ARTICOLO 29 - Gruppo di lavoro per la tutela dei dati personali

Transcript

1 ARTICOLO 29 - Gruppo di lavoro per la tutela dei dati personali 11070/03/EN WP 78 Parere 4/2003 sul livello di protezione assicurato negli Stati Uniti per quanto riguarda la trasmissione di dati relativi ai passeggeri adottato il 13 giugno 2003 Il gruppo di lavoro è stato istituito ai sensi dell'articolo 29 della direttiva 95/46/CE. È un organo europeo indipendente a carattere consultivo in materia di tutela dei dati e della vita e della vita privata. I suoi compiti sono illustrati all'articolo 30 della direttiva 95/46/CE e all'articolo 14 della direttiva 97/66/CE. Le funzioni di segretariato sono espletate dalla Direzione E (Servizi, Diritti d'autore, Proprietà Industriale e Protezione dei Dati) della Commissione europea, Direzione generale mercato interno, B-1049 Bruxelles, Belgio, Ufficio n. C100-6/136. Website:

2 Parere 4/2003 sul livello di protezione assicurato negli Stati Uniti per quanto riguarda la trasmissione di dati relativi ai passeggeri IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre , visto l articolo 29 e l articolo 30, paragrafo 1, lettera a), e paragrafo 3, di tale direttiva, visto il proprio regolamento interno, in particolare gli articoli 12 e 14, ha adottato il seguente parere: INTRODUZIONE In seguito agli avvenimenti dell 11 settembre 2001, gli Stati Uniti hanno adottato una serie di leggi e regolamenti in forza dei quali le compagnie aeree che volano nel loro territorio sono tenute a trasmettere alle autorità federali statunitensi dati personali relativi ai passeggeri ed ai membri dell equipaggio che si trovano a bordo di aerei a destinazione o in partenza da tale paese. In un precedente parere, pubblicato nell ottobre , il gruppo di lavoro ha raggiunto la conclusione che l osservanza della normativa statunitense da parte delle compagnie aeree crea problemi rispetto alla direttiva 95/46/CE 3 e ha invitato ad adottare un approccio comune al livello dell Unione europea. È stato specificamente raccomandato alla Commissione europea di entrare in trattative con gli Stati Uniti d America per risolvere la questione. Il gruppo di lavoro è stato aggiornato dalla Commissione sul procedere dei negoziati condotti dalla Commissione per stabilire a quali condizioni essa potrebbe adottare una decisione che riconosca l esistenza di un livello di protezione adeguato ai sensi dell articolo 25, paragrafo 6, della direttiva 95/46/CE. Inoltre, il gruppo di lavoro ha ottenuto ulteriori informazioni dai rappresentanti ad alto livello del Department of Homeland Security (ministero degli Interni degli Stati Uniti) con i quali ha avuto l occasione di discutere la normativa statunitense durante la riunione del 5 maggio. In particolare, il gruppo di lavoro ha ricevuto dalla Commissione un documento del 22 maggio 2003, pubblicato dal Bureau of Customs and Border Protection e dalla Transportation Security Administration degli Stati Uniti, contenente i cosiddetti impegni (undertakings) 4. Sembra che questi impegni siano il risultato prodotto finora Gazzetta ufficiale n. L 281 del 23/11/1995, p. 31, consultabile al seguente indirizzo: Parere 6/2002 relativo alla trasmissione da parte delle compagnie aeree d informazioni sugli elenchi dei passeggeri e di altri dati agli Stati Uniti, WP 66, pubblicato il 24 ottobre Direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Nel presente documento: gli impegni. -2-

