Sulla compatibilità della normativa privacy UE-USA che ostacola l’uso degli applicativi realizzati dalle Big Tech (Google, Amazon, & Co) che coinvolgono la gestione e archiviazione dei dati personali, il 28 febbraio 2023, con il Parere n. 5/2023, il Comitato Europeo dei Garanti ha emesso il suo parere sul progetto di decisione di adeguatezza relativo al quadro UE-USA sulla privacy dei dati.
Come si vedrà proseguendo la lettura di questo articolo, le non conformità permangono e nonostante alcuni articoli che periodicamente si susseguono e farebbero intendere un accordo raggiunto, i problemi restano.
Qualcuno chiede come sia possibile che sul MEPA di Consip i servizi delle Big Tech, che comportano il trattamento dei dati personali, siano articoli tranquillamente acquistati e utilizzati dalla Pubblica Amministrazione. Tutti i soggetti acquirenti e utilizzatori, facilmente tracciabili sul Mercato Elettronico della Pubblica Amministrazione, operano contro la legge, gli accordi internazionali e mettono quotidianamente e ripetutamente a rischio i dati personali di larga parte dei cittadini italiani?
Il parere di EDPB
Tornando al parere, EDPB accoglie con favore miglioramenti sostanziali quali l’introduzione di requisiti che incorporino i principi di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense e il nuovo meccanismo di ricorso per gli interessati dell’UE.
Allo stesso tempo, esprime preoccupazione e chiede chiarimenti su diversi punti. Questi riguardano, in particolare, taluni diritti delle persone interessate, i trasferimenti successivi, l’ambito di applicazione delle esenzioni, la raccolta temporanea di dati in blocco e il funzionamento pratico del meccanismo di ricorso. L’EDPB accoglierebbe con favore se non solo l’entrata in vigore, ma anche l’adozione della decisione fosse subordinata all’adozione di politiche e procedure aggiornate per attuare l’ordine esecutivo 14086 da parte di tutte le agenzie di intelligence statunitensi. Il Comitato raccomanda alla Commissione di valutare tali politiche e procedure aggiornate e di condividere la sua valutazione con l’EDPB.
Andrea Jelinek, presidente del Comitato europeo per la protezione dei dati, ha dichiarato: “Un elevato livello di protezione dei dati è essenziale per salvaguardare i diritti e le libertà dei cittadini dell’UE. Pur riconoscendo che i miglioramenti apportati al quadro giuridico statunitense sono significativi, raccomandiamo di rispondere alle preoccupazioni espresse e di fornire i chiarimenti richiesti per garantire che la decisione di adeguatezza duri nel tempo. Per lo stesso motivo, riteniamo che dopo la prima revisione della decisione di adeguatezza, le successive revisioni dovrebbero aver luogo almeno ogni tre anni e ci impegniamo a contribuire ad esse.”
Il progetto di decisione sull’adeguatezza
Il progetto di decisione sull’adeguatezza, pubblicato dalla Commissione europea il 13 dicembre 2022, si basa sul quadro UE-USA sulla privacy dei dati (DPF), inteso a sostituire lo scudo per la privacy invalidato dalla CGUE nella sentenza Schrems II. I principi del quadro sulla privacy dei dati UE-USA, emessi dal Dipartimento del commercio degli Stati Uniti, sono la componente chiave del DPF. Il DPF è applicabile solo alle organizzazioni statunitensi che hanno autocertificato. L’EDPB ha ora adottato il suo parere sul progetto di decisione, che considera sia gli aspetti commerciali che l’accesso e l’uso dei dati da parte delle autorità pubbliche statunitensi.
