Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

Si ripropone lo scontro UE – USA nei voli transatlantici:la tutela privacy tra esigenze di sicurezza internazionale e diritti della persona

Scritto da Andrea Lisi

A cura di Andrea Lisi e Maurizio De Giorgi

 

Il tormentato tema del trasferimento dei dati personali all’estero da tempo anima il dibattito giuridico internazionale in tema di tutela nel trattamento di dati personali: “da una parte la strenua difesa del libero mercato, dall’altra le esigenze di tutela e garanzia di un diritto ormai 'costituzionalizzato' a livello comunitario (si veda l’art. 8 della Carta UE) hanno determinato una tensione che rischiava di paralizzare le transazioni telematiche e gli sviluppi del commercio elettronico” ( [1]).

Le infinite tensioni intorno a questo tema, che vede contrapposte le due sponde dell’Atlantico, non sembrano proprio avere fine; anzi, la questione torna ad essere di attualità ed i toni dell’argomentare sono sempre più accesi dopo che gli States hanno di recente incassato l’ennesimo “stop” (precisamente il terzo dopo quello dell’ottobre 2002 e del giugno 2003) da parte del “Gruppo dei Garanti Europei”  (che riunisce le Autorità Europee di protezione dei dati personali) per nulla disposto a sacrificare le ragioni dei cittadini europei in nome dell’esigenza di sicurezza nei voli fatta valere dagli Americani ( [2]). 

In realtà, lo scontro politico, oltre che giuridico, tra USA ed UE sul trasferimento dei dati all’estero, rappresenta una vicenda pendente da diversi anni essendosi dimostrate inutili e inefficaci alla soluzione del problema le lunghe negoziazioni politiche tra i due continenti, le quali hanno portato, si ricorda, all’adozione del cd. “Safe Harbor” (accordo sul “porto sicuro”), da parte degli Americani,  e delle “clausole contrattuali tipo”, da parte degli Europei ( [3]).

Il problema, come tutti i più “ingarbugliati” problemi transnazionali,  è nato (come già riferito) da una questione di natura economica legata per lo più alle transazioni commerciali internazionali telematiche (che rischiavano di rimanere irrimediabilmente paralizzate!) tra il vecchio e il nuovo mondo: il primo attento alla tutela dei diritti di singoli e collettività rispetto ai propri dati personali, il secondo più incline al principio del liberismo economico e delle leggi del mercato.

Ma dopo i fatti tragici dell’11 settembre molte cose sono cambiate anche con riferimento a questo specifico tema e molti equilibri già di per sé instabili si sono irrimediabilmente spezzati…

Il trasferimento dei dati personali all’estero, infatti, è divenuto una priorità legata alla sicurezza del popolo americano tanto che l’Amministrazione statunitense, temendo il compimento di nuovi atti terroristici con l’uso di aerei provenienti da altri Paesi, ha emanato alcune disposizioni normative atte a realizzare più stringenti controlli sui passeggeri diretti verso gli USA.

Si pensi, in particolare, alle norme dell’Aviation and Trasportation Security Act che, tra l’altro, permettono alle dogane statunitensi la conoscenza e la lettura quasi immediata di tutti i dati personali dei passeggeri in volo per gli USA, essendo le compagnie aeree europee (e di tutto il resto del mondo) tenute a trasmettere detti dati al massimo entro un quarto d’ora dalla partenza dei velivoli. Tutto ciò comporta evidentemente un enorme flusso internazionale di dati personali tra le due sponde dell’Atlantico!

In tal modo, all’Amministrazione americana è dato conoscere, di fatto, ogni tipo di informazione relativa ai passeggeri: dal giorno in cui effettuano la prenotazione al numero della carta di credito con cui è pagato il biglietto aereo e ai viaggi internazionali già effettuati, dal credo politico all’origine razziale e allo stato di salute: dati, questi, letti e contestualmente archiviati dalle Agenzie federali per la sicurezza che operano in stretta sinergia con le stesse dogane.

Si tratta di un sistema di regole che, come è facile intuire, non può certo dirsi conforme alla normativa europea la quale, anzi, vieta entro certi limiti la trasmissione dei dati personali verso Paesi – tra cui gli U.S.A. - che non ne assicurino un adeguato livello di tutela ( [4]).

Ed infatti, lo stesso Parlamento di Strasburgo ([5]), sia pur dopo un acceso dibattito, il 13 marzo 2003, ha ritenuto illegittime le menzionate regole statunitensi con ciò chiedendo alla Commissione di attivarsi perché le stesse siano sospese.

Ad oggi, il braccio di ferro tra gli Stati Uniti, da un lato, e il Gruppo europeo dei Garanti della privacy, dall’altro, va avanti già da diverso tempo e i secchi e ripetuti “alto là” da parte europea hanno imposto agli americani di rivedere le proprie posizioni, attenuando quell’intrusione che vorrebbero realizzare a danno della riservatezza dei cittadini europei.

Per quanto, infatti, negli ultimi mesi gli Stati Uniti abbiano compiuto passi in avanti verso un maggiore rispetto delle condizioni minime di sicurezza per i dati dei cittadini europei oggetto di trattamento da parte della loro amministrazione, oggi il sistema statunitense non può dirsi ancora del tutto rispettoso dei principi generali previsti dalla direttiva 95/46/CE.

Sul banco degli imputati è finito, quindi, il cd. Passenger Name Record (PNR), ovvero quel documento contenente i molteplici dati personali dei passeggeri cui sopra si è detto e che gli USA chiedono alle compagnie di tutto il mondo di inviare in concomitanza con la partenza degli aerei ivi diretti.

