9.11.2017   

IT

Gazzetta ufficiale dell’Unione europea

C 378/104

—

visto il trattato sull'Unione europea (TUE), in particolare gli articoli 2, 3, 4, 5, 6, 7, 10, 11 e 21,

—

visto il trattato sul funzionamento dell'Unione europea (TFUE), in particolare gli articoli 15, 16, 218 e il titolo V,

—

visti il protocollo n. 36 sulle disposizioni transitorie e l'articolo 10 dello stesso, nonché la dichiarazione 50 relativa a detto protocollo,

—

vista la Carta dei diritti fondamentali dell'Unione europea, in particolare gli articoli 1, 3, 6, 7, 8, 10, 11, 20, 21, 42, 47, 48 e 52,

—

visti la Convenzione europea dei diritti dell'uomo, in particolare gli articoli 6, 8, 9, 10 e 13, e i relativi protocolli,

—

vista la Dichiarazione universale dei diritti dell'uomo, in particolare gli articoli 7, 8, 10, 11, 12 e 14 (1),

—

visto il Patto internazionale sui diritti civili e politici, in particolare gli articoli 14, 17, 18 e 19,

—

visti la Convenzione del Consiglio d'Europa sulla protezione dei dati (STCE n. 108) e il protocollo addizionale dell'8 novembre 2001 alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato dei dati a carattere personale, concernente le autorità di controllo ed i flussi transfrontalieri (STCE n. 181),

—

vista la convenzione di Vienna sulle relazioni diplomatiche, in particolare gli articoli 24, 27 e 40,

—

vista la Convenzione del Consiglio d'Europa sulla criminalità informatica (STCE n. 185),

—

vista la relazione del relatore speciale delle Nazioni Unite del 17 maggio 2010 sulla promozione e la protezione dei diritti umani e delle libertà fondamentali nella lotta contro il terrorismo (2),

—

vista la comunicazione della Commissione dal titolo «Governance e politica di internet — Il ruolo dell'Europa nel forgiare il futuro della governance di internet» (COM(2014)0072);

—

vista la relazione del relatore speciale delle Nazioni Unite del 17 aprile 2013 sulla promozione e la protezione del diritto alla libertà di opinione e di espressione (3),

—

visti gli orientamenti in materia di diritti umani e lotta contro il terrorismo adottati dal Comitato dei ministri del Consiglio d'Europa l'11 luglio 2002,

—

vista la dichiarazione di Bruxelles del 1oottobre 2010, adottata in occasione della 6a conferenza delle commissioni parlamentari di controllo dei servizi di intelligence e di sicurezza degli Stati membri dell'Unione europea,

—

vista la risoluzione 1954 (2013) dell'Assemblea parlamentare del Consiglio d'Europa in materia di sicurezza nazionale e accesso alle informazioni,

—

vista la relazione sul controllo democratico sui servizi di sicurezza adottata dalla Commissione di Venezia l'11 giugno 2007 (4) e in attesa, con grande interesse, del relativo aggiornamento, previsto per la primavera del 2014,

—

viste le testimonianze dei rappresentanti delle commissioni di controllo sui servizi di intelligence di Belgio, Paesi Bassi, Danimarca e Norvegia,

—

viste le cause presentate dinanzi ai tribunali francesi (5), polacchi e britannici (6), nonché dinanzi alla Corte europea dei diritti dell'uomo (7), in relazione ai sistemi di sorveglianza di massa,

—

vista la convenzione stabilita dal Consiglio, conformemente all'articolo 34 del trattato sull'Unione europea, relativa all'assistenza giudiziaria in materia penale tra gli Stati membri dell'Unione europea (8), in particolare il titolo III,

—

vista la decisione 2000/520/CE della Commissione, del 26 luglio 2000, sull'adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti,

—

viste le relazioni di valutazione della Commissione sull'applicazione dei principi di approdo sicuro in materia di riservatezza del 13 febbraio 2002 (SEC(2002)0196) e del 20 ottobre 2004 (SEC(2004)1323),

—

viste la comunicazione della Commissione del 27 novembre 2013 sul funzionamento del regime «Approdo sicuro» dal punto di vista dei cittadini dell'UE e delle società ivi stabilite (COM(2013)0847) e la comunicazione della Commissione del 27 novembre 2013 dal titolo "Ripristinare un clima di fiducia negli scambi di dati fra l'UE e gli USA (COM(2013)0846),

—

visti la sua risoluzione del 5 luglio 2000 sul progetto di decisione della Commissione relativa all'adeguatezza della protezione garantita dai «Principi di riservatezza dell'approdo sicuro» e dalle connesse «Domande frequenti» (Frequently Asked Questions) pubblicati dal Dipartimento del commercio degli Stati Uniti (9), in cui ha ritenuto che non fosse possibile confermare l'adeguatezza del sistema, e i pareri del gruppo di lavoro articolo 29, in particolare il parere 4/2000 del 16 maggio 2000 (10),

—

visti gli accordi tra gli Stati Uniti d'America e l'Unione europea sull'uso e sul trasferimento dei dati del codice di prenotazione (accordo PNR) del 2004, 2007 (11) e 2012 (12),

