TRADUZIONE

Accordo

tra l’Unione europea e gli Stati Uniti d’America sul trattamento e il trasferimento di dati di messaggistica finanziaria dall’Unione europea agli Stati Uniti ai fini del programma di controllo delle transazioni finanziarie dei terroristi

L’UNIONE EUROPEA

da un lato, e

GLI STATI UNITI D’AMERICA

dall’altro

in seguito insieme denominati "le parti",

DESIDEROSI di prevenire e combattere il terrorismo e il suo finanziamento, in particolare condividendo le informazioni, al fine di proteggere le rispettive società democratiche, i valori, i diritti e le libertà comuni,

NEL TENTATIVO di rafforzare e incoraggiare la cooperazione tra le parti nello spirito del partenariato transatlantico,

RAMMENTANDO le convenzioni delle Nazioni Unite relative alla lotta al terrorismo e al suo finanziamento, nonché le risoluzioni pertinenti del Consiglio di sicurezza delle Nazioni Unite nel settore della lotta al terrorismo, in particolare la risoluzione 1373 (2001) del Consiglio di sicurezza delle Nazioni Unite,

RICONOSCENDO che il programma di controllo delle transazioni finanziarie dei terroristi (TFTP — Terrorist Finance Tracking Program) del dipartimento del Tesoro statunitense è risultato essenziale per identificare e catturare terroristi e loro finanziatori e che ha offerto molti indizi di cui sono state messe al corrente le autorità competenti in tutto il mondo a fini di antiterrorismo, il che ha giovato in modo particolare agli Stati membri dell’Unione europea ("Stati membri"),

CONSTATANDO l’importanza del TFTP nella prevenzione e nella lotta al terrorismo e al suo finanziamento nell’Unione europea e altrove, nonché il ruolo dell’Unione europea nel garantire che i fornitori designati di servizi internazionali di messaggistica relativi ai pagamenti finanziari rendano disponibili i dati di messaggistica finanziaria conservati nel territorio dell’Unione europea che sono necessari per la prevenzione e la lotta al terrorismo e al suo finanziamento, nel rigoroso rispetto delle misure di salvaguardia in materia di vita privata e protezione dei dati personali,

TENENDO PRESENTE l’articolo 6, paragrafo 2, del trattato sull’Unione europea relativo al rispetto dei diritti fondamentali e i principi di proporzionalità e necessità concernenti il diritto al rispetto della vita privata e la protezione dei dati personali ai sensi dell’articolo 8, paragrafo 2, della Convenzione europea dei diritti dell’uomo, la Convenzione n. 108 del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, nonché gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea,

SOTTOLINEANDO i valori comuni che disciplinano la riservatezza della vita privata e la protezione dei dati personali nell’Unione europea e negli Stati Uniti d’America ("Stati Uniti"), compresa l’importanza che entrambe le parti attribuiscono al giusto processo e al diritto ad un ricorso efficace contro azioni governative improprie,

PRENDENDO ATTO dei rigorosi controlli e misure di salvaguardia messi in atto dal dipartimento del Tesoro statunitense per la gestione, l’uso e la diffusione dei dati internazionali di messaggistica relativi ai pagamenti finanziari ai sensi del TFTP, quali descritti nei contributi del dipartimento del Tesoro statunitense pubblicati nella Gazzetta ufficiale dell’Unione europea il 20 luglio 2007 e nel Registro federale degli Stati Uniti il 23 ottobre 2007, che riflettono la cooperazione in corso tra gli Stati Uniti e l’Unione europea nella lotta contro il terrorismo internazionale,

RICORDANDO che per assicurare l’effettivo esercizio dei propri diritti ogni persona, indipendentemente dalla nazionalità, può presentare reclamo dinanzi a un’autorità indipendente preposta alla protezione dei dati o altra autorità simile, nonché ricorrere presso un organo giurisdizionale indipendente e imparziale,

