Il Parlamento UE ha pubblicato una risoluzione sulla sentenza della Corte di giustizia dell’Unione europea del 16 luglio 2020, C-311/18 (Schrems II).
In particolare, il Parlamento:
- ritiene che la sentenza della CGUE, pur concentrandosi sul livello di protezione dei dati offerta agli interessati nell’UE i cui dati siano stati trasferiti negli Stati Uniti nell’ambito del meccanismo dello scudo per la privacy, abbia inoltre implicazioni per le decisioni di adeguatezza concernenti altri paesi terzi, compreso il Regno Unito;
- esprime preoccupazione per il livello insufficiente di applicazione del GDPR, segnatamente nel settore dei trasferimenti internazionali e per la mancanza della definizione di priorità e del controllo generale da parte delle autorità di controllo nazionali in relazione ai trasferimenti di dati personali verso paesi terzi;
- prende atto del progetto di decisione di esecuzione della Commissione sulle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi; esorta l’EDPB a pubblicare ulteriori orientamenti sui trasferimenti internazionali di dati per le imprese, in particolare per le PMI, compresa una lista di controllo per la valutazione dei trasferimenti, strumenti per valutare se i governi siano autorizzati ad accedere o possano accedere ai dati, nonché informazioni sulle misure supplementari necessarie per i trasferimenti che utilizzano clausole contrattuali tipo;
- sottolinea che è fondamentale che le imprese dell’UE che trasferiscono dati personali al di fuori dell’UE possano fare affidamento su meccanismi solidi conformi alla sentenza della CGUE; ritiene, a tale riguardo, che l’attuale proposta della Commissione relativa a un modello di clausole contrattuali tipo dovrebbe tenere debitamente conto di tutte le raccomandazioni pertinenti dell’EDPB;
- sottolinea che per i responsabili del trattamento dei dati che rientrano nell’ambito di applicazione del Foreign Intelligence Surveillance Act (FISA) statunitense non è possibile trasferire dati personali dall’Unione nel quadro di tali clausole contrattuali tipo, a causa dell’elevato rischio di sorveglianza di massa;
- osserva che la CGUE ha constatato che lo scudo UE-USA per la privacy non garantisce un livello di protezione sostanzialmente equivalente, e pertanto adeguato, a quello previsto dal GDPR, in particolare a causa dell’accesso in blocco da parte delle autorità pubbliche statunitensi ai dati personali trasferiti nel quadro dello scudo per la privacy;
- incoraggia la Commissione a monitorare proattivamente l’uso delle tecnologie di sorveglianza di massa negli Stati Uniti, così come in altri paesi terzi che sono o potrebbero essere soggetti ad accertamenti in materia di adeguatezza, come il Regno Unito;
- invita la Commissione ad adottare tutte le misure necessarie per garantire che qualsiasi nuova decisione di adeguatezza relativa agli Stati Uniti sia pienamente conforme al regolamento (UE) 2016/679, alla Carta e a tutti gli aspetti della sentenza della CGUE;
- invita la Commissione a non adottare alcuna nuova decisione di adeguatezza in relazione agli Stati Uniti a meno che non siano introdotte riforme significative, in particolare a fini di sicurezza nazionale e di intelligence, che possano essere realizzate attraverso una riforma chiara, giuridicamente sostenibile, applicabile e non discriminatoria delle leggi e delle prassi statunitensi.