—

visto il riesame comune dell'attuazione dell'Accordo fra l'Unione europea e gli Stati Uniti d'America sul trattamento e il trasferimento delle registrazioni dei nominativi dei passeggeri al Dipartimento degli Stati Uniti per la Sicurezza interna (13), che accompagna la relazione della Commissione al Parlamento europeo e al Consiglio riguardante il riesame comune (COM(2013)0844),

—

viste le conclusioni dell'avvocato generale Cruz Villalón, in cui afferma che la direttiva 2006/24/CE riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione è, nel suo complesso, incompatibile con l'articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea e che il relativo articolo 6 è incompatibile con gli articoli 7 e 52, paragrafo 1, della Carta (14),

—

viste la decisione 2010/412/UE del Consiglio, del 13 luglio 2010, relativa alla conclusione dell'accordo tra l'Unione europea e gli Stati Uniti d'America sul trattamento e il trasferimento di dati di messaggistica finanziaria dall'Unione europea agli Stati Uniti ai fini del programma di controllo delle transazioni finanziarie dei terroristi (TFTP) (15), nonché le relative dichiarazioni da parte della Commissione e del Consiglio,

—

visto l'accordo sulla mutua assistenza giudiziaria tra l'Unione europea e gli Stati Uniti d'America (16),

—

visti i negoziati in corso sull'accordo quadro UE-USA sulla protezione dei dati personali trasferiti e trattati al fine di prevenire, individuare, indagare e reprimere i reati, compreso il terrorismo, nel quadro della cooperazione di polizia e della cooperazione giudiziaria in materia penale (in seguito «accordo quadro»),

—

visto il regolamento (CE) n. 2271/96 del Consiglio, del 22 novembre 1996, relativo alla protezione dagli effetti extraterritoriali derivanti dall'applicazione di una normativa adottata da un paese terzo, e dalle azioni su di essa basate o da essa derivanti (17),

—

visti la dichiarazione rilasciata dal presidente della Repubblica federativa del Brasile il 24 settembre 2013 in occasione dell'apertura della 68a sessione dell'Assemblea generale delle Nazioni Unite e il lavoro svolto dalla commissione parlamentare d'inchiesta sullo spionaggio istituita dal senato federale del Brasile,

—

visto il Patriot Act statunitense firmato dal presidente George W. Bush il 26 ottobre 2001,

—

visti il Foreign Intelligence Surveillance Act (FISA) del 1978 e il FISA Amendments Act del 2008,

—

visto il decreto n. 12333 emanato dal presidente degli Stati Uniti nel 1981 e modificato nel 2008,

—

vista la direttiva presidenziale (Presidential Policy Directive — PPD-28) sulle attività di spionaggio elettronico, emanata dal presidente degli Stati Uniti Barack Obama il 17 gennaio 2014,

—

viste le proposte legislative attualmente all'esame del Congresso degli Stati Uniti, inclusi, tra gli altri, i progetti di legge USA Freedom Act e Intelligence Oversight and Surveillance Reform Act,

—

viste le revisioni effettuate dall'Autorità per la tutela della vita privata e delle libertà civili, dal Consiglio di sicurezza nazionale degli Stati Uniti e dal gruppo per la revisione dei servizi di intelligence e delle tecnologie della comunicazione che fa capo al presidente, in particolare la relazione di quest'ultimo del 12 dicembre 2013 dal titolo «Liberty and Security in a Changing World» (libertà e sicurezza in un mondo che cambia),

—

viste la sentenza dello United States District Court for the District of Columbia (tribunale distrettuale degli Stati Uniti per il distretto di Columbia), Klayman et al. contro Obama et al., azione civile n. 13-0851 del 16 dicembre 2013, e la sentenza dello United States District Court for the Southern District of New York (tribunale distrettuale degli Stati Uniti per il distretto meridionale di New York), ACLU et al. contro James R. Clapper et al., azione civile n. 13-3994 dell'11 giugno 2013,

—

vista la relazione sulle conclusioni raggiunte dai copresidenti UE del gruppo ad hoc UE-USA sulla protezione dei dati del 27 novembre 2013 (18),

—

viste le sue risoluzioni del 5 settembre 2001 (19) e del 7 novembre 2002 (20) sull'esistenza di un sistema d'intercettazione globale per le comunicazioni private ed economiche (sistema d'intercettazione ECHELON),

—

vista la sua risoluzione del 21 maggio 2013 sulla Carta dell'UE: stabilire norme per la libertà dei mezzi d'informazione in tutta l'UE (21),

—

vista la sua risoluzione del 4 luglio 2013 sul programma di sorveglianza dell'Agenzia per la sicurezza nazionale degli Stati Uniti, sugli organi di sorveglianza in diversi Stati membri e sul loro impatto sulla vita privata dei cittadini dell'Unione europea (22), in cui ha incaricato la commissione per le libertà civili, la giustizia e gli affari interni di condurre un'indagine approfondita sulla questione,

—

visto il documento di lavoro n. 1 sui programmi di sorveglianza degli Stati Uniti e dell'Unione europea e il loro impatto sui diritti fondamentali dei cittadini dell'UE,

