Il 28 febbraio il direttore dell’Agenzia per la protezione dei dati personali, Zdravko Vukić, ha partecipato alla sessione del comitato europeo per la protezione dei dati, nella quale è stato adottato un parere sul progetto di decisione sull’adeguatezza del quadro di protezione dei dati tra l’UE e il STATI UNITI D’AMERICA. Il Comitato europeo per la protezione dei dati accoglie con favore miglioramenti significativi, come l’introduzione di requisiti che incorporano i principi di necessità e proporzionalità per la raccolta dei dati negli Stati Uniti e un nuovo meccanismo di protezione legale per gli interessati nell’UE. Allo stesso tempo esprime preoccupazione e chiede chiarimenti su diversi punti. I chiarimenti si riferiscono specificamente a determinati diritti degli interessati, a ulteriori trasferimenti, all’ambito di applicazione delle esenzioni, alla raccolta temporanea di dati in massa e al funzionamento pratico del meccanismo di protezione giuridica.

Il Comitato europeo per la protezione dei dati accoglierebbe con favore non solo l’entrata in vigore ma anche l’adozione della decisione, a condizione che tutte le agenzie di intelligence statunitensi adottino politiche e procedure aggiornate per attuare l’ordine esecutivo 14086. L’EDPB raccomanda alla Commissione di valutare queste politiche e procedure aggiornate e condividere la sua valutazione con il comitato europeo per la protezione dei dati.

Il presidente del comitato europeo per la protezione dei dati Andrea Jelinek ha dichiarato: “Un elevato livello di protezione dei dati è essenziale per proteggere i diritti e le libertà delle persone dell’UE. Pur riconoscendo che i miglioramenti nel quadro giuridico statunitense sono sostanziali, raccomandiamo che le preoccupazioni sollevate siano affrontate e che siano forniti i chiarimenti richiesti per garantire che la decisione di adeguatezza sia sostenibile. Per lo stesso motivo, riteniamo che dopo la prima revisione della Decisione di Adeguatezza, le revisioni successive dovrebbero essere condotte almeno ogni tre anni, e l’EDPB si impegna a fornire il proprio contributo.”

La bozza di decisione di adeguatezza, pubblicata dalla Commissione Europea il 13 dicembre 2022, si basa sul Data Privacy Protection Framework (DPF) UE-USA, che dovrebbe sostituire il sistema di protezione della privacy Privacy Shield della Corte di Giustizia dell’UE – e annullata nella sentenza Schrems II. Una componente chiave del DPF è il quadro sulla privacy dei dati UE-USA, pubblicato dal Dipartimento del Commercio degli Stati Uniti. Il DPF si applica solo alle organizzazioni statunitensi autocertificate. Il Comitato europeo per la protezione dei dati ha ora emesso un parere sul progetto di decisione, che considera gli aspetti commerciali e l’accesso e l’utilizzo dei dati da parte delle autorità pubbliche statunitensi.

Per quanto riguarda gli aspetti commerciali, il Comitato europeo per la protezione dei dati accoglie con favore una serie di principi aggiornati nel quadro sulla protezione della privacy dei dati UE-USA (DPF) in relazione allo “scudo per la privacy”. Si rileva inoltre che l’insieme dei principi rimane sostanzialmente lo stesso dello scudo per la privacy. Alla luce di quanto sopra, permangono alcune preoccupazioni riguardanti, ad esempio, alcune esenzioni dal diritto di accesso, l’assenza di definizioni chiave, la mancanza di chiarezza riguardo all’applicazione del principio DPF ai trasformatori, l’ampia esenzione dal diritto di accesso alle informazioni disponibili al pubblico e la mancanza di norme speciali sul processo decisionale automatizzato e sulla creazione di profili. Il Comitato europeo per la protezione dei dati ribadisce inoltre che il livello di protezione non deve essere compromesso dai trasferimenti successivi. Pertanto, l’EDPB invita la Commissione a chiarire che le misure di salvaguardia imposte dal destinatario iniziale all’importatore in un paese terzo devono essere efficaci alla luce della legislazione del paese terzo, prima del trasferimento successivo.

Inoltre, il Comitato europeo per la protezione dei dati chiede alla Commissione di chiarire la portata dell’esenzione relativa all’obbligo di rispettare il principio DPF e sottolinea l’importanza di un controllo e di un’applicazione efficaci del DPF. Il Comitato europeo per la protezione dei dati monitorerà attentamente questi aspetti, insieme all’efficacia dei rimedi forniti agli interessati dell’UE i cui dati personali vengono trattati in modo tale da violare il quadro sulla privacy dei dati UE-USA (DPF).

Per quanto riguarda l’accesso del governo ai dati trasferiti negli Stati Uniti, il Comitato europeo per la protezione dei dati rileva i significativi miglioramenti introdotti dall’ordine esecutivo 14086. L’ordine esecutivo introduce i concetti di necessità e proporzionalità rispetto alla raccolta di intelligence statunitense (signals intelligence).

Inoltre, il nuovo meccanismo di protezione legale crea diritti per i cittadini dell’UE ed è soggetto a revisione da parte del Consiglio di vigilanza sulla privacy e le libertà civili (PCLOB). L’ordine esecutivo introduce inoltre misure più protettive per garantire l’indipendenza del tribunale di revisione della protezione dei dati (DPRC), cosa che non avveniva con il precedente meccanismo del difensore civico, e introduce rimedi giuridici più efficaci in caso di violazione dei diritti degli intervistati, compresi ulteriori misure di protezione per gli intervistati.

Il Comitato europeo per la protezione dei dati sottolinea che è necessario monitorare da vicino l’applicazione pratica dei principi di necessità e proporzionalità recentemente introdotti. È necessaria ulteriore chiarezza anche per quanto riguarda la raccolta collettiva temporanea.

https://azop.hr/misljenje-odluka-o-primjerenosti-sad-eu/