Parere 4/2003 Livello di tutela assicurato negli USA rispetto al trasferimento di dati relativi a passeggeri. adottato il 13 giugno 2003

Transcript

1 1 Gruppo di lavoro sulla protezione dei dati ARTICOLO 29 Parere 4/2003 Livello di tutela assicurato negli USA rispetto al trasferimento di dati relativi a passeggeri adottato il 13 giugno 2003

2 2 Parere 4/2003 sul livello di tutela assicurato negli USA rispetto al trasferimento di dati relativi a passeggeri IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI costituito in forza della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre , visti l'articolo 29 e l'articolo 30, comma 1, lettera (a) e comma 3 di tale direttiva, visto il proprio regolamento interno, in particolare gli articoli 12 e 14, ha adottato il presente Parere: Introduzione Successivamente agli eventi dell 11 settembre 2001, gli Stati Uniti hanno adottato una serie di disposizioni legislative e regolamentari che impongono alle compagnie aeree che volino nel loro territorio di trasferire all Amministrazione USA dati personali relativi a passeggeri ed equipaggio che effettuino voli con destinazione o origine negli Stati Uniti. In un precedente parere adottato nel mese di ottobre , il Gruppo di lavoro era giunto alla conclusione che il rispetto di tale richiesta da parte delle compagnie aeree comportava alcuni problemi alla luce della Direttiva 95/46/CE sulla protezione dei dati 3, e sollecitava l individuazione di un approccio comune a livello di Unione Europea. Il Gruppo raccomandava specificamente alla Commissione europea di instaurare negoziati con gli Stati Uniti d America al fine di risolvere la questione. Il Gruppo di lavoro è stato informato dalla Commissione sugli sviluppi di tale negoziato, condotto dalla Commissione allo scopo di definire le condizioni che consentirebbero alla Commissione stessa di adottare una decisione in cui si riconosca 1 Gazzetta Ufficiale n. L281 del Parere 6/2002 del Gruppo di lavoro sulla trasmissione di Passenger Manifest Information ed altri dati da parte delle compagnie aeree agli Stati Uniti. 3 Direttiva 95/46/CE sulla protezione delle persone con riguardo al trattamento di dati personali e sulla libera circolazione di tali dati.

3 3 la protezione adeguata ai sensi dell Art. 25(6) della Direttiva 95/46/CE, ed ha potuto raccogliere elementi ulteriori esaminando le richieste USA insieme a rappresentanti di alto livello del Department of Homeland Security nel corso di un incontro tenutosi il 5 maggio. In particolare, il Gruppo di lavoro ha ricevuto dalla Commissione un documento datato 22 maggio 2003, contenente una Dichiarazione di intenti da parte dell United States Bureau of Customs and Border Protection e dalla United States Transportation Security Administration. 4 A quanto consta al Gruppo di lavoro, tale Dichiarazione costituisce il risultato sinora raggiunto attraverso il negoziato in corso fra Amministrazione USA e Commissione, e la Commissione continua ad esercitare pressione sull Amministrazione USA per compiere ulteriori progressi su tutta una serie di punti. Il presente Parere è adottato in riferimento al livello di tutela assicurato dagli Stati Uniti d America dopo la trasmissione da parte delle compagnie aeree di dati personali relativi ai passeggeri ed ai membri dell equipaggio, in base alla legislazione USA ed agli impegni internazionali assunti dagli USA, secondo quanto indicato nella Dichiarazione di intenti di cui sopra e secondo quanto previsto dalla legislazione pertinente. Nell esprimere il presente parere, il Gruppo si è attenuto ai criteri generali fissati per la valutazione della protezione adeguata in precedenti documenti 5, nonché al parere già adottato in merito ai dati PNR/APIS richiesti dagli USA. 6 Il presente Parere è adottato in una fase in cui gli USA chiedono all UE, o direttamente ai singoli Stati Membri, numerosi flussi di dati personali (ad esempio, visti ecc.). Inoltre, il Gruppo di lavoro ha ben presente la circostanza che analoghi flussi vengono già oggi sollecitati o ipotizzati da diversi altri Stati terzi, con conseguenti problematiche di non discriminazione tra Stati terzi e con la necessità di condurre una valutazione globale, che potrebbe costituire un modello di soluzione per altri Paesi ai quali pervengano analoghe richieste. Il Gruppo di lavoro sottolinea l esigenza di fornire un quadro di riferimento concernente i dati personali che circolano in tutto il mondo per finalità connesse alla sicurezza nel trasporto aereo. 