—

visto il documento di lavoro n. 3 sulla relazione tra le pratiche di sorveglianza nell'Unione europea e negli Stati Uniti e le disposizioni dell'UE in materia di protezione dei dati,

—

visto il documento di lavoro n. 4 sulle attività di sorveglianza degli Stati Uniti relativamente ai dati dell'UE e sulle possibili implicazioni giuridiche per gli accordi e la cooperazione transatlantici,

—

visto il documento di lavoro n. 5 sul controllo democratico dei servizi di intelligence degli Stati membri e degli organismi di intelligence dell'UE,

—

visto il documento di lavoro AFET concernente aspetti di politica estera dell'indagine sulla sorveglianza elettronica di massa dei cittadini dell'UE;

—

vista la sua risoluzione del 23 ottobre 2013 sulla criminalità organizzata, la corruzione e il riciclaggio di denaro: raccomandazioni in merito ad azioni e iniziative da intraprendere (23),

—

vista la sua risoluzione del 23 ottobre 2013 sulla sospensione dell'accordo TFTP a seguito della sorveglianza dell'Agenzia per la sicurezza nazionale statunitense (24),

—

vista la sua risoluzione del 10 dicembre 2013 sullo sfruttamento del potenziale del cloud computing in Europa (25),

—

visto l'accordo interistituzionale tra il Parlamento europeo e il Consiglio relativo alla trasmissione al Parlamento europeo e al trattamento da parte di quest'ultimo delle informazioni classificate detenute dal Consiglio su materie che non rientrano nel settore della politica estera e di sicurezza comune (26),

—

visto l'allegato VIII del suo regolamento,

—

visto l'articolo 48 del suo regolamento,

—

vista la relazione della commissione per le libertà civili, la giustizia e gli affari interni (A7-0139/2014),

A.

considerando che la protezione dei dati e la tutela della vita privata sono diritti fondamentali; che è pertanto necessario che le misure di sicurezza, comprese le misure antiterrorismo, siano condotte nel rispetto dello Stato di diritto e che siano subordinate agli obblighi in materia di diritti fondamentali, anche quelli relativi alla tutela della vita privata e alla protezione dei dati;

B.

considerando che i flussi di informazioni e i dati, che attualmente dominano la vita quotidiana e sono parte dell'integrità di ciascuna persona, devono essere al sicuro da eventuali intrusioni quanto lo sono le abitazioni private;

C.

considerando che i legami tra l'Europa e gli Stati Uniti d'America si basano sullo spirito e sui principi di democrazia, Stato di diritto, libertà, giustizia e solidarietà;

D.

considerando che la cooperazione tra gli Stati Uniti e l'Unione europea e i suoi Stati membri nella lotta al terrorismo rimane vitale per la sicurezza di entrambi i partner;

E.

considerando che la fiducia e la comprensione reciproca sono fattori chiave nel quadro del dialogo e del partenariato transatlantico;

F.

considerando che, in seguito all'11 settembre 2001, la lotta al terrorismo è diventata una delle massime priorità della maggior parte dei governi; che le rivelazioni basate su documenti lasciati trapelare dall'ex collaboratore dell'Agenzia per la sicurezza nazionale degli Stati Uniti, (NSA), Edward Snowden, impongono ai leader politici di affrontare le sfide legate alla vigilanza e al controllo delle agenzie di intelligence impegnate in attività di sorveglianza, e di valutare l'impatto di tali attività sui diritti fondamentali e sullo Stato di diritto in una società democratica;

G.

considerando che le rivelazioni effettuate sin dal giugno 2013 hanno causato numerose preoccupazioni all'interno dell'UE per quanto concerne:

H.

considerando che l'entità senza precedenti delle attività di spionaggio rivelate richiede un'indagine completa da parte delle autorità statunitensi, delle istituzioni europee e dei governi, dei parlamenti nazionali e delle autorità giudiziarie degli Stati membri;

I.

considerando che le autorità statunitensi hanno negato alcune delle informazioni rivelate, ma non hanno contestato la vasta maggioranza di esse; che il dibattito pubblico si è sviluppato su larga scala negli Stati Uniti e in alcuni Stati membri dell'UE; che i governi e i parlamenti dell'UE troppo spesso rimangono in silenzio e non avviano indagini adeguate;

J.

considerando che il presidente Obama ha recentemente annunciato una riforma dell'NSA e dei suoi programmi di sorveglianza;

K.

considerando che, in confronto alle azioni intraprese sia dalle istituzioni dell'UE che da alcuni Stati membri, il Parlamento europeo ha preso assai seriamente il suo obbligo di fare luce sulle rivelazioni riguardanti le pratiche indiscriminate di sorveglianza di massa dei cittadini dell'UE e che, con la sua risoluzione del 4 luglio 2013 sul programma di sorveglianza dell'Agenzia per la sicurezza nazionale degli Stati Uniti, sugli organi di sorveglianza in diversi Stati membri e sul loro impatto sulla vita privata dei cittadini dell'Unione europea, ha incaricato la commissione per le libertà civili, la giustizia e gli affari interni di condurre un'indagine approfondita sulla questione;

