Foto da www.edps.europa.eu/   Il potenziamento della raccolta e, soprattutto, dello scambio di “informazioni rilevanti” tra le autorità di polizia e Agenzie d’intelligence, nell’ambito degli Stati della comunità internazionale, è diventato indispensabile per contrastare le diverse forme di criminalità organizzata e politica, cioè il terrorismo di ogni matrice. Ma non sono pochi i limiti imposti dal rispetto della privacy e dalla necessità di proteggere dati “sensibili”, soprattutto quando alle Agenzie governative si affiancano strutture private. La disamina di Matteo E. Bonfanti affronta alcune considerazioni rilevanti e punta a risolvere le maggiori criticità in materia di protezione dei dati soprattutto in funzione dei princìpi di necessità e proporzionalità del trattamento. La prevenzione dei crimini comuni e del terrorismo deve partire quindi dal presupposto che sicurezza-legalità, da un lato, e protezione dei dati, dall’altro, stanno tra loro in un rapporto di complementarità e non di antitesi, secondo un’impostazione schematica e di principio. Sarebbe comunque opportuno, secondo Bonfanti, prevedere correttivi ispirati ad una maggiore selettività della raccolta e scambio di informazioni.

Verso la definizione di un modello europeo di informazione

Da circa un decennio a questa parte e, soprattutto, sulla base dell’esperienza acquisita durante l’attività investigativa svolta a seguito degli attentati terroristici di New York (2001), Madrid (2004) e Londra (2005), uno dei temi che ha progressivamente assunto grande rilievo nell’ambito della riflessione politica e giuridica relativa alle azioni che è necessario intraprendere al fine di contenere determinati fenomeni di natura internazionale tra i quali, oltre al terrorismo, la criminalità e l’immigrazione irregolare, riguarda il potenziamento della raccolta e, soprattutto, dello scambio transfrontaliero di “informazioni rilevanti” tra le autorità di law enforcement e d’intelligence operanti negli Stati membri della Comunità internazionale (1) . L’attenzione che non solo la dottrina ma anche la prassi internazionale hanno recentemente dedicato all’argomento è assai significativa e, con particolare riferimento alla condivisione transfrontaliera di informazioni, sembra testimoniare l’affermarsi di una generale consapevolezza circa il ruolo determinante che tale forma di cooperazione svolge ai fini della prevenzione, contrasto e controllo dei sopra citati fenomeni (2) . Quanto si sta descrivendo trova un facile riscontro nelle iniziative che, negli ultimi anni, sono state in tale ambito promosse e intraprese da una parte significativa dei soggetti dell’ordinamento internazionale.
Per quanto riguarda gli Stati membri dell’Unione europea, diversi sono gli strumenti giuridici da questi cooperativamente adottati con lo scopo di “potenziare” o “rafforzare” la raccolta e, soprattutto, lo scambio transfrontaliero di informazioni/dati per finalità sia di law enforcement sia di sicurezza. L’enfasi posta sull’aspetto del “potenziamento” delle operazioni di raccolta e condivisione dati è giustificata dal fatto che tra gli Stati membri, e tra questi e alcuni Paesi terzi, già da diverso tempo operano strutture e meccanismi che realizzano detta forma di collaborazione. Attraverso gli strumenti giuridici recentemente approvati e quelli in fase di definizione, si è quindi voluto intervenire sull’assetto di tali strutture e meccanismi, modificando le loro funzioni e, per detto tramite, aumentando la possibilità che essi vengano efficacemente impiegati per far fronte alle minacce all’ordine e alla sicurezza dell’UE.
Obiettivo dichiarato del processo che si sta descrivendo è la definizione di un “modello europeo di informazione basato su una capacità d’analisi strategica potenziata e su un sistema migliorato per la raccolta e il trattamento delle informazioni operative” (3) . In generale, quindi, l’intensificazione delle operazioni di raccolta e conservazione di informazioni rilevanti per finalità di law enforcement e intelligence, abbinata al potenziamento delle possibilità di condividerle, sembrano complessivamente essere diretti a definire un “patrimonio informativo comune” – di natura sovranazionale e, in particolare, europea – accessibile in maniera diffusa a quelle autorità di prevenzione e contrasto che sono impegnate, in diversa misura, al mantenimento dell’ordine e della sicurezza degli Stati membri dell’UE.
