Il 28 febbraio è stat accolto dal Comitato europeo per la protezione dei dati (Edpb) il nuovo accordo fra USA e UE che sarà alla base della futura decisione di adeguatezza degli Stati Uniti in relazione al trasferimento di dati personali lungo l’asse dell’Atlantico, secondo i principi di necessità e proporzionalità.
L’Edpb si è detto favorevole a subordinare non solo l’entrata in vigore, ma anche l’adozione della decisione, al ricorso a politiche e procedure aggiornate per l’attuazione dell’Ordine Esecutivo 14086 da parte di tutte le agenzie di intelligence statunitensi. Tale ordine esecutivo prevede che le attività di raccolta dei dati, da parte delle agenzie di intelligence statunitensi, possano essere svolte solo a fronte di obiettivi di sicurezza nazionale predefiniti e nel rispetto del principio di proporzionalità, della privacy e delle libertà civili delle persone.
Parere positivo riguarda anche il nuovo meccanismo di ricorso per gli interessati dell’UE. Viene prevista la cosiddetta “Data Protection Review Court”, un tribunale del riesame della protezione dei dati al quale potranno fare ricorso i cittadini non statunitensi per indagare e risolvere le controversie relative all’accesso ai propri dati da parte delle autorità di sicurezza. Vengono valorizzati anche gli sforzi statunitensi per migliorare la normativa; tra questi la stesura condivisa a livello federale dell’”American Data Privacy and Protection Act”.
Pur riconoscendo i miglioramenti apportati al quadro giuridico statunitense, il presidente dell’Edpb Andrea Jelinek rileva che alcuni principi rimangono essenzialmente gli stessi del Privacy Shield.
Si cita l’assenza di definizioni critiche, la mancanza di chiarezza sulle modalità di applicazione del framework alle organizzazioni che trattano dati personali, l’ampia esenzione dal diritto di accesso alle informazioni disponibili al pubblico, la mancanza di norme specifiche sul processo decisionale automatizzato e sulla profilazione e il rischio di compromettere le garanzie di protezione dei dati con il trasferimento a Paesi terzi.
Si raccomanda dunque alla Commissione di valutare tali politiche e procedure aggiornate e di condividere la propria valutazione con l’Edpb, valutazione che deve avvenire almeno ogni tre anni per garantire la validità della decisione di adeguatezza.
L’Edpb ribadisce inoltre che il livello di protezione non deve essere compromesso dai trasferimenti successivi e invita la Commissione a chiarire che le garanzie imposte dal destinatario iniziale all’importatore nel Paese terzo devono essere efficaci alla luce della legislazione del Paese terzo, prima di un trasferimento successivo.
(C.D.G.)