L.

considerando che le istituzioni europee sono tenute a garantire che il diritto dell'UE sia pienamente attuato a beneficio dei cittadini europei e che il valore giuridico dei trattati dell'Unione non sia pregiudicato da un'accettazione disinteressata degli effetti extraterritoriali di norme o azioni di paesi terzi;

M.

considerando che il tribunale distrettuale per il distretto di Columbia, nella sua decisione del 16 dicembre 2013, ha stabilito che la raccolta massiccia dei metadati da parte dell'NSA viola il quarto emendamento della costituzione degli Stati Uniti (27); che tuttavia il tribunale distrettuale per il distretto meridionale di New York ha stabilito, nella sua decisione del 27 dicembre 2013, la legittimità di tale raccolta;

N.

considerando che una decisione del tribunale distrettuale per il distretto orientale del Michigan ha stabilito che il quarto emendamento richiede ragionevolezza in tutte le ricerche, autorizzazioni preventive per qualsiasi ricerca ragionevole, autorizzazioni basate su una probabile causa preesistente, nonché precisione per quanto concerne persone, luoghi e oggetti e l'interposizione di un magistrato neutrale tra funzionari esecutivi delle forze dell'ordine e cittadini (28);

O.

considerando che nella sua relazione del 12 dicembre 2013, il gruppo per la revisione dei servizi di intelligence e delle tecnologie della comunicazione che fa capo al presidente ha proposto 46 raccomandazioni al presidente degli Stati Uniti; che le raccomandazioni sottolineano la necessità di proteggere la sicurezza nazionale e, al tempo stesso, la vita privata e le libertà civili; che, a tale proposito, si invita il governo statunitense a: porre fine quanto prima alla raccolta massiccia dei tabulati telefonici delle persone negli Stati Uniti a norma della sezione 215 del Patriot Act statunitense; condurre una revisione approfondita dell'NSA e del quadro giuridico relativo alle attività di intelligence statunitensi, al fine di garantire il rispetto del diritto alla privacy; bloccare i tentativi di manomettere o rendere vulnerabili i software commerciali (backdoor e malware); incrementare l'uso della crittografia, in particolare nel caso di dati in transito, e a non compromettere gli sforzi tesi a creare standard di crittografia; nominare un rappresentante dell'interesse pubblico che difenda la privacy e le libertà civili dinanzi al Foreign Intelligence Surveillance Court (tribunale di sorveglianza dell'intelligence estera); conferire all'autorità per la tutela della vita privata e delle libertà civili il potere di supervisionare le attività della comunità di intelligence a fini di intelligence straniera, e non solo di lotta al terrorismo; nonché ad accogliere le denunce degli informatori, ad avvalersi dei trattati in materia di assistenza giudiziaria reciproca per ottenere comunicazioni elettroniche e a non utilizzare la sorveglianza per rubare segreti industriali o commerciali;

P.

considerando che, secondo un memorandum pubblico presentato al presidente Obama da ex alti dirigenti/membri della Veteran Intelligence Professionals for Sanity (VIPS) il 7 gennaio 2014 (29), la massiccia acquisizione di dati non migliora la capacità di prevenire futuri attacchi terroristici; che gli autori di tale documento sottolineano che la sorveglianza di massa condotta dall'NSA non ha portato alla prevenzione di alcun attacco, e che sono stati spesi miliardi in programmi meno efficaci e assai più invasivi per la privacy dei cittadini rispetto a una tecnologia interna chiamata THINTHREAD e messa a punto nel 2001;

Q.

considerando che in relazione alle attività di intelligence riguardanti persone non statunitensi a norma della sezione 702 del FISA, le raccomandazioni al presidente degli Stati Uniti riconoscono il principio fondamentale del rispetto della vita privata e della dignità dell'uomo sanciti dall'articolo 12 della Dichiarazione universale dei diritti dell'uomo e dall'articolo 17 del Patto internazionale sui diritti civili e politici; che esse non raccomandano di concedere alle persone non statunitensi gli stessi diritti e le stesse tutele di cui godono i cittadini degli Stati Uniti;

R.

considerando che nella sua direttiva presidenziale sulle attività di spionaggio elettronico del 17 gennaio 2014 e nel relativo discorso, il presidente degli Stati Uniti Barack Obama ha affermato che la sorveglianza elettronica di massa è necessaria agli Stati Uniti per tutelare la sicurezza nazionale, i cittadini statunitensi e i cittadini degli alleati e dei partner statunitensi, nonché per promuovere i propri interessi in materia di politica estera; che tale direttiva contiene determinati principi riguardanti la raccolta, l'uso e la condivisione di dati ottenuti mediante lo spionaggio di segnali elettromagnetici ed estende talune garanzie alle persone non statunitensi, in parte assicurando un trattamento equivalente a quello di cui godono i cittadini degli Stati Uniti, comprese garanzie per le informazioni personali di tutti gli individui indipendentemente dalla loro nazionalità o dal luogo di residenza; che, tuttavia, il presidente Obama non ha chiesto proposte concrete, soprattutto per quanto concerne il divieto delle attività di sorveglianza di massa e l'introduzione di vie di ricorso amministrative e giudiziarie per le persone non statunitensi;

