COMMISSIONE EUROPEA
Bruxelles, 18.10.2017
COM(2017) 611 final
RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO
sul primo riesame annuale del funzionamento dello scudo UE-USA per la privacy
{SWD(2017) 344 final}
Nederlands
Select your language
Official EU languages:
De toegang tot het recht van de Europese Unie
EUR-Lex
De toegang tot het recht van de Europese Unie
Dit document is overgenomen van EUR-Lex
Gebruik aanhalingstekens om op "exacte woordcombinatie" te zoeken. Sluit uw zoekterm af met een asterisk (*) om op woorden te zoeken die met die zoekterm beginnen (omzettings*, 32019R*) Gebruik een vraagteken om op varianten van een zoekterm te zoeken, waarbij het vraagteken voor één willekeurig teken staat (met bo?g zoekt u bijvoorbeeld op boeg, boog en borg)
Meer zoekopties nodig? Gebruik het
Uitgebreid zoeken
Document 52017DC0611
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the first annual review of the functioning of the EU–U.S. Privacy Shield
RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO sul primo riesame annuale del funzionamento dello scudo UE-USA per la privacy
RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO sul primo riesame annuale del funzionamento dello scudo UE-USA per la privacy
COM/2017/0611 final
Taal
HTML
DOC
PDF
RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO
sul primo riesame annuale del funzionamento dello scudo UE-USA per la privacy
1.PRIMO RIESAME ANNUALE - SCOPO, PREPARAZIONE E PROCESSO
Nella decisione del 12 luglio 2016 1 ("decisione sull'adeguatezza"), la Commissione ha rilevato che lo scudo UE-USA per la privacy ("scudo per la privacy") garantisce un livello di protezione adeguato dei dati personali trasferiti dall'Unione europea a organizzazioni degli USA.
Lo scudo per la privacy riflette i principi e i requisiti stabiliti dalla Corte europea di giustizia nella sua decisione in merito alla causa Schrems 2 , che ha dichiarato incostituzionale il precedente regime "Approdo sicuro" (Safe Harbour). Esso prevede una serie di elementi nuovi rispetto al regime "Approdo sicuro" che migliorano la protezione dei dati personali trasferiti verso gli Stati Uniti. Fra questi elementi figurano obblighi più rigorosi per le imprese certificate che aderiscono al regime dello scudo per la privacy, ad esempio per quanto riguarda le limitazioni relative al periodo di conservazione dei dati personali da parte di un'impresa (il cosiddetto principio della conservazione dei dati) o le condizioni alle quali i dati possono essere condivisi con terzi al di fuori del regime (il cosiddetto principio della responsabilità dei trasferimenti successivi). Lo scudo per la privacy prevede inoltre un monitoraggio più regolare e rigoroso da parte del dipartimento del Commercio degli Stati Uniti e rafforza notevolmente le possibilità per i cittadini dell'UE di ottenere un risarcimento. Inoltre, si fonda su specifiche dichiarazioni e garanzie scritte con cui il governo statunitense assicura che l'accesso delle autorità pubbliche ai dati personali trasferiti nel quadro dello scudo per la privacy per esigenze di sicurezza nazionale, amministrazione della giustizia o altri scopi d'interesse pubblico è soggetto a precise limitazioni e misure di salvaguardia. A tal fine istituisce anche un meccanismo di ricorso completamente nuovo: il mediatore.
La Commissione si è impegnata a valutare l'accertamento dell'adeguatezza su base annuale e, a tal fine, svolge un riesame annuale del funzionamento dello scudo per la privacy. Il primo riesame annuale del funzionamento dello scudo per la privacy si conclude con la presente relazione. Il riesame ha riguardato tutti gli aspetti dello scudo per la privacy, vale a dire l'attuazione, la gestione, il controllo e l'applicazione del regime da parte delle autorità e degli organismi statunitensi competenti, nonché le questioni relative all'accesso da parte delle autorità pubbliche statunitensi ai dati personali trasferiti nel quadro dello scudo per la privacy per scopi di interesse pubblico, in particolare per la tutela della sicurezza nazionale. Il riesame ha comportato anche un dialogo sulla questione specifica del processo decisionale automatizzato, come pure la valutazione degli sviluppi che hanno interessato il sistema giuridico statunitense nel corso dell'ultimo anno e che potrebbero incidere sul funzionamento dello scudo per la privacy.
