Nel corso della sua ultima sessione plenaria, il comitato europeo per la protezione dei dati (EDPB) ha adottato una relazione sul primo riesame del quadro Ue-Usa in materia di protezione dei dati personali (DPF), nonché una dichiarazione sulle raccomandazioni del gruppo ad alto livello (HLG) sull’accesso ai dati per un’efficace attività di contrasto.
Per quanto riguarda gli aspetti commerciali, l’EDPB osserva che il Dipartimento del commercio degli Stati Uniti ha adottato tutte le misure pertinenti per attuare il processo di certificazione. Ciò include lo sviluppo di un nuovo sito web, l’aggiornamento delle procedure, il coinvolgimento con le aziende e lo svolgimento di attività di sensibilizzazione. Inoltre, è stato attuato il meccanismo di ricorso per i cittadini dell’Ue e sono stati pubblicati orientamenti completi sulla gestione delle denunce su entrambe le sponde dell’Atlantico. Tuttavia, il basso numero di denunce ricevute finora nell’ambito del DPF sottolinea l’importanza che le autorità statunitensi avviino attività di monitoraggio riguardanti la conformità delle società certificate DPF ai principi sostanziali del DPF.
L’EDPB incoraggia l’elaborazione di orientamenti da parte delle autorità statunitensi, chiarendo i requisiti che le imprese certificate come DPF dovrebbero rispettare quando trasferiscono i dati personali ricevuti dagli esportatori dell’UE. Sarebbero inoltre auspicabili orientamenti da parte delle autorità statunitensi sui dati relativi alle risorse umane. L’EDPB esprime la propria disponibilità a fornire riscontri su tali documenti di orientamento.
Per quanto riguarda l’accesso da parte delle autorità pubbliche statunitensi ai dati personali trasferiti dall’Ue a organizzazioni certificate, l’EDPB si è concentrato sull’effettiva attuazione delle garanzie introdotte dall’ordinanza esecutiva 14086 nel quadro giuridico statunitense, quali i principi di necessità e proporzionalità e il nuovo meccanismo di ricorso. Il comitato ritiene che gli elementi del meccanismo di ricorso siano in vigore; nel contempo rinnova l’invito alla Commissione europea a monitorare il funzionamento pratico delle diverse salvaguardie, ad esempio l’attuazione dei principi di necessità e proporzionalità. L’EDPB raccomanda inoltre alla Commissione di monitorare i futuri sviluppi relativi alla legge statunitense sulla sorveglianza dell’intelligence straniera, in particolare alla luce della portata estesa della sezione 702 dopo la sua nuova autorizzazione da parte del Congresso degli Stati Uniti all’inizio di quest’anno.
Zdravko Vukić, vicepresidente dell’EDPB, ha dichiarato: “Siamo lieti che dall’adozione della decisione di adeguatezza siano stati compiuti progressi grazie alla proficua cooperazione tra le autorità statunitensi, la Commissione europea e l’EDPB. Allo stesso tempo, c’è ancora spazio per miglioramenti e dovremmo continuare a lavorare insieme per mantenere un elevato livello di protezione dei dati e salvaguardare i diritti e le libertà dei cittadini dell’UE“. Infine, il Comitato raccomanda che il prossimo riesame della decisione di adeguatezza UE-USA abbia luogo entro tre anni o meno.
La dichiarazione sulle raccomandazioni del gruppo ad alto livello sull’accesso ai dati per un’applicazione efficace della legge sottolinea che i diritti fondamentali devono essere salvaguardati quando le autorità di contrasto accedono ai dati personali delle persone fisiche. Pur sostenendo l’obiettivo di un’efficace attività di contrasto, l’EDPB sottolinea che alcune delle raccomandazioni del gruppo ad alto livello potrebbero causare gravi intrusioni nei confronti dei diritti fondamentali, in particolare il rispetto della vita privata e della vita familiare.
Pur prendendo atto con soddisfazione della raccomandazione, l’EDPB può portare alla creazione di condizioni di parità in materia di conservazione dei dati, ma ritiene che un obbligo ampio e generale di conservazione dei dati in forma elettronica da parte di tutti i fornitori di servizi creerebbe un’interferenza significativa con i diritti delle persone fisiche. Pertanto, l’EDPB si chiede se ciò soddisferebbe i requisiti di necessità e proporzionalità della Carta dei diritti fondamentali dell’Ue e della giurisprudenza della CGUE.
Nella sua dichiarazione, l’EDPB sottolinea inoltre che le raccomandazioni relative alla cifratura non dovrebbero impedirne l’uso né indebolire l’efficacia della protezione che fornisce. Ad esempio, l’introduzione di un processo lato client che consenta l’accesso remoto ai dati prima che siano crittografati e inviati su un canale di comunicazione, o dopo che siano decifrati presso il destinatario, in pratica indebolirebbe la crittografia. Preservare la protezione e l’efficacia della cifratura è importante per evitare ripercussioni negative sul rispetto della vita privata e della riservatezza e per garantire che siano salvaguardate la libertà di espressione e la crescita economica, che dipendono da tecnologie affidabili.