1. Lotta al terrorismo e tutela di diritti e libertà fondamentali Il tema in oggetto, relativo al trasferimento di dati ad autorità USA da parte di compagnie aeree, ha ampie e delicate implicazioni politico-istituzionali e in termini di relazioni internazionali. La lotta al terrorismo rappresenta una componente necessaria e di grande importanza in una società democratica. Nel combattere il terrorismo occorre garantire il rispetto di 4 Nel prosieguo indicata con il termine undertakings o Dichiarazione. 5 Documento WP 12 del 24 luglio Documento WP 66 del 24 ottobre 2002.

4 4 diritti e libertà fondamentali delle persone, fra cui il diritto alla privacy ed alla protezione dei dati. 7 Tali diritti sono tutelati, in particolare, dalla Direttiva 95/46 e dall Articolo 8 della Convenzione europea dei diritti dell uomo 8, oltre ad essere sanciti dagli Articoli 7 e 8 della Carta dei diritti fondamentali dell Unione Europea. 9 Inoltre, la protezione dei dati trova ulteriore e più esteso riconoscimento nel progetto di Costituzione europea all esame della Convenzione sul futuro dell Europa. Le legittime esigenze di sicurezza interna negli USA dovrebbero rispettare tali principi fondamentali. Qualsiasi limitazione di diritti e libertà fondamentali in rapporto al trattamento di dati personali nell Unione Europea è ammissibile soltanto se risulta necessaria in una società democratica ed è finalizzata alla tutela di interessi pubblici indicati in modo esaustivo nei suddetti documenti Considerazioni generali Il presente Parere riguarda la protezione di diritti e libertà fondamentali in rapporto al trattamento di dati personali. Il presente Parere è reso dal Gruppo di lavoro allo scopo di valutare l adeguatezza della protezione fornita dagli USA con riguardo a previste decisioni della Commissione o ad altri atti relativi alla questione in oggetto. Il Gruppo si riserva di integrare il presente parere con un ulteriore parere, qualora lo stesso non sia adeguatamente recepito oppure siano introdotte nei futuri negoziati modifiche sostanziali che meritino una specifica valutazione. Il Gruppo rileva che le ipotesi contenute nella Dichiarazione di intenti devono essere oggetto di un analisi accurata ai fini della constatazione di adeguatezza del livello di protezione dei dati personali da esse fornito. L adozione di una tecnica di trasmissione dei dati anziché di un altra (accesso diretto da parte delle autorità USA ai database delle compagnie aeree, oppure comunicazione volontaria dei dati da parte delle compagnie aeree) solleva non soltanto interrogativi di natura tecnica, ma anche più importanti interrogativi in chiave di proporzionalità. Ciò significa, inoltre, che le autorità USA presentano richieste che eccedono i poteri attualmente riconosciuti ad autorità europee giudiziarie e di polizia o preposte a servizi di immigrazione, e persino a servizi di informazione e sicurezza, per analoghe attività svolte sul territorio dell Unione europea. La problematica interferisce anche sulla cooperazione giudiziaria e di polizia, e va quindi valutata alla luce delle garanzie individuate in recenti accordi e schemi di accordo Europa-USA in materia di cooperazione, mutua assistenza ed estradizione La raccolta dei dati contenuti nei database delle compagnie aeree chiesta dagli USA riguarda un numero ingente di passeggeri, stimato in almeno 10/11 milioni l anno, il che induce ad una particolare cautela tenendo presente le opportunità che ne scaturiscono di svolgere attività di data mining, in particolare su cittadini europei, con rischi di 7 V. Parere 10/2001 sull esigenza di un approccio equilibrato alla lotta contro il terrorismo. 8 V. anche la giurisprudenza in materia della Corte europea dei diritti dell uomo. 9 La Commissione europea si è impegnata a rispettare la Carta. V. Comunicazione della Commissione sulla Carta dei diritti fondamentali dell Unione Europea (COM(2000) 559 ). 10 V. gli interessi elencati all Articolo 13 della Direttiva 95/46/CE.