TENENDO PRESENTE che un ricorso amministrativo e giudiziario appropriato è disponibile secondo la legislazione degli USA in caso di trattamento improprio dei dati personali, anche ai sensi, tra l’altro, dell’Administrative Procedure Act del 1946 (5 U.S.C. 701 et seq.), dell’Inspector General Act del 1978 (5 U.S.C. App.), delle raccomandazioni di attuazione del 9/11 Commission Act del 2007 (42 U.S.C. 2000ee et seq.), del Computer Fraud and Abuse Act (18 U.S.C. 1030) e del Freedom of Information Act (5 U.S.C. 552), e successive modifiche,

RAMMENTANDO che, per legge, nell’Unione europea i clienti di istituzioni finanziarie e di fornitori di servizi di messaggistica finanziaria sono informati che i dati personali contenuti nelle registrazioni di operazioni finanziarie possono essere trasferiti alle autorità pubbliche degli Stati membri o di paesi terzi a fini di applicazione della legge,

AFFERMANDO che il presente accordo non costituisce un precedente per eventuali disposizioni future tra gli Stati Uniti e l’Unione europea o tra una delle due parti e un altro Stato in materia di trattamento e trasferimento di dati di messaggistica finanziaria o qualsiasi altro tipo di dati, ovvero in materia di protezione dei dati,

RICONOSCENDO che il presente accordo non deroga alle competenze di cui dispongono le autorità degli Stati membri preposte alla protezione dei dati in materia di tutela delle persone in ordine al trattamento dei dati personali, e

AFFERMANDO inoltre che il presente accordo non pregiudica altri accordi in materia di applicazione della legge o condivisione delle informazioni tra le parti o tra gli Stati Uniti e gli Stati membri,

HANNO CONVENUTO QUANTO SEGUE:

Articolo 1

Scopo dell’accordo

1. Scopo del presente accordo è provvedere, nel pieno rispetto della vita privata, della protezione dei dati personali e delle altre condizioni stabilite nel presente accordo, affinché:

a) la messaggistica finanziaria e relativi dati conservati nel territorio dell’Unione europea dai fornitori di servizi internazionali di messaggistica finanziaria, designati congiuntamente ai sensi del presente accordo, siano messi a disposizione su richiesta del dipartimento del Tesoro statunitense a fini di prevenzione, indagine, accertamento o azione penale nei confronti del terrorismo o del suo finanziamento; e

b) le pertinenti informazioni ottenute attraverso il TFTP siano messe a disposizione delle autorità degli Stati membri preposte all’applicazione della legge, alla pubblica sicurezza o alla lotta contro il terrorismo, o di Europol o Eurojust a fini di prevenzione, indagine, accertamento o azione penale nei confronti del terrorismo o del suo finanziamento.

2. Gli Stati Uniti, l’Unione europea e i suoi Stati membri adottano, nell’ambito delle rispettive competenze, tutte le misure necessarie e opportune per attuare le disposizioni e realizzare gli obiettivi del presente accordo.

Articolo 2

Ambito di applicazioneCondotta in materia di terrorismo o di finanziamento del terrorismo

Il presente accordo si applica all’ottenimento e all’utilizzo della messaggistica finanziaria e dei relativi dati a fini di prevenzione, indagine, accertamento o azione penale in relazione a:

a) atti di una persona o entità che comportano l’uso della violenza o sono altrimenti pericolosi per la vita umana o costituiscono un rischio di danneggiamento a beni o infrastrutture e che, tenuto conto della loro natura e della situazione, hanno presumibilmente lo scopo di:

i) intimidire o sopraffare la popolazione;

ii) intimidire, costringere o forzare i poteri pubblici o un’organizzazione internazionale a compiere o astenersi dal compiere un qualsiasi atto; o

iii) destabilizzare gravemente o distruggere le strutture politiche fondamentali, costituzionali, economiche o sociali di un paese o un’organizzazione internazionale;

b) una persona o entità che assiste, finanzia o fornisce sostegno finanziario, materiale o tecnologico, ovvero servizi finanziari o di altro tipo per gli atti o il favoreggiamento degli atti di cui alla lettera a); o

c) una persona o entità che concorre, favorisce o tenta di compiere gli atti di cui alle lettere a) o b).

