Il Parlamento europeo ha approvato durante la seduta plenaria del 5 maggio 2010 due risoluzioni entrambe relative allo scambio di dati personali in un contesto transatlantico:
Questo dopo che la Commissione LIBE ha annunciato nel suo ultimo incontro di aprile l’intenzione di posticipare il voto sull’accordo UE-USA sui dati di codice di prenotazione (PNR), fintanto che la Commissione europea non presenta un insieme di misure che possano fornire un approccio più coerente alla definizione della protezione dei dati personali.
La Commissione cogliendo i suggerimenti del Parlamento prevede di proporre un pacchetto più coerente di misure:
a) una Comunicazione che elenca gli standard generali di applicazione per qualsiasi accordo PNR (regolando anche glia spetti esterni)
b) una direttiva sui PNR che sarà una “lisbonizzazione” dell’accordo attuale, e
c) una raccomandazione per dare il mandato all’Unione europea di negoziare un accordo PNR con gli USA, il Canada e l’Australia.
Nonostante queste buone intenzioni, le conclusioni degli accordi oggetto delle risoluzioni del Parlamento europeo presentano degli aspetti controversi che rischiano di mettere a repentaglio la protezione dei dati personali e della privacy degli individui.
Una diversa definizione di privacy e protezione dei dati
Privacy e protezione dei dati sono due differenti, anche se interdipendenti, principi e tale distinzione deve essere applicata sia nella dimensione interna sia esterna dell’UE.
Il diritto alla privacy non è assoluto, infatti vengono soprattutto enfatizzate le condizioni sotto le quali tale diritto può essere limitato. Il diritto alla protezione dei dati si applica invece sempre quando i dati personali vengo processati. La Corte europea di giustizia ha sottolineato che quando viene applicato il diritto alla protezione dei dati, deve essere tenuto in conto l’articolo 8 della Convenzione europea dei diritti umani.
L’interrelazione tra i due principi diviene ancora più importante quando si parla di condivisione dei dati e ancor di più in relazione ad accordi internazionali con paesi terzi, come nei casi EU-USA PNR e UE-USA SWIFT.
Nel contesto transatlantico, ad esempio, le differenti concezioni di protezione dei dati e privacy complicano ulteriormente le cose, dato che l’approccio statunitense alla privacy si basa su una legislazione e auto regolamentazione create per un contesto prettamente industriale, mentre l’approccio europeo si basa su una legislazione più onnicomprensiva. I negoziatori devono riuscire perciò a colmare queste divergenze assicurando l’applicazione di principi d’applicazione generale che a loro volta possano poi essere declinati a casi specifici.
Tale accordo quadro non esiste ancora e nonostante ciò il trasferimento di dati personali sta già avvenendo attraverso l’accordo d’applicazione temporanea sui PNR.
Tale approccio è al quanto contestabile. Logica vorrebbe che l’accordo quadro sia compatibile con gli accordi UE-USA sulla protezione dei dati e non vice versa, come sottolineato dal supervisore europeo della protezione dei dati. Altrimenti il rischio di inconsistenze tra i principi generali e la loro applicazione negli accordi specifici diventa più che probabile.
Tale rischio è già una realtà a seguito dell’entrata in vigore, seppur temporanea, degli accordi UE-USA sui PNR:
Sistemi di prenotazione computerizzata (CRS) come intermediari tra le compagnie aeree e le agenzie/servizi di sicurezza e di controllo frontiera
Come Mr Edward Hasbrouck ha spiegato durante una seduta al Parlamento europeo, i dati PNR sono inseriti dalle agenzie di viaggio, I siti on line di turismo e i tour operators in un sistema di prenotazione computerizzato (CSR) che appartiene a parti terze.
Il CSR spedisce poi i dati PNR al Department of Homeland Security (DHS). Dato che tre dei quattro server sono installati in territorio Americano, incluso un ufficio di uno dei maggiori server europei, DHS e altri negli Stati Uniti d’America hanno accesso ai dati europei, anche quando riguardano voli che avvengono esclusivamente su territorio europeo.