Lo scudo per la privacy è operativo dal 1° agosto 2016. Tenuto conto del fatto che questo è stato il suo primo anno di applicazione, il riesame annuale della Commissione è stato diretto principalmente a verificare che tutti i meccanismi e le procedure previsti dal regime – molti dei quali sono stati istituiti di recente - siano stati pienamente attuati e funzionino nel modo previsto dalla decisione di adeguatezza. Inoltre, la Commissione ha dedicato particolare attenzione a verificare se e in che modo le varie autorità statunitensi coinvolte nell'attuazione del regime hanno tenuto fede alle dichiarazioni rese e agli impegni assunti, sia per quanto riguarda la gestione e il controllo degli aspetti commerciali dello scudo per la privacy sia in relazione all'accesso ai dati personali da parte delle pubbliche amministrazioni. Con l'insediamento del nuovo governo statunitense nel gennaio 2017 questo aspetto è diventato particolarmente importante.
In vista del riesame annuale, la Commissione ha raccolto informazioni e riscontri sull'attuazione e sul funzionamento del regime dello scudo per la privacy dalle parti interessate, più precisamente dalle imprese certificate che aderiscono al regime attraverso le rispettive associazioni di categoria e dalle organizzazioni non governative (ONG) attive nel campo dei diritti fondamentali e in particolare dei diritti digitali e della privacy. Essa ha inoltre chiesto e ottenuto informazioni scritte dalle autorità statunitensi coinvolte nell'attuazione del regime, ivi inclusi i documenti e il materiale pertinenti.
Il primo riesame annuale congiunto ha avuto luogo il 18 e il 19 settembre 2017 a Washington DC. È stato avviato dalla Commissaria europea responsabile per la Giustizia, i consumatori e la parità di genere Vĕra Jourová e dal Segretario al commercio degli USA Wilbur Ross. Il riesame annuale è stato condotto per l'UE da rappresentanti della direzione generale Giustizia e consumatori della Commissione europea. La delegazione dell'UE includeva anche otto rappresentanti designati dal gruppo di lavoro "articolo 29", l'organo consultivo che riunisce le autorità nazionali competenti per la protezione dei dati degli Stati membri e il Garante europeo della protezione dei dati.
Per quanto riguarda gli Stati Uniti, hanno partecipato al riesame rappresentanti del dipartimento del Commercio, della commissione federale del Commercio, del dipartimento dei Trasporti, del dipartimento di Stato, dell'ufficio del direttore dell'intelligence nazionale e del dipartimento della Giustizia, così come il mediatore ad interim, un membro dell'autorità per la tutela della vita privata e delle libertà civili e l'ufficio dell'ispettore generale della comunità dell'intelligence. Inoltre, hanno fornito contributi nel corso del riesame annuale rappresentanti delle organizzazioni che offrono un meccanismo indipendente di composizione delle controversie nell'ambito dello scudo della privacy, l'American Arbitration Association in qualità di collegio arbitrale dello scudo e alcune imprese certificate che aderiscono al regime.
Il riesame annuale è stato inoltre alimentato dai documenti disponibili al pubblico, quali le decisioni giudiziarie, le norme e le procedure per l'attuazione delle autorità statunitensi competenti, le relazioni e gli studi delle ONG, le relazioni in materia di trasparenza redatte dalle imprese certificate che aderiscono al regime dello scudo per la privacy, gli articoli di stampa e altre notizie diffuse dai media.
2.CONSTATAZIONI, CONCLUSIONI E RACCOMANDAZIONI
Dal riesame annuale è emerso che le autorità statunitensi hanno predisposto le strutture e le procedure necessarie a garantire il corretto funzionamento dello scudo per la privacy. Il processo di certificazione è stato gestito in modo complessivamente soddisfacente e finora sono state certificate più di 2 400 imprese. Le autorità statunitensi hanno messo in atto i meccanismi e le procedure di gestione dei reclami e di applicazione delle norme per tutelare i diritti delle persone, tra i quali figurano anche nuovi mezzi di ricorso per i cittadini dell'UE come il collegio arbitrale e il meccanismo di mediazione. Per quanto riguarda quest'ultimo, con l'insediamento del nuovo governo nel gennaio 2017 è stato designato un mediatore ad interim, in attesa della nomina di un mediatore permanente. La cooperazione con le autorità europee per la protezione dei dati è stata intensificata. Per quanto riguarda l'accesso ai dati personali da parte delle autorità pubbliche per motivi di sicurezza nazionale, restano in vigore importanti misure di salvaguardia sul versante USA, in particolare quelle basate sulla direttiva presidenziale n. 28 del 2014, che stabilisce le limitazioni e le garanzie per quanto riguarda l'utilizzo dei dati personali da parte delle autorità nazionali di pubblica sicurezza, a prescindere dalla nazionalità della persona interessata. In tale contesto va osservato inoltre che l'articolo 702 del Foreign Intelligence Surveillance Act (FISA) statunitense giungerà a scadenza il 31 dicembre 2017 e che le proposte di riforma sono in discussione presso il Congresso degli Stati Uniti.