Uno degli aspetti caratterizzanti il costituendo modello informativo, sembra essere rappresentato dal ruolo non trascurabile che viene assegnato a determinati attori privati, coinvolti, in diversa misura, nello svolgimento di operazioni di raccolta e trasferimento dati per finalità di polizia e sicurezza. Tale coinvolgimento o “partenariato” ha assunto diverse forme, concretizzandosi, ad esempio, nell’obbligo di comunicazione, da parte di soggetti privati alle competenti autorità nazionali, di informazioni di natura finanziaria “sospette” oppure nell’obbligo di conservazione, sempre da parte dei medesimi soggetti, di dati di natura commerciale per renderli disponibili agli organismi di law enforcement e d’intelligence per l’esercizio di attività di prevenzione e contrasto. In base a quanto detto, sembra dunque che la definizione del modello europeo d’informazione stia determinando una certa riconfigurazione del rapporto tra pubblico e privato nel delicato settore del mantenimento dell’ordine e della sicurezza; un settore, che prima di tali interventi, era quasi esclusivamente di monopolio pubblico. È, perciò, interessante osservare quali sono le principali implicazioni che un simile processo determina. In questa sede, ci si limiterà a considerare solo quelle che riguardano alcuni aspetti del diritto degli individui alla protezione dei dati personali (legittimità) e di conseguenza, sulla base delle considerazioni che seguiranno, quelle facenti riferimento anche all’obiettivo di legalità-sicurezza che attraverso il sopra citato “partenariato” si intende perseguire (efficacia).


La legittimità quale parametro d’efficacia:
come la protezione dei dati può soddisfare le esigenze di legalità e di sicurezza

Come è facile intuire, il rafforzamento della raccolta e dello scambio transfrontaliero di informazioni per finalità di law enforcement e sicurezza, oltre a sollevare alcune questioni di natura prevalentemente tecnica, relative all’operatività dei meccanismi attraverso i quali attuarlo o alle procedure da seguire per renderlo concretamente efficace, pone alcuni problemi in termini di garanzia dei diritti fondamentali dell’individuo, in particolare, del diritto alla privacy e di quello alla protezione dei dati personali. Risulta, infatti, abbastanza evidente che, se non opportunamente operati, tale raccolta e scambio potrebbero facilmente tradursi in un’ingiustificata interferenza nei sopra citati diritti (4) . Qualora ciò dovesse accadere, l’esercizio delle operazioni di raccolta e trasferimento dati, legittimo sotto il profilo dell’obiettivo di legalità e sicurezza che intende perseguire, sarebbe illegittimo da un punto di vista del rispetto della privacy e, in particolare, dei fondamentali princìpi e diritti di data protection.
Quest’ultimo profilo di illegittimità sembrerebbe poi generare alcune ricadute negative riguardo all’efficacia stessa dell’attività informativa qui considerata. Non dovrebbe infatti essere troppo sottovalutata l’importanza che il rispetto di determinate regole di data protection assume anche ai fini del soddisfacimento dell’esigenza di sicurezza-legalità. Si pensi, ad esempio, ai fondamentali princìpi di “necessità” e “proporzionalità” che dovrebbero informare il trattamento dati (5) . Oltre ad essere previsti nell’interesse del soggetto interessato, tali princìpi, se effettivamente rispettati dalle autorità di prevenzione e contrasto nello svolgimento delle operazioni di raccolta e condivisione dati, possono rivelarsi altrettanto utili all’effettivo raggiungimento dell’obiettivo di sicurezza e di legalità che attraverso dette operazioni si intende perseguire. Infatti, va notato che le raccolte indiscriminate di dati, oltre ad essere eseguite in violazione dei princìpi cui si è fatto riferimento, possono rivelarsi controproducenti rispetto alla realizzazione degli obiettivi investigativi o all’individuazione di potenziali minacce. Un simile ragionamento può essere compiuto avendo riguardo anche al fondamentale “principio della sicurezza” del trattamento, la cui applicazione, diretta a soddisfare l’interesse del soggetto interessato, risponde anche alle esigenze degli operatori di law enforcement e di intelligence (6) . Lo stesso dicasi per il “principio di accuratezza” dei dati e per quello della “temporaneità” del loro trattamento (7) . Con riferimento a quest’ultimo, è necessario considerare che la raccolta e conservazione dei dati per periodi eccessivamente lunghi o indeterminati comporta costi molto elevati. Il sostenimento di detti costi inevitabilmente si traduce in una riduzione delle risorse che potrebbero, invece, essere più utilmente impiegate dagli stessi operatori della sicurezza.
Da quanto detto, sembra, quindi, di vitale importanza assicurare che le attività di information gathering and sharing per finalità di law enforcement e d’intelligence si svolgano nel rispetto di determinate regole in materia di tutela dei dati. Ciò, naturalmente, vale anche quando dette attività vengono poste in essere da attori privati.