3 dai negoziati in corso tra la Commissione e il governo statunitense e che la Commissione continui a fare pressione su quest ultimo per realizzare ulteriori progressi su una serie di questioni. Il presente parere concerne il livello di protezione che gli Stati Uniti d America assicurano, sulla base delle norme da essi adottate e degli impegni internazionali da essi assunti, dopo che le compagnie aeree abbiano ottemperato all obbligo di trasmettere i dati personali relativi ai passeggeri ed ai membri dell equipaggio. Il gruppo di lavoro ha tenuto conto sia dei criteri generali per valutare l adeguatezza della protezione enunciati in precedenti documenti 5, sia del suddetto parere dell ottobre Il presente parere viene emesso in un momento nel quale gli Stati Uniti stanno chiedendo all UE, o direttamente agli Stati membri, di comunicare numerosi dati personali (visto, ecc.). Inoltre, il gruppo di lavoro è ben consapevole del fatto che anche altri paesi terzi hanno chiesto o proposto alle compagnie aeree di trasmettere dati. Ciò fa sorgere la questione della non discriminazione tra gli stati terzi e la necessità di una valutazione globale, che potrebbe offrire una soluzione modello ad altri paesi che dovessero ricevere richieste analoghe. Il gruppo di lavoro sottolinea la necessità di fornire un quadro per la trasmissione internazionale di dati personali effettuata a scopi di sicurezza in relazione ai viaggi aerei. 1. La lotta contro il terrorismo e la protezione dei diritti e delle libertà fondamentali La trasmissione di dati da parte delle compagnie aeree alle autorità statunitensi, oltre ad avere un risvolto internazionale, preoccupa l opinione pubblica e ha implicazioni vaste e significative in termini politici ed istituzionali. La lotta contro il terrorismo è un elemento necessario e prezioso delle società democratiche. Nel combattere il terrorismo, occorre garantire il rispetto dei diritti fondamentali e delle libertà individuali, compreso il diritto alla riservatezza e la protezione dei dati 7. Tali diritti sono tutelati in particolare dalla direttiva 95/46/CE, dall articolo 8 della Convenzione europea sui diritti dell uomo 8 e dagli articoli 7 e 8 della Carta dei diritti fondamentali dell Unione europea 9. Inoltre, la protezione dei dati è ulteriormente riconosciuta e ampliata dal progetto di costituzione europea discusso dalla Convenzione sul futuro dell Europa. Le legittime esigenze di sicurezza interna degli Stati Uniti d America non possono ledere questi principi fondamentali. Le limitazioni dei diritti e delle libertà fondamentali connesse con il trattamento dei dati personali nell Unione europea dovrebbero aver luogo soltanto se ciò è necessario in una società democratica e per la protezione di interessi Documento di lavoro Trasmissione dei dati personali a paesi terzi: l applicazione degli articoli 25 e 26 della direttiva UE sulla protezione dei dati, WP 12, pubblicato il 24 luglio Parere 6/2002 relativo alla trasmissione da parte delle compagnie aeree d informazioni sugli elenchi dei passeggeri e di altri dati agli Stati Uniti. Si veda il parere 10/2001 sulla necessità di un approccio equilibrato alla lotta contro il terrorismo, adottato il 14 dicembre Si veda anche la giurisprudenza della Corte europea dei diritti dell uomo. La Commissione europea si è impegnata a rispettare la Carta. Si veda la comunicazione della Commissione sulla Carta dei diritti fondamentali dell Unione europea (COM(2000)559 def.). -3-

4 pubblici esaustivamente elencati nei suddetti strumenti Osservazioni generali Il presente parere riguarda la protezione dei diritti e delle libertà fondamentali con riferimento al trattamento dei dati personali. Il presente parere valuta l adeguatezza della protezione fornita dagli Stati Uniti, in vista dell adozione di decisioni della Commissione o di altri strumenti giuridici riguardanti la questione. Il gruppo di lavoro si riserva il diritto di integrare il presente parere se quest ultimo non dovesse essere debitamente considerato o se nel corso dei negoziati dovessero intervenire cambiamenti sostanziali degni di particolare attenzione. Il gruppo di lavoro osserva che le circostanze indicate negli impegni richiedono un analisi approfondita al fine di valutare l adeguatezza della protezione dei dati personali fornita in base a tali impegni. La scelta tra meccanismi diversi per la trasmissione dei dati (accesso diretto delle autorità statunitensi alle basi dati delle