Dopo circa un mese di valutazioni da parte degli organismi europei del documento quadro rilasciato dagli USA per gli accordi sulla protezione dei dati tra i due blocchi, il Parlamento Europeo ha rilasciato la sua proposta di risoluzione e la relativa raccomandazione per la Commissione Europea a non siglare il trattato.
Nell’esporre la propria analisi del documento quadro, così come del decreto esecutivo (d’ora in poi, OT) del presidente Biden dello scorso ottobre, il Parlamento Europeo, dopo aver elencato i vari considerando
- Ricorda che la tutela della vita privata e la protezione dei dati personali sono diritti fondamentali e giuridicamente vincolanti sanciti da trattati, Carta dei diritti fondamentali dell’Unione Europea (d’ora in poi, Carta), Convenzione Europea dei diritti dell’uomo, giurisdizioni degli stati membri UE e che, come tali, devono essere applicati in modo da non ostacolare inutilmente commercio e relazioni internazionali. Questi possono essere bilanciati esclusivamente con altri diritti fondamentali, mai con interessi commerciali o politici.
- Riconosce gli sforzi da parte delle istituzioni statunitensi di trovare un accordo soddisfacente per entrambe le parti, ma i limiti imposti dall’OT non sono sufficienti per far equiparare quello che è il principio di necessità e proporzionalità USA a quello UE, in quanto si ha una visione molto diversa su questi due termini e la valutazione in base al decreto è, e rimane, in ottica USA anziché europea.
- Rileva che nell’OT non si vieta la raccolta massiccia di dati da parte delle agenzie governative, compresi i contenuti delle comunicazioni. Inoltre, si osserva che l’elenco dei legittimi obbiettivi di sicurezza nazionale può essere ampliato dal presidente USA, il quale può anche decidere di non rendere pubblici gli aggiornamenti.
- Ribadisce che l’osservazione della salute (dati particolari, ex sensibili) non si può applicare ai dati a cui le autorità governative statunitensi accedono con altri mezzi (come, per esempio, tramite il Cloud ACT, oppure lo US Patriot Act), mediante acquisti commerciali o tramite meri accordi volontari di condivisione dei dati.
- Rileva che
- le decisioni del Tribunale del Riesame della Protezione dei dati (Data Protection Review Court, DPRC) saranno classificate, e NON rese pubbliche.
- Il DPCR farà poi parte dell’esecutivo e non del ramo giuridico dello Stato, per cui non sarà indipendente.
- Il denunciante sarà rappresentato da un avvocato “speciale” scelto dal tribunale stesso, quindi, di nuovo, NON indipendente e superpartes.
- Il processo di ricorso previsto dal decreto esecutivo di Biden si basa sulla segretezza e NON stabilisce obbligo di notificare al denunciante che i suoi dati sono stati trattati, compromettendo il diritto di accesso o rettifica dei dati. (Come con un pizzico di sarcasmo ha detto Matteo Flora in un suo video sull’argomento, su questo punto in questione, “se io non so di avere avuto una violazione, come faccio a denunciare il fatto avvenuto? Un filino difficile…”).
- La procedura di ricorso proposta non prevede la possibilità di ricorso ad un tribunale federale pertanto, il denunciante, non avrà nessuna possibilità di richiedere un risarcimento per danni.
In conclusione, il Tribunale del Riesame della Protezione dei dati NON soddisfa le norme di indipendenza e imparzialità.
- Sebbene gli USA abbiano previsto un nuovo meccanismo di ricorso per le questioni relative all’accesso ai dati da parte delle autorità pubbliche, i mezzi di ricorso messi a disposizione sono insufficienti ai sensi della decisione di adeguatezza, soprattutto perché lasciati in gran parte alla discrezione delle aziende, che possono altresì scegliere vie di ricorso alternative, come meccanismi di risoluzione delle controversie, o l’uso di programmi privati delle imprese stesse.
- Le imprese europee hanno bisogno di certezze giuridiche. Giacché con l’abrogazione dell’accordo privacy hanno dovuto subire costi aggiuntivi per poter continuare a trasferire i dati verso gli Stati Uniti, il persistere di tali incertezze e la necessità di adeguarsi alle nuove soluzioni giuridiche proposte sono particolarmente onerosi per le nostre micro, piccole e medie imprese, pertanto non adeguate e bilanciate secondo il nostro Regolamento Europeo (GDPR).
- A differenza degli altri paesi con cui l’Unione Europea ha stabilito degli accordi di adeguatezza, gli USA NON hanno una legge federale sulla protezione dei dati che sia valida per tutti i suoi Stati membri. L’OT NON è chiaro, preciso e prevedibile nella sua applicazione tra Stato e Stato, può essere inoltre modificato in qualsiasi momento dal presidente USA e, in più, il Parlamento Europeo è preoccupato per l’assenza di clausole di caducità dell’OT stesso che possa prevedere la scadenza automatica della decisione di adeguatezza quattro anni dopo la sua entrata in vigore.
- Le decisioni di adeguatezza devono includere meccanismi chiari e rigorosi di monitoraggio e revisione al fine di garantire che le decisioni siano adeguate alle esigenze future e che sia sempre garantito il diritto fondamentale dei cittadini europei alla protezione dei loro dati.
In conclusione, si ricorda che il Parlamento Europeo ha invitato la Commissione Europea a non adottare nessuna nuova adesione di adeguatezza in relazione agli USA fino a che non siano introdotte riforme significative e, in particolare, ai fini di sicurezza nazionale e di attività di intelligence.
Pertanto, visto che il documento quadro UE-USA per la tutela dei dati NON riesce a creare un’effettiva equivalenza nel livello di protezione, invita la Commissione a proseguire i negoziati con la controparte al fine di erigere un meccanismo che garantisca tale equivalenza adeguato al livello di protezione richiesto dal diritto UE come interpretato dalla Corte di Giustizia Europea (CGUE) – e non come interpretato dagli USA – ma esorta, nei termini attuali della trattativa, A NON ADOTTARE L’ADEGUATEZZA.
Come avevamo già anticipato nel nostro precedente articolo, la strada è ancora lunga, dovranno esserci dei grossi cambiamenti nella valutazione di concetti che per noi europei sono ormai assodati, e non sarà affatto facile trovare dei punti di equilibrio soddisfacenti per entrambe le parti.
Come si dice, “Per aspera ad Astra”?
Lo speriamo tutti, ma intanto dobbiamo trovare altre soluzioni efficaci e non troppo dispendiose, oltre che puntare a migliorare ed espandere le nostre poche strutture per poter al più presto svincolarci dal monopolio americano delle big tech.
Lascia un commento