L’attuale accordo sui PNR copre i trasferimenti di dati PNR dall’UE al DHS, ma non copre le relazioni che il DHS ha con i CSR. Quindi, le transizioni giornaliere aeree scavalcano completamente l’accordo UE-USA sui PNR.
Per ciò che riguarda i CSR, la base legale europea è stata recentemente aggiornata il 4 febbraio del 2009 dal Regolamento relativo a un codice di comportamento in materia di sistemi telematici di prenotazione e che abroga il regolamento (CEE) n. 2299/89 del Consiglio.
L’articolo 11 a cui fa riferimento il considerando 21 stabilisce che:
Trattamento, accesso e conservazione dei dati personali
1. Il trattamento di dati personali raccolti nell’ambito delle attività di un CRS al fine di fare prenotazioni o emettere biglietti per servizi di trasporto si effettua unicamente in un modo compatibile con tali finalità. Per quanto riguarda il trattamento di tali dati, il venditore del sistema è considerato responsabile del trattamento ai sensi dell’articolo 2, lettera d), della direttiva 95/46/CE.
2. Il trattamento di dati personali è effettuato soltanto quando è necessario all’esecuzione del contratto concluso con la persona interessata o all’esecuzione di misure precontrattuali su richiesta di tale persona.
3. Nel caso di categorie particolari di dati di cui all’articolo 8 della direttiva 95/46/CE, il trattamento di tali dati è effettuato sol- tanto se la persona interessata ha dato il proprio consenso espli- cito a tale trattamento con cognizione di causa.
4. Le informazioni controllate dal venditore del sistema con- cernenti prenotazioni individuali identificabili sono archiviate off line entro settantadue ore dal completamento dell’ultimo ele- mento della prenotazione individuale e distrutte entro tre anni. L’accesso a tali dati è consentito solo per controversie sulla fatturazione.
5. I dati relativi alla commercializzazione, alle prenotazioni e alle vendite messi a disposizione da un venditore di sistema non comprendono informazioni dirette né indirette sull’identità delle persone fisiche o, se del caso, delle organizzazioni o società per conto delle quali esse agiscono.
6. Su richiesta, l’abbonato comunica al consumatore il nome e l’indirizzo del venditore del sistema, lo scopo del trattamento dei dati personali, la durata della conservazione degli stessi e le moda- lità di esercizio del diritto di accesso ai dati delle quali può avva- lersi la persona interessata.
7. La persona interessata ha il diritto di avere gratuitamente accesso ai dati che la riguardano indipendentemente dal fatto che i dati siano conservati dal venditore del sistema o dall’abbonato.
8. I diritti riconosciuti nel presente articolo sono complemen- tari e si aggiungono ai diritti della persona interessata stabiliti dalla direttiva 95/46/CE, dalle disposizioni nazionali adottate confor- memente a detta direttiva, e dalle disposizioni degli accordi inter- nazionali di cui la Comunità è parte.
9. Le disposizioni del presente regolamento precisano e inte- grano la direttiva 95/46/CE ai fini di cui al paragrafo 1. Salvo altri- menti disposto, si applicano le definizioni figuranti in detta direttiva. Qualora le specifiche disposizioni relative al trattamento dei dati personali nell’ambito delle attività di un CRS fissate nel presente articolo non si applichino, il presente regolamento lascia impregiudicate le disposizioni di tale direttiva e le disposizioni nazionali adottate conformemente alla stessa nonché le disposi- zioni degli accordi internazionali di cui la Comunità è parte. (…).
E’ importante notare che in base all’articolo 14 del Regolamento l’attività dei CSR sul territorio europeo cade sotto la giurisdizione della Commissione europea e quest’ultima ha i poteri di controllo appropriati per accettare ricorsi per violazione del codice di condotta:
Poteri di indagine
Per l’assolvimento dei compiti a essa conferiti dal presente regolamento, la Commissione può, mediante semplice domanda o mediante decisione, richiedere alle imprese o associazioni di imprese di fornire tutte le informazioni necessarie, compresi audit specifici in particolare sulle questioni previste agli articoli 4, 7, 10 e 11.