compagnie aeree o comunicazione dei dati da parte delle compagnie aeree) solleva non solo problemi tecnici ma anche, cosa ben più importante, questioni di proporzionalità. In proposito va rilevato che le autorità statunitensi chiedono di esercitare poteri che eccedono quelli attualmente esercitabili nell Unione europea dalle autorità giudiziarie e di polizia, dalle autorità competenti in materia di immigrazione e perfino dai servizi segreti e di sicurezza. Inoltre, la questione della trasmissione dei dati influisce sulla cooperazione giudiziaria e di polizia e dovrebbe essere valutata alla luce dei limiti stabiliti nei recenti accordi e progetti d accordo UE-USA in materia di cooperazione, assistenza reciproca ed estradizione. La raccolta delle informazioni contenute nelle basi dati delle compagnie aeree, secondo quanto chiedono gli Stati Uniti, interessa un gran numero di passeggeri (stimato ad almeno milioni l anno), sicché occorre essere cauti e tener presente che tale raccolta consentirebbe di elaborare dati riguardanti, in particolare, cittadini europei, con il conseguente rischio di una sorveglianza generalizzata da parte di uno Stato terzo. Pertanto, le richieste provenienti dal governo statunitense dovrebbero essere considerate con la massima prudenza. 3. Natura temporanea di una conclusione di adeguatezza La portata dei flussi di dati è connessa con i gravi fatti che si sono recentemente verificati in tutto il mondo. Il gruppo di lavoro raccomanda di riesaminare la situazione a intervalli regolari e brevi in modo da accertare se persista la necessità di tali flussi. Qualora la situazione internazionale cambiasse, sarebbe necessario rivedere i provvedimenti adottati. Il gruppo di lavoro raccomanda alla Commissione di includere nella sua decisione clausole che prevedano l interruzione automatica dei flussi dopo un periodo determinato e di riesaminare comunque la situazione dopo 3 anni. 10 Si veda l elenco degli interessi contenuto nell articolo 13 della direttiva 95/46/CE. -4-

5 Inoltre, se le garanzie fornite dal governo statunitense non sono correttamente realizzate, occorrerà riesaminare la situazione. Per questo motivo, è essenziale che la Commissione presenti una relazione regolare sull utilizzo effettivo dei dati e sull attuazione della protezione negli Stati Uniti. Ciò dovrebbe permettere di controllare il modo in cui vengono trattati i dati negli Stati Uniti, per assicurarsi che i presupposti su cui è stata fondata la decisione della Commissione siano ancora validi. 4. Il quadro normativo statunitense Il gruppo di lavoro ritiene che qualsiasi decisione della Commissione che riconosca come adeguata la protezione fornita negli Stati Uniti e qualsiasi altro strumento che istituisca un quadro giuridico per i flussi di dati debbano essere basati su una conoscenza chiara del diritto statunitense primario e secondario che definisce gli scopi, i meccanismi e la ratio dell utilizzazione dei dati nonché i soggetti che possono accedervi. Per assicurare il rispetto delle norme di trasparenza nei confronti dei cittadini europei, alla suddetta decisione della Commissione dovrebbe essere allegata una descrizione completa del quadro normativo statunitense. Inoltre, occorre prevedere un meccanismo il quale assicuri che qualsiasi innovazione legislativa pertinente venga comunicata alla Commissione. È necessario invalidare le norme statunitensi che consentono di apportare unilateralmente cambiamenti sostanziali alle condizioni su cui è basata la decisione di adeguatezza eventualmente adottata dalla Commissione, comprese le norme anteriori a tale decisione [la clausola as otherwise required by law (e negli altri casi previsti dalla legge), contenuta negli impegni, consente un uso e una divulgazione dei dati assai ampia], nonché le interpretazioni contraddittorie o gli strumenti d attuazione adottati negli Stati Uniti per quanto riguarda, in particolare, il CAPPS II (Computer Assisted Passenger