5 5 schedature di massa e di controlli generalizzati da parte di un Paese terzo. Di conseguenza, le richieste dell Amministrazione americana devono essere esaminate con la massima attenzione. 3. Transitorietà della decisione concernente l adeguatezza L ampiezza dei flussi di dati è legata a gravi avvenimenti verificatisi di recente nel contesto internazionale. Il Gruppo di lavoro raccomanda di compiere un riesame periodico a breve termine della situazione, onde valutare se permangano le condizioni che rendono necessari tali flussi. Qualora il quadro internazionale si modifichi, sarebbe necessario riesaminare l intera situazione. Il Gruppo di lavoro raccomanda alla Commissione di inserire nella propria decisione clausole che prevedano un termine di validità, e di riesaminare comunque la situazione a distanza di 3 anni. Inoltre, se le garanzie fornite dall Amministrazione USA non troveranno corretta applicazione, sarà necessario riesaminare la situazione. Per tale motivo, è essenziale che la Commissione riferisca periodicamente sulla concreta utilizzazione dei dati negli USA. Ciò dovrebbe consentire di verificare le condizioni del trattamento negli USA, così da assicurare la perdurante validità dei presupposti sui quali si fondava la decisione della Commissione. 4. Quadro normativo statunitense Il Gruppo di lavoro ritiene che qualsiasi decisione della Commissione in cui si riconosca l adeguatezza della protezione fornita, come pure ogni altro strumento in cui si fornisca un quadro normativo per i flussi di dati, debbano basarsi su una fotografia nitida della legislazione statunitense primaria e secondaria che regola finalità, modalità e logica di utilizzazione dei dati negli USA nonché il novero degli enti autorizzati ad accedere a tali dati. Un quadro completo della normativa applicabile in materia negli USA, per esigenze di chiarezza e trasparenza nei confronti dei cittadini europei, dovrebbe essere allegato ad ogni eventuale decisione della Commissione. Inoltre, si dovrebbe prevedere un meccanismo atto a garantire che ogni novellazione di norme in materia sia comunicata alla Commissione. E necessario evitare altre normative, eventualmente anche anteriori alla decisione della Commissione (la Dichiarazione d intenti conferisce un amplissimo mandato di utilizzazione e comunicazione dei dati per ogni altra previsione di legge ), oppure interpretazioni confliggenti o disposizioni attuative interne agli U.S.A., relative in particolare al CAPPS II o alla raccolta di dati biometrici 11, che comportino sostanziali modifiche unilaterali delle condizioni esistenti negli USA in base alle quali si è concordato di giungere ad una decisione di adeguatezza. Inoltre, è essenziale che non siano posti alla base della decisione meri impegni di amministrazioni volti a sostenere sul piano interno determinate interpretazioni (v. punto 11). 11 Dovranno essere pertanto oggetto di valutazione solo in futuro gli aspetti relativi alla raccolta di dati biometrici prevista a partire dall ottobre 2004 per il rilascio di visti di ingresso.

