Trasferimento internazionale di dati: la risoluzione del Parlamento europeo sul progetto di decisione di adeguatezza della Commissione

Home PA Digitale Trasferimento internazionale di dati: la risoluzione del Parlamento europeo sul progetto di decisione di adeguatezza della Commissione

Il 13 dicembre 2022 la Commissione europea pubblica il progetto di decisione di adeguatezza sul Data Privacy Framework, il nuovo quadro UE-USA in materia di protezione dei dati. Il Parlamento Europeo, con la risoluzione 11 maggio 2023, pone ora un pesante punto interrogativo sul futuro del percorso per giungere a riconoscere un adeguato livello di protezione per i dati personali trasferiti dall’UE a organizzazioni certificate negli Stati. Vediamo perché

26 Maggio 2023

C

Patrizia Cardillo

Esperta di Protezione dati personali

Foto di Jac Alexandru su Unsplash - https://unsplash.com/it/foto/NmleJ9Rp8Zs

La Commissione europea lo scorso 13 dicembre 2022 aveva avviato il percorso per giungere ad una dichiarazione di Adeguatezza del nuovo quadro di riferimento per il trasferimento dei dati UE-USA, destinato a sostituire il Privacy Shield invalidato dalla Corte di giustizia dell’Unione europea (di seguito: CGUE) con la sentenza Schrems II del 16 luglio 2020.

Dopo il parere negativo della Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo (di seguito: Commissione LIBE) e le raccomandazioni e condizioni contenute nel parere 5/2023 del Comitato europeo per la protezione dei dati (di seguito: EDPB), del 28 febbraio 2023[1], ora è il Parlamento Europeo, con la risoluzione 11 maggio 2023, a porre un pesante punto interrogativo sul futuro del percorso per giungere a riconoscere un adeguato livello di protezione per i dati personali trasferiti dall’UE a organizzazioni certificate negli Stati.

Il percorso

Il 13 dicembre 2022, la Commissione europea pubblica il progetto di decisione di adeguatezza per il nuovo quadro UE-USA in materia di protezione dei dati, delineatosi con la firma dell’ordine esecutivo n. 14086 del Presidente statunitense Biden il 7 ottobre 2022 e i successivi regolamenti che hanno recepito, nel diritto degli Stati Uniti, l’accordo politico raggiunto, nel marzo 2022, tra l’UE e gli Stati Uniti, il Trans-Atlantic Data Privacy Framework.

Il progetto di decisione di adeguatezza rispecchia la valutazione della Commissione in base alla quale il quadro giuridico statunitense fornisce oggi garanzie comparabili a quelle dell’UE: sono state introdotte garanzie per i dati personali dei residenti dell’UE, limitato l’accesso delle agenzie di intelligence statunitensi ai dati esportati dall’UE a quanto necessario e proporzionato ai sensi della legislazione sulla sorveglianza e introdotto un meccanismo di ricorso indipendente. Condizioni tutte che, ad avviso della Commissione, soddisfano il requisito di “equivalenza essenziale” come previsto dall’articolo 45, par. 1 del GDPR

L’EDPB nel suo parere n.5/2023 del 28 febbraio, pur riconoscendo alcuni miglioramenti nel quadro di riferimento, ha espresso alcune perplessità ritenendo che, rispetto ai principi, non siano presenti sostanziali novità tali da modificare le osservazioni espresse dal WP29 nel parere del 2016[2]. L’EDPB ha altresì individuato quei punti che richiedono approfondimenti e ha evidenziato la necessità di sottoporre a monitoraggio e revisione periodica l’intero processo con particolare attenzione ai meccanismi di ricorso e all’applicazione pratica dei principi di necessità e proporzionalità introdotti per la raccolta di dati da parte dell’intelligence statunitense.

La Risoluzione del Parlamento Europeo

In tale scenario interviene il Parlamento europeo con una risoluzione adottata l’11 maggio scorso che contiene un forte richiamo alla Commissione “ad agire nell’interesse delle imprese e dei cittadini dell’UE garantendo che il quadro proposto fornisca una base giuridica solida, sufficiente e orientata al futuro per i trasferimenti di dati UE-USA”.

