Il comitato europeo per la protezione dei dati ha, recentemente, rilasciato il suo parere non vincolante sul progetto di decisione di adeguatezza basato sul EU-U.S. Data Privacy Framework, accogliendo con favore quelli che ha definito “miglioramenti sostanziali”, esprimendo preoccupazione e chiedendo chiarimenti su diversi punti. In un comunicato stampa, l’EDPB (il Comitato europeo per la Protezione dei Dati) ha approvato i requisiti di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense, nonché un nuovo meccanismo di ricorso per gli interessati dell’UE.
Tuttavia, l’EDPB nutre non poche preoccupazioni relative ad “alcuni diritti degli interessati, trasferimenti successivi, portata delle esenzioni, raccolta temporanea di dati in blocco e funzionamento pratico del meccanismo di ricorso“. Andrea Jelinek, presidente del comitato, ha dichiarato: “Pur riconoscendo che i miglioramenti apportati al quadro giuridico statunitense sono significativi, raccomandiamo di affrontare le preoccupazioni espresse e di fornire i chiarimenti richiesti per garantire che la decisione di adeguatezza duri”. Ha anche affermato che le revisioni della decisione dovrebbero avvenire almeno ogni tre anni e che l’EDPB è “impegnato a contribuire ad esse”.
L’EDPB sostiene che i nuovi meccanismi di ricorso per i cittadini dell’UE nell’ambito del progetto di quadro di adeguatezza, tra cui il Consiglio di sorveglianza della privacy e delle libertà civili e il Tribunale di revisione della protezione dei dati, introducono “poteri più efficaci per porre rimedio alle violazioni, comprese ulteriori garanzie per gli interessati“. È stata la Commissione europea a pubblicare la sua bozza di decisione di adeguatezza il 13 dicembre 2022, aprendo la strada alla finalizzazione del DPF. Sia il Parlamento che l’EDPB possono presentare pareri non vincolanti affinché la Commissione europea li consideri ai fini della sua decisione di adeguatezza.
Nella bozza del 14 febbraio, la commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha respinto la decisione di adeguatezza, affermando che “non riesce a creare un’effettiva equivalenza nel livello di protezione” offerto ai sensi del regolamento generale sulla protezione dei dati dell’UE. Ha esortato la Commissione europea ad adottare una decisione solo quando “sono state introdotte riforme significative, in particolare ai fini della sicurezza nazionale e dell’intelligence” da parte degli Stati Uniti.
Circa determinate pratiche commerciali, l’EDPB sta accogliendo con favore una serie di aggiornamenti apportati ai principi DPF ( Data Privacy Framework) e a tal proposito permangono alcune preoccupazioni, ad esempio relative ad alcune esenzioni al diritto di accesso, l’assenza di definizioni chiave, la mancanza di chiarezza sull’applicazione dei principi DPF ai responsabili del trattamento, l’ampia esenzione al diritto di accesso per il pubblico informazioni disponibili e la mancanza di norme specifiche in materia di processi decisionali automatizzati e profilazione. L’EDPB ribadisce inoltre che il livello di protezione non deve essere compromesso dai trasferimenti successivi. Pertanto, invita la Commissione a chiarire che le garanzie imposte dal destinatario iniziale all’importatore nel paese terzo devono essere effettive alla luce della legislazione del paese terzo, prima di un trasferimento successivo.
Inoltre, il nuovo meccanismo di ricorso crea diritti per i cittadini dell’UE ed è soggetto all’esame da parte del Consiglio per la supervisione della privacy e delle libertà civili (PCLOB). L’OE sancisce inoltre maggiori garanzie per garantire l’indipendenza del tribunale per il riesame della protezione dei dati (DPRC), rispetto al precedente meccanismo del difensore civico, e introduce poteri più efficaci per porre rimedio alle violazioni, comprese ulteriori garanzie per gli interessati. L’EDPB sottolinea che è necessario un attento monitoraggio per quanto riguarda l’applicazione pratica dei nuovi principi di necessità e proporzionalità introdotti: appare inoltre necessaria ulteriore chiarezza per quanto riguarda la raccolta temporanea e la conservazione e condivisione dei dati raccolti in blocco.
Scrivi un commento
Devi accedere, per commentare.