IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del Prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del
doti. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del
dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del
Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i
dati personali possono essere trasferiti in un Paese non appartenente
all'Unione europea qualora il Paese terzo garantisca un livello di
protezione adeguato, secondo quanto previsto nel paragrafo 2 del
medesimo articolo;
Visto il paragrafo 6 del medesimo art. 25 secondo il quale la
Commissione europea puo' constatare che un Paese terzo garantisce un
livello di protezione adeguato ai sensi del citato paragrafo 2, ai
fini della tutela della vita privata o dei diritti e delle liberta'
fondamentali della persona;
Vista la decisione della Commissione europea del 14 maggio 2004
n. 2004/535/CE (pubblicata nella Gazzetta Ufficiale delle Comunita'
europee L 235/11 del 6 luglio 2004) con la quale si e' ritenuto che
l'Ufficio statunitense delle dogane e della protezione delle
frontiere (United States Bureau of Customs and Border Protection,
«Cbp») del Ministero della sicurezza interna (Department of Homeland
Security) e' in grado di offrire un livello di protezione adeguato
dei dati personali contenuti nelle schede nominative dei passeggeri
aerei (Passenger Name Record, «Pnr») trasmessi dalla Comunita' per
quanto riguarda i voli con destinazione o partenza dagli Stati Uniti,
in conformita' alla «Dichiarazione d'impegno del Ministero per la
sicurezza interna (Department for Homeland Security) - Ufficio delle
dogane e della protezione delle frontiere (Cbp) dell'11 maggio 2004»
(«Dichiarazione d'impegno») che figura in allegato alla medesima
decisione;
Vista la decisione del Consiglio delle Comunita' europee del
17 maggio 2004 n. 2004/496/CE (pubblicata nella Gazzetta Ufficiale
delle Comunita' europee L 183/83 del 20 maggio 2004) relativa alla
conclusione di un accordo tra la Comunita' europea e gli Stati Uniti
d'America sul trattamento e trasferimento dei dati di identificazione
delle pratiche (Passenger Name Record, «Pnr») da parte dei vettori
aerei all'ufficio doganale e di protezione dei confini del Ministero
per la sicurezza interna degli Stati Uniti;
Visto il conseguente accordo firmato a Washington il 28 maggio
2004, che prevede che: a) il Cbp puo' accedere elettronicamente ai
dati Pnr provenienti dai sistemi di prenotazione/controllo («sistemi
di prenotazione») dei vettori aerei situati nel territorio degli
Stati membri della Comunita' europea, in conformita' alla decisione,
per il periodo in cui la decisione e' applicabile e finche' non sia
in vigore un sistema soddisfacente che permetta la trasmissione di
tali dati da parte dei vettori aerei; b) ciascun vettore aereo che
assicura il trasporto di passeggeri da o per gli Stati Uniti nello
spazio aereo estero tratta i dati Pnr contenuti nei suoi sistemi
automatizzati di prenotazione come richiesto dal Cbp ai sensi della
normativa statunitense, in conformita' alla decisione, per il periodo
in cui la decisione e' applicabile;
Considerato che gli Stati membri devono adottare le misure
necessarie per conformarsi alla decisione della Commissione, ai sensi
del citato art. 25, paragrafo 6, della direttiva;
Visti gli articoli 43, 44 e 45 del codice in materia di
protezione dei dati personali, secondo i quali il trasferimento dei
dati personali diretto verso Paesi non appartenenti all'Unione
europea puo' avvenire qualora ricorra uno dei casi previsti dall'art.
43 oppure, ai sensi degli articoli 44, comma 1 e 45, quando sia
autorizzato dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato: a) individuate dalla medesima Autorita' anche in
relazione a garanzie prestate con un contratto; b) individuate con le
decisioni della Commissione previste dagli articoli 25, paragrafo 6,
e 26, paragrafo 4, della direttiva 95/46/CE; c) altrimenti, fuori dai
casi di cui agli articoli 43 e 44, qualora l'ordinamento dello Stato
di destinazione o di transito dei dati assicuri un livello di tutela
delle persone adeguato nei termini di cui all'art. 45;
Considerato che, secondo la valutazione svolta dalla Commissione
europea, i criteri utilizzati dal Cbp per trattare i dati Pnr dei
passeggeri, in base alla legislazione statunitense e alla
Dichiarazione d'impegno del Cbp, includono i principi fondamentali
necessari per assicurare un livello di protezione adeguato delle
persone fisiche;
Considerata l'esigenza di adottare un provvedimento necessario
per l'applicazione della decisione della Commissione in conformita'
al citato art. 44, comma 1, lettera b);
Visti gli articoli 2 e 3 della decisione in tema di controlli e
provvedimenti delle autorita' di garanzia degli Stati membri sulla
liceita' e correttezza dei trasferimenti e dei trattamenti di dati
anteriori ai trasferimenti medesimi, anche in relazione a quanto
previsto dall'art. 4 della direttiva 95/46/CE sul diritto nazionale
applicabile;
Ritenuta la necessita' di assicurare ulteriore pubblicita' alla
predetta decisione disponendo la sua pubblicazione nella Gazzetta
Ufficiale della Repubblica italiana in allegato alla presente
autorizzazione;
Vista la documentazione d'ufficio;
Viste le osservazioni dell'Ufficio, formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante, n.
1/2000;
Relatore il dott. Giuseppe Chiaravalloti;
Tutto cio' premesso il Garante:
1) Fatta salva l'applicazione delle ulteriori disposizioni
previste dal codice in materia di protezione dei dati personali,
autorizza il trasferimento fuori dal territorio dello Stato
all'Ufficio statunitense delle dogane e della protezione delle
frontiere (United States Bureau of Customs and Border Protection,
«Cbp») del Ministero della sicurezza interna (Department of Homeland
Security), da parte dei vettori aerei che assicurano il trasporto di
passeggeri con destinazione o in partenza dagli Stati Uniti, dei dati
personali contenuti nelle schede nominative dei passeggeri («Pnr»)
nella misura in cui tali dati siano stati raccolti e memorizzati nei
relativi sistemi informatici di prenotazione, sulla base dei
presupposti e in conformita' a quanto previsto dalla decisione della
Commissione europea del 14 maggio 2004, n. 2004/535/CE ed alla
Dichiarazione di impegno ivi allegata e con effetto dal termine
previsto dall'art. 6 della decisione medesima;
2) Si riserva, in conformita' alla normativa comunitaria, al
codice in materia di protezione dei dati personali e all'art. 3 della
decisione della Commissione, di svolgere i necessari controlli sulla
liceita' e correttezza dei trasferimenti di dati e delle operazioni
di trattamento anteriori ai trasferimenti medesimi, e di adottare
eventuali provvedimenti di blocco o di divieto di trasferimento;
3) Dispone la trasmissione del presente provvedimento e
dell'allegata decisione della Commissione all'Ufficio pubblicazione
leggi e decreti del Ministero della giustizia per la sua
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 14 luglio 2005
Il Presidente
Pizzetti
Il relatore
Chiaravalloti
Il segretario generale
Buttarelli