Il Comitato europeo per la protezione dei dati (EDPB) ha adottato il proprio parere sulla bozza di decisione di adeguatezza relativa al quadro normativo UE – US sui trasferimenti di dati ai sensi del GDPR.
Pur accogliendo con favore i sostanziali miglioramenti apportati, l’EDPB ha espresso preoccupazioni e richiesto chiarimenti su diversi punti relativi ai diritti degli interessati, ai trasferimenti successivi, alla raccolta temporanea di dati in massa e al funzionamento pratico del meccanismo di ricorso in relazione alla bozza di decisione di adeguatezza sul trasferimento dei dati dall’UE agli US.
Inoltre, l’EDPB ha sollevato dei rilievi per la mancanza di un requisito di autorizzazione preventiva da parte di un’autorità indipendente per la raccolta di dati in massa ai sensi dell’Ordine esecutivo 12333, nonché per la mancanza di una revisione sistematica e indipendente ex-post da parte di un tribunale o di un organismo indipendente equivalente.
Per quanto riguarda l’autorizzazione preventiva e indipendente della sorveglianza ai sensi della Sezione 702 della FISA, l’EDPB si rammarica del fatto che la Corte FISA non esamini la conformità con l’Ordine Esecutivo 14086 quando certifica i programmi che autorizzano l’individuazione di persone non statunitensi, anche se le autorità di intelligence che eseguono il programma sono vincolate da esso. Sarebbero particolarmente utili le relazioni del PCLOB sulle modalità di attuazione delle salvaguardie dell’EO 14086 e sulla loro applicazione in caso di raccolta di dati ai sensi della Sezione 702 FISA e dell’EO 12333.
Rispetto al meccanismo di ricorso, l’EDPB riconosce le garanzie aggiuntive fornite, come il ruolo dei difensori speciali e la revisione del meccanismo di ricorso da parte del PCLOB. Tuttavia, l’EDPB è preoccupato per l’applicazione generale della risposta standard del DPRC, che notifica al denunciante che non sono state individuate violazioni coperte o che è stata emessa una decisione che richiede un’adeguata riparazione, soprattutto in considerazione del fatto che questa decisione non può essere impugnata. L’EDPB invita pertanto la Commissione europea a monitorare attentamente il funzionamento pratico di questo meccanismo.
Sulla base di quanto sopra, l’EDPB raccomanda che l’entrata in vigore e l’adozione della decisione di adeguatezza sui trasferimenti di dati tra l’UE e gli Stati Uniti sia subordinata all’adozione di politiche e procedure aggiornate per l’attuazione dell’Ordine esecutivo 14086 da parte di tutte le agenzie di intelligence statunitensi. L’EDPB sottolinea l’importanza di un elevato livello di protezione dei dati e si impegna a contribuire alle successive revisioni della decisione di adeguatezza, che dovrebbero avvenire almeno ogni tre anni.
Questa analisi dettagliata evidenzia come gli Stati Uniti non forniscano ancora il livello di salvaguardia richiesto e segue la posizione della Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo, che aveva esortato la Commissione europea a non adottare l’adeguatezza sui trasferimenti di dati tra l’UE e gli Stati Uniti sulla base del Quadro, sulla base del fatto che “non riesce a creare un’effettiva equivalenza” con l’UE nel livello di protezione dei dati che fornisce.
Sulla base di quanto sopra, si prevede che gli organi politici dell’UE si metteranno in contatto a breve termine con gli Stati Uniti per raggiungere una soluzione efficiente e consentire alle aziende dell’UE di effettuare trasferimenti di dati sicuri verso gli Stati Uniti e di essere più competitive sul mercato globale.
Sulla base di quanto sopra, l’esecuzione di una valutazione del trasferimento dei dati rimane di primaria importanza; per maggiori dettagli sulla metodologia di DLA Piper in materia di TIA, è possibile accedere alla presentazione disponibile qui. Inoltre, sullo stesso argomento, potete leggere l’articolo “Avete una metodologia di valutazione dell’impatto del trasferimento dei dati basata sulla decisione Schrems II?“.
Autore: Tommaso Ricci