Pre-Screening System) e la raccolta dei dati biometrici 11. Inoltre, è essenziale che la decisione non si basi su meri impegni di organi amministrativi diretti a sostenere certe interpretazioni a livello nazionale (v. punto 11). Una valutazione dell adeguatezza del livello di protezione non può essere realizzata riguardo ai settori dell amministrazione statunitense il cui quadro normativo in materia di trattamento dei dati del PNR (Passenger Name Record: registro nominativo dei passeggeri e dei membri dell equipaggio) non possa essere considerato stabile o sufficientemente chiaro per quanto riguarda l accesso ai dati e l autorizzazione ad elaborarli. Il gruppo di lavoro pensa in particolare ai punti degli impegni riguardanti la Transportation Security Administration (TSA) e il suo programma CAPPS II. La suddetta valutazione non dovrebbe riguardare neanche i sistemi capaci di trattare dati in massa, il cui funzionamento e le cui caratteristiche reali sono ancora sostanzialmente oscuri, come, in particolare, la Terrorism Information Awareness Initiative. In proposito, il gruppo di lavoro sottolinea la necessità di evitare che la TSA, o altre agenzie che gestiscono sistemi di elaborazione in massa dei dati, ricevano i dati indirettamente. Ove i dati debbano essere trasmessi a tali sistemi, occorrerebbe una valutazione supplementare e specifica del livello di protezione. 11 La raccolta dei dati biometrici, che dovrebbe iniziare nell ottobre 2004 e che verrà effettuata in sede di rilascio dei documenti d entrata, dovrebbe essere valutata separatamente e soltanto in seguito. -5-

6 5. Metodo di trasmissione e problemi giuridici Per quanto riguarda la base giuridica, sulla quale il Parlamento europeo ha particolarmente insistito nella risoluzione del 13 marzo 2003, il gruppo di lavoro ritiene che, data la complessità delle questioni giuridiche relative alla legittimità della comunicazione di dati a terzi e a paesi terzi e vista la direttiva 95/46/CE nel suo complesso, possa essere necessario prevedere che la decisione della Commissione ex articolo 25, paragrafo 6, della direttiva sia accompagnata da un impegno formale assunto dal governo statunitense all atto della conclusione dei negoziati. Il gruppo di lavoro fa riferimento alla base giuridica partendo dal presupposto che, considerando le possibili differenze tecniche tra i diversi sistemi, l unico meccanismo di trasmissione dei dati la cui attuazione non crea problemi di rilievo è quello in forza del quale i dati sono selezionati e trasmessi dalle compagnie aeree alle autorità statunitensi (push system), piuttosto che quello in forza del quale le autorità statunitensi hanno accesso diretto in linea alle basi dati delle compagnie aeree e ai sistemi di prenotazione (pull system). Il push system oltre ad essere più compatibile con il principio secondo cui i dati personali devono essere adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali vengono raccolti (articolo 6 della direttiva), il che comporterebbe meno problemi di protezione dei dati e renderebbe superflui taluni meccanismi statunitensi di filtraggio dell accesso, consentirebbe di non applicare alle autorità statunitensi i provvedimenti nazionali adottati in sede di recepimento della direttiva, applicazione che sarebbe invece necessaria se fosse attuato un pull system. Anzi, in quest ultimo caso l intera direttiva, compresi gli articoli 4, 6 e 13, potrebbe essere considerata direttamente applicabile alle autorità statunitensi. Inoltre, il push system è la sola soluzione se si vuole che le regole sulla responsabilità previste dalla direttiva 95/46/CE possano essere applicate correttamente ai responsabili europei del trattamento dei dati. Pertanto, il gruppo di lavoro si compiace del fatto che gli Stati Uniti non sollevino obiezioni contro il push system. Questa soluzione dovrebbe essere sostituita all attuale meccanismo non appena possibile. 