Bruxelles, 5 novembre - Nel corso della sua ultima sessione plenaria, il comitato europeo per la protezione dei dati (EDPB) ha adottato una relazione sul primo riesame* del quadro UE-USA in materia di protezione dei dati personali (DPF), nonché una dichiarazione sulle raccomandazioni del gruppo ad alto livello (HLG)** sull'accesso ai dati per un'efficace attività di contrasto.
L'EDPB accoglie con favore gli sforzi compiuti dalle autorità statunitensi e dalla Commissione europea per attuare il DPF e prende atto dei diversi sviluppi intervenuti dall'adozione della decisione di adeguatezza nel luglio 2023.
Per quanto riguarda gli aspetti commerciali,vale a dire l'applicazione e l'applicazione dei requisiti applicabili alle imprese autocertificate nell'ambito di tale quadro, l'EDPB osserva che il Dipartimento del commercio degli Stati Uniti ha adottato tutte le misure pertinenti per attuare il processo di certificazione. Ciò include lo sviluppo di un nuovo sito web, l'aggiornamento delle procedure, il coinvolgimento con le aziende e lo svolgimento di attività di sensibilizzazione.
Inoltre, è stato attuato il meccanismo di ricorso per i cittadini dell'UE e sono stati pubblicati orientamenti completi sulla gestione delle denunce su entrambe le sponde dell'Atlantico. Tuttavia, il basso numero di denunce ricevute finora nell'ambito del DPF sottolinea l'importanza che le autorità statunitensi avviino attività di monitoraggio riguardanti la conformità delle società certificate DPF ai principi sostanziali del DPF.
L'EDPB incoraggia l'elaborazione di orientamenti da parte delle autorità statunitensi, chiarendo i requisiti che le imprese certificate come DPF dovrebbero rispettare quando trasferiscono i dati personali ricevuti dagli esportatori dell'UE. Sarebbero inoltre auspicabili orientamenti da parte delle autorità statunitensi sui dati relativi alle risorse umane. L'EDPB esprime la propria disponibilità a fornire riscontri su tali documenti di orientamento.
Per quantoriguarda l'accesso da parte delle autorità pubbliche statunitensi ai dati personali trasferiti dall'UE a organizzazioni certificate, l'EDPB si è concentrato sull'effettiva attuazione delle garanzie introdotte dall'ordinanza esecutiva 14086 nel quadro giuridico statunitense, quali i principi di necessità e proporzionalità e il nuovo meccanismo di ricorso. Il comitato ritiene che gli elementi del meccanismo di ricorso siano in vigore; nel contempo rinnova l'invito alla Commissione europea a monitorare il funzionamento pratico delle diverse salvaguardie, ad esempio l'attuazione dei principi di necessità e proporzionalità. L'EDPB raccomanda inoltre alla Commissione di monitorare i futuri sviluppi relativi alla legge statunitense sulla sorveglianza dell'intelligence straniera, in particolare alla luce della portata estesa della sezione 702 dopo la sua nuova autorizzazione da parte del Congresso degli Stati Uniti all'inizio di quest'anno.
Zdravko Vukić, vicepresidente dell'EDPB, ha dichiarato: "Siamolieti che dall'adozione della decisione di adeguatezza siano stati compiuti progressi grazie alla proficua cooperazione tra le autorità statunitensi, la Commissione europea e l'EDPB. Allo stesso tempo, c'è ancora spazio per miglioramenti e dovremmo continuare a lavorare insieme per mantenere un elevato livello di protezione dei dati e salvaguardare i diritti e le libertà dei cittadini dell'UE."
Infine, il Comitato raccomanda che il prossimo riesame della decisione di adeguatezza UE-USA abbia luogo entro tre anni o meno.
La dichiarazione sulle raccomandazioni del gruppo ad alto livello sull'accesso ai dati per un'applicazione efficace della legge sottolinea che i diritti fondamentali devono essere salvaguardati quando le autorità di contrasto accedono ai dati personali delle persone fisiche. Pur sostenendo l'obiettivo di un'efficace attività di contrasto, l'EDPB sottolinea che alcune delle raccomandazioni del gruppo ad alto livello potrebbero causare gravi intrusioni nei confronti dei diritti fondamentali, in particolare il rispetto della vita privata e della vita familiare.
Pur prendendo atto con soddisfazione della raccomandazione, l'EDPB può portare alla creazione di condizioni di parità in materia di conservazione dei dati, ma ritiene che un obbligo ampio e generale di conservazione dei dati in forma elettronica da parte di tutti i fornitori di servizi creerebbe un'interferenza significativa con i diritti delle persone fisiche. Pertanto, l'EDPB si chiede se ciò soddisferebbe i requisiti di necessità e proporzionalità della Carta dei diritti fondamentali dell'UE e della giurisprudenza della CGUE.
Nella sua dichiarazione, l'EDPB sottolinea inoltre che le raccomandazioni relative alla cifratura non dovrebbero impedirne l'uso né indebolire l'efficacia della protezione che fornisce. Ad esempio, l'introduzione di un processo lato client che consenta l'accesso remoto ai dati prima che siano crittografati e inviati su un canale di comunicazione, o dopo che siano decifrati presso il destinatario, in pratica indebolirebbe la crittografia. Preservare la protezione e l'efficacia della cifratura è importante per evitare ripercussioni negative sul rispetto della vita privata e della riservatezza e per garantire che siano salvaguardate la libertà di espressione e la crescita economica, che dipendono da tecnologie affidabili.
Nota per gli editori
* In linea con l'articolo 3 della decisione di adeguatezza UE-USA, la Commissione europea è tenuta a riesaminare la decisione di adeguatezza un anno dopo la sua adozione. La riunione di riesame si è tenuta a Washington D.C. il 18 e 19 luglio 2024 e la Commissione dell'UE era accompagnata da cinque rappresentanti dell'EDPB.
** Il gruppo ad alto livello è stato istituito dalla Commissione europea nel giugno 2023 ed è copresieduto dalla Commissione europea e dalla presidenza di turno del Consiglio. È stato avviato con l'obiettivo di esplorare le sfide per gli operatori delle autorità di contrasto in relazione all'accesso ai dati e proporre soluzioni e raccomandazioni.
Nel giugno 2024 il gruppo ad alto livello ha pubblicato 42 raccomandazioni per l'ulteriore sviluppo delle politiche e della legislazione dell'UE, strutturate come "misure di sviluppo delle capacità", "cooperazione con l'industria e normazione" e "misure legislative". Le raccomandazioni riguardano in particolare la cifratura, la cooperazione con l'industria e tra le autorità di contrasto e la necessità di norme armonizzate sulla conservazione dei dati.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.