Infatti, partendo dalle considerazioni della Commissione LIBE, il Parlamento europeo ritiene che il quadro UE-USA per la tutela dei dati contenuto nel Data Privacy Framework non configura l’equivalenza essenziale del livello di protezione offerto (e richiesto) dalla normativa europea e invita la Commissione a proseguire i negoziati al fine di creare un meccanismo che garantisca tale

equivalenza, nonché l’adeguato livello di protezione richiesto dal diritto dell’Unione e dalla Carta[3] secondo l’interpretazione data dalla CGUE. La Risoluzione ribadisce che una decisione di adeguatezza potrà essere adottata solo quando saranno pienamente attuate tutte le raccomandazioni formulate nella stessa risoluzione e nel parere dell’EDPB. È un provvedimento che non lascia spazio ad equivoci. Che cosa farà ora la Commissione?

In attesa delle prossime mosse, vediamo insieme quali sono i punti di maggiore criticità:

  • negli Stati Uniti non esiste una legislazione federale in materia di privacy e protezione dei dati: l’applicazione dell’ordinanza esecutiva n. 14086 non è chiara, non è precisa, né prevedibile e può essere modificata o revocata, in qualsiasi momento dal Presidente degli Stati Uniti anche con un’ordinanza esecutiva segreta;
  • l’ordinanza esecutiva introduce i principi di necessità e proporzionalità, ma il modo in cui tali principi sono interpretati nell’ordinamento USA, non è in linea con i contenuti del diritto dell’UE e con l’interpretazione della CGUE e, pertanto, si deve essere previsto un attento monitoraggio;
  • la mancanza di trasparenza nelle procedure del Tribunale per il riesame della protezione dei dati potrebbe rendere difficile operare una valutazione globale delle modalità di attuazione di tali principi nell’ordinamento giuridico statunitense;
  • non vengono fornite sufficienti garanzie nel caso della raccolta generalizzata di dati, persistendo la mancanza di un’autorizzazione preventiva indipendente;
  • sono possibili trasferimenti successivi dei dati raccolti che ne moltiplicano i rischi;
  • con riguardo alle attività dell’intelligence statunitense e all’accesso ai tribunali, i cittadini dell’UE continuano a non disporre degli stessi diritti e privilegi di cui godono i cittadini statunitensi;
  • il nuovo meccanismo di ricorso consente agli interessati dell’UE di presentare una denuncia ma le decisioni della Corte non sono rese pubbliche o disponibili al denunciante, compromettendo così il suo diritto ad accedere o rettificare i propri dati; non è prevista alcuna possibilità per il denunciante di chiedere un risarcimento dei danni;
  • il Tribunale per il riesame non presenta garanzie di indipendenza: è organo del potere esecutivo nominato per 4 anni e il Presidente degli Stati Uniti può annullarne le decisioni, anche in con ordine esecutivo segreto.

Il Parlamento europeo altresì condivide le preoccupazioni dell’EDPB per quanto riguarda i diritti degli interessati, l’assenza di definizioni chiave e di norme specifiche sul processo decisionale automatizzato, la profilazione e la mancanza di chiarezza in merito all’applicazione dei principi ai responsabili del trattamento. Infine viene ribadita l’esigenza di prevedere meccanismi chiari e rigorosi di monitoraggio e riesame, al fine di garantire che la decisione di adeguatezza sia adeguata alle esigenze future, abrogata o modificata, ove necessario, in modo da garantire, nel tempo, il diritto fondamentale dei cittadini dell’UE alla protezione dei dati.

La Risoluzione 11 maggio 2023 è stata trasmessa al Consiglio e alla Commissione UE ma anche al Presidente e al Congresso degli Stati Uniti d’America.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA


[1] Appunti di Privacy 17 marzo 2023 – Progetto di decisione Commissione sull’Ordine esecutivo Biden

[2] Gruppo di lavoro articolo 29, parere 01 /2016 su UE-USA Progetto di decisione di adeguatezza sullo Scudo per la privacy, adottato il 13 aprile 2016 (di seguito, «WP29 Parere 01/2016»).

[3] Carta dei diritti fondamentali dell’Unione europea, Nizza 7 dicembre 2000.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!