6. Scopi Gli scopi per i quali i dati saranno utilizzati dovrebbero essere limitati alla lotta contro gli atti di terrorismo e non dovrebbero estendersi ad altri reati gravi non specificati. Gli Stati Uniti dovrebbero fornire un elenco chiaro e limitato di reati gravi direttamente connessi con il terrorismo, salva restando la possibilità di ulteriori scambi di dati in singoli casi specifici nel quadro della cooperazione giudiziaria e di polizia. L esigenza di chiarimento riguarda anche gli altri organismi pubblici aventi il diritto di ricevere i dati, organismi attualmente non identificati. Dovrebbero essere forniti un elenco di tali organismi e una descrizione dettagliata delle loro competenze o, per quanto riguarda le autorità precisamente identificabili come quelle giudiziarie, una descrizione dettagliata delle loro funzioni. È comunque necessario rendere assolutamente chiaro che i dati possono essere comunicati ad altre autorità soltanto in quanto necessario in casi specifici per la lotta contro reati gravi direttamente connessi con il terrorismo e che l utilizzo successivo di tali dati continua a essere limitato nello stesso modo. -6-

7 Inoltre, sono necessari chiarimenti per quanto riguarda gli organismi pubblici che gestiscono gli elenchi no fly e watch, usati per il trattamento dei dati del PNR, e le procedure applicate da tali organismi. Il gruppo di lavoro non ritiene giustificata la divulgazione di dati diretta a tutelare gli interessi vitali della persona cui si riferiscono i dati o di altre persone, perché ciò aumenterebbe significativamente la possibilità di trasmissioni ulteriori dei dati. Sembra che esistano altri modi per tutelare tali interessi. Per quanto riguarda le autorità di altri paesi terzi, salva restando la possibilità di ulteriori scambi di dati in singoli casi specifici nel quadro della cooperazione giudiziaria e di polizia, qualsiasi inoltro diretto o indiretto dovrebbe essere effettuato caso per caso e subordinato all accettazione di impegni specifici non meno favorevoli di quelli assunti nei confronti della Commissione dalle autorità statunitensi con riferimento alla protezione dei dati trasmessi. 7. Proporzionalità La proporzionalità dovrebbe essere assicurata non solo rispetto agli scopi e al tipo di reato da controllare, ma anche rispetto ad altre questioni riguardanti: Dati personali trasmissibili Il gruppo di lavoro ritiene che la quantità di dati da trasmettere 12 sia di gran lunga superiore a quella che potrebbe essere considerata adeguata, pertinente e non eccessiva (articolo 6, paragrafo 1, lettera c), della direttiva). L accesso alla serie completa dei dati del PNR è eccessivo. I dati dovrebbero essere limitati alle seguenti informazioni: codice del documento PNR (PNR record locator code), data di prenotazione, date previste del viaggio, nome del passeggero, altri nomi che compaiono nel PNR, itinerario completo, identificatore dei biglietti gratuiti, biglietti di sola andata, informazioni sulla creazione del biglietto, dati ATFQ (Automatic Ticket Fare Quote), numero del biglietto, data d emissione del biglietto, precedenti casi di assenza all imbarco, numero di valigie, numero dell etichetta apposta sulle valigie, passeggero senza prenotazione, numero di valigie per tratta, trasferimenti alla classe superiore a richiesta o meno del passeggero, cambiamenti ai dati del PNR per quanto riguarda le voci suddette. La normativa primaria statunitense che impone alle compagnie aeree di fornire il PNR a richiesta non impone alle autorità statunitensi interessate di richiedere i dati, ancor meno di richiedere che essi vengano trasmessi in maniera sistematica. Inoltre, le autorità statunitensi interessate potrebbero limitare i dati del PNR che le compagnie aeree devono trasmettere loro. In tal modo, le autorità statunitensi interpretano in modo assai ampio il potere loro conferito dalla legge. Ad avviso del gruppo di lavoro è necessario considerare le altre fonti di informazione che le autorità statunitensi hanno a disposizione o cercano di ottenere nell ambito dei loro sforzi diretti ad acquisire informazioni sugli stranieri, come i dati risultanti dalle formalità d immigrazione, APIS ecc. A tale riguardo, dovrebbero essere considerati anche gli scambi supplementari di dati nel quadro della cooperazione giudiziaria e di polizia. 12 Si veda l allegato B degli impegni. -7-

