L’EDPB ha adottato il suo parere sulla bozza di decisione di adeguatezza relativa al quadro UE-USA sulla privacy dei dati. L’EDPB accoglie con favore i miglioramenti sostanziali, come l’introduzione di requisiti che incorporano i principi di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense e il nuovo meccanismo di ricorso per gli interessati dell’UE. Allo stesso tempo, esprime preoccupazioni e chiede chiarimenti su diversi punti. Questi riguardano, in particolare, alcuni diritti degli interessati, i trasferimenti successivi, la portata delle esenzioni, la raccolta temporanea di dati in massa e il funzionamento pratico del meccanismo di ricorso. L’EDPB sarebbe favorevole a subordinare non solo l’entrata in vigore ma anche l’adozione della decisione all’adozione di politiche e procedure aggiornate per l’attuazione dell’Ordine Esecutivo 14086 da parte di tutte le agenzie di intelligence statunitensi. Il DPB raccomanda alla Commissione di valutare tali politiche e procedure aggiornate e di condividere la propria valutazione con il DPB.
Il presidente del DPB Andrea Jelinek ha dichiarato: “Un elevato livello di protezione dei dati è essenziale per salvaguardare i diritti e le libertà delle persone dell’UE. Pur riconoscendo che i miglioramenti apportati al quadro giuridico statunitense sono significativi, raccomandiamo di affrontare le preoccupazioni espresse e di fornire i chiarimenti richiesti per garantire la durata della decisione di adeguatezza. Per lo stesso motivo, riteniamo che dopo la prima revisione della decisione di adeguatezza, le revisioni successive debbano avvenire almeno ogni tre anni e ci impegniamo a contribuirvi”.
Il progetto di decisione di adeguatezza, pubblicato dalla Commissione europea il 13 dicembre 2022, si basa sul Data Privacy Framework (DPF) UE-USA, destinato a sostituire il Privacy Shield invalidato dalla CGUE nella sentenza Schrems II. L’elemento chiave del DPF è costituito dai Principi del Quadro sulla privacy dei dati UE-USA, emanati dal Dipartimento del Commercio degli Stati Uniti. Il DPF è applicabile solo alle organizzazioni statunitensi che si sono autocertificate. L’EDPB ha ora adottato il suo parere sulla bozza di decisione, che prende in considerazione sia gli aspetti commerciali che l’accesso e l’uso dei dati da parte delle autorità pubbliche statunitensi.
Per quanto riguarda gli aspetti commerciali, l’EDPB accoglie con favore una serie di aggiornamenti apportati ai principi del DPF. Rileva inoltre che alcuni principi rimangono essenzialmente gli stessi dello Scudo per la privacy. Pertanto, permangono alcune preoccupazioni, ad esempio in relazione ad alcune esenzioni al diritto di accesso, all’assenza di definizioni chiave, alla mancanza di chiarezza sull’applicazione dei principi del DPF agli incaricati del trattamento, all’ampia esenzione dal diritto di accesso per le informazioni disponibili al pubblico e alla mancanza di norme specifiche sul processo decisionale automatizzato e sulla profilazione. L’EDPB ribadisce inoltre che il livello di protezione non deve essere compromesso dai trasferimenti successivi. Pertanto, invita la Commissione a chiarire che le garanzie imposte dal destinatario iniziale all’importatore nel Paese terzo devono essere efficaci alla luce della legislazione del Paese terzo, prima di un trasferimento successivo.
Inoltre, l’EDPB chiede alla Commissione di chiarire la portata delle esenzioni relative all’obbligo di aderire ai principi del DPF e sottolinea l’importanza di un’efficace supervisione e applicazione del DPF. Questi aspetti saranno attentamente monitorati dall’EDPB, insieme all’efficacia delle vie di ricorso fornite agli interessati dell’UE i cui dati sono trattati in violazione del DPF.
Per quanto riguarda l’accesso governativo ai dati trasferiti negli Stati Uniti, l’EDPB riconosce i significativi miglioramenti apportati dall’Executive Order (EO) 14086. L’ordine esecutivo introduce i concetti di necessità e proporzionalità per quanto riguarda la raccolta di dati da parte dell’intelligence statunitense (signals intelligence).
Inoltre, il nuovo meccanismo di ricorso crea diritti per le persone dell’UE ed è soggetto alla revisione del Privacy and Civil Liberties Oversight Board (PCLOB). Rispetto al precedente meccanismo del difensore civico, il ME prevede anche maggiori garanzie per assicurare l’indipendenza del Tribunale per il riesame della protezione dei dati (DPRC) e introduce poteri più efficaci per rimediare alle violazioni, comprese ulteriori garanzie per gli interessati.
L’EDPB sottolinea la necessità di un attento monitoraggio dell’applicazione pratica dei principi di necessità e proporzionalità recentemente introdotti. È inoltre necessario fare maggiore chiarezza sulla raccolta temporanea di dati in blocco e sull’ulteriore conservazione e diffusione dei dati raccolti in blocco.
L’EDPB esprime inoltre preoccupazione per la mancanza di un requisito di autorizzazione preventiva da parte di un’autorità indipendente per la raccolta di dati in massa ai sensi dell’Ordine Esecutivo 12333, nonché per la mancanza di una revisione sistematica indipendente ex post da parte di un tribunale o di un organismo indipendente equivalente. Per quanto riguarda l’autorizzazione preventiva indipendente della sorveglianza ai sensi della Sezione 702 FISA, l’EDPB si rammarica del fatto che la Corte FISA non esamini la conformità con l’Ordine Esecutivo 14086 quando certifica i programmi che autorizzano l’individuazione di persone non statunitensi, anche se le autorità di intelligence che eseguono il programma sono vincolate da esso. Sarebbero particolarmente utili le relazioni del PCLOB sulle modalità di attuazione delle salvaguardie dell’EO 14086 e sulla loro applicazione in caso di raccolta di dati ai sensi della Sezione 702 FISA e dell’EO 12333. Per quanto riguarda il meccanismo di ricorso, l’EDPB riconosce le garanzie aggiuntive previste, come il ruolo dei difensori speciali e la revisione del meccanismo di ricorso da parte del PCLOB. Allo stesso tempo, l’EDPB è preoccupato per l’applicazione generale della risposta standard del DPRC che notifica al denunciante che non sono state individuate violazioni coperte o che è stata emessa una decisione che richiede un rimedio adeguato, soprattutto perché questa decisione non può essere impugnata. L’EDPB invita pertanto la Commissione a monitorare attentamente il funzionamento pratico di questo meccanismo.