S.

considerando che la relazione sulle conclusioni raggiunte dai copresidenti UE del gruppo ad hoc UE-USA sulla protezione dei dati fornisce una panoramica della situazione giuridica negli Stati Uniti ma non ha accertato i fatti riguardanti i programmi di sorveglianza degli USA; che non è stata resa disponibile alcuna informazione circa il cosiddetto gruppo di lavoro «parallelo» («second track»), in seno al quale gli Stati membri discutono bilateralmente con le autorità statunitensi di questioni relative alla sicurezza nazionale;

T.

considerando che i diritti fondamentali, in particolare la libertà di espressione, di stampa, di pensiero, di coscienza, di religione e di associazione, la vita privata, la protezione dei dati, nonché il diritto a un ricorso effettivo, la presunzione d'innocenza e il diritto a un processo equo e alla non discriminazione, come sancito dalla Carta dei diritti fondamentali dell'Unione europea e dalla Convenzione europea dei diritti dell'uomo, sono i pilastri della democrazia; che la sorveglianza di massa degli esseri umani è incompatibile con questi pilastri;

U.

considerando che in tutti gli Stati membri la legge fornisce una tutela contro la divulgazione di informazioni scambiate in riservatezza tra cliente e avvocato, un principio riconosciuto dalla Corte di giustizia dell'Unione europea (30);

V.

considerando che nella sua risoluzione del 23 ottobre 2013 sulla criminalità organizzata, la corruzione e il riciclaggio di denaro il Parlamento ha invitato la Commissione a presentare una proposta legislativa che istituisca un programma europeo efficace e globale per la protezione degli informatori, al fine di tutelare gli interessi finanziari, nonché a condurre un esame per valutare se tale legislazione futura debba applicarsi ad altri settori di competenza dell'Unione;

W.

considerando che, ai sensi dell'articolo 67, paragrafo 3, TFUE l'Unione europea «si adopera per garantire un livello elevato di sicurezza»; che le disposizioni del trattato (in particolare l'articolo 4, paragrafo 2, TUE, l'articolo 72 TFUE e l'articolo 73 TFUE) implicano che l'UE dispone di alcune competenze in materia di sicurezza collettiva dell'Unione; che l'UE ha competenza in materia di sicurezza interna (articolo 4, lettera j), TFUE) e che ha esercitato tale competenza deliberando in merito a una serie di strumenti legislativi e stipulando accordi internazionali (PNR, TFTP) volti a combattere le forme gravi di criminalità e il terrorismo, nonché elaborando una strategia di sicurezza interna e istituendo agenzie che operano in questo settore;

X.

considerando che il trattato sul funzionamento dell'Unione europea afferma che «gli Stati membri hanno la facoltà di organizzare tra di loro e sotto la loro responsabilità forme di cooperazione e di coordinamento nel modo che ritengono appropriato tra i dipartimenti competenti delle rispettive amministrazioni responsabili per la salvaguardia della sicurezza nazionale» (articolo 73 TFUE);

Y.

considerando che l'articolo 276 TFUE afferma che «nell'esercizio delle attribuzioni relative alle disposizioni dei capi 4 e 5 della parte terza, titolo V concernenti lo spazio di libertà, sicurezza e giustizia, la Corte di giustizia dell'Unione europea non è competente a esaminare la validità o la proporzionalità di operazioni condotte dalla polizia o da altri servizi incaricati dell'applicazione della legge di uno Stato membro o l'esercizio delle responsabilità incombenti agli Stati membri per il mantenimento dell'ordine pubblico e la salvaguardia della sicurezza interna»;

Z.

considerando che i concetti di «sicurezza nazionale», «sicurezza interna», «sicurezza interna dell'UE» e «sicurezza internazionale» si sovrappongono; che la Convenzione di Vienna sul diritto dei trattati, il principio di leale cooperazione fra gli Stati membri dell'UE e il principio del diritto in materia di diritti umani di interpretare restrittivamente eventuali esenzioni puntano verso un'interpretazione restrittiva della nozione di «sicurezza nazionale» ed esigono che gli Stati membri si astengano dallo sconfinare nelle competenze dell'UE;

AA.

considerando che i trattati dell'Unione attribuiscono alla Commissione il ruolo di «custode dei trattati», e che quest'ultima ha pertanto la responsabilità giuridica di indagare su ogni eventuale violazione del diritto dell'UE;

AB.

considerando che, in conformità dell'articolo 6 TUE, per quanto concerne la Carta dei diritti fondamentali dell'Unione europea e la Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU), le agenzie degli Stati membri e persino i privati che operano nel settore della sicurezza nazionale sono tenuti a rispettare anche i diritti in esse sanciti, siano essi dei propri cittadini o dei cittadini di altri Stati membri;

AC.