Le constatazioni fattuali dettagliate riguardanti il funzionamento di tutti gli aspetti dello scudo per la privacy dopo il suo primo anno di funzionamento sono presentate nel documento di lavoro dei servizi della Commissione sul riesame annuale del funzionamento dello scudo UE-USA per la privacy (SWD(2017) 344 final) che accompagna la presente relazione.
In base a tali constatazioni, la Commissione è giunta alla conclusione che gli Stati Uniti continuano ad assicurare un livello di protezione adeguato dei dati personali trasferiti nell'ambito dello scudo per la privacy dall'Unione alle organizzazioni negli USA.
Allo stesso tempo, ritiene che l'attuazione pratica del regime possa essere ulteriormente migliorata al fine di assicurare che le garanzie e le misure di salvaguardia da esso contemplate continuino a funzionare come previsto.
A tal fine, la Commissione formula le raccomandazioni elencate di seguito.
2.1.Le imprese non dovrebbero poter fare riferimento pubblicamente alla loro certificazione nel quadro dello scudo per la privacy prima che detta certificazione sia finalizzata dal dipartimento del Commercio
Durante il riesame annuale è emerso che le imprese che hanno richiesto la certificazione nel quadro dello scudo per la privacy, ma la cui certificazione non è ancora finalizzata dal dipartimento del Commercio, possono già farvi riferimento pubblicamente. Ciò potrebbe causare una discrepanza tra le informazioni accessibili al pubblico e l'elenco degli aderenti allo scudo del dipartimento del Commercio, il quale non include le imprese la cui certificazione non sia stata finalizzata. Questo tipo di discrepanza genera incertezza per i cittadini e le imprese dell'UE che intendono trasferire dati verso gli Stati Uniti, aumenta il rischio di dichiarazioni di adesione false e mina la credibilità dell'intero regime
La Commissione pertanto raccomanda di impedire alle imprese di fare dichiarazioni pubbliche concernenti la certificazione prima che il dipartimento del Commercio abbia finalizzato la certificazione e incluso l'impresa in questione nell'elenco di imprese certificate che aderiscono allo scudo per la privacy. Le informazioni sul processo di certificazione fornite dal dipartimento per il Commercio alle imprese, comprese le informazioni sul sito web dedicato allo scudo per la privacy, dovrebbero essere modificate al fine di chiarire che le imprese non possono fare riferimento pubblicamente alla loro adesione al regime prima di essere incluse nell'elenco.
2.2.Ricerca proattiva e regolare di dichiarazioni false da parte del dipartimento del Commercio
La Commissione raccomanda che il dipartimento del Commercio proceda, in modo proattivo e regolare, a ricercare le false dichiarazioni di adesione allo scudo per la privacy, non solo nel contesto del processo di certificazione, ossia in relazione alle imprese che hanno avviato - ma non hanno ancora completato - il processo di certificazione e che tuttavia già dichiarano la loro adesione al regime, ma anche, più in generale, in relazione alle imprese che non hanno mai presentato domanda per ottenere la certificazione ma fanno dichiarazioni in cui lasciano intendere al pubblico che rispettano gli obblighi imposti dal regime. A tal fine, il dipartimento del Commercio dovrebbe adottare misure aggiuntive, ivi incluse ricerche su internet. L'esperienza acquisita con il regime che ha preceduto lo scudo per la privacy, ossia il programma "Approdo sicuro", ha permesso di stabilire che le pratiche ingannevoli non sono infrequenti e possono minare la credibilità e la solidità del sistema nel suo complesso.
2.3.Monitoraggio costante da parte del dipartimento del Commercio della conformità ai principi dello scudo per la privacy
La Commissione raccomanda che il dipartimento del Commercio effettui regolarmente controlli di conformità. Tali controlli potrebbero ad esempio essere effettuati inviando a un campione rappresentativo di imprese certificate questionari per la verifica della conformità su un aspetto specifico (ad esempio, trasferimenti successivi, conservazione dei dati) oppure chiedendo sistematicamente alle imprese certificate che intendono essere ricertificate di trasmettere relazioni annuali di conformità (che possono consistere in autovalutazioni o in verifiche esterne della conformità). Il dipartimento del Commercio potrebbe quindi utilizzare le relazioni annuali di conformità per individuare eventuali problemi che potrebbe essere utile approfondire prima che un'impresa possa essere ricertificata oppure carenze sistemiche relative al funzionamento del quadro che richiedono un intervento.
2.4.Maggiore sensibilizzazione
La Commissione incoraggia sia il dipartimento del Commercio sia le autorità per la protezione dei dati a proseguire e intensificare le attività di sensibilizzazione già intraprese l'anno scorso.