“Partenariato” e regime didata protection applicabile

Da un punto di vista generale, nell’ordinamento giuridico europeo i princìpi e diritti in materia di protezione dei dati – tra i quali quelli sopra richiamati – applicabili alla raccolta e allo scambio di informazioni per scopi di law enforcement e sicurezza vengono riconosciuti in un sistema articolato o, per sottolinearne il principale limite, frammentato di fonti normative. Semplificando molto e avendo riguardo alla dimensione sovranazionale di tale ordinamento, si tratta delle regole previste da:
(a) gli strumenti giuridici che stabiliscono il funzionamento dei meccanismi e delle procedure attraverso i quali sono operati la raccolta e lo scambio di informazioni tra le competenti autorità degli Stati membri, qualora essi prevedano una serie completa e coerente di regole che disciplinino, a titolo di lex specialis, tutti gli aspetti pertinenti della protezione dei dati;
(b) la Decisione Quadro 2008/977/ GAI sulla protezione dei dati trattati per fini di polizia e giudiziari in materia penale che, in particolare, disciplina il trasferimento transfrontaliero delle informazioni (8) ;
(c) in casi assai limitati, gli strumenti di data protection adottati nell’ambito della Comunità europea (Direttiva 95/46/CE, Direttiva 2002/58/CE e Regolamento CE 45/2001) i quali prevedono una serie completa di princìpi in materia di protezione dei dati che, però, “di regola”, non si applicano ai trattamenti aventi ad oggetto la pubblica sicurezza, la difesa e la sicurezza dello Stato, nonché le attività dello Stato in materia di diritto penale (9) ;
(d) in generale, la Convenzione n. 108 del Consiglio d’Europa adottata a Strasburgo nel 1981, il relativo Protocollo del 2001 e la Convenzione europea dei diritti dell’uomo (CEDU, art. 8) adottata a Roma nel 1950, strumenti che vincolano tutti gli Stati membri dell’UE (10) ;
(e) seppur applicabile su base volontaria, la Raccomandazione n. R 87 15 del Consiglio d’Europa regolante l’utilizzo dei dati personali nel settore di polizia (11) .
La complessità del quadro normativo descritto è spesso fonte di incertezza giuridica; un’incertezza “di sistema” che diviene più problematica con riferimento al coinvolgimento di soggetti privati nelle operazioni di raccolta e condivisione di dati per finalità di law enforcement e sicurezza. Nel caso di specie, come si descriverà meglio, non sembra essere del tutto certo se l’individuazione delle norme applicabili debba basarsi sulla qualità del responsabile del trattamento (settore privato) o sulla finalità che tramite questo viene perseguita (attività di contrasto). La questione non è banale visto che, nel primo caso, la disciplina di data protection di riferimento – in particolare, quella stabilità dalla Direttiva 95/46/CE – determina un livello di tutela del soggetto interessato più elevato rispetto a quello previsto dalle norme in materia di protezione dei dati applicabili alle attività di prevenzione e contrasto – previste ad hoc o, in mancanza, dalla Convenzione n. 108).
Tuttavia, va osservato che la complessità del quadro normativo descritto e l’incertezza giuridica che ne deriva potrebbero ottimisticamente essere presto risolte. Grazie alle rilevanti modifiche apportate dall’entrata in vigore del Trattato di Lisbona 1.12.2009 all’assetto giuridico-istituzionale dell’UE, le relative istituzioni dispongono ora della competenza a definire nuove modalità per dare maggior coerenza al regime giuridico di data protection applicabile alla raccolta e scambio transfrontaliero di dati per finalità di law enforcement e sicurezza (12) . Da sottolineare è, innanzitutto, il riconoscimento del diritto soggettivo alla protezione dei dati attuato direttamente nel trattato art. 16 TFUE, determina un rafforzamento di tale diritto. Da non sottovalutare sono, inoltre, gli effetti positivi – in termini di coerenza della protezione dei dati – derivanti dalla modifica dello status giuridico della Carta dei diritti fondamentali dell’Unione Europea. Infatti, la Carta ha assunto la veste di fonte di diritto primario dell’UE, il che ha conseguenze non solo sull’efficacia dei diritti in essa riconosciuti – tra i quali anche quello alla protezione dei dati ex art. 8 –, ma anche sulla loro uniforme applicabilità a tutte le attività promosse dall’UE; un’uniforme applicabilità che sarà garantita anche dalla Corte di giustizia.


Ambiti in cui si svolge il “partenariato”

La cooperazione anti-riciclaggio dei proventi di derivazione illecita
Nell’UE, uno dei settori nel quale si è assistito ad un progressivo coinvolgimento di determinati attori privati nell’esercizio di attività di raccolta e scambio di informazioni per finalità di law enforcement e di sicurezza è quello dell’anti-riciclaggio dei proventi derivanti da attività illecite. Tale coinvolgimento è previsto dalla Direttiva 2005/60/CE relativa alla prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo (13) .# Il duplice obiettivo che la c.d. “Direttiva money laundering” si pone (anti-riciclaggio e prevenzione del finanziamento del terrorismo) viene perseguito stabilendo che ciascuno Stato membro si impegna a prevedere l’obbligo per una variegata categoria di operatori economici privati, sottoposti alla sua giurisdizione e che agiscono nell’esercizio della loro attività professionale, di eseguire operazioni di identificazione e verifica della clientela, di raccolta e registrazione dei relativi dati nonché, a determinate condizioni, di condivisione di detti dati con specifiche autorità nazionali (14) .# L’applicazione del contenuto della direttiva determina che, in ciascuno Stato membro e, quindi, in tutto il territorio dell’UE, viene a operare un sistema capillare di controllo e verifica di ogni attività o transazione economica-finanziaria che, quotidianamente, è eseguita da un considerevole numero di individui. Tra tutte le attività e transazioni finanziarie monitorate, ve ne sono poi alcune che vengono sottoposte a controlli particolari in quanto sospette di collegamento a operazioni di riciclaggio di denaro o di finanziamento del terrorismo. Tali attività e transazioni e i dati del soggetto che le compie o le richiede vengono quindi prontamente comunicate a un particolare organismo nazionale denominato Unità di informazione finanziaria (Financial Intelligence Unit o FIU).
