Sintesi del parere del Garante europeo della protezione dei dati (2016/C 257/05)
L’anno scorso la CGUE ha affermato che la soglia per la valutazione dell’adeguatezza è la «sostanziale equivalenza» e ha chiesto una valutazione rigorosa rispetto a tale standard elevato. L’adeguatezza non comporta l’adozione di un quadro identico a quello esistente nell’UE, ma, considerati nel complesso, lo scudo per la privacy e l’ordinamento giuridico statunitense dovrebbero contemplare tutti gli elementi chiave del quadro dell’UE in materia di protezione dei dati. Quanto precede comporta sia una valutazione complessiva dell’ordinamento giuridico sia l’esame degli elementi più importanti del quadro dell’UE in materia di protezione dei dati. Riteniamo che la valutazione vada realizzata in termini globali, pur rispettando la sostanza di tali elementi. Inoltre, per effetto del trattato e della Carta, occorrerà tener conto di elementi specifici quali il controllo indipendente e i mezzi di ricorso.
A tale proposito il GEPD è consapevole del fatto che molte organizzazioni delle due sponde dell’Atlantico sono in attesa di un risultato relativo a tale decisione sull’adeguatezza. Tuttavia, i rischi di una nuova invalidazione da parte della CGUE per motivi di incertezza del diritto per gli interessati e l’onere, in particolare per le PMI, potrebbero rivelarsi alti. Inoltre, laddove il progetto di decisione venga adottato e successivamente dichiarato invalido dalla CGUE, ogni nuovo accordo sull’adeguatezza andrebbe negoziato in virtù del RGPD. Raccomandiamo pertanto un approccio orientato al futuro, nell’ottica dell’imminente data della completa applicazione del RGPD, che avrà luogo tra due anni.
Il progetto di decisione è fondamentale per le relazioni tra l’UE e gli USA, in un periodo di negoziati in materia di scambi e investimenti. Inoltre, molti degli elementi considerati nel nostro parere sono indirettamente pertinenti sia per lo scudo per la privacy sia per altri strumenti di trasferimento, quali le norme vincolanti d’impresa (in prosieguo: le NVI) e le clausole contrattuali tipo (in prosieguo: le CCT). Detto parere riveste altresì un’importanza a livello globale, in quanto molti paesi terzi vi si atterranno con rigore nel contesto dell’adozione del nuovo quadro dell’UE in materia di protezione dei dati.
Pertanto auspichiamo una soluzione generale per i trasferimenti tra l’UE e gli USA, purché sia sufficientemente esaustiva e affidabile. Ciò richiede tangibili miglioramenti onde garantire il rispetto sostenibile nel lungo termine per i nostri diritti e le nostre libertà fondamentali. Laddove adottata in occasione della prima valutazione della Commissione europea, la decisione va riesaminata tempestivamente per individuare le iniziative pertinenti nell’ottica di soluzioni più a lungo termine per sostituire uno scudo per la privacy con un quadro normativo più rigoroso e stabile al fine di dare impulso alle relazioni transatlantiche.
Il GEPD osserva altresì, a partire dal progetto di decisione e dai relativi allegati, che, nonostante la recente evoluzione da una sorveglianza indiscriminata su base generale ad approcci più mirati e selezionati, il livello di signal intelligence e la quantità di dati trasferiti dall’UE, che potrebbero essere oggetto di raccolta e uso dopo il trasferimento e, segnatamente, in fase di transito, potrebbero essere elevati e quindi problematici
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-05-30_Privacy_Shield_EN.pdf