Ma la misura in cui tale potere di controllo possa essere realmente attuato rimane da vedere. Infatti, la direzione generale (DG) della Commissione europea responsabile per i CSR è DG Trasporto (DG TRAN) mentre la DG responsabile per i PNR è la DG Giustizia, libertà e sicurezza (DG JLS). Dunque, se le due DG non si coordinano, sarà molto difficile che possano portare avanti in modo efficace i compiti di carattere investigativo previsti dall’articolo 14 e far si che il codice di condotta non venga violato.
Il principio di proporzionalità alla base del trattamento dei dati personali
La Direttiva 95/46 stabilisce che gli Stati membri devono rispettare i principi seguenti quando trattano dati personali: limitazione dello scopo, la qualità dei dati e il principio di proporzionalità e di trasparenza.
Dunque, quello di proporzionalità è uno dei criteri che permette la restrizione del principio del diritto alla privacy. Al fine di attuare in pratica il principio di proporzionalità è necessario fornire risposte alle seguenti domande:
- Cosa significa “richiesta fatta su misura” (narrowly tailored request)?
- Cosa significa “richiesta fatta caso per caso” (case by case)?
- “Caso” si riferisce ad un individuo specifico o più d’uno? O invece si riferisce a qualsiasi dato di qualsiasi individuo che cade sotto un criterio specifico?
Il principio di proporzionalità può solo funzionare quando viene valutato di fronte a delle prove. Però, le prove che dimostrano la necessità di tali misure non sono ancora state presentate. Al contrario, il Direttore generale della DG JLS, Jonathan Faull, ha spiegato durante la riunione LIBE del 24 marzo 2010, che qualsiasi prova deve rimanere segreta per questioni di sicurezza nazionale.
Il giusto equilibrio tra restrizione del diritto alla privacy e alla protezione dei dati e l’attuazione di misure tese ad aumentare il livello di sicurezza può essere raggiunto solo se viene valutato di fronte all’impatto reale (e non presunto) che tali misure hanno sulla sicurezza degli individui. Altrimenti, il principio stesso di proporzionalità cessa d’esistere e con esso il rispetto dei diritti fondamentali di ogni individuo.
La limitazione dello scopo e la questione del ri-uso
La questione della proporzionalità è direttamente legata allo scopo della condivisione dei dati. Il paragrafo dell’accordo del 2004 stabilisce che lo scopo è di prevenire e combattere il terrorismo e il crimine internazionale. Quindi, è necessario garantire che quando a seguito della conclusione di investigazioni che stabiliscono che un individuo non è un terrorista ma abbia commesso altri atti illeciti (come trattenersi sul territorio europeo oltre il periodo concesso dal visto o violazione di diritti d’autore), i dati raccolti non vengano usati poi per iniziare un nuovo procedimento.
Tuttavia, come Dr Patrick Breyer ha spiegato, la relazione del High Level Contact Group (HLGC) del maggio 2008 non prevede una limitazione dello scopo restrittivo e specifico e quindi non da quelle garanzie di protezione dei diritti umani necessarie per permettere la rivelazione di informazioni personali ad agenti e stati stranieri.
Scambio di dati tra settori privato e pubblico
In aggiunta, vi è un ulteriore rischio di violazione del principio di limitazione dello scopo dovuto alla possibilità di scambio dei dati tra entità pubbliche private. Infatti, in questi casi la legittimità dello scambio dei dati deve essere ulteriormente dimostrata.
Un altro aspetto da analizzare quando si considerano le conseguenze che uno scambio di dati tra entità pubbliche e private può provocare riguarda la questione del “profiling”.