La FIU è un organismo nazionale centrale incaricato di ricevere (e nella misura consentita di richiedere), di analizzare e di comunicare, alle competenti autorità di law enforcement dello Stato presso il quale esso svolge la sua attività, le informazioni che riguardano una possibile operazione di riciclaggio o di finanziamento del terrorismo (15) .# Per quanto riguarda la raccolta dei dati, le Unità hanno anche accesso, direttamente o indirettamente, in maniera tempestiva, ai database nazionali contenenti informazioni finanziarie, amministrative e investigative necessarie per assolvere i propri compiti in modo adeguato. Esse, quindi, rappresentano, non solo formalmente – nella loro denominazione – ma anche sostanzialmente – nell’azione che possono materialmente esercitare – dei veri e propri organismi d’intelligence, incaricati cioè di raccogliere, elaborare e comunicare alle competenti autorità nazionali informazioni rilevanti per l’azione che queste esercitano al fine del mantenimento della sicurezza e della legalità. Oltre a collaborare direttamente con le autorità nazionali, le FIU degli Stati membri cooperano anche tra di loro scambiandosi, spontaneamente o a richiesta, informazioni (16) .
Tra le maggiori implicazioni, che la collaborazione pubblico-privato in materia di anti-riciclaggio determina per il diritto degli individui alla protezione dei loro dati personali, vi sono quelle generalmente derivanti da tutte quelle attività di prevenzione e contrasto che presuppongono la raccolta diffusa e l’elaborazione di una significativa quantità di informazioni, nel caso in esame dati personali relativi ad un’ampia quantità di individui che svolgono attività economiche o compiono transazioni finanziarie. Il fatto che tali operazioni di raccolta ed elaborazione dati non solo abbiano ad oggetto singoli soggetti individualmente sospettati di compiere attività illecite, ma si basino sul monitoraggio ampio e diffuso della popolazione, limita significativamente la portata dei princìpi di necessità e di proporzionalità che informano il trattamento dati.

La Direttiva 2006/24/CE: data retention
Un altro settore nel quale è stato richiesto a determinati soggetti privati di collaborare con le autorità statali nella raccolta di informazioni per finalità di law enforcement e sicurezza è quello delle telecomunicazioni. Lo strumento giuridico europeo che ha regolamentato le modalità attraverso le quali tale collaborazione si svolge è la Direttiva 2006/24/CE la cui adozione è stata motivata sia dalla necessità di aggiornare – rispetto alle innovazioni tecnologiche nel frattempo intervenute – la disciplina (comunitaria) di data protection in materia di comunicazioni elettroniche, sia dalla volontà di introdurre alcune disposizioni dirette ad ampliare, nel quadro della lotta al terrorismo, la disponibilità per le autorità di polizia e giudiziarie di dati generati da tali comunicazioni (17) .#
Infatti, da quest’ultimo punto di vista, l’obiettivo della Direttiva è quello di armonizzare le disposizioni degli Stati membri che stabiliscono gli “obblighi, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione, di conservazione di determinati dati da essi generati o trattati, allo scopo di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di reati gravi” art. 1 § 1. Da quanto enunciato, risulta chiaro che l’armonizzazione ha principalmente ad oggetto sia la tipologia e la quantità di dati da conservare sia la durata del periodo di conservazione. Per quanto riguarda il primo aspetto, i dati in questione non attengono al contenuto della comunicazione, ma riguardano il traffico, l’ubicazione delle persone – sia fisiche che giuridiche – e quelli necessari per identificare l’abbonato o l’utente registrato. Per quanto riguarda la durata della conservazione, la Direttiva data retention stabilisce che le informazioni raccolte dagli operatori di servizi di telecomunicazione vengono conservate per un periodo non inferiore a sei mesi e non superiore a due anni dalla data in cui è avvenuta la comunicazione (18) .#
Durante tale periodo, quindi, le informazioni rimangono presso i privati a disposizione, però, delle autorità competenti degli Stati membri le quali, “nel rispetto dei criteri di necessità e proporzionalità”, possono accedervi e utilizzarle per le finalità di contrasto dei reati gravi. Da segnalare che la Direttiva data retention espressamente stabilisce che le procedure e le condizioni di accesso ai dati o, più in generale, le modalità con cui questi vengono trattati sono regolate dalla legislazione nazionale di ogni Stato membro, fatte però salve le rilevanti disposizioni in materia stabilite dal diritto dell’Unione europea o dal diritto internazionale e, in particolare, dalla CEDU, così come interpretata dalla Corte europea dei diritti dell’uomo. Il rinvio alle norme e alla giurisprudenza internazionali operato dalla Direttiva è di ampia portata e non risolve espressamente la questione della precisa determinazione del regime di data protection applicabile al trattamento dati di natura commerciale che possono però essere utilizzati per attività di contrasto. La questione è stata affrontata dalla Corte di giustizia delle Comunità europee (CGCE) la quale, tuttavia, non sembra averla definitivamente risolta (19) .