8 La trasmissione di quelli che possono essere considerati, in generale, come dati di natura delicata protetti dall articolo 8 della direttiva dovrebbe essere esclusa. Inoltre, la trasmissione dei dati SSR elaborati su base facoltativa da certi sistemi di prenotazione non sembra proporzionata, in particolare alla luce delle iniziative IATA per l aggiornamento del relativo manuale, che ha raggiunto la ventesima edizione. Ciò vale anche per i dati OSI (Other Service-Related Information), i campi aperti o liberi (come le Osservazioni generali in cui possono figurare dati di natura delicata), le informazioni concernenti i frequent flyer e i dati comportamentali. È opportuno inserire in un allegato, oltre alla tabella di cui al precedente paragrafo 4, un elenco chiaro ed esauriente dei dati trasferiti sulla base della decisione della Commissione. Momento della trasmissione dei dati Il gruppo di lavoro ritiene che il Bureau of Customs and Border Protection debba ricevere i dati riguardanti un determinato volo non prima di 48 ore prima della partenza. In seguito, i dati dovrebbero essere aggiornati soltanto una volta. Tempo di conservazione dei dati Il gruppo di lavoro dubita che un tempo di conservazione dei dati eccessivamente lungo riguardo a milioni di individui possa essere efficace a scopi investigativi. I dati personali dovrebbero essere conservati non oltre il tempo necessario per gli scopi per i quali sono stati raccolti. Pertanto, può essere accettata soltanto la conservazione dei dati in linea con lo scopo dichiarato di controllare l entrata nel territorio statunitense in vista dell individuazione di terroristi. I dati dovrebbero essere conservati soltanto per un breve periodo che non dovrebbe superare alcune settimane o alcuni mesi dopo l entrata negli Stati Uniti. Un periodo di 7-8 anni non è giustificato. Un periodo breve, oltre ad essere assai meno costoso, sembrerebbe più consono all adempimento dei difficilissimi compiti in questione. Ovviamente, ciò lascia impregiudicata l eventuale esigenza di continuare temporaneamente il trattamento dei dati in singoli casi in cui vi siano ragioni solide e specifiche per esaminare più accuratamente certe persone allo scopo di adottare misure giustificate dalla loro partecipazione reale e/o potenziale ad attività terroristiche. 8. Subappaltatori Il gruppo di lavoro sottolinea la necessità di prevedere per i subappaltatori e per i loro dipendenti lo stesso livello di responsabilità dei funzionari statunitensi, al fine di assicurare il rispetto delle garanzie fornite. 9. Garanzie e diritti delle persone cui si riferiscono i dati Uno dei principi fondamentali di un regime adeguato di protezione dei dati è quello in forza del quale le persone cui si riferiscono i dati vengono informate e possono esercitare i loro diritti in modo facile, rapido ed efficace. Informazione -8-

9 Le persone cui si riferiscono i dati dovrebbero ricevere informazioni chiare e precise circa i loro diritti, in particolare circa il diritto di accesso e di rettifica, oltre che sui meccanismi disponibili per ottenere un effettivo risarcimento. Accesso Il gruppo di lavoro sottolinea la necessità di misure di salvaguardia effettive rispetto alle regole generali sulla libertà di informazione (FOIA), in modo che queste ultime non siano usate da terzi per accedere ai dati del PNR in possesso dell amministrazione statunitense. A tale proposito, è importante impedire la discriminazione tra i cittadini e garantire il rispetto generale del diritto delle persone di accedere ai dati che le riguardano. Gli impegni