Il Parlamento europeo,

–   viste le dichiarazioni del Consiglio e della Commissione nel corso della discussione tenutasi in Parlamento il 31 gennaio 2007 a seguito dell'interrogazione orale su SWIFT, nonché i negoziati per un nuovo accordo sulla registrazione dei nominativi dei passeggeri (PNR) tra la Comunità europea e gli Stati Uniti,

–   vista la lettera di risposta del 30 gennaio 2007 da parte della Banca centrale europea (BCE) all'interrogazione ad essa presentata, interrogazione che riguardava il fatto che la BCE non ha informato le competenti autorità in materia di protezione dei dati e le banche centrali e, di conseguenza le banche nazionali, della prassi praticata dagli Stati Uniti in materia di accesso a dati relativi alle transazioni finanziarie generate da SWIFT, e non ha provveduto ad avvalersi delle proprie capacità di persuasione nei confronti di SWIFT a tale riguardo,

–   visto il parere del gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali, previsto dall'articolo 29 della direttiva sulla protezione dei dati(1) ("gruppo di lavoro sull'articolo 29") quanto al futuro accordo PNR e del Garante europeo della protezione dei dati (GEPD) per quanto riguarda il ruolo della BCE nella questione SWIFT,

–   visto l'articolo 103, paragrafo 2, del suo regolamento,

A.   considerando che la condivisione dei dati e delle informazioni costituisce uno strumento prezioso nella lotta internazionale contro il terrorismo e la criminalità ad esso collegata,

B.   considerando che le imprese che operano su entrambe le sponde dell'Atlantico si trovano sempre più spesso confrontate a requisiti giuridici contrastanti da parte delle giurisdizioni statunitense e della Comunità europea,

C.   considerando che la condivisione dei dati personali deve poggiare su un'adeguata base giuridica, vincolata a disposizioni e condizioni chiare, ed iscritta nel quadro di una adeguata protezione della privacy e delle libertà civili dei singoli cittadini,

D.   considerando che la lotta contro il terrorismo e la criminalità deve poggiare su una vera legittimità democratica, vale a dire che i programmi di condivisione dei dati devono essere sempre soggetti al controllo democratico ed all'esame giudiziario,

Linee generali

1.   sottolinea che, negli ultimi anni, numerosi accordi scaturiti da esigenze statunitensi e adottati senza alcuna partecipazione del Parlamento, segnatamente l'accordo PNR e il memorandum SWIFT, nonché l'esistenza del sistema ATS americano, hanno determinato una situazione di incertezza giuridica per quanto riguarda le necessarie garanzie in materia di protezione dei dati per la condivisione e il trasferimento dei dati tra l'Unione europea e gli Stati Uniti ai fini della sicurezza pubblica e, segnatamente, per la prevenzione e la lotta al terrorismo;

2.   ribadisce che le soluzioni finora previste dal Consiglio e dalla Commissione, nonché dalle imprese private, non proteggono in modo adeguato i dati personali dei cittadini dell'Unione europea (come è stato rilevato anche nella lettera del sig. Schaar, presidente del gruppo di lavoro sull'articolo 29 per quanto riguarda il nuovo accordo intermedio PNR) e che ciò potrebbe costituire una violazione del diritto comunitario e nazionale, come nel caso di SWIFT (cfr. il parere 10/2006 del gruppo di lavoro sull'articolo 29 del 22 novembre 2006 e il parere del GEPD dell'1 febbraio 2007);

3.   rileva che, nel contesto della lotta contro il terrorismo, il Congresso USA chiede da tempo all'amministrazione statunitense di adottare misure più mirate che garantiscano in modo migliore la privacy e che siano soggette al controllo parlamentare e giudiziario (come è avvenuto quando il Congresso è stato messo al corrente dell'esistenza del programma dell'Agenzia nazionale per la sicurezza (NSA) in materia di intercettazioni telefoniche);

4.   conferma le proprie riserve, che sono state recentemente condivise dal Congresso, per quanto riguarda il metodo di analisi e di estrapolazione dei dati che consiste nell'accumulare, in modo indiscriminato, volumi sempre più ampi di dati personali, come nel caso dell'ATS utilizzato dall'amministrazione USA;

5.   accoglie favorevolmente il fatto che l'amministrazione statunitense abbia recentemente preso atto di tali riserve e che essa cercherà di migliorare la situazione attraverso le seguenti misure:

6.   ritiene, tuttavia, che tali miglioramenti siano insufficienti per quanto riguarda la protezione dei dati dei cittadini dell'Unione europea e che sarebbe veramente opportuno che il Privacy Act del 1974 potesse essere applicato ai cittadini dell'UE su una base di reciprocità, affinché essi possano aver accesso ai propri dati, e avere il diritto di rettificarli e modificarli, nonché ad un meccanismo legale di ricorso e ad un'autorità indipendente della protezione dei dati;

7.   ricorda la sua convinzione che tali garanzie in materia di protezione dei dati faciliterebbero la condivisione dei dati, garantendo al contempo una protezione della privacy, e che tale trasferimento sarebbe in ogni caso basato su uno o più accordi internazionali simili, nella struttura, all'accordo EC/USA sulla cooperazione giudiziaria in materia penale e l'estradizione, che è attualmente all'esame del Congresso;

8.   ritiene che poiché tali accordi internazionali riguardano i diritti fondamentali dei cittadini dell'Unione europea e degli Stati Uniti, dovrebbe essere consentita la piena partecipazione del Parlamento europeo e dei parlamenti nazionali degli Stati membri, così come del Congresso degli Stati Uniti;

9.   insiste sul fatto che, per quanto riguarda la protezione dei dati, gli accordi dovrebbero tendere a raggiungere un elevato livello di protezione dei dati contro il rischio di abusi e dovrebbero essere corredati di principi vincolanti a livello comunitario per quanto riguarda la protezione dei dati ai fini della sicurezza (terzo pilastro);

10.   sottolinea la necessità di adottare una decisione quadro sulla protezione dei dati personali nel terzo pilastro; ricorda che, nella posizione approvata all'unanimità il 27 settembre 2006(2), il Parlamento europeo chiedeva che tale decisione comprendesse un quadro ambizioso e coordinato che definisse disposizioni in materia di protezione dei dati che comprendessero anche lo scambio di dati personali con paesi terzi;

11.   ritiene opportuno definire con gli Stati Uniti un quadro comune e condiviso per tutelare le necessarie garanzie indispensabili nel partenariato speciale UE/USA per quanto riguarda la lotta contro il terrorismo, quadro che potrebbe anche riguardare tutti gli aspetti relativi alla libera circolazione delle persone tra l'UE e gli Stati Uniti;

12.   auspica che questa strategia di partenariato transatlantico venga discussa nel prossimo vertice UE/USA che si terrà il 30 aprile 2007 e ritiene che, in tale prospettiva, è necessario potenziare i contatti tra il Parlamento europeo e il Congresso; chiede che:

Per quanto riguarda i negoziati dell'accordo PNR a lungo termine

13.   sottolinea che, oltre ai punti già approvati dal Parlamento nella summenzionata posizione del 27 settembre 2006, un futuro accordo PNR a lungo termine dovrebbe poggiare sui seguenti principi:

Per quanto riguarda l'accesso ai dati SWIFT

14.   ribadisce la propria preoccupazione per il fatto che, per quattro anni, sulla base di citazioni, SWIFT abbia trasferito all'amministrazione statunitense un sottoinsieme di dati trattati nel suo sistema USA, compresi dati che non riguardavano cittadini statunitensi e dati non generati sul territorio USA, in violazione della legislazione europea e nazionale in materia di protezione dei dati, a causa della decisione di SWIFT, basata su motivi commerciali e sistemici, di avere una duplicazione sistematica dei dati in un sistema di informazione a specchio operante negli Stati uniti, in violazione della legislazione UE e nazionale in materia di protezione dei dati;

15.   ritiene molto preoccupante che tale situazione, che violava la Convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali e la Carta dei diritti fondamentali dell'Unione europea, nonché i trattati e la normativa di diritto derivato (direttiva sulla protezione dei dati e regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati(4)), non sia stata oggetto di pesanti critiche, in una fase precedente, dalla BCE o dal Gruppo delle 10 Banche centrali che controllano le attività SWIFT e che solo recentemente le banche europee e i loro clienti siano stati messi al corrente della situazione attraverso la stampa;

16.   deplora fortemente il fatto che, diversi mesi dopo tali rivelazioni, il Consiglio non abbia ancora preso una posizione su una questione che riguarda così tanti cittadini, consumatori ed imprese e che solo sette dei 27 Stati membri abbiano risposto al questionario trasmesso dalla Commissione europea al fine di ottenere chiarimenti sul rispetto delle legislazioni nazionali e comunitarie in materia di protezione dei dati;