considerando che l'applicazione extraterritoriale da parte di un paese terzo delle sue leggi, dei suoi regolamenti e di altri strumenti legislativi o esecutivi in situazioni che rientrano sotto la giurisdizione dell'UE o dei suoi Stati membri può avere ripercussioni sull'ordinamento giuridico stabilito e sullo Stato di diritto, o addirittura violare il diritto internazionale o dell'Unione, compresi i diritti delle persone fisiche e giuridiche, tenendo conto della portata e dello scopo dichiarato o effettivo di tale applicazione; che, in simili circostanze, è necessario intervenire a livello di Unione per garantire che i valori dell'UE sanciti dall'articolo 2 TUE, dalla Carta dei diritti fondamentali e dalla CEDU per quanto concerne i diritti fondamentali, la democrazia e lo Stato di diritto, nonché i diritti delle persone fisiche e giuridiche stabiliti nel diritto secondario che applica tali principi fondamentali, siano rispettati all'interno dell'UE, in particolare eliminando, neutralizzando, bloccando o contrastando in altro modo gli effetti della normativa estera in questione;

AD.

considerando che il trasferimento di dati personali da parte di istituzioni, organi e organismi dell'Unione o degli Stati membri agli Stati Uniti per finalità di contrasto in assenza di adeguate garanzie e tutele per il rispetto dei diritti fondamentali dei cittadini dell'UE, in particolare il diritto alla tutela della vita privata e alla protezione dei dati personali, renderebbero tale istituzione, organo o organismo dell'Unione o tale Stato membro responsabile, a norma dell'articolo 340 TFUE o della giurisprudenza consolidata della Corte di giustizia dell'Unione europea (31), di violazione del diritto dell'Unione — che comprende qualsiasi violazione dei diritti fondamentali sanciti dalla Carta dell'UE;

AE.

considerando che il trasferimento dei dati non è geograficamente limitato e che, soprattutto nel contesto di una crescente globalizzazione e comunicazione mondiale, il legislatore dell'UE si trova ad affrontare nuove sfide in termini di protezione dei dati e delle comunicazioni personali; che è pertanto di fondamentale importanza promuovere quadri giuridici relativi a norme comuni;

AF.

considerando che la raccolta massiccia di dati personali per finalità commerciali e ai fini della lotta contro il terrorismo e le forme gravi di criminalità transnazionale mette a rischio i diritti in materia di dati personali e tutela della vita privata dei cittadini dell'UE;

AG.

considerando che il quadro giuridico per la protezione dei dati degli Stati Uniti non garantisce un adeguato livello di protezione per i cittadini dell'UE;

AH.

considerando che, al fine di consentire ai responsabili del trattamento dell'UE di trasferire dati personali a un'entità negli Stati Uniti, la Commissione, nella sua decisione 2000/520/CE, ha attestato l'adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti per quanto concerne i dati personali trasferiti dall'Unione alle organizzazioni stabilite negli Stati Uniti che hanno aderito all'accordo in questione;

AI.

considerando che nella sua risoluzione del 5 luglio 2000 il Parlamento europeo ha espresso dubbi e preoccupazioni circa l'adeguatezza dell'approdo sicuro e ha invitato la Commissione a riesaminare tempestivamente la decisione alla luce dell'esperienza e dei possibili sviluppi legislativi;

AJ.

considerando che nel documento di lavoro n. 4 del Parlamento sulle attività di sorveglianza degli Stati Uniti relativamente ai dati dell'UE e sulle possibili implicazioni giuridiche per gli accordi e la cooperazione transatlantici del 12 dicembre 2013, i relatori hanno espresso dubbi e preoccupazioni circa l'adeguatezza dell'approdo sicuro e hanno invitato la Commissione ad abrogare la decisione sull'adeguatezza dell'approdo sicuro nonché a trovare nuove soluzioni giuridiche;

AK.

considerando che la decisione 2000/520/CE della Commissione stabilisce che le autorità competenti degli Stati membri possono avvalersi dei loro poteri, al fine di tutelare gli interessati con riferimento al trattamento dei dati personali che li riguardano, per sospendere i flussi di dati diretti a un'organizzazione che ha autocertificato la sua adesione ai principi dell'approdo sicuro nei casi in cui sia molto probabile che i principi dell'approdo sicuro vengano violati o in cui la continuazione del trasferimento dei dati potrebbe determinare un rischio imminente di gravi danni per gli interessati;

AL.

considerando che la decisione 2000/520/CE della Commissione stabilisce inoltre che, qualora sia dimostrato che uno degli organismi incaricati di garantire la conformità ai principi non svolge la sua funzione in modo efficace, la Commissione è tenuta a informare il Dipartimento del commercio degli Stati Uniti e, se necessario, a presentare le misure al fine di annullare o sospendere la suddetta decisione o limitarne il campo di applicazione;

AM.

considerando che nelle sue prime due relazioni sull'applicazione dei principi di approdo sicuro, pubblicate nel 2002 e nel 2004, la Commissione ha individuato diverse lacune per quanto riguarda la corretta applicazione di tali principi e ha formulato una serie di raccomandazioni destinate alle autorità statunitensi al fine di porvi rimedio;

AN.