6 6 Non è possibile compiere una valutazione dell adeguatezza del livello di tutela rispetto a quei settori dell amministrazione statunitense in cui il quadro normativo relativo al trattamento dei dati PNR non può ritenersi stabile o adeguatamente delineato sul piano dell accesso ai dati e della legittimazione al loro trattamento. Il Gruppo di lavoro si riferisce, in particolare, ai punti degli Undertakings riguardanti la Transportation Security Administration ed il rispettivo programma CAPPS II. Ne è possibile effettuare una valutazione dell adeguatezza del livello di tutela per quei sistemi in grado di compiere un trattamento massivo dei dati, il cui esatto funzionamento e configurazione denotano ampie problematiche ancora in via di definizione (in particolare, la Terrorism Information Awareness Initiative). In tale ambito, il Gruppo di lavoro sottolinea l esigenza di evitare situazioni per cui la TSA o altre amministrazioni che gestiscono sistemi massivi di elaborazione dati siano in grado di ricevere dati in via indiretta. Qualora i dati siano trasmessi a sistemi di tal genere, è necessaria un ulteriore, specifica valutazione del livello di tutela. 5. Meccanismi di trasferimento dei dati e problematiche giuridiche Quanto alla base giuridica, sottolineata con particolare forza dalla Risoluzione del Parlamento europeo del 13 marzo 2003, il Gruppo ritiene che - alla luce della complessità dei problemi giuridici connessi alla liceità della comunicazione dei dati a terzi ed al loro trasferimento in un Paese terzo - sia probabilmente necessario, in base al complesso della direttiva n. 95/46/CE, affiancare la decisione positiva della Commissione ai sensi dell articolo 25, par. 6, della Direttiva con un impegno formale dell Amministrazione U.S.A. preso all esito dei negoziati. Tali basi giuridiche sono indicate dal Gruppo nella convinzione che, alla luce delle possibili discrepanze di natura tecnica fra i singoli sistemi, l unico meccanismo di trasmissione dei dati agevolmente configurabile sia quello push (dati selezionati e trasmessi dalle compagnie aeree alle autorità statunitensi), anziché quello pull (accesso diretto on-line da parte delle autorità statunitensi ai database delle compagnie aeree e dei sistemi di prenotazione). Il sistema push, oltre a rispondere meglio ai principi di adeguatezza, pertinenza e non eccedenza nel trattamento dei dati personali (Art. 6 della Direttiva), a porre minori problemi di sicurezza dei dati e a rendere superflue determinate operazioni statunitensi di filtraggio degli accessi, non renderebbe infatti necessario applicare alle autorità statunitensi le disposizioni nazionali di recepimento della Direttiva, che si dovrebbero altrimenti applicare in caso di accesso pull. In quest ultimo caso si potrebbe infatti ritenere che alle autorità USA si applichi ipso facto la Direttiva nella sua totalità, compresi gli Articoli 4, 6 e 13. Inoltre, il sistema push è l unico che possa garantire la corretta applicazione delle norme sulla responsabilità previste dalla Direttiva 95/46 rispetto ai titolari europei del trattamento. Il Gruppo di lavoro, pertanto, nota con soddisfazione che gli USA non sollevano alcuna obiezione al sistema push. Tale soluzione dovrebbe sostituire quanto prima il meccanismo attualmente utilizzato.