Articolo 3

Garantire la fornitura dei dati da parte dei fornitori designati

L’Unione europea provvede, conformemente al presente accordo, affinché le entità congiuntamente designate dalle parti ai sensi del presente accordo come fornitori di servizi di messaggistica finanziaria internazionale ("fornitori designati") mettano a disposizione del dipartimento del Tesoro statunitense la messaggistica finanziaria e i relativi dati necessari ai fini della prevenzione, indagine, accertamento o azione penale nei confronti del terrorismo o del suo finanziamento ("i dati forniti").

Articolo 4

Richieste degli Stati Uniti di ottenere dati dai fornitori designati

1. In applicazione dell’articolo 8 dell’accordo sulla mutua assistenza giudiziaria tra l’Unione europea e gli Stati Uniti d’America, firmato a Washington il 25 giugno 2003, e del connesso strumento bilaterale di mutua assistenza giudiziaria tra gli Stati Uniti e lo Stato membro in cui il fornitore designato è stabilito o conserva i dati richiesti, il dipartimento del Tesoro statunitense formula una richiesta in base ad un’indagine in corso riguardo ad una specifica condotta di cui all’articolo 2 che si è verificata oppure quando, sulla base di informazioni o prove preesistenti, vi è motivo di ritenere che la condotta in questione possa verificarsi. A tal fine il dipartimento del Tesoro statunitense è considerato come un’autorità amministrativa cui prestare assistenza.

2. La richiesta indica il più chiaramente possibile i dati conservati dal fornitore designato nel territorio dell’Unione europea che sono necessari a tal fine. I dati possono includere informazioni relative all’identità dell’ordinante e/o beneficiario della transazione, compreso il nome, il numero di conto, l’indirizzo, il numero d’identificazione nazionale e altri dati personali connessi alla messaggistica finanziaria.

La richiesta motiva la necessità dei dati ed è quanto più possibile precisa onde ridurre al minimo la quantità di dati richiesti, tenendo conto delle analisi geografiche, di minaccia e di vulnerabilità.

3. La richiesta è trasmessa dal dipartimento della Giustizia statunitense all’autorità centrale dello Stato membro in cui il fornitore designato è stabilito o in cui conserva i dati richiesti.

4. Gli Stati Uniti trasmettono contemporaneamente copia della richiesta all’autorità centrale dell’altro Stato membro, nonché ai membri nazionali di Eurojust di tali Stati membri.

5. Al ricevimento della richiesta motivata in conformità al paragrafo 2, l’autorità centrale dello Stato membro richiesto verifica che la richiesta sia conforme al presente accordo e ai requisiti applicabili dell’accordo bilaterale sulla mutua assistenza giudiziaria. Se la verifica dell’autorità centrale è positiva, la richiesta è trasmessa all’autorità competente per la sua esecuzione a norma della legislazione dello Stato membro richiesto.

Se la richiesta è trasmessa all’autorità centrale dello Stato membro in cui il fornitore designato è stabilito, lo Stato membro in cui i dati sono conservati fornisce assistenza all’esecuzione della richiesta stessa.

La misura richiesta è eseguita con la massima urgenza.

6. Se il fornitore designato non è in grado di indicare e produrre gli specifici dati corrispondenti alla richiesta per motivi tecnici, tutti i dati potenzialmente rilevanti sono trasmessi in blocco, fatto salvo l’articolo 5, paragrafo 2, all’autorità competente dello Stato membro richiesto.

7. I dati sono trasferiti tra le autorità designate dello Stato membro richiesto e degli Stati Uniti.

8. L’Unione europea provvede affinché i fornitori designati tengano un registro dettagliato di tutti i dati trasmessi all’autorità competente dello Stato membro richiesto ai fini del presente accordo.

9. I dati trasmessi legalmente sulla base della presente disposizione possono essere consultati per altre indagini riguardanti tipi di condotta di cui all’articolo 2, nel pieno rispetto dell’articolo 5 del presente accordo.

