2. Accordo tra Stati Uniti d’America e Comunità europea (CE) del 2004
La necessità di stipulare un accordo con gli Stati Uniti nasceva dall’emanazione di una normativa interna statunitense, successiva all’undici settembre, che imponeva ai vettori aerei di comunicare all’Ufficio doganale statunitense i dati personali dei passeggeri e si poneva in potenziale contrasto con la normativa europea sul trattamento dei dati personali e segnatamente con i principi dettati dalla direttiva 95/46/CE (come modificata dal regolamento del Parlamento europeo e del Consiglio del 29 settembre 2003 n. 1882) e il regolamento del Consiglio n.2299 del 24 giugno 1989 contenente un codice di comportamento sui sistemi telematici di prenotazione.
La normativa statunitense titolo 49, sezione 44909 (c) (3) dell’United States Code e dei regolamenti d’attuazione contenuti nel titolo 19 sez. 122.49b del Codice dei Regolamenti federali)  prescriveva, difatti, l’obbligo per i vettori aerei di fornire alle proprie autorità doganali l’accesso elettronico ai dati contenuti nei relativi sistemi automatici di prenotazione e di controllo delle partenze.
L’Accordo del 2004 era fondato sulla decisione del Consiglio dell’UE 2004/496/CE de 17 maggio 2004 sulla conclusione stessa della convenzione (GUCE L 183/2004, p. 83) e la decisione della Commissione della CE 2004/535/CE del 14 maggio 2004 sul livello adeguato di protezione dei dati personali contenuti nelle schede nominative dei passeggeri aerei (GUCE L 235/2004, p. 11), annullate entrambe dalla CGCE. (V. E. NALIN, L’accordo USA-CE sui trasporti aerei al vaglio della CGCE, in Sud in Europa, settembre 2006, 8-9)
Il Parlamento europeo ha promosso due ricorsi al riguardo.
In uno, promosso contro il Consiglio, il Parlamento sosteneva che fossero stati violati gli artt. 95 e 300 c. 3 cpv. TCE relativi alla conclusione di accordi internazionali e l’art. 8 della Convenzione europea dei diritti dell’uomo e delle libertà fondamentali (infra CEDU) del 1950. Invece, nell’altro, contro la Commissione, il Parlamento deduceva che la direttiva impugnata non fosse correttamente fondata sulla direttiva del Parlamento europeo e del Consiglio 95/46/CE del 24 ottobre 1995 sulla tutela delle persone fisiche con riguardo al trattamento di dati personali e alla libera circolazione di tali dati (GUCE L 281/1995, p.31).

3. L’intervento della Corte di Giustizia delle Comunità europee
La CGCE ha esaminato le decisioni ed è arrivata alla conclusione che quella del Consiglio era fondata erroneamente sull’art. 95 TCE in quanto esso è applicabile alle materie di competenza comunitaria, dalle quali è escluso l’oggetto dell’accordo del 2004. Difatti, esso concerne il trasferimento di dati personali dalle compagnie aeree a un ente statale, come l’Ufficio doganale, per motivi attinenti esclusivamente alla pubblica sicurezza, per la finalità della repressione del terrorismo internazionale. Non si tratta di un trasferimento di dati tra soggetti per fini commerciali che possa determinare distorsioni della concorrenza, come sostenuto dal Consiglio ed escluso, invece, dalla Corte. Soltanto tale materia sarebbe stata di competenza comunitaria, mentre non lo sono le questioni attinenti la pubblica sicurezza.
Motivazioni di carattere analogo hanno indotto la Corte ad annullare anche la decisione della Commissione sui dati personali perché emanata ultra vires, in quanto riferita a materia estranea al diritto comunitario. La direttiva 95/46 (art.25) prescriveva la necessità che la Commissione accertasse il livello adeguato di tutela con decisione (c.d. decisione sull’adeguatezza) il livello adeguato di tutela dei dati personali (privacy) nel Paese di destinazione dei dati inviati dal territorio comunitario. Le decisione del 2004 accertava appunto tale adeguatezza della normativa statunitense. La Corte non si pronuncia nel merito, sanzionando l’inadeguatezza del sistema normativo statunitense sulla tutela dei dati personali, ma sul fondamento stesso della decisione sull’adeguatezza.
La direttiva 95/46, di cui sarebbe seguito, non contempla, nel proprio campo di applicazione, il trasferimento di dati per ragioni relative a pubblica sicurezza o difesa dello Stato, limitando le sue previsione agli scambi di dati per finalità commerciali. Essa non prevede, difatti, tale tipo di atto per il caso del trasferimento di dati per ragioni di rilevanza pubblicistica.
L’accordo del 2004, quindi, è risultato sanzionabile, in quanto estraneo a materia di competenza comunitaria e pertanto viziato.
La Corte non si è pronunciata sulla violazione dei limiti di tutela dei diritti umani desumibili dall’art. 8 CEDU, utilizzabile ai sensi dell’art. 6 TUE come parametro per l’identificazione degli standards di tutela dei diritti umani nell’Unione.
La CGCE ha rilevato, inoltre, che ai sensi dell’art. 7 del Trattato medesimo, è prevista per ciascuna delle parti la facoltà di denunciare l’accordo,con caducazione conseguente dei suoi effetti 90 giorni dopo la notifica della denuncia alla controparte. La Corte ha, pertanto, statuito la permanenza in vigore anche della decisione sull’adeguatezza fino alla data massima del 30 settembre 2006, sulla base di considerazioni attinenti alla necessaria certezza del diritto e alla protezione delle persone interessate.