assunti dalle autorità statunitensi suscitano preoccupazioni per il modo in cui possono essere opposte eccezioni alle persone cui si riferiscono i dati per consentire all amministrazione di negare loro l accesso. Il gruppo di lavoro ritiene che il diritto di accesso delle persone cui si riferiscono i dati debba estendersi a qualsiasi dato nuovo che possa risultare dal trattamento al quale sono sottoposti i dati trasmessi dall Europa (profilo di rischio, elenchi di espulsione...). Rettifica Poiché il campo d applicazione dell US Privacy Act è limitato ai residenti statunitensi, il gruppo di lavoro sottolinea la necessità di mettere a disposizione delle persone cui si riferiscono i dati un meccanismo efficiente per ottenere la correzione dei dati. 10. Applicazione e risoluzione delle controversie Aiuto tempestivo per un risarcimento individuale e indipendente Controllo La protezione assicurata dovrebbe fornire un sostegno rapido alle singole persone cui si riferiscono i dati nell esercizio dei loro diritti e prevedere a loro favore un risarcimento indipendente e adeguato. Il gruppo di lavoro considera insoddisfacenti i meccanismi diretti a fare rispettare gli impegni e a garantire il controllo della loro applicazione da parte di terzi indipendenti. I meccanismi disponibili attualmente sono limitati agli audit e all Internal Chief Privacy Officer. Inoltre, non è chiaro come gli impegni possano produrre effetti giuridici vincolanti ed essere fonte di obblighi da cui potrebbero scaturire azioni in giudizio (v. il paragrafo 11 qui sotto). Inoltre, il gruppo di lavoro necessita di ulteriori informazioni sull organo indipendente che controlla gli elenchi no fly e watch e sulla logica del meccanismo relativo ai profili. Audit Occorre garantire un buon livello di osservanza delle misure di salvaguardia in materia di protezione dei dati. In proposito, il gruppo di lavoro sottolinea quanto sia importante mettere a disposizione del pubblico certi risultati degli audit. Le relazioni pubbliche dovrebbero indicare il numero e il volume delle richieste PNR provenienti da altri -9-

10 organismi pubblici statunitensi e il numero, il volume e la motivazione delle richieste rispetto alle quali i primi destinatari hanno concesso un autorizzazione. 11. Livello d impegno Il gruppo di lavoro sottolinea la necessità di ottenere impegni da parte statunitense che siano ufficialmente pubblicati almeno al livello del Federal Register e pienamente vincolanti per gli Stati Uniti. In particolare, non vi dovrebbe essere ambiguità alcuna circa la capacità di creare diritti a favore dei terzi. Ciò fa sorgere la questione di quale autorità impegnerà gli Stati Uniti. In effetti, la direttiva 95/46/CE prevede che una decisione che riconosce come adeguata la protezione assicurata da un paese terzo in materia di dati debba essere basata sul suo diritto interno e/o sugli impegni internazionali da esso assunti. Conclusione Il presente parere espone le preoccupazioni del gruppo di lavoro per quanto riguarda la protezione dei dati, nell ambito della valutazione del livello di protezione assicurato negli Stati Uniti in vista di una eventuale decisione della Commissione. L obiettivo globale è stabilire il più rapidamente possibile un quadro giuridico chiaro che valga per qualsiasi trasmissione di dati da parte delle compagnie aeree agli Stati Uniti e che sia compatibile con i principi in materia di protezione dei dati. Pur riconoscendo che in ultima analisi saranno necessarie scelte politiche, il gruppo di lavoro invita la Commissione a tenere pienamente conto del suo parere nell ambito dei negoziati con le autorità statunitensi. Il gruppo di lavoro è consapevole che in un contesto multilaterale potrebbe essere necessario un approccio più globale per quanto riguarda le condizioni di utilizzo dei dati del trasporto aereo a fini di sicurezza. Fatto a Bruxelles, 13 giugno 2003 Per il gruppo di lavoro Il Presidente Stefano RODOTÀ -10-