Articolo 5

Misure di salvaguardia applicabili al trattamento dei dati

1. Il dipartimento del Tesoro statunitense provvede affinché i dati siano trattati conformemente alle disposizioni del presente accordo.

2. Il TFTP non prevede né deve prevedere data mining né altri tipi di profilazione algoritmica o automatica o di filtraggio. Il dipartimento del Tesoro statunitense assicura la protezione dei dati personali per mezzo delle salvaguardie seguenti, che si applicano indiscriminatamente in particolare per quanto riguarda la cittadinanza o il paese di residenza:

a) i dati forniti sono trattati esclusivamente a fini di prevenzione, indagine, accertamento o azione penale nei confronti del terrorismo e del suo finanziamento;

b) tutte le ricerche dei dati si basano su informazioni o prove preesistenti che inducono a ritenere che l’oggetto delle ricerche abbia un nesso con il terrorismo o il suo finanziamento;

c) ogni singola ricerca TFTP di dati è quanto più possibile mirata, dimostra che vi è motivo di ritenere che l’oggetto delle ricerche abbia un nesso con il terrorismo o il suo finanziamento ed è registrata, compreso il nesso al terrorismo o al suo finanziamento necessario per avviare la ricerca;

d) i dati sono conservati in ambiente fisico sicuro, conservati separatamente da qualsiasi altro dato con sistemi di alto livello e funzioni di controllo delle intrusioni per impedire l’accesso non autorizzato;

e) l’accesso ai dati è limitato agli analisti che si occupano delle indagini sul terrorismo o sul suo finanziamento e alle persone incaricate del supporto tecnico, della gestione e della supervisione del TFTP;

f) non sono effettuate copie dei dati, se si eccettua il back-up per il ripristino in caso di problemi;

g) i dati forniti non sono manipolati, né alterati o aggiunti, né sono connessi ad altre basi dati;

h) solo gli indizi relativi ai terroristi ottenuti attraverso il TFTP ai sensi del presente accordo sono condivisi con le autorità preposte all’applicazione della legge, alla pubblica sicurezza o alla lotta al terrorismo degli Stati Uniti, dell’Unione europea o di Stati terzi per essere utilizzate a fini d’indagine, accertamento, prevenzione o azione penale nei confronti del terrorismo o del suo finanziamento;

i) nel periodo di validità del presente accordo, il dipartimento del Tesoro statunitense inizia un riesame per individuare tutti i dati non estratti che non sono più necessari ai fini della lotta al terrorismo o al suo finanziamento. Entro due mesi dall’eventuale individuazione di tali dati si avviano procedure volte alla loro cancellazione, che devono essere concluse il più rapidamente possibile, in ogni caso entro otto mesi dall’individuazione, salvo in caso di circostanze tecnologiche straordinarie;

j) qualora risulti che sono stati trasmessi dati di messaggistica finanziaria non richiesti, il dipartimento del Tesoro statunitense cancella prontamente e in modo permanente i dati in questione e informa il pertinente fornitore designato e l’autorità centrale dello Stato membro richiesto;

k) fatta salva la lettera i), tutti i dati non estratti pervenuti prima del 20 luglio 2007 sono cancellati entro i cinque anni successivi;

l) fatta salva la lettera i), tutti i dati non estratti pervenuti a partire dal 20 luglio 2007 sono cancellati entro i cinque anni successivi al ricevimento; e

m) le informazioni estratte dai dati, comprese quelle condivise ai sensi della lettera h), sono soggette al periodo di conservazione vigente per una determinata autorità governativa in relazione alle sue particolari disposizioni regolamentari e alle sue modalità di conservazione delle registrazioni.

Articolo 6

Adeguatezza

Fatto salvo il costante rispetto degli impegni in materia di vita privata e protezione dei dati personali di cui al presente accordo, si ritiene che il dipartimento del Tesoro statunitense assicuri un livello adeguato di protezione dei dati nel trattamento della messaggistica finanziaria e dei relativi dati trasferiti dall’Unione europea agli Stati Uniti ai fini del presente accordo.

