzione che quest’ultimo pone sulla salvaguardia del diritto alla protezione dei dati personali219.

I requisiti richiesti dal Parlamento europeo riguardavano nello specifico, da una parte, una maggior osservanza della legislazione europea sulla

protezione dei dati. Poi, la necessità di fornire una valutazione d’impatto sulla privacy prima di poter adottare qualsiasi misura al riguardo. Allo stesso tempo risultavano necessarie delle prove di proporzionalità volte a dimostrare

l’insufficienza degli strumenti giuridici esistenti. Inoltre, come stabilito dalla decisione quadro del 13 giugno 2002 sulla lotta al terrorismo220, vi doveva

218 _{Di fatto l’accordo raggiunto nel 2007 restò in piedi in modo temporaneo fino al raggiungimento} del successivo accordo nel 2012.

219 _{Risoluzione del Parlamento europeo del 5 maggio 2010 sull'avvio dei negoziati per la}

conclusione di accordi sui dati del codice di prenotazione (PNR) con gli Stati Uniti, l'Australia e il Canada 2011/C 81 E/12 Consultabile su: http://eur-lex.europa.eu/legal-

content/IT/TXT/?uri=uriserv:OJ.CE.2011.081.01.0070.01.ITA&toc=OJ:C:2011:081E:TOC 220 _{GU L 164 del 22.6.2002, pag. 3.}

106

essere una limitazione rigorosa delle finalità e un uso dei dati PNR limitato a reati o minacce valutate caso per caso. Una limitazione era anche necessaria per quanto riguarda la quantità di dati raccolti. Nella sua risoluzione il

Parlamento poneva anche un divieto allo studio di profili effettuato con

l’estrazione di dati. Infine doveva essere assicurata una vigilanza giuridica e di controllo democratico221.

Ripresi i negoziati la Commissione riproponeva nel novembre 2011 una nuova proposta di accordo al Parlamento222.

Nell’aprile 2012 il Parlamento fu nuovamente chiamato a votare la nuova revisione dell’accordo antiterrorismo sul trasferimento di dati PNR e in

quell’occasione la maggioranza parlamentare votò per l’approvazione

dell’accordo, nonostante il parere negativo del Gruppo di lavoro articolo 29. Un peso rilevante in questa decisione, in controtendenza rispetto alle scelte precedentemente fatte dal Parlamento, è stato senz’altro quello delle

pressioni politiche esercitate dagli Stati Uniti223. Il governo americano aveva infatti minacciato la sospensione dei viaggi senza visto negli Stati Uniti224.

Il nuovo accordo è così entrato in vigore il 1 luglio 2012 e ha validità per sette anni.

L’accordo prevede che le autorità statunitensi conservino i dati PNR in un database per cinque anni. Trascorsi i primi sei mesi, le informazioni con cui è possibile l’identificazione diretta di un passeggero vengono mascherate e “de-personalizzate”. Al termine dei cinque anni, i dati vengono spostati in una “banca dati inattiva” per ulteriori dieci anni, ma con requisiti di accesso più

221 _{Risoluzione del Parlamento, nota 219}

222 _{Commissione europea, Proposta di decisione del Consiglio relativa alla conclusione dell’accordo} tra gli Stati Uniti d’America e l’Unione europea sull’uso e sul trasferimento del codice di

prenotazione (Passenger Name Record — PNR) al Dipartimento per la sicurezza interna degli Stati Uniti

223 _{Resta, nota 95}

224 _{Ansa, 27 marzo 2012, Terrorismo: Pe cede a Usa,ok a trasferimento dati passeggeri,} Consultabile su:

http://www.ansa.it/europa/notizie/rubriche/altrenews/2012/03/27/visualizza_new.html_157702446. html

107

rigidi. Il fine dell’uso dei dati PNR deve essere quello di combattere il terrorismo e i reati transnazionali gravi.

I dati sensibili come credenze religiose ed origini etniche, che possono per esempio essere ricavati attraverso le scelte dei pasti per motivi religiosi, sono consentiti solo in casi eccezionali e vanno valutati caso per caso. Dovranno poi essere cancellati entro 30 giorni, a meno che non siano utilizzati per un’indagine in corso.

Infine i cittadini potranno accedere ad una modalità di ricorso secondo le leggi statunitensi225.

Possiamo quindi rilevare che l’accordo del 2012 non soddisferebbe molte delle richieste che erano state poste dal Parlamento nella sua risoluzione del 2010. Più specificatamente, il periodo di conservazione dei dati non è stato ridotto ma resta invece molto lungo. I dati sono resi anonimi solo in parte. Nell’accordo il data mining e la “profilazione” della persone non vengono esplicitamente vietate.

Inoltre i diritti dei cittadini non sembrano essere salvaguardati in modo efficace: un individuo può richiedere i propri dati PNR dalle autorità

americane ma nell’accordo non viene specificato gli obblighi di quest’ultime, che potrebbero declinare la richiesta.

Come più volte messo in evidenza dal Gruppo di lavoro artico 29, la

Commissione non ha mai dato prova della necessità e proporzionalità delle misure adottate nell’accordo ai fini di combattere il terrorismo.

Infine l’accordo non sembra dare sufficienti garanzie al riguardo di trasferimenti verso paesi terzi226.

L’accordo sembrerebbe dunque una vittoria di interessi politici a scapito

225 _{Comunicati stampa del Parlamento europeo, 19 aprile 2012, “Il Parlamento dà il via libera} all'accordo con gli USA sui dati dei passeggeri aerei, Consultabile su:

http://www.europarl.europa.eu/news/it/news-room/20120419IPR43404/il-pe-d%C3%A0-il-via- libera-all'accordo-con-gli-usa-sui-dati-dei-passeggeri-aerei

226 _{European digital rights, Is the new EU-US PNR Agreement acceptable? , Consultabile su:} https://edri.org/files/2012EDRi_US_PNRcomments.pdf

108

del diritto alla protezione dei dati personali dei cittadini europei.