4. Il nuovo Accordo USA/UE del 2006
Dopo la sentenza, è restata la necessità di provvedere a una regolamentazione della materia.
Essa non rientra nella competenza deferita dagli Stati alla Comunità europea, ma resta tra le attribuzioni degli Stati coordinabili nel quadro dell’Unione europea.
È stato pertanto stipulato un successivo accordo, in data 11 ottobre 2006 (Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the United States Department of Homeland Security), fondato sulla nuova base giuridica dell’art. 38 TUE, contenuto nel Titolo VI del Trattato sull’Unione relativo alla cooperazione di polizia e giudiziaria in materia penale, il c.d. III Pilastro dell’UE.
L’accordo contiene norme che, come il precedente,  contemperano le esigenze di tutela dei dati personali dettate dalla normativa comunitaria con quelle statunitensi. In particolare esso richiama le norme dell’Aviation Transportation Security Act del 2001, l’Homeland Security Act del 2002, l’Intellegence Reform and Security Act del 2004, l’Executive Order 13388 (sulla cooperazione tra le agenzie governative statunitensi per la lotta al terrorismo).
Il regime giuridico cui sono sottoposti i trattati attinenti la materia comunitaria e quelli conclusi, invece, nell’ambito dell’Unione europea è molto diverso.
La competenza a concluderli è, per questi ultimi, del Consiglio su raccomandazione della Presidenza e l’art. 38 TUE non prevede per gli stessi il controllo parlamentare, come avviene invece per quelli comunitari.
Il precedente Accordo era stato negoziato dalla Commissione, su autorizzazione del Consiglio in data 23 febbraio 2004, e firmato da un rappresentante della presidenza in esercizio del  Consiglio a Washington il 28 maggio 2004, entrando in vigore il giorno stesso, per sua stessa previsione (punto 7).
Inoltre la CGCE non ha poteri in ordine al sindacato di accordi conclusi nell’ambito del III Pilastro.
Agli stessi è applicabile il regime previsto dall’art. 24 del titolo V TUE, relativo a politica estera e sicurezza comune, esplicitamente richiamato dall’art. 38 del titolo VI TUE. Nello stesso art. 24 c.4 ne è prevista l’applicabilità agli accordi aventi ad oggetto materie regolate nel III Pilastro.
La competenza a svolgere i negoziati compete, in tal caso alla Presidenza, “se del caso assistita dalla Commissione” (art. 24 p.1), su autorizzazione del Consiglio.
È preponderante il ruolo del Consiglio, l’istituzione che rappresenta gli Stati membri rispetto a quello della Commissione, deputata a rappresentare l’interesse comunitario, che è, invece, protagonista della procedura per gli accordi del pilastro comunitario.
L’accordo diventa vincolante per gli Stati membri, ad eccezione del caso in cui il rappresentante di uno Stato membro dichiari in sede di Consiglio che lo stesso debba conformarsi alle procedure costituzionali interne. Nondimeno in tal caso l’accordo si può applicare provvisoriamente agli altri Stati.
Il contenuto dell’accordo esprime una regolamentazione armonizzata della materia per tutti gli Stati dell’Unione che ne sono parte direttamente e singolarmente. Non ne è parte l’Unione europea in quanto tale, ma essi vincolano le istituzioni dell’Unione, come previsto ex art. 24 c.6 TUE.
La procedura prevista dall’art. 24 TUE è ben diversa da quella ex art. 300 TCE, in cui, tra l’altro, è pregnante anche il ruolo rivestito dal Parlamento europeo, che, difatti, era stato coinvolto anche nella procedura relativa alla conclusione dell’Accordo sui dati dei passeggeri aerei del 2004.
Ex art. 300 La stessa conclusione dell’accordo compete al Consiglio previa consultazione del Parlamento, salvo poche eccezioni espressamente menzionate.
Tali accordi sono vincolanti per le istituzioni della Comunità e per gli Stati membri. L’art. 300 non prevede l’eccezione relativa all’espletamento delle procedure costituzionali interne. Tale omissione si spiega in ragione della diversità di materie (e di competenze ad esse relative) che formano oggetto degli accordi di cui all’art. 24 TUE ed ex art. 300 TCE.
La CGCE, che per gli accordi comunitari può anche esprimere, su richiesta delle altre istituzioni o di uno Stato membro, un parere di compatibilità di un accordo con le disposizioni del TCE (art. 24 c.6), non ha, invece, competenze per quanto attiene agli accordi del II e III Pilastro.
Appare, dunque, evidente che l’Accordo del 2006, benché simile nei contenuti al precedente accordo del 2004, soggiace a un regime giuridico diverso.