Venendo ora alle implicazioni che le operazioni di raccolta, conservazione e condivisione dei dati previste della Direttiva data retention hanno rispetto ai princìpi in materia di protezione dei dati, la più rilevante sembra, di nuovo, riguardare la proporzionalità del trattamento. Come è stato osservato in dottrina, è dubbio che la conservazione e l’utilizzo dei dati generati dall’impiego dei servizi di telecomunicazione, così disciplinati, possano essere considerati non eccessivi rispetto allo scopo che intendono perseguire (20) . In altre parole, la Direttiva, imponendo ai fornitori di servizi di telecomunicazione operanti in ciascuno Stato membro di raccogliere, conservare – per un non breve arco temporale e, quindi, incidendo sull’effettività della temporaneità del trattamento – e rendere disponibili alle competenti autorità nazionali una vasta quantità di dati generati dal traffico telefonico o internet di una serie indiscriminata di individui senza, ad esempio, limitare il contenuto di tale obbligo agli individui sospettati di reato o indagati, pregiudica di non poco la portata del suddetto principio (21) .#

European PNR system
L’UE sta attualmente discutendo un provvedimento diretto a stabilire l’obbligo per le compagnie aeree che operano voli internazionali, diretti, provenienti o in transito dal territorio di almeno uno Stato membro, di rendere disponibili a competenti autorità nazionali una serie di dati di “natura commerciale” – complessivamente denominati, secondo l’acronimo inglese, PNR o Passenger Name Record – da utilizzarsi, però, al fine di prevenire e contrastare il terrorismo internazionale e altre gravi forme di criminalità. I dati in questione sono quelli contenuti nel sistema automatico di prenotazioni e partenze dei voli operati da dette compagnie e fanno riferimento ai singoli passeggeri che ne usufruiscono. Generalizzando, essi consistono in un insieme significativo di informazioni, utili alle autorità nazionali di law enforcement e sicurezza per identificare gli individui-passeggeri, per monitorarne gli spostamenti internazionali nonché, assai importante, per effettuare “valutazioni” circa il rischio che ciascuno di questi sia implicato nella preparazione o commissione di un reato di terrorismo internazionale o di altri gravi crimini (22) .#
Occorre da subito osservare che, nel panorama internazionale delle misure adottate dagli Stati per far fronte a determinati fenomeni criminali, in particolare al terrorismo, la condivisione di informazioni tra operatori del trasporto aereo e autorità nazionali di contrasto non costituisce sicuramente una novità. Infatti, tale condivisione informativa per finalità di law enforcement e sicurezza rappresenta una forma di collaborazione tra settore pubblico e privato che, originariamente, è stata ideata dagli Stati Uniti a seguito degli attacchi terroristici del 2001. Simili forme di collaborazione sono state poi attuate da altri Stati, come il Canada e l’Australia. Da ultimo, anche gli Stati membri dell’UE hanno deciso di procedere in tal senso.
Prima, però, di esaminare più approfonditamente il contenuto dell’iniziativa europea, occorre soffermarsi su alcune rilevanti conseguenze che i programmi di trasferimento dati PNR, rispettivamente adottati dall’ordinamento statunitense, canadese e australiano, hanno avuto per l’ordinamento dell’UE. Va, infatti, osservato che, seppur circoscritti ad uno specifico ordinamento, tali programmi determinavano, ciascuno, soprattutto nella loro fase di attuazione, alcune conseguenze sul piano internazionale. In particolare, l’obbligo di comunicare i dati PNR per finalità di law enforcement e sicurezza stabilito da detti ordinamenti e riguardante “ogni” compagnia aerea operante voli internazionali da o verso il loro territorio, aveva importanti ripercussioni sulla normativa europea di data protection. Infatti, essendo detto obbligo previsto per ogni vettore aereo e, quindi, anche per quelli aventi sede legale nel territorio dell’UE, che sono tenuti a trattare i dati secondo i princìpi definiti dalla normativa europea in materia di protezione dei dati personali, si poneva la questione della compatibilità del trasferimento dati PNR rispetto ai detti princìpi. Tale questione è stata giuridicamente risolta, seppur in momenti diversi e con una vicenda del tutto particolare per il caso statunitense attraverso la conclusione di un accordo tra l’UE e lo Stato terzo destinatario del trasferimento dati, il quale ha assunto precisi impegni in materia di protezione dei dati personali ricevuti (23) .# Quindi, in base a ciascun accordo, l’UE ha autorizzato le compagnie aeree europee a trasferire alle competenti autorità estere di law enforcement i dati PNR.