Solo nel rispetto di precise garanzie può darsi seguito, secondo il Gruppo dei Garanti europei della privacy, alle richieste statunitensi.

Le stesse potrebbero essere intese dalle compagnie aeree europee alla stregua di un “obbligo di legge”, purché l’Amministrazione statunitense, da parte sua, garantisca ai cittadini europei la possibilità di esercitare i propri diritti.

Il tutto, quindi, dovrebbe avvenire nel pieno rispetto dell’art. 8 della Convenzione Europea dei diritti dell’uomo e dell’art. 13 della Direttiva 95/46/CE, con la conseguenza di doversi attenere al cd. “principio di finalità” e, cioè, i dati presenti nel PNR potranno essere utilizzati esclusivamente per le finalità specificatamente indicate, ovvero per contrastare il terrorismo e gli specifici reati ad esso connessi. Al contrario non potranno essere utilizzati né per contrastare “altre gravi forme di criminalità”, espressione fin troppo evanescente e dagli incerti confini, né, in genere, per altre finalità.

L’Amministrazione americana, inoltre, dovrà assumersi impegni non solo politicamente vincolanti, come ad oggi intende fare, bensì giuridicamente vincolanti nel senso di permettere ai cittadini europei di far valere i propri diritti anche oltreoceano.

I dati raccolti nel PNF dovranno essere trattati nel rispetto dei seguenti principi generali e fondamentali (oltre al già menzionato principio di finalità): comunicazione dei dati solo a soggetti specificatamente indicati; trasmissione dei soli dati pertinenti alle finalità per le quali sono raccolti (principio di proporzionalità); conservazione dei dati per un preciso e limitato periodo di tempo (gli USA avevano proposto, in una prima fase, ben sette anni poi ridotti a tre anni e sei mesi: un periodo, a giudizio del Gruppo, ancora fin troppo eccessivo e sproporzionato); divieto di trasmissione dei dati sensibili; possibilità per gli interessati di esercitare i propri diritti anche negli USA (diritto di accesso, rettifica…etc., conoscenza del titolare del trattamento, degli scopi del trattamento, etc.…); sicurezza nel trattamento (altro aspetto delicatissimo e di primaria importanza).

La via da percorrere per addivenire ad una soluzione definitiva del problema sembra essere ancora lunga. Trovare punti di contatto tra l’Amministrazione statunitense e il Gruppo dei garanti europei è cosa davvero ardua: si tratta di contemperare, da un lato, l’esigenza – certamente legittima – di maggiori garanzie di sicurezza nei voli internazionali e, dall’altro, il rispetto del diritto fondamentale della persona alla propria riservatezza, così da preservarla da indebite ed incontrollate intrusioni di terzi.

La mediazione politica dovrà inoltre fare i conti con i risvolti giuridici ad essa connessi e dei quali sono paladini i Garanti dei diversi paesi dell’UE che nel loro ultimo intervento hanno correttamente fissato il perimetro all’interno del quale è possibile addivenire ad una soluzione concordata:

Sicurezza dal terrorismo sì, ma anche per i nostri preziosi dati personali!



 ([1]) E. Elia “Trasferimento dati personali all’estero: USA-UE : due scuole di pensiero a confronto sulla privacy”, pubblicato su “La Pratica Forense” alla pagina http://www.comuni.it/servizi/praticaforense/articolo.php?idart=44. Per un approfondimento si consiglia la lettura di M. De Giorgi, “Le problematiche relative al trasferimento dei dati personali all’estero”, in “La Privacy in Internet”, a cura di Andrea Lisi, Ed. Simone, 2003, p. 79.

 ([2]) Newsletter del Garante italiano 26 gennaio – 1 febbraio 2004 acquisibile sul sito www.garanteprivacy.it.

 ([3]) L’accordo di 'Safe Harbour' (http://www.export.gov/safeharbor/) negoziato dall’Amministrazione Clinton nel corso del 2000 costituisce  il risultato di un lungo confronto tra USA e UE che ha sicuramente prodotto notevoli miglioramenti, seppur non pienamente soddisfacenti, sul testo originario (e, infatti, sia il Parlamento europeo sia le Autorità garanti dei 15 paesi avevano auspicato ulteriori modifiche al sistema). Questo accordo mirava ad assicurare ai cittadini europei, i cui dati personali, anche di tipo sensibile, dovessero essere trasferiti oltreoceano da aziende pubbliche o private , un livello di tutela “adeguato”, anche se non equivalente a quello previsto nei paesi dell’Unione. In particolare, tale accordo prevedeva l’adesione volontaria e non obbligatoria delle imprese americane ad un sistema basato su un primo nucleo di principi tratti dalla direttiva europea 95/46/Ce. Purtroppo solo una minima parte delle imprese statunitensi hanno concretamente risposto positivamente all’appello 'Safe Harbour' e, conseguentemente, per non rischiare un black out totale dei trasferimenti negli Stati Uniti, si è dovuto provvedere diversamente: per i trasferimenti rivolti ad altri paesi od imprese statunitensi non aderenti ai principi del 'Safe Harbour', gli operatori italiani possono utilizzare le 'clausole contrattuali tipo' indicate a livello europeo, facendole sottoscrivere chiaramente anche all’importatore dei dati (i modelli sono facilmente rinvenibili sul sito del Garante).

 ([4]) In Italia si vedano gli artt. 42-45 del D. Lgs. 196/2003 (cd. Codice della privacy).

 ([5]) Si veda la Newsletter del Garante della Protezione dei dati personali - n. 164 del 24 - 30 marzo 2003.