Con Parere n. 5/2023 del 28.2.2023, l’EDPB ha espresso la sua opinione (negativa) sulla bozza di Decisione di Adeguatezza ex art. 45 del GDPR relativa al trasferimento dei dati personali tra l’UE e gli USA.
In data 28.2.2023, l’European Data Protection Board (EDPB) ha adottato, ai sensi dell’art. 70, paragrafo 1), lettera s), del Regolamento UE n. 2016/6791, il Parere n. 5/2023 sul progetto di Decisione di Adeguatezza ex art. 45 del Regolamento UE n. 2016/679 (GDPR), pubblicato, il 13.12.2022, dalla Commissione UE in relazione al quadro giuridico da applicare al tema del trasferimento/scambio di dati personali tra l’Unione Europea e gli Stati Uniti d’America (DPF), volto, così, a sostituire il cd. Privacy Shield, invalidato dalla Corte di Giustizia dell’UE (CGUE) con la nota sentenza cd. Schrems II.
A tal fine, l’EDPB ha provveduto, dunque, a valutare l’adeguatezza del livello di protezione offerto negli USA, sulla base del progetto di Decisione di Adeguatezza in questione, e tenuto conto del quadro giuridico comunitario applicabile in materia di protezione dei dati personali così come stabilito dal GDPR, nonché dei diritti (fondamentali) alla vita privata e alla protezione dei dati personali sanciti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’UE e dall’art. 8 della Convenzione europea dei diritti dell’uomo, oltre che del diritto ad un ricorso effettivo (e a un giudice imparziale) in favore di un soggetto interessato sancito ex art. 47 della Carta dei diritti fondamentali dell’UE.
Nello svolgere tale analisi, l’EDPB ha ricordato, in premessa, che, per essere definito e qualificato un livello di protezione adeguato, l’art. 45 del GDPR (e la giurisprudenza della CGUE) richiede che la legislazione del paese terzo (nel caso di specie, gli USA) fornisca ai soggetti interessati un livello di protezione sostanzialmente equivalente a quello garantito nell’UE: sul punto, occorre osservare che, nel progetto della Decisione di Adeguatezza, la Commissione UE ha concluso – dopo un’ampia valutazione dell’Executive Order 14086 emesso dal Presidente degli USA il 7.10.2022, a seguito dei negoziati tra la Commissione UE medesima e il Governo americano – ricordando che “qualsiasi interferenza nell’interesse pubblico, in particolare per l’applicazione della legge penale e per scopi di sicurezza nazionale, da parte delle autorità pubbliche statunitensi con i diritti fondamentali delle persone i cui dati personali sono stati trasferiti dall’UE agli USA nell’ambito del quadro normativo UE-USA sulla privacy, sarà limitata a quanto strettamente necessario per raggiungere l’obiettivo legittimo in questione, e che esiste un’efficace protezione giuridica contro tale interferenza”.
L’EDPB ha ricordato, sempre in via preliminare, che gli USA e l’UE hanno un approccio (diametralmente) differente rispetto alla privacy e alla protezione dei dati personali: infatti, se nell’UE sono considerati diritti fondamentali garantiti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’UE, negli USA la protezione dei dati personali è, generalmente, affrontata dal punto di vista della protezione dei consumatori; dall’altro lato, l’EDPB ha aggiunto che, negli USA, non esiste, peraltro, una legge federale sulla protezione dei dati personali, argomento sottoposto soltanto ad una normazione settoriale o statale.
In proposito, l’EDPB ha, altresì, ricordato che, nel campo dell’accesso governativo ai dati personali trasferiti dall’UE agli USA si applicano differenti basi giuridiche, quali: Costituzione americana (Quarto Emendamento); leggi/procedure/linee guida/politiche del Dipartimento di Giustizia, a livello federale e statale; Foreign Intelligence Surveillance Act (FISA); Executive Order 12333; Executive Order 14086; Regolamento del Procuratore Generale.
Tanto premesso, l’EDPB ha evidenziato le seguenti aree di miglioramento della Decisione di Adeguatezza di specie:
Seppur accogliendo, con favore, lo sforzo compiuto per rispondere ai requisiti espressi dalla sentenza Schrems II, ha rilevato che una buona parte di questioni già identificate nel Parere n. 1/2016 del WP Art. 29 (che, dunque, viene richiamato integralmente) non sono state, invero, affrontate in occasione dei negoziati del DPF: sul punto, l’EDPB ha osservato, peraltro, che la struttura degli allegati al DPF (e la loro numerazione) rendono le informazioni piuttosto difficili da trovare e da consultare, e che, soprattutto, la terminologia dovrebbe essere utilizzata in modo coerente in tutto il DPF. |
Ha rilevato la necessità di migliorare l’applicazione del diritto di accesso, da estendere anche in caso di elaborazione delle informazioni (e non soltanto in caso di archiviazione), e soprattutto anche in relazione alle informazioni personali oggetto di pubblicazione. |
Ha rilevato la necessità di migliorare l’applicazione del diritto di opposizione, da non limitarsi soltanto all’utilizzo dei dati personali per il perseguimento del marketing cd. diretto. |
Ha sollevato dei rilievi per la mancanza di un requisito di autorizzazione preventiva da parte di un’autorità indipendente per la raccolta di dati in massa ai sensi dell’Executive Order 12333, nonché per la mancanza di una revisione sistematica ed indipendente ex post da parte di un tribunale o di un organismo indipendente equivalente. |
In merito all’autorizzazione preventiva e indipendente della sorveglianza ai sensi della Sezione 702) della FISA, ha espresso rammarico sul fatto che la Corte FISA non provveda ad esaminare la conformità dell’Executive Order 14086 quando certifica i programmi che autorizzano l’individuazione di persone non statunitensi, anche se le autorità di intelligence che eseguono il programma sono vincolate ad esso. |
Rispetto al meccanismo di ricorso, ha riconosciuto che la bontà delle garanzie aggiuntive fornite, come il ruolo dei difensori speciali e la revisione del meccanismo di ricorso da parte del PCLOB; tuttavia, ha espresso preoccupazione per l’applicazione generale della risposta standard della Corte di riesame sulla protezione dei dati (DPRC), ove notifica al denunciante che non sono state individuate violazioni coperte o che è stata emessa una decisione che richiede un’adeguata riparazione, soprattutto in considerazione del fatto che questa decisione non può essere impugnata: di conseguenza, l’EDPB ha invitato la Commissione UE a monitorare, attentamente, il funzionamento pratico di questo meccanismo. |
Infine, l’EDPB conclude ricordando alla Commissione UE (la quale ha, peraltro, già ottenuto, in materia, il parere negativo del Parlamento UE, espresso il 14.2.2023) che, una volta adottata la decisione di adeguatezza, essa necessita di un riesame periodico (dopo un anno dalla data di notifica della decisione di adeguatezza agli Stati membri dell’UE; successivamente, almeno ogni quattro anni), onde così verificare se l’adeguatezza del livello di protezione garantito dal paese terzo sia, ancora, giustificata sotto il profilo fattuale e giuridico.
Copyright © - Riproduzione riservata
Contenuto riservato agli abbonati
Abbonati a
Il Quotidiano Giuridico
1 anno
€ 118,90
€ 9,90 al mese
Abbonati a
Il Quotidiano Giuridico
Primi 3 mesi
€ 19,90
Poi € 35,90 ogni 3 mesi
