L’EDPB ha adottato il suo parere sulla bozza di decisione di adeguatezza relativa al Data Privacy Framework UE-USA.
L’EDPB accoglie con favore i miglioramenti sostanziali, come l’introduzione di requisiti che incorporano i principi di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense e il nuovo meccanismo di ricorso per gli interessati dell’UE.
Allo stesso tempo, esprime preoccupazioni e chiede chiarimenti su diversi punti.
Questi riguardano, in particolare, alcuni diritti degli interessati, i trasferimenti successivi, la portata delle esenzioni, la raccolta temporanea di dati in massa e il funzionamento pratico del meccanismo di ricorso.
L’EDPB sarebbe favorevole a subordinare non solo l’entrata in vigore ma anche l’adozione della decisione all’adozione di politiche e procedure aggiornate per l’attuazione dell’Ordine Esecutivo 14086 da parte di tutte le agenzie di intelligence statunitensi.
L’EDPB raccomanda alla Commissione di valutare tali politiche e procedure aggiornate e di condividere la propria valutazione con l’EDPB.
Il progetto di decisione di adeguatezza, pubblicato dalla Commissione europea il 13 dicembre 2022, si basa sul Data Privacy Framework UE-USA (DPF), destinato a sostituire il Privacy Shield invalidato dalla CGUE nella sentenza Schrems II.
L’elemento chiave del DPF è costituito dai Principi del Quadro sulla privacy dei dati UE-USA, emanati dal Dipartimento del Commercio degli Stati Uniti.
Il Data Privacy Framework UE-USA è applicabile solo alle organizzazioni statunitensi che si sono autocertificate.
L’EDPB ha ora adottato il suo parere sulla bozza di decisione, che prende in considerazione sia gli aspetti commerciali che l’accesso e l’uso dei dati da parte delle autorità pubbliche statunitensi.
Per quanto riguarda gli aspetti commerciali, l’EDPB accoglie con favore una serie di aggiornamenti apportati ai principi del Data Privacy Framework UE-USA.
Rileva inoltre che alcuni principi rimangono essenzialmente gli stessi del Privacy Shield.
Pertanto, permangono alcune preoccupazioni, ad esempio in relazione ad alcune esenzioni al diritto di accesso, all’assenza di definizioni chiave, alla mancanza di chiarezza sull’applicazione dei principi del Data Privacy Framework UE-USA agli incaricati del trattamento, all’ampia esenzione dal diritto di accesso per le informazioni disponibili al pubblico e alla mancanza di norme specifiche sul processo decisionale automatizzato e sulla profilazione.
L’EDPB ribadisce inoltre che il livello di protezione non deve essere compromesso dai trasferimenti successivi.
Pertanto, invita la Commissione a chiarire che le garanzie imposte dal destinatario iniziale all’importatore nel Paese terzo devono essere efficaci alla luce della legislazione del Paese terzo, prima di un trasferimento successivo.
Inoltre, l’EDPB chiede alla Commissione di chiarire la portata delle esenzioni relative all’obbligo di aderire ai principi del Data Privacy Framework UE-USA e sottolinea l’importanza di un’efficace supervisione e applicazione del DPF.
Per quanto riguarda l‘accesso governativo ai dati trasferiti negli Stati Uniti, l’EDPB riconosce i significativi miglioramenti apportati dall’Executive Order (EO) 14086.
L’ordine esecutivo introduce i concetti di necessità e proporzionalità per quanto riguarda la raccolta di dati da parte dell’intelligence statunitense (signals intelligence).
Inoltre, il nuovo meccanismo di ricorso crea diritti per le persone dell’UE ed è soggetto alla revisione del Privacy and Civil Liberties Oversight Board (PCLOB).
Rispetto al precedente meccanismo del difensore civico, il ME prevede anche maggiori garanzie per assicurare l’indipendenza del Tribunale per il riesame della protezione dei dati (DPRC) e introduce poteri più efficaci per rimediare alle violazioni, comprese ulteriori garanzie per gli interessati.
L’EDPB sottolinea la necessità di un attento monitoraggio dell’applicazione pratica dei principi di necessità e proporzionalità recentemente introdotti.
È inoltre necessario fare maggiore chiarezza sulla raccolta temporanea di dati in blocco e sull’ulteriore conservazione e diffusione dei dati raccolti in blocco.
L’EDPB esprime inoltre preoccupazione per la mancanza di un requisito di autorizzazione preventiva da parte di un’autorità indipendente per la raccolta di dati in massa ai sensi dell’Ordine Esecutivo 12333, nonché per la mancanza di una revisione sistematica indipendente ex post da parte di un tribunale o di un organismo indipendente equivalente.
Per quanto riguarda l’autorizzazione preventiva indipendente della sorveglianza ai sensi della Sezione 702 FISA, l’EDPB si rammarica del fatto che la Corte FISA non esamini la conformità con l’Ordine Esecutivo 14086 quando certifica i programmi che autorizzano l’individuazione di persone non statunitensi, anche se le autorità di intelligence che eseguono il programma sono vincolate da esso.