considerando che nella sua terza relazione sull'applicazione del 27 novembre 2013, nove anni dopo la seconda relazione e senza che sia stato posto rimedio ad alcuna carenza in essa riconosciuta, la Commissione ha individuato ulteriori e più ampie debolezze e carenze nell'approdo sicuro e ha concluso che non è possibile proseguirne la corrente attuazione; che la Commissione ha sottolineato che il pieno accesso da parte delle agenzie di intelligence statunitensi ai dati trasferiti agli Stati Uniti da soggetti aderenti all'approdo sicuro solleva altri seri interrogativi in merito alla continuità della protezione dei dati degli interessati dell'UE; che la Commissione ha indirizzato 13 raccomandazioni alle autorità statunitensi e si è impegnata a individuare entro l'estate 2014, di concerto con le autorità statunitensi, i rimedi da attuare quanto prima, formando la base per una revisione completa del funzionamento dei principi dell'approdo sicuro;

AO.

considerando che dal 28 al 31 ottobre 2013 una delegazione della commissione per le libertà civili, la giustizia e gli affari interni (commissione LIBE) del Parlamento europeo si è riunita a Washington DC con il Dipartimento del commercio e la Commissione federale per il commercio degli Stati Uniti; che il Dipartimento del commercio ha riconosciuto l'esistenza di organizzazioni che hanno autocertificato l'adesione ai principi dell'approdo sicuro ma che mostrano chiaramente uno stato «non aggiornato», il che significa che tali società non soddisfano i requisiti dell'approdo sicuro ma continuano tuttavia a ricevere i dati personali dall'UE; che la Commissione federale per il commercio ha ammesso che l'approdo sicuro dovrebbe essere rivisto al fine di migliorarlo, in particolare per quanto riguarda i reclami e i sistemi alternativi di risoluzione delle controversie;

AP.

considerando che i principi dell'approdo sicuro possono essere limitati «se ed in quanto necessario per soddisfare esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia»; che tale eccezione, in quanto eccezione a un diritto fondamentale, deve essere sempre interpretata in modo restrittivo ed essere limitata a quanto necessario e proporzionato in una società democratica e che la legge deve stabilire chiaramente le condizioni e le garanzie per rendere questa limitazione legittima; che il campo di applicazione di tale eccezione avrebbe dovuto essere chiarito dagli USA e dall'UE, in particolare dalla Commissione, onde evitare qualunque interpretazione o applicazione che renda nullo nella sostanza il diritto fondamentale alla tutela della vita privata e alla protezione dei dati, tra gli altri; che, di conseguenza, detta eccezione non dovrebbe essere usata in modo tale da minare o rendere nulla la tutela prevista dalla Carta dei diritti fondamentali, dalla CEDU, dalla legislazione UE in materia di protezione dei dati e dai principi dell'approdo sicuro; ribadisce che, qualora si invochi la deroga per motivi di sicurezza nazionale, è necessario specificare in base a quale legge nazionale vi si faccia ricorso;

AQ.

considerando che l'accesso su larga scala da parte delle agenzie di intelligence degli Stati Uniti ha gravemente compromesso la fiducia transatlantica e ha avuto ripercussioni negative sulla fiducia nei confronti delle organizzazioni statunitensi che operano nell'UE; che tale situazione è ulteriormente aggravata dal fatto che il diritto statunitense non prevede la possibilità di ricorso giudiziario e amministrativo per i cittadini dell'UE, in particolare nel caso delle attività di sorveglianza per scopi di intelligence;

AR.

considerando che, secondo le informazioni rivelate e i risultati dell'indagine condotta dalla commissione LIBE, le agenzie di sicurezza nazionale della Nuova Zelanda, del Canada e dell'Australia sono state ampiamente coinvolte nella sorveglianza di massa delle comunicazioni elettroniche e hanno attivamente collaborato con gli Stati Uniti nel quadro del cosiddetto programma «Five eyes» (cinque occhi), e potrebbero essersi scambiate i dati personali dei cittadini dell'Unione trasferiti dall'UE;

AS.

considerando che la decisione 2013/65/UE della Commissione (32) e la decisione 2002/2/CE della Commissione (33), hanno attestato l'adeguatezza del livello di protezione garantita, rispettivamente, dalla legge sulla privacy (Privacy Act) della Nuova Zelanda e dalla legge canadese sulla tutela delle informazioni personali e sui documenti elettronici (Canadian Personal Information Protection and Electronic Documents Act); che le suddette rivelazioni influiscono gravemente anche sulla fiducia nei sistemi giuridici di questi paesi per quanto riguarda la continuità della tutela assicurata ai cittadini dell'UE; che la Commissione non ha esaminato tale aspetto;

AT.

considerando che la direttiva 95/46/CE prevede che i trasferimenti internazionali verso un paese terzo possano avvenire anche per mezzo di strumenti specifici qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi;

AU.

considerando che tali garanzie possono, in particolare, risultare da clausole contrattuali appropriate.