7 7 6. Finalità perseguite Le finalità per cui i dati potranno essere utilizzati devono rimanere circoscritte alla lotta agli atti terroristici, senza allargarne l ambito ad altri non meglio precisati serious criminal offences [gravi reati penali]. Gli USA dovrebbero fornire una lista chiara e delimitata di gravi reati direttamente connessi al terrorismo, ferma restando la possibilità di attuare altri scambi di dati nel quadro della cooperazione giudiziaria e di polizia. L esigenza di chiarezza si riflette anche sul novero degli altri soggetti pubblici che potrebbero ricevere i dati, di cui al momento si ipotizza un arco del tutto indeterminato. Dovrebbe essere puntualmente circoscritta l identificazione di tali soggetti pubblici e dei rispettivi compiti, oppure se ne dovrebbe fornire una descrizione operativa (per quanto concerne le autorità identificabili in forma specifica, come le autorità giudiziarie). E comunque necessario chiarire in modo inequivocabile che i dati possono essere comunicati ad altre autorità, se necessario ed in casi specifici, esclusivamente in relazione alle finalità di contrasto di gravi reati direttamente connessi al terrorismo, e che ogni utilizzazione successiva di tali dati resta soggetta ad un identica limitazione. Occorre inoltre chiarire quali soggetti pubblici gestiscano gli elenchi di diniego di volo (no fly) e di sorveglianza (watch) rispetto ai quali vengono elaborati i dati PNR, e quali siano le procedure seguite da tali soggetti. Il Gruppo di lavoro ritiene opinabile che la tutela di interessi vitali dell interessato o di un terzo giustifichi la comunicazione dei dati, poiché in tal modo verrebbe ad aumentare in misura significativa la possibilità di trasmissioni ulteriori dei dati. Sembrano esistere altre strade per soddisfare tale requisito. Per quanto riguarda le autorità di altri Stati terzi, salva la possibilità di effettuare ulteriori, specifici scambi di dati nel quadro della cooperazione giudiziaria e di polizia, il trasferimento ulteriore dei dati -diretto e indiretto- dovrebbe essere effettuato caso per caso e condizionato all accettazione di specifici impegni che non potranno essere meno favorevoli di quelli indicati dalle autorità USA alla Commissione rispetto alla protezione dei dati oggetto di trasferimento. 7. Proporzionalità La proporzionalità dovrebbe essere garantita non soltanto in rapporto alle finalità ed alle categorie dei reati monitorati, ma anche per altri aspetti relativi: a) ai dati personali trasmissibili Il Gruppo di lavoro ritiene che il volume di dati oggetto di trasmissione 12 superi di gran lunga ciò che può considerarsi adeguato, pertinente e non eccedente (ai sensi dell Articolo 6(1), lettera c), della Direttiva). L accesso a tutti i dati PNR appare eccessivo. I dati dovrebbero limitarsi a quelli indicati nel prosieguo: codice del 12 V. Allegato B della Dichiarazione d intenti.

8 8 documento PNR, data di prenotazione, date previste di viaggio, nome del passeggero, altri nomi che figurano nel PNR, itinerario completo, identificazione di biglietti gratuiti, biglietto di sola andata; informazioni sulla creazione del biglietto, dati ATFQ (Automatic Ticket Fare Quote), numero del biglietto, data di emissione del biglietto, precedenti assenze all imbarco, numero dei colli e numero di etichettatura dei colli, passeggeri senza prenotazione, numero dei colli per ciascuna tappa, passaggio richiesto o non richiesto ad una classe superiore, cronistoria dei cambiamenti apportati al PNR sui soli elementi sopra indicati. La legislazione primaria degli USA che impone alle compagnie aeree di fornire, su richiesta, i dati PNR non obbliga le autorità USA interessate a chiedere tali dati, e ancor meno a chiederne la trasmissione in via sistematica. Inoltre, le autorità USA interessate potrebbero limitare le categorie di dati PNR da esse richiesti alle compagnie aeree. Pertanto, le autorità USA interpretano in modo assai estensivo il mandato loro conferito dalla legge. Il Gruppo di lavoro considera necessario tenere conto delle altre fonti di informazioni delle quali dispongono le autorità USA o che queste ultime tentano di ottenere nell intento di acquisire informazioni sugli stranieri, quali i dati forniti attraverso le formalità dell immigrazione, attraverso APIS, ecc.. In