Articolo 7

Fornitura spontanea di informazioni

1. Il dipartimento del Tesoro statunitense garantisce la messa a disposizione, non appena possibile, alle autorità di contrasto, di pubblica sicurezza o antiterrorismo degli Stati membri interessati e, se del caso, all’Europol nell’ambito delle sue competenze, delle informazioni ottenute tramite il TFTP che possono contribuire alle indagini, alla prevenzione, all’accertamento o all’azione penale nell’Unione europea nei confronti del terrorismo o del suo finanziamento. Tutte le informazioni successive che possono contribuire alle indagini, alla prevenzione, all’accertamento o all’azione penale negli Stati Uniti nei confronti del terrorismo o del suo finanziamento sono ritrasmesse agli Stati Uniti su base di reciprocità.

2. Per favorire uno scambio d’informazioni efficace l’Europol può designare un ufficiale di collegamento presso il dipartimento del Tesoro statunitense. Le disposizioni riguardanti lo status e i compiti dell’ufficiale in questione sono decise di comune accordo tra le parti.

Articolo 8

Richieste dell’UE di ricerche TFTP

Qualora l’autorità di contrasto, di pubblica sicurezza o antiterrorismo di uno Stato membro, oppure l’Europol o l’Eurojust, stabiliscano che vi è motivo di ritenere che la persona o l’ente ha un nesso con l terrorismo ai sensi degli articoli da 1 a 4 della decisione quadro 2002/475/GAI del Consiglio, modificata dalla decisione quadro 2008/919/GAI del Consiglio, detta autorità può chiedere una ricerca al fine di ottenere informazioni tramite il TFTP. Il dipartimento del Tesoro statunitense esegue immediatamente una ricerca in conformità dell’articolo 5 e fornisce le informazioni rilevanti in risposta a tali richieste.

Articolo 9

Cooperazione con il futuro sistema dell’UE equivalente

Se nell’Unione europea o in uno o più Stati membri entra in vigore un sistema dell’UE equivalente al TFTP statunitense, in base al quale i dati di messaggistica finanziaria conservati negli Stati Uniti sono messi a disposizione dell’Unione europea, il dipartimento del Tesoro statunitense prosegue attivamente, su base di reciprocità e opportune garanzie, la cooperazione con i competenti fornitori internazionali di servizi di messaggistica finanziaria stabiliti nel territorio degli Stati Uniti.

Articolo 10

Verifica congiunta

1. Le parti procedono congiuntamente, su richiesta di una delle parti e in ogni caso dopo sei mesi, alla verifica dell’attuazione del presente accordo con particolare riguardo all’accertamento del rispetto della vita privata, della protezione dei dati personali e delle disposizioni in materia di reciprocità contenute nel presente accordo. La verifica comprende una valutazione di proporzionalità dei dati, in base al loro valore per le indagini, la prevenzione, l’accertamento o l’azione penale nei confronti del terrorismo o del suo finanziamento.

2. Durante la verifica l’Unione europea è rappresentata dalla presidenza del Consiglio dell’Unione europea, dalla Commissione europea e da due rappresentanti delle autorità in materia di protezione dei dati degli Stati membri di cui almeno uno dello Stato membro in cui il fornitore designato è stabilito. Gli Stati Uniti sono rappresentati dal dipartimento del Tesoro.

3. Ai fini della verifica il dipartimento del Tesoro statunitense assicura l’accesso alla documentazione e ai sistemi pertinenti nonché al personale competente e fornisce dati precisi in merito al numero di messaggi relativi alle operazioni finanziarie esaminate e al numero di casi in cui gli indizi sono stati messi in comune. Le parti stabiliscono congiuntamente le modalità della verifica.