Profiling
Una definizione unica di profiling non esiste. Ovvero, esistono diverse pratiche di profiling. Il Consiglio sta preparando però una relazione che a detta della Sig.ra Vassiliadou (DG JLS) dovrebbe fornire delle linee guida per le azioni che la Commissione europea intraprenderà in questo settore.
Il profling dei dati consiste nell’usare parole chiave per generare nuovi dati così da poter progredire nell’analisi dei dati a disposizione. Dunque, usando dati normali c’è il rischio che vengano poi generati dei dati di natura sensibile.
Tale pratica è sempre più usata dalle compagnie private al fine di creare un servizio più mirato per i propri clienti. Tale scopo commerciale può effettivamente essere considerato come un valore aggiunto per una persona, specialmente se il risultato è un miglior servizio che soddisfa quelle che sono le necessità dei clienti. Però, se tali profili vengono poi usati dalle autorità pubbliche per mantenere l’ordine pubblico, lo stesso individuo può essere contrario a tale pratica. Ne consegue che la stessa persona possa avere interessi in conflitto tra loro in relazione alla creazione di un suo profilo.
E’ per questa ragione che secondo il Prof. Paul de Hert i principi di minimizzazione dei dati e di minimizzazione dello scopo devono essere incorporati nella legislazione sulla protezione della privacy e dei dati.
Purtroppo però questo potrebbe non essere sufficiente, specialmente quando ci si deve confrontare con il rischio rappresentato dalle ricerche effettuate da sistemi automatizzati. Anche se, a detta della Commissione la decisione finale sarà sempre presa da una persona e non sarà mai lasciata esclusivamente nelle mani di un sistema automatizzato.
La sensibilità delle questioni relative alla limitazione dello scopo e del profiling è ancor maggiore se analizzata assieme al diritto di risarcimento così come formulato dall’accordo sul PNR e dal lavoro del HLCG.
Diritto di risarcimento e rimedio efficace
Ogni individuo i cui diritti alla protezione dei dati e alla privacy sono stati violati ha il diritto ad un equo risarcimento stabilito da una corte indipendente, così come stabilito dall’articolo 13 della Convenzione Europea dei diritti umani e l’articolo 47 della Carta europea dei diritti fondamentali.
Nonostante ciò, il sistema giudiziario degli Stati Uniti d’America non prevede tale possibilità e l’allegato della relazione del HLCG dell’ottobre 2009 prevede solamente una compensazione di natura amministrativa che non può certo essere definita come un rimedio efficace.
Nonostante questi nodi irrisolti, l’Unione europea è determinata a portare avanti le negoziazioni relative ad un accordo sui dati PNR e su SWIFT.
E’ a dir poco contestabile che nonostante i problemi sottolineati la Commissione europea non abbia optato per un approccio che prevedesse prima l’elaborazione di un accordo quadro generale sulla protezione dati e protezione della privacy tra l’UE e gli USA e solo dopo negoziasse accordi specifici sullo scambio dei dati.
Fonti non precisate hanno rivelato che la Commissione europea considera che l’accordo su SWIFT sarà rinforzato dalla conclusione di un accordo quadro sulla protezione dati tra l’UE e gli USA. Come può avvenire questo, sopratutto data la posizione statunitense di rinnegare le divergenze che esistono dal punto di vista del significato stesso di protezione dati e privacy tra l’UE e gli USA? Gli Stati Uniti d’America sostengono che il rifiuto del Parlamento europeo di concludere un accordo su SWIFT si basi sulla semplice incomprensione di come il sistema funziona.
In realtà l’Unione europea, in primis il Parlamento, ha capito bene come funzione il sistema. Tant’è che le due risoluzioni del Parlamento europeo cercano di affrontare i problemi sopraindicati. Sono due forti risoluzioni. Però com’è ben spiegato dal Parlamento europeo:
“(…) qualsiasi nuovo strumento legislativo de(ve) essere preceduto da una valutazione d’impatto sulla privacy e da un test di proporzionalità che dimostri l’insufficienza degli strumenti giuridici esistenti”
LB
edecapitani
Leda Bargiotti