17.   ribadisce le proprie preoccupazioni per quanto riguarda l'attuale sistema di supervisione di SWIFT, la cui responsabilità spetta al Gruppo delle 10 Banche centrali, sotto la sorveglianza della BCE, senza, tuttavia, alcuna competenza formale; invita il Consiglio e la BCE a riflettere insieme sulle modalità di miglioramento del sistema, in modo tale da garantire un adeguato funzionamento del processo di allarme con tutte le conseguenze in termini di azioni da adottare;

18.   accoglie il parere espresso dal GEPD sul ruolo della BCE e invita quest'ultima:

19.   ribadisce la sua convinzione che, in condizioni chiaramente definite, i dati generati in transazioni finanziarie possano essere utilizzati esclusivamente ai fini di indagini giudiziarie, in collegamento con il sospetto di finanziamento di attività terroristiche, e ricorda che sia l'Unione europea sia gli Stati Uniti, nelle loro rispettive legislazioni (regolamento (CE) n. 1781/2006 del Parlamento europeo e del Consiglio, del 15 novembre 2006, riguardante i dati informativi relativi all'ordinante che accompagnano i trasferimenti di fondi(5) e Bank Secrecy Act statunitensi), hanno dato applicazione alla raccomandazione VII del GAFI;

20.   ricorda che, a decorrere dal 31 dicembre 2006, in conformità della raccomandazione VII del GAFI, gli istituti finanziari sono tenuti a raccogliere e conservare taluni dati specifici per quanto riguarda i bonifici di 1 000 USD o più in Europa (3 000 USD negli Stati Uniti); tutti questi dati, su richiesta, devono essere comunicati alle autorità o messi a loro disposizione(6);

21.   ritiene che l'Unione europea e gli Stati Uniti siano alleati fondamentali e leali nella lotta contro il terrorismo e che pertanto questo quadro legislativo dovrebbe essere la base per il negoziato di un eventuale accordo internazionale, basato sul presupposto che SWIFT, come società belga, è soggetto al diritto belga e, di conseguenza, è responsabile del trattamento dei dati in conformità dell'articolo 4, paragrafo 1 della direttiva 95/46/CE; sottolinea che la naturale conseguenza sarebbe l'obbligo per SWIFT di bloccare la sua prassi attuale di trasmettere tutti i dati relativi ai cittadini e alle imprese comunitarie al suo sito USA o di trasferire la sua banca dati alternativa al di fuori della giurisdizione degli Stati Uniti; chiede che tale accordo internazionale preveda le necessarie garanzie contro l'abuso dei dati per finalità economiche e commerciali;

22.   sottolinea il fatto che SWIFT fornisce servizi al di fuori dell'Unione europea e degli Stati Uniti e ritiene, pertanto, che ogni misura adottata debba tener conto dell'aspetto globale dei servizi di SWIFT;

23.   invita la Commissione, organo competente sia per la protezione dei dati che per la legislazione in materia di sistemi di pagamento, ad analizzare il potenziale di spionaggio economico e commerciale che può essere originato dall'attuale struttura dei sistemi di pagamento nel senso più ampio della definizione, comprendendo, così, in particolare, i fornitori di servizi di messaggeria, e a riferire sulle modalità per affrontare il problema;

24.   rileva che i servizi finanziari possono godere di una deroga dalle disposizioni dell'accordo Safe Harbour, come stabilito dal gruppo di lavoro sull'articolo 29 nel suo parere 10/2006; esprime preoccupazione per il fatto che le imprese e i settori europei che operano negli Stati Uniti e che non sono coperti da tale accordo possano attualmente essere costretti a mettere dati personali a disposizione di autorità statunitensi, in particolare filiali americane di banche, compagnie di assicurazione, istituzioni si sicurezza sociale e fornitori di servizi di telecomunicazioni europei; invita la Commissione europea a studiare tale questione con la massima urgenza;

o
o   o

25.   incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio, alla Commissione, ai governi e ai parlamenti degli Stati membri, nonché al Congresso USA.

(1) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31). (2) Testi approvati, P6_TA(2006)0370. (3) GU L 220 del 29.7.1989, pag. 1. (4) GU L 8 del 12.1.2001, pag. 1. (5) GU L 345 dell' 8.12.2006, pag. 1. (6) (Cfr. La relazione pubblicata il 17 gennaio 2006 da FinCEN (Rete per la lotta contro i reati finanziari) sulla comunicazione dei bonifici transfrontalieri: http://www.fincen.gov/news_release_cross_border.html).