In base a quanto descritto e prendendo come punto di riferimento l’Unione europea, è quindi possibile, schematizzando, distinguere tra due dimensioni che il sistema di condivisione dati PNR sta attualmente assumendo in Europa. Da un lato, infatti, esso si inquadra nell’ambito della cooperazione internazionale tra l’UE e alcuni Paesi terzi; esso essenzialmente consiste nel trasferimento di informazioni personali trattate per fini commerciali dagli operatori di servizi di trasporto aereo aventi sede nell’UE ad autorità di law enforcement e sicurezza extra-europee. Dall’altro lato, vi è poi un profilo del sistema PNR che riguarda, invece, la cooperazione di law enforcement e sicurezza “interna” all’UE. Da questo punto di vista, il sistema è tuttora in fase di definizione. Di recente, infatti, la Commissione ha presentato al Consiglio una Proposta di decisione quadro sull’uso dei dati PNR per finalità di law enforcement (cd. Proposta European PNR) la quale, come già richiamato sopra, intende essenzialmente regolare le modalità secondo le quali i vettori aerei che effettuano voli internazionali diretti, provenienti o in transito dal territorio di almeno uno Stato membro, trasmettono detti dati alle competenti autorità di contrasto degli Stati membri (24) .# La Proposta è stata sottoposta in sede di Consiglio ad alcuni rilevanti emendamenti, alcuni dei quali volti ad incrementare le potenzialità di utilizzo dei dati PNR (25) .#
Ciò che risulta interessante notare è che, qualora la Proposta dovesse essere definitivamente approvata, verrebbe ad istituirsi un sistema di monitoraggio di tutti gli individui che usufruiscono di un volo aereo transnazionale in partenza, in arrivo o solo in transito dal territorio di uno Stato membro. Se, poi, detto volo avrà origine o sarà diretto verso il Canada, l’Australia o gli Stati Uniti, il monitoraggio sarà teoricamente duplice e ciò in quanto verrà compiuto non solo dalle competenti autorità di law enforcement degli Stati membri ma anche da quelle di detti Paesi (26) .#

a) API e PNR: differenti approcci per differenti finalità
Prima di soffermarsi sull’analisi delle disposizioni della Proposta European PNR, occorre notare che, nell’ambito dell’UE, già esiste ed è operativo un meccanismo di trasferimento dei dati relativi ai passeggeri di voli internazionali alle autorità degli Stati membri che si occupano di controlli alle frontiere esterne. Tale meccanismo è quello previsto dalla Direttiva 2004/82/CE del Consiglio (Direttiva API, Advance Passenger Information) la quale, essenzialmente, impone agli Stati membri di stabilire l’obbligo per i vettori aerei che operano voli transazionali verso il territorio di uno Stato membro dell’UE di comunicare anticipatamente alle competenti autorità nazionali incaricate di sorvegliare le frontiere esterne i dati relativi alle persone che verranno da essi trasportate (27) .# Obiettivo della Direttiva è quindi quello di contrastare l’immigrazione illegale verso l’UE migliorando il controllo alle frontiere.
La vigenza della Direttiva appena richiamata potrebbe far sorgere dei dubbi circa la necessità dell’approvazione di un ulteriore strumento giuridico che preveda un obbligo di raccolta e scambio di informazioni sui passeggeri di voli aerei pressoché analogo. In realtà, le due iniziative si distinguono tra loro per non trascurabili elementi.
