La privacy transatlantica si arena tra le debolezze europee e gli oltranzismi americani


di Andrea Putignani - Scuola Superiore Sant'Anna

La stampa italiana ha raccontato la settimana scorsa, con titoli comprensibilmente preoccupati e, per una volta, omogenei dal “Manifesto” alla “Padania”, gli ultimi sviluppi della complessa trattativa in corso dall’inizio dell’anno tra UE e USA sul trasferimento obbligatorio alle dogane statunitensi delle informazioni complete sui viaggiatori in ingresso, in partenza o in scalo negli aeroporti nordamericani.
Sin dal novembre dell’anno scorso, il Gruppo dei Garanti Europei aveva messo in guardia le istituzioni comunitarie sul rischio di una imminente escalation dei rapporti con gli USA nella materia. La bocciatura preventiva da parte dei Garanti delle pretese avanzate dagli americani rispetto alla disponibilità integrale di un vasto coacervo di informazioni raccolte ordinariamente dalle compagnie aeree, non è però bastata ad evitare un duro e serrato confronto portato avanti per tutto il 2003.
Da una parte, infatti, è infine emersa in tutta la sua insufficienza la colpevole superficialità delle autorità nazionali e comunitarie le quali, almeno sino all’inizio dell’anno, davano per acquisita una nuova consapevolezza e maturità del contesto internazionale nei confronti delle istanze di data protection, beandosi dell’influsso “culturale” dell’approccio comunitario sui Paesi sudamericani e asiatici, proprio mentre, sul fronte interno, non si erano mai particolarmente preoccupate dell’applicazione delle disposizioni della direttiva del 1995 sul trasferimento all’estero dei dati, tollerando la raccolta e la conservazione massiccia e sproporzionata da parte dei vettori di ogni sorta di dati sui propri passeggeri.
Dall’altra parte, l’esigenza della lotta al terrorismo perseguita con ogni mezzo, che rende determinati gli USA a perseguire la difesa del proprio territorio e dei propri cittadini comprimendo le libertà civili di stranieri ed immigrati, è risultata politicamente condivisa da Spagna e Gran Bretagna nell’UE, da Canada ed Australia tra i Paesi terzi, che si apprestano a varare analoghe norme di sicurezza, ed in linea di principio non avversata dagli organi di cooperazione intergovernativa europei, nonché dalla Commissione, che medita di proporre riforme restrittive della legislazione comunitaria in vigore sulla tutela delle informazioni personali.
Anche la linea di estremo rigore sposata dal Gruppo dei Garanti è sembrata, per una volta, sostanzialmente irrealistica, trovandosi a dover conciliare l’operato delle singole autorità nazionali, quasi mai davvero incisivo rispetto all’analisi rigorosa dei flussi transfrontalieri di dati, con le maglie larghe aperte dalla direttiva ai trasferimenti verso l’estero (basta il consenso dell’interessato, anche laddove il paese di destinazione non possieda alcun meccanismo di tutela delle informazioni) e con la potenziale duplice lesione degli interessi dei vettori (alle compagnie non in linea con le richieste gli USA minacciavano di negare il permesso di scalo e di imbarco) e della libertà di movimento dei cittadini europei (agli interessati che rifiutassero di conferire le informazioni richieste potrebbe essere negato l’ingresso sul territorio).
Di fronte a tali pericoli, i Garanti hanno tentato di mantenere l’iniziativa, richiedendo dapprima una soddisfazione almeno formale dei requisiti di legittimità del trasferimento previsti dalla direttiva, spalleggiati da una risoluzione del Parlamento del marzo scorso. In un secondo tempo, tuttavia, i Garanti stessi hanno fornito un’interpretazione molto restrittiva degli stessi requisiti (sostenendo l’inapplicabilità del trasferimento in esecuzione di obblighi contrattuali, come pure della soluzione consensuale, con motivazioni che, qualora applicate alla movimentazione infracomunitaria delle informazioni, finirebbero sostanzialmente per rendere inapplicabile la direttiva nei Paesi membri), e si sono trovati d’altro canto costretti, comprensibilmente, a rifiutare una valutazione positiva di adeguatezza del sistema USA come richiesta dalla Commissione; una valutazione che, ad onor del vero, sarebbe stata inveritiera ed avrebbe avuto un valore del tutto fittizio, vista l’ampiezza dell’ambito di diffusione delle informazioni una volta giunte negli USA.
Così determinatasi l’iniziativa dell’organo di garanzia, l’unica strada legittima aperta sarebbe stata quella del perseguimento di un accordo internazionale nel Terzo Pilastro: una prospettiva che, tuttavia, non sarebbe stato possibile concretizzare in tempi brevi, a fronte dell’evidente condiscendenza politica dei 15 e della Commissione alle ragioni americane.
Si è così arrivati all’accordo dei giorni scorsi, con il quale di fatto la Commissione sconfessa nove mesi di negoziato, due pareri del Gruppo dei garanti e due risoluzioni del Parlamento, la direttiva del 1995 ed il regolamento 2299/89, ancora in vigore, sui sistemi telematici di prenotazione aerea.
La soluzione è individuata in un accordo internazionale con gli USA a norma dell’articolo 300 del Trattato CE, sul quale si innesterà (con o senza la cooperazione dei Garanti, pare di capire) la decisione della Commissione sull’adeguatezza delle garanzie in conformità all’art. 25 della direttiva. Su entrambi le iniziative sarà chiamato ad esprimersi il Parlamento. La Commissione, inoltre, avvierà negoziati con gli altri Paesi terzi che stanno implementando sistemi di sicurezza simili a quelli statunitensi; nel contempo, la Commissione individua un presidio di garanzia complementare accettabile nella completa informazione dei passeggeri e nella richiesta del consenso.
Quanto alle modalità di comunicazione, si torna al sistema di inoltro (push) da parte delle compagnie, su base centralizzata, sia pure con una serie di filtri tutti da stabilire. Gli USA hanno del resto ridotto in misura insufficiente le proprie pretese (eliminando la lista dei bagagli ed altre informazioni similari), promettendo tuttavia di cancellare immediatamente i dati sensibili dei quali vengano in possesso, e acconsentendo a riconoscere il potere di azione delle autorità europee in rappresentanza dei propri cittadini, in sede di ricorso presso i tribunali USA contro l’utilizzo abusivo delle informazioni.
Un simile sistema appare però illegittimo alla luce della direttiva del 1995, anche perché non limitato nel tempo, e non destinato ad operare caso per caso; quest’ultima opzione sarà adottata soltanto per il successivo inoltro dei dati dall’autorità doganale USA ad altre istituzioni. Le informazioni non sensibili verranno archiviate negli USA per tre anni e mezzo (il periodo di durata dell’accordo), mentre anno per anno le parti avranno la possibilità di richiedere una revisione dell’accordo.