5. Considerazioni conclusive
L’Accordo sul trasferimento di dati contenuti nelle schede dei passeggeri aerei dall’Europa agli Stati Uniti rappresenta un’iniziativa che si iscrive nell’ampio novero di atti emanati dopo l’undici settembre 2001 per adeguare il quadro normativo alla necessità di far fronte al terrorismo internazionale.
In particolare esso ha la funzione di garantire la tutela di un diritto individuale, come quello alla riservatezza, a fronte di una legislazione emergenziale statunitense che tende a farlo soccombere rispetto alle esigenze di tutela della sicurezza nazionale, valutate come preponderanti nel contemperamento.
Lo strumento utilizzato per trovare una soluzione al problema è stato il trattato internazionale. Dapprima concluso secondo le norme interne sulla competenza a stipulare come accordo comunitario, è stato oggetto di una pronuncia della CGCE, che ne ha caducato il fondamento giuridico. Essa ha statuito l’estraneità delle questioni attinenti la sicurezza nazionale all’ambito della competenza comunitaria. La direttiva 45/96 sui dati personali, difatti, focalizza l’attenzione specialmente sul trasferimento transfrontaliero di dati tra soggetti economici, per finalità correlate al mercato. Le questioni relative alla difesa e alla pubblica sicurezza esulano dal suo ambito di applicazione.
L’accordo, allora, è stato sostituito da un altro Trattato, dal contenuto analogo, ma stipulato sulla base delle norme interne contenute nel TUE come trattato dell’Unione. È pertanto soggetto ad una disciplina giuridica diversa da quella del precedente accordo del 2004.
Quanto al merito, la rilevanza dello scambio d’informazioni nelle azioni preventive per la lotta al terrorismo internazionale è altresì messa in luce dall’adozione della direttiva 2006/24/CE del Parlamento Europeo e del Consiglio del 15 marzo 2006 sulla conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, che modifica la direttiva 2002/58/CE. Essa, ai punti 10 e 11 del Preambolo, ribadisce l’enorme importanza che i dati relativi al traffico hanno per “l’indagine, l’accertamento e il perseguimento” dei reati.
Le esigenze di accesso ai dati personali dettate dalla pubblica sicurezza non possono, però, portare a compressioni ingiustificate od eccessive del diritto alla privacy individuale, parimenti riconosciuto e garantito dalla normativa europea come da quella dei suoi Stati membri.

§

Allegati:

Dal TCE (GUCE C 325/151 del 24.12.2002)
Articolo 95
1. In deroga all'articolo 94 e salvo che il presente trattato non disponga diversamente, si applicano le disposizioni seguenti per la realizzazione degli obiettivi dell'articolo 14. Il Consiglio, deliberando in conformità della procedura di cui all'articolo 251 e previa consultazione del Comitato economico e sociale, adotta le misure relative al ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri che hanno per oggetto l'instaurazione ed il funzionamento del mercato
interno.

Dal TUE (GUCE C 325/19 del 24.12.2002)
Articolo 38
Gli accordi di cui all'articolo 24 possono riguardare materie rientranti nel presente titolo.