La prima e più macroscopica differenza, tra i meccanismi di condivisione dati di cui entrambi gli strumenti giuridici sono promotori, riguarda la finalità perseguita e l’approccio utilizzato. Per quanto riguarda la finalità, come già detto, la Direttiva API è diretta a migliorare il controllo dell’immigrazione, mentre la Proposta della Commissione ha l’obiettivo di prevenire e contrastare i reati di terrorismo e altri gravi reati (28) .# Per quanto, invece, concerne l’approccio o il metodo utilizzato per perseguire, rispettivamente, ciascuno dei citati obiettivi, conviene riportare quanto espressamente affermato dalla Commissione nella Relazione p. 3 che accompagna la Proposta e cioè: “Ai fini della lotta contro il terrorismo e la criminalità organizzata, le informazioni contenute nei dati API basterebbero soltanto ad identificare terroristi e criminali già noti usando i sistemi di segnalazione (come, ad esempio, il Sistema Informativo Schengen (SIS)). I dati API sono dati ufficiali, ricavati dai passaporti e sufficientemente accurati per quanto riguarda l’identità di un passeggero, mentre i PNR contengono più elementi di dati e sono disponibili prima di quelli API. Questi elementi di dati sono uno strumento molto importante per effettuare valutazioni di rischio sui passeggeri, per ottenere informazioni e stabilire associazionitra soggetti noti e non noti” (corsivo aggiunto). L’enfasi posta sulle operazioni di valutazione del rischio dei passeggeri e di profiling dimostra l’intenzione della Commissione di istituire un sistema di condivisione delle informazioni ispirato al perseguimento di finalità “tattiche” ossia di prevenzione e contrasto dei reati ma anche di finalità “strategiche” e di sicurezza ovvero per prevenire il fenomeno del terrorismo e della criminalità. Più banalmente, il sistema European PNR proposto è volto sia a permettere alle autorità nazionali di law enforcement e sicurezza di monitorare un determinato individuo-passeggero, sospettato di essere personalmente collegato alla preparazione o commissione di reati di natura transnazionale, sia a consentire a dette autorità di monitorare l’intera popolazione dei passeggeri di vettori aerei e, attraverso l’analisi, la combinazione, la verifica delle relative informazioni e la deduzione dei loro comportamenti e delle loro attitudini, di individuare i soggetti che rappresentano una minaccia per la sicurezza e per l’ordine pubblico. Un simile approccio, che informa il contenuto della Proposta della Commissione, è stato non solo confermato, ma ulteriormente sviluppato dal Consiglio in fase di discussione della stessa.
Vi sono poi ulteriori differenze tra il regime di trasferimento dati API e quello PNR. Una tra queste riguarda sia la quantità che la qualità dei dati scambiati, limitata e pressoché omogenea per quanto riguarda i dati API ampia e articolata per quelli PNR. Inoltre, se i primi consistono in informazioni di natura “oggettiva” o “ufficiale” e di validità durevole (ad es. il numero e il tipo di documento di viaggio utilizzato dal passeggero o il valico di frontiera di ingresso nel territorio degli Stati membri), i dati PNR consistono anche in informazioni di natura maggiormente variabile (osservazioni generali sul passeggero e sui suoi spostamenti) molte delle quali vengono personalmente comunicate dall’individuo al momento della prenotazione del volo (recapito telefonico e indirizzo di posta elettronica, informazioni sulle modalità di pagamento). Infine, un’ulteriore differenza tra i due sistemi di condivisione dei dati riguarda le condizioni o modalità attraverso le quali avviene il trasferimento delle informazioni dalle compagnie aeree alle autorità nazionali di contrasto degli Stati membri. Nel caso previsto dalla Direttiva API, lo scambio è operato sulla base di una precisa richiesta proveniente dalle autorità nazionali; nel caso della Proposta le informazioni dovranno essere condivise automaticamente, non appena divengano disponibili.

b) Il contenuto della Proposta European PNR
Venendo ora all’esame del meccanismo di condivisione dati PNR previsto dalla Proposta, va osservato che elemento centrale di quest’ultimo è l’individuazione, da parte di ciascuno Stato membro, di un’“Unità d’informazione sui passeggeri” (Passenger Information Unit o PIU), competente, innanzitutto, alla raccolta dei dati PNR che vengono trattati dai sistemi di prenotazione costituiti presso i vettori aerei operanti voli internazionali, in partenza o in arrivo dal territorio dello Stato o degli Stati membri a cui l’Unità fa capo art. 3 § 1. L’Unità rappresenta, quindi, il primo destinatario del trasferimento dei dati in possesso delle compagnie aeree e il centro “nevralgico” per la loro elaborazione e analisi (29) .#
Per quanto riguarda la tempistica secondo la quale è eseguita la condivisione dei dati PNR, è previsto che questi vengano comunicati anticipatamente alla partenza programmata del volo e immediatamente dopo la chiusura del volo. Sempre con riferimento alle modalità di condivisione dei dati, la Proposta (art. 5 § 4) stabilisce che i vettori aerei, trascorso un periodo transitorio di due anni, devono “trasferire” di loro iniziativa i dati in loro possesso alla PIU competente (cd. metodo “push”). Invece, durante il periodo transitorio, i vettori aerei che non dispongono dei dispositivi tecnici necessari per trasferire di loro iniziativa le informazioni di cui sono possesso sono tenuti a consentire alla PIU di “prelevare” direttamente i dati o di estrarli dai rispettivi database (cd. metodo “pull”). La distinzione tra i due metodi è rilevante ai fini della determinazione delle implicazioni che essi hanno in materia di data protection. Come, infatti, è stato osservato dal Garante europeo per la protezione dei dati nel parere del 2007 relativo alla Proposta, il metodo “push”, che consente alle compagnie aeree di mantenere il controllo sulla qualità dei dati trasferiti e sulle circostanze di tali trasferimenti, è l’unico metodo che permette di rispettare il principio di proporzionalità del trattamento. Deve però trattarsi di un vero e proprio “push”: i dati, cioè, non dovrebbero essere trasmessi in blocco alla PIU, ma filtrati già in questa primissima fase del trattamento (30) .#
Una volta ricevuti i dati registrati nei sistemi di prenotazioni delle compagnie aeree, la PIU è responsabile della loro conservazione 3 anni estensibili fino ad un massimo di 10 e analisi art. 9 (31) .# L’Unità, innanzitutto, procede alla valutazione del rischio connesso ai passeggeri esaminando le informazioni ricevute e confrontandole con quelle conservate nei rilevanti database nazionali e internazionali, come, ad esempio, quelli che costituiscono parte del SIS. Il fine di tale operazione è quello di identificare coloro che sono o potrebbero essere implicati in un reato di terrorismo o altro grave reato nonché i loro complici e di comunicare i relativi dati alle competenti autorità di contrasto degli Stati membri. Tra i compiti delle PIU vi è, inoltre, quello di creare e aggiornare gli indicatori di rischio per la valutazione dei passeggeri e, in generale di fornire intelligence sui tipi di spostamenti e altre tendenze connessi ai reati di terrorismo e altri gravi reati.