tale ambito, si dovrebbe tenere conto anche di ulteriori scambi di dati nel quadro della cooperazione giudiziaria e di polizia. Deve essere esclusa la trasmissione di dati in senso lato sensibili, protetti dall Art. 8 della direttiva. Non appare poi proporzionata la trasmissione dei dati SSR (in alcuni casi inclusi peraltro facoltativamente nei sistemi di prenotazione), in particolare considerati gli sviluppi in ambito IATA per l aggiornamento del relativo Manuale, giunto alla 20 edizione. Lo stesso dicasi per i dati OSI (Other Service-Related Information - altre informazioni sul servizio), i campi aperti o a testo libero (quali, ad esempio, i General Remarks, che possono contenere dati molto delicati), o le informazioni concernenti i Frequent Flyers o behavioural data (dati comportamentali). Deve essere inoltre allegata una lista chiara ed esaustiva dei dati trasmessi in base alla decisione della Commissione, unitamente all elenco indicato al precedente punto 4). b) al momento della trasmissione dei dati Il Gruppo di lavoro ritiene che il Bureau of Customs and Border Protection (CBP) degli USA dovrebbe ricevere i dati relativi ad uno specifico volo non prima delle 48 ore che precedono la partenza del volo stesso; successivamente, non dovrebbe essere possibile effettuare più di un aggiornamento dei dati. c) al periodo di conservazione Il Gruppo di lavoro nutre riserve sull efficacia a fini investigativi di una conservazione di dati eccessivamente lunga e riferita a milioni di persone. I dati personali non devono essere conservati oltre il periodo necessario al raggiungimento degli scopi per cui sono stati raccolti. Pertanto, è accettabile soltanto la conservazione dei dati oggetto di trasferimento in conformità con lo scopo dichiarato di controllare l ingresso nel territorio degli USA onde individuare atti di terrorismo. I dati dovrebbero essere conservati per un breve periodo, non superiore a qualche settimana, o anche a qualche mese, successivamente all ingresso nel territorio USA. Non è giustificabile un periodo di conservazione dell ordine di 7-8 anni. Un breve periodo di conservazione sembra più

9 9 idoneo a consentire l esercizio delle delicate funzioni svolte, oltre a comportare costi notevolmente minori. Va ovviamente fatta salva l esigenza di proseguire il trattamento temporaneamente, in singoli casi, qualora sussistano specifiche e ben documentate motivazioni che impongano di esaminare in modo approfondito singole persone onde adottare misure legate al loro effettivo o potenziale coinvolgimento in attività terroristiche. 8. Subfornitori Il Gruppo di lavoro sottolinea l esigenza di prevedere che i subfornitori ed i rispettivi dipendenti siano soggetti allo stesso grado di responsabilità dei funzionari USA, in modo da garantire il rispetto delle garanzie previste. 9. Garanzie Diritti degli interessati Uno dei principi basilari di un regime adeguato di protezione dei dati consiste nella possibilità per gli interessati di ottenere informazioni e di esercitare i propri diritti secondo modalità semplici, rapide ed efficaci. Informativa Gli interessati dovrebbero ricevere informazioni chiare e dettagliate sui propri diritti, con particolare riguardo al diritto di accesso e di rettifica, nonché sui meccanismi disponibili ai fini di un effettiva riparazione. Accesso Il Gruppo di lavoro sottolinea la necessità di garanzie passibili di un effettiva attuazione rispetto alle norme generali sull accesso ai documenti (FOIA), affinché esse non possano essere utilizzate da terzi per accedere ai dati PNR conservati dall amministrazione statunitense. In tale ambito, è fondamentale prevenire possibili discriminazioni fra cittadini salvaguardando al tempo stesso, in ogni caso e senza ambiguità, il diritto di accesso dell interessato ai dati che lo riguardano. La Dichiarazione d intenti trasmessa dalle autorità USA suscita alcune preoccupazioni per quanto concerne la possibilità di opporre all interessato singole deroghe, permettendo quindi all amministrazione di rifiutargli l accesso. Il Gruppo di lavoro ritiene che il diritto di accesso degli interessati debba estendersi ai nuovi dati eventualmente generati a seguito del trattamento cui sono sottoposti i dati trasmessi dall Europa (profilo di rischio, elenchi di esclusione, ).