Gli aspetti commerciali
Per quanto riguarda gli aspetti commerciali, l’EDPB accoglie con favore una serie di aggiornamenti apportati ai principi del DPF. Rileva inoltre che alcuni principi rimangono sostanzialmente gli stessi previsti dallo scudo per la privacy. Di conseguenza, permangono alcune preoccupazioni, ad esempio, relative ad alcune esenzioni al diritto di accesso, all’assenza di definizioni chiave, alla mancanza di chiarezza circa l’applicazione dei principi DPF ai responsabili del trattamento, all’ampia esenzione al diritto di accesso alle informazioni disponibili al pubblico e alla mancanza di norme specifiche sul processo decisionale automatizzato e sulla profilazione. L’EDPB ribadisce inoltre che il livello di protezione non deve essere compromesso dai trasferimenti successivi. Invita pertanto la Commissione a chiarire che le garanzie imposte dal destinatario iniziale all’importatore nel paese terzo devono essere efficaci alla luce della legislazione del paese terzo, prima di un trasferimento successivo.
Richieste del Comitato
Inoltre, il Comitato chiede alla Commissione di chiarire la portata delle esenzioni relative all’obbligo di rispettare i principi del DPF e sottolinea l’importanza di un controllo e di un’applicazione efficaci del DPF. Questi aspetti saranno attentamente monitorati dall’EDPB, insieme all’efficacia delle vie di ricorso fornite agli interessati dell’UE i cui dati sono trattati in violazione del DPF.
Per quanto riguarda l’accesso del governo ai dati trasferiti negli Stati Uniti, l’EDPB riconosce i significativi miglioramenti apportati dall’ordine esecutivo (EO) 14086. L’OT introduce i concetti di necessità e proporzionalità per quanto riguarda la raccolta di dati da parte degli Stati Uniti (intelligence dei segnali).
Il nuovo meccanismo di ricorso
Inoltre, il nuovo meccanismo di ricorso crea diritti per i cittadini dell’UE ed è soggetto al riesame da parte del comitato di vigilanza sulla privacy e le libertà civili (PCLOB). L’OT sancisce inoltre maggiori garanzie per garantire l’indipendenza del tribunale di riesame della protezione dei dati (DPRC), rispetto al precedente meccanismo del mediatore, e introduce poteri più efficaci per porre rimedio alle violazioni, comprese garanzie aggiuntive per gli interessati.
L’EDPB sottolinea che è necessario un attento monitoraggio per quanto riguarda l’applicazione pratica dei principi di necessità e proporzionalità recentemente introdotti. È inoltre necessaria maggiore chiarezza per quanto riguarda la raccolta temporanea di massa e l’ulteriore conservazione e diffusione dei dati raccolti in blocco.
L’EDPB esprime, inoltre, preoccupazione per la mancanza di un requisito di autorizzazione preventiva da parte di un’autorità indipendente per la raccolta di dati in blocco ai sensi dell’ordine esecutivo 12333, nonché per la mancanza di un riesame sistematico indipendente ex post da parte di un tribunale o di un organismo indipendente equivalente. Per quanto riguarda l’autorizzazione preventiva indipendente della sorveglianza ai sensi della sezione 702 FISA, l’EDPB si rammarica che la Corte FISA non verifichi il rispetto dell’ordine esecutivo 14086 quando certifica i programmi che autorizzano il targeting di paesi non statunitensi. persone, anche se le autorità di intelligence che eseguono il programma sono vincolate da esso.
Conclusioni
Sarebbe particolarmente utile presentare relazioni del PCLOB su come saranno attuate le salvaguardie dell’OT 14086 e su come tali salvaguardie sono applicate quando i dati sono raccolti ai sensi della sezione 702 FISA e EO 12333. Per quanto riguarda il meccanismo di ricorso, l’EDPB riconosce le garanzie aggiuntive fornite, come il ruolo degli avvocati speciali e la revisione del meccanismo di ricorso da parte del PCLOB. Allo stesso tempo, l’EDPB è preoccupato per l’applicazione generale della risposta standard del DPRC, infatti il DPRC notifica al denunciante:
- la non individuazione di violazioni coperte
- l’emissione di una decisione che richiede un’adeguata riparazione, soprattutto considerando che tale decisione non può essere impugnata.
L’EDPB invita pertanto la Commissione a monitorare attentamente il funzionamento pratico di questo meccanismo.
Fonte: EDPB