Articolo 11

Ricorso

1. Chiunque ha diritto di ottenere, a seguito di richieste presentate a intervalli ragionevoli, senza costrizione e senza ritardi o spese eccessivi, conferma dall’autorità preposta alla protezione dei dati personali se sono state effettuate nell’ambito dell’Unione europea tutte le verifiche necessarie per garantire il rispetto dei diritti relativi alla protezione dei dati in ottemperanza al presente accordo e, in particolare, se i suoi dati personali sono stati trattati in violazione del presente accordo. Tale diritto può essere subordinato ad eventuali provvedimenti, necessari e proporzionati, prescritti dalla normativa nazionale, anche per la tutela della pubblica sicurezza o della sicurezza nazionale o per evitare di pregiudicare la prevenzione, l’accertamento, le indagini o l’azione penale contro reati, con la dovuta considerazione per l’interesse legittimo dell’interessato.

2. Le parti adottano tutte le misure ragionevoli per assicurare che il dipartimento del Tesoro statunitense e qualsiasi Stato membro interessato si informino immediatamente e si consultino e, se necessario, consultino le parti, qualora ritengano che dati personali siano stati trattati in violazione del presente accordo.

3. Chiunque ritenga che i propri dati personali siano stati trattati in violazione del presente accordo ha il diritto di presentare effettivo ricorso amministrativo e giudiziario secondo rispettivamente la legislazione dell’Unione europea, dei suoi Stati membri e degli Stati Uniti d’America.

Articolo 12

Consultazione

1. Le parti si consultano come opportuno per fare il migliore uso possibile del presente accordo, anche per agevolare la risoluzione delle controversie attinenti all’attuazione pratica o all’interpretazione dell’accordo stesso.

2. Le parti provvedono a che l’applicazione del presente accordo non comporti oneri straordinari reciproci. Qualora siffatti oneri risultino comunque, le parti contraenti procedono immediatamente a consultazioni per facilitare l’applicazione del presente accordo, anche tramite l’adozione dei provvedimenti necessari per limitare gli oneri presenti e futuri.

3. Le parti si consultano immediatamente nel caso in cui un terzo, inclusa l’autorità di un altro paese, contesti o rivendichi un’azione legale in relazione a un aspetto dell’effetto o all’attuazione del presente accordo.

Articolo 13

Inderogabilità

Il presente accordo non intende derogare o apportare modifiche alle leggi degli Stati Uniti o dell’Unione europea o dei suoi Stati membri. Il presente accordo non crea né conferisce diritti o benefici ad altre persone o enti, pubblici o privati.

Articolo 14

Denuncia

1. Ciascuna delle parti può sospendere o denunciare il presente accordo in qualsiasi momento mediante notifica per via diplomatica. La sospensione ha effetto decorsi dieci (10) giorni dalla data di ricezione di tale notifica. La denuncia ha effetto decorsi trenta (30) giorni dalla data di ricezione di tale notifica.

2. Nonostante la sospensione o la denuncia, tutti i dati conservati dal dipartimento del Tesoro statunitense ai sensi del presente accordo continuano ad essere trattati secondo l’accordo stesso.

Articolo 15

Disposizioni finali

1. Il presente accordo entra in vigore il primo giorno del mese successivo alla data in cui le parti si sono scambiate le notifiche di avvenuto espletamento delle rispettive procedure interne a tal fine necessarie.

2. Il presente accordo si applica in via provvisoria dal 1o febbraio 2010 fino alla data di entrata in vigore, fermo restando il paragrafo 3.

3. Salvo previa denuncia a norma dell’articolo 14 o per consenso delle parti, il presente accordo scade e cessa di avere effetto il 31 ottobre 2010.

4. Le parti si impegnano a concludere, non appena sarà entrato in vigore il trattato di Lisbona, un accordo a lungo termine che subentri al presente accordo.

5. Fatto a Bruxelles il giorno 30 del mese di novembre dell’anno 2009 in due originali in lingua inglese. Il presente accordo è redatto anche in lingua bulgara, ceca, danese, estone, finlandese, francese, greca, italiana, lettone, lituana, maltese, olandese, polacca, portoghese, rumena, slovacca, slovena, spagnola, svedese, tedesca e ungherese. Una volta approvate dalle due parti, tali versioni linguistiche sono considerate facenti ugualmente fede.

--------------------------------------------------