10 10 Rettifica Poiché l ambito di applicazione dell US Privacy Act si limita ai cittadini residenti negli USA, il Gruppo di lavoro sottolinea l importanza di fornire all interessato un meccanismo efficace per ottenere la correzione dei propri dati. 10. Meccanismi attuativi e risoluzione dei conflitti Sostegno e assistenza tempestivi alle persone e meccanismi indipendenti di riparazione e controllo La tutela garantita dovrebbe prevedere forme rapide di sostegno ed assistenza per i singoli interessati ai fini dell esercizio dei rispettivi diritti, oltre a meccanismi di riparazione indipendenti e adeguatamente strutturati. Il Gruppo di lavoro rileva l esistenza di gravi carenze nel sistema di enforcement e di verifica in posizione di indipendenza e terzietà dell applicazione dei principi. Al momento, i meccanismi previsti si limitano alle verifiche indipendenti ed alla presenza di un Chief Privacy Officer interno alle singole amministrazioni. Non è altresì chiaro come gli Undertakings possano produrre effetti giuridici vincolanti ed essere fonte di obbligazioni azionabili in sede giudiziaria (v. punto 11). Il Gruppo di lavoro rileva l esigenza di maggiori informazioni in merito all ente indipendente di controllo che vigila sugli elenchi di diniego di volo (no fly) e di sorveglianza (watch), nonché sulla logica alla base del meccanismo di profilazione. Verifiche indipendenti Dovrebbe essere garantito un livello adeguato di osservanza delle salvaguardie previste in materia di protezione dei dati. In tale ambito, il Gruppo di lavoro sottolinea l importanza della pubblicità degli esiti di specifici controlli. Le relazioni, di dominio pubblico, dovrebbero specificare numero e volume delle richieste di dati PNR presentate da altri soggetti pubblici negli USA, nonché il numero, il volume e le motivazioni delle richieste che siano state oggetto di autorizzazione da parte dei destinatari iniziali. 11. Livello degli impegni assunti Il Gruppo di lavoro sottolinea la necessità che gli impegni assunti dagli USA siano pubblicati ufficialmente almeno sul Federal Register, e siano pienamente vincolanti per i soggetti USA. In particolare, non dovrebbero sussistere incertezze quanto alla possibilità di creare diritti in capo a terzi. Ciò solleva la questione del fondamento specifico degli impegni assunti dagli USA. La Direttiva 95/46/CE prevede che la decisione con cui si riconosce l adeguatezza del livello di protezione offerto da un Paese terzo rispetto a dati oggetto di trasferimento deve basarsi sulla legislazione interna e/o sugli impegni internazionali assunti da tale Paese.

11 11 Conclusioni Il presente Parere delinea le preoccupazioni del Gruppo di lavoro, in termini di protezione dei dati, per quanto riguarda la valutazione del livello di tutela garantito negli USA ai fini di un eventuale decisione della Commissione. L obiettivo generale è definire, quanto prima, un chiaro quadro giuridico di riferimento ai fini del trasferimento negli USA di dati delle compagnie aeree, secondo modalità compatibili con i principi di protezione dei dati. Pur riconoscendo la necessità di valutazioni in ultima analisi di natura politica, il Gruppo di lavoro sollecita la Commissione a tenere pienamente conto delle considerazioni qui svolte nei negoziati con le autorità USA. Il Gruppo di lavoro è consapevole del fatto che potrà rendersi necessario un approccio maggiormente globale, in un contesto multilaterale, per quanto concerne le condizioni che regolamentano l utilizzazione per scopi di sicurezza dei dati relativi al trasporto aereo. Bruxelles, 13 giugno 2003 Per il Gruppo di lavoro Il Presidente Stefano RODOTA