Al fine di garantire una più efficace protezione dei cittadini dell'UE, le autorità per la protezione dei dati, in collaborazione con la Commissione, potrebbero intensificare gli sforzi per informare i cittadini dell'UE su come far valere i loro diritti nell'ambito dello scudo per la privacy, in particolare su come presentare reclami.
2.5. Migliorare la cooperazione tra le autorità preposte all'osservanza
La Commissione raccomanda che il dipartimento del Commercio e le autorità per la protezione dei dati cooperino, se del caso anche con la commissione federale del Commercio, per elaborare orientamenti sull'interpretazione di alcuni concetti relativi allo scudo per la privacy per i quali sono necessari ulteriori chiarimenti. Ciò consentirebbe di migliorare la cooperazione tra le autorità che attuano e applicano il regime da una parte e dall'altra dell'Atlantico, di ravvicinare le interpretazioni delle disposizioni dello scudo per la privacy e di offrire maggiore certezza giuridica alle imprese.
Dal primo riesame annuale è emerso che il principio della responsabilità in caso di ulteriore trasferimento e la definizione dei dati relativi alle risorse umane sono esempi di concetti che sarebbe opportuno chiarire ulteriormente.
2.6. Studio sul processo decisionale automatizzato
Al fine di trarre conclusioni più precise sul processo decisionale automatizzato, anche in vista del prossimo riesame annuale, la Commissione commissionerà uno studio volto a raccogliere prove fattuali e a valutare ulteriormente la pertinenza di tale processo per i trasferimenti effettuati nel quadro dello scudo per la privacy.
2.7. Sancire le tutele della direttiva presidenziale n. 28 nel Foreign Intelligence Surveillance Act
Il prossimo dibattito sul rinnovo dell'autorizzazione di cui all'articolo 702 del Foreign Intelligence Surveillance Act (FISA) offre al governo statunitense e al Congresso degli Stati Uniti un'occasione unica per rafforzare le misure di tutela della vita privata previste dal FISA. In questo contesto, la Commissione auspica che il Congresso valuti positivamente la possibilità di sancire nel FISA le tutele offerte dalla direttiva presidenziale (n. 28 ai cittadini non statunitensi, al fine di garantire la stabilità e la continuità di tali tutele. Ulteriori riforme, sia in termini di limitazioni sostanziali sia in termini di garanzie procedurali, dovrebbero essere attuate nello spirito della direttiva presidenziale n. 28 e, di conseguenza, fornire protezione indipendentemente dalla nazionalità o dal paese di residenza.
2.8. Rapida nomina del mediatore dello scudo per la privacy
La Commissione invita il governo statunitense a confermare il suo impegno politico a favore del meccanismo di mediazione, che costituisce un elemento importante del regime dello scudo per la privacy nel suo complesso, designando quanto prima un mediatore permanente.
2.9. Rapida nomina dei membri della PCLOB e pubblicazione della relazione dell'autorità per la tutela della vita privata e delle libertà civili sulla direttiva presidenziale n. 28
In qualità di agenzia indipendente dell'esecutivo, l'autorità per la tutela della vita privata e delle libertà civili ha una funzione importante per quanto riguarda la tutela della vita privata e delle libertà civili nell'ambito delle politiche in materia di lotta al terrorismo e della loro attuazione. La Commissione raccomanda la rapida nomina dei membri mancanti dell'autorità per la tutela della vita privata e delle libertà civili da parte del governo degli Stati Uniti, in modo che l'autorità possa svolgere pienamente la sua funzione.
Inoltre, data l'importanza della direttiva presidenziale n. 28 per le limitazioni e le misure di salvaguardia applicabili all'accesso da parte del governo ai messaggi di intelligence e, di conseguenza, per il riesame periodico da parte della Commissione della sua adeguatezza, la Commissione invita il governo statunitense a rendere pubblica la relazione dell'autorità per la tutela della vita privata e delle libertà civili sull'attuazione della direttiva presidenziale n. 28.
2.10. Comunicazione più rapida e più completa degli sviluppi significativi da parte delle autorità statunitensi
La Commissione raccomanda che le autorità statunitensi siano proattive nel rispettare il loro impegno a fornire alla Commissione informazioni tempestive e complete sugli eventuali sviluppi che potrebbero essere rilevanti per lo scudo per la privacy, compresi gli sviluppi che potrebbero sollevare interrogativi circa le tutele offerte nell'ambito del regime.
-
(1)
Decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (GU L 207 dell'1.8.2016, pag. 1).
-
(2)
Sentenza della Corte di giustizia dell'Unione europea del 6 ottobre 2015 nella causa C-362/14, Maximillian Schrems/Data Protection Commissioner ("Schrems").