Come è facile immaginare, qualora la Proposta European PNR dovesse essere approvata e il sistema di condivisione dei dati da questa previsto dovesse diventare operativo, si avrebbero diverse implicazioni per il diritto degli individui alla protezione dei loro dati personali.
Prima, però, di esaminarle occorre fare breve riferimento alla questione dell’individuazione del regime di data protection regolante il trattamento dati da parte delle compagnie aeree al fine del loro trasferimento alla PIU competente. Nel silenzio della proposta, sembra restare sottointeso che questo sia sottoposto alla disciplina stabilita dalla Direttiva 95/46/CE. In realtà, questo punto risulta essere abbastanza controverso. Visto, infatti, che i dati PNR vengono trattati da soggetti privati (le compagnie aeree) non solo per fini commerciali, ma anche per renderli disponibili alle autorità nazionali di prevenzione e contrasto non è possibile affermare con certezza che il regime di data protection ad essi applicabile sia quello stabilito dalla Direttiva 95/46/CE. Nel caso di specie, la finalità di law enforcement e sicurezza del trattamento sembra essere addirittura quella prevalente. La questione potrebbe in questo caso essere affrontata ricorrendo all’interpretazione adottata dalla CGCE nella sentenza del maggio 2006 relativa al primo accordo concluso tra gli USA e la CE sul trasferimento dei dati PNR (32) .# In quell’occasione, i giudici del Lussemburgo hanno stabilito che il trasferimento “in forma sistematica” di dati PNR dai vettori aerei alle autorità americane costituiva un trattamento avente ad oggetto la pubblica sicurezza e, quindi, non rientrante nel campo di applicazione della Direttiva 95/46/CE.# Alla luce dell’interpretazione della Corte, sembra quindi corretto in questo caso far prevale il criterio della finalità del trattamento su quello della natura del soggetto che lo pone in essere e ritenere, quindi, il trattamento dati PNR svolto dalle compagnie aeree come un trattamento per finalità di polizia genericamente soggetto alle norme della Convenzione n. 108.
Venendo ora alle implicazioni che il sistema descritto ha in materia di protezione dei dati personali, la principale riguarda il rispetto dei princìpi di necessità e proporzionalità del trattamento delle informazioni personali. Sulla base di considerazioni non dissimili da quelle fatte in precedenza sembra difficile che il monitoraggio ampio e diffuso degli individui passeggeri sia compatibile con detti princìpi. Inoltre, visto che l’obiettivo del sistema non è semplicemente quello di identificare i terroristi o criminali noti, confrontandone i nomi con quelli figuranti negli elenchi gestiti dalle autorità di law enforcement, bensì di raccogliere un’ampia quantità di informazioni sui passeggeri di voli aerei e di effettuare tramite esse valutazioni di rischio, è fondamentale ridurre al minimo la possibilità di incorrere in errori (falsi positivi).


Osservazioni conclusive

In base a quanto descritto, è possibile concludere che le maggiori criticità che le forme di “partenariato” esaminate determinano in materia di protezione dei dati riguardano soprattutto i princìpi di necessità e proporzionalità del trattamento. Le criticità derivano dal fatto che le operazioni di raccolta e di condivisione delle informazioni interessano una variegata categoria di dati personali che vengono quotidianamente generati dall’individuo-titolare nell’esercizio di attività di per sé legittime. Tale raccolta diffusa e generalizzata risponde all’esigenza delle autorità di contrasto di disporre di un bacino di informazioni il cui contenuto viene utilizzato al fine di prevenire i crimini e, in particolare, il terrorismo. Senza limitare il perseguimento di quest’ultimo obiettivo e partendo dal presupposto che sicurezza-legalità, da un lato, e protezione dei dati, dall’altro, stanno tra loro in un rapporto di complementarietà e non, secondo un’impostazione schematica e di principio, di antitesi, sarebbe auspicabile prevedere alcuni correttivi ispirati ad una maggiore selettività della raccolta e scambio di informazioni.