AV.

considerando che la direttiva 95/46/CE autorizza la Commissione a decidere che determinate clausole contrattuali tipo offrono le garanzie sufficienti richieste dalla direttiva e che, su tale base, la Commissione ha adottato tre modelli di clausole contrattuali tipo per il trasferimento ai responsabili e agli incaricati del trattamento (compresi i subincaricati) nei paesi terzi;

AW.

considerando che le decisioni della Commissione che istituiscono le clausole contrattuali tipo prevedono che le autorità competenti degli Stati membri possano avvalersi dei poteri loro attribuiti per sospendere i flussi di dati qualora sia accertato che, in base alla legge ad esso applicabile, l'importatore o il subincaricato è tenuto ad applicare deroghe alla normativa sulla protezione dei dati che eccedono le restrizioni ritenute necessarie in una società democratica ai sensi dall'articolo 13 della direttiva 95/46/CE e pregiudicano significativamente le garanzie previste dalla normativa sulla protezione dei dati e dalle clausole contrattuali tipo, o qualora sia probabile che le clausole contrattuali tipo in allegato non vengano rispettate e che la prosecuzione del trasferimento determini un imminente rischio di gravi danni per le persone cui i dati si riferiscono;

AX.

considerando che le autorità nazionali per la protezione dei dati hanno sviluppato norme vincolanti d'impresa (BCR) al fine di agevolare i trasferimenti internazionali all'interno di una multinazionale nel rispetto di adeguate garanzie per quanto riguarda la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone nonché l'esercizio dei diritti corrispondenti; che prima di essere utilizzate, le BCR devono essere autorizzate dalle autorità competenti degli Stati membri, dopo che queste hanno valutato la conformità alla legislazione dell'Unione in materia di protezione dei dati; che le BCR per gli incaricati del trattamento dei dati sono state respinte nella relazione della commissione LIBE sul regolamento generale sulla protezione dei dati, in quanto lascerebbero il responsabile del trattamento e l'interessato senza alcun controllo sulla giurisdizione in cui i loro dati sono trattati;

AY.

considerando che il Parlamento europeo, data la sua competenza sancita dall'articolo 218 TFUE, ha la responsabilità di monitorare continuamente il valore degli accordi internazionali ai quali ha dato la sua approvazione;

AZ.

considerando che nella sua risoluzione del 23 ottobre 2013 il Parlamento ha espresso seria preoccupazione per le rivelazioni sulle attività dell'NSA in materia di accesso diretto alla messaggistica finanziaria e ai relativi dati, che costituirebbero una palese violazione dell'accordo TFTP e, in particolare, dell'articolo 1;

BA.

considerando che il controllo delle transazioni finanziarie dei terroristi è uno strumento essenziale nella lotta contro il finanziamento del terrorismo e altre forme gravi di criminalità, poiché consente agli investigatori impegnati nella lotta contro il terrorismo di scoprire legami tra gli obiettivi delle indagini e altri potenziali sospetti connessi a reti terroristiche più ampie sospettate di finanziare il terrorismo;

BB.

considerando che il Parlamento ha invitato la Commissione a sospendere l'accordo e ha chiesto che tutte le informazioni e i documenti pertinenti siano messi immediatamente a disposizione ai fini delle delibere del Parlamento; che la Commissione non ha soddisfatto nessuna delle richieste;

BC.

considerando che, a seguito delle accuse pubblicate dai mezzi di comunicazione, la Commissione ha deciso di avviare consultazioni con gli Stati Uniti a norma dell'articolo 19 dell'accordo TFTP; che il 27 novembre 2013 il commissario Malmström ha informato la commissione LIBE che, dopo l'incontro con le autorità statunitensi e alla luce delle risposte da esse fornite nelle loro lettere e durante i loro incontri, la Commissione ha deciso di non proseguire le consultazioni, dal momento che non vi sono elementi indicanti che il governo degli Stati Uniti abbia agito in modo contrario alle disposizioni dell'accordo e che gli Stati Uniti hanno fornito una garanzia scritta secondo cui nessuna raccolta diretta di dati è stata condotta in violazione delle disposizioni dell'accordo TFTP; che non è chiaro se le autorità statunitensi abbiano aggirato l'accordo accedendo a tali dati attraverso altri mezzi, come indicato nella lettera delle autorità statunitensi del 18 settembre 2013 (34);

BD.

considerando che durante la sua visita a Washington svoltasi dal 28 al 31 ottobre 2013 la delegazione LIBE ha incontrato il Dipartimento del tesoro degli Stati Uniti; che il Dipartimento ha dichiarato che sin dall'entrata in vigore dell'accordo TFTP ha avuto accesso ai dati SWIFT provenienti dall'UE unicamente nel quadro di tale accordo; che il Dipartimento del tesoro degli Stati Uniti si è rifiutato di esprimere commenti in merito alla possibilità che qualsiasi altro ente o dipartimento governativo statunitense abbia avuto accesso ai dati SWIFT al di fuori dell'accordo TFTP o che l'amministrazione statunitense fosse a conoscenza delle attività di sorveglianza di massa dell'NSA; che il 18 dicembre 2013 Glenn Greenwald ha dichiarato, in occasione dell'audizione organizzata nell'ambito dell'indagine della commissione LIBE, che l'NSA e il GCHQ avevano preso di mira le reti SWIFT;

BE.

considerando che il 13 novembre 2013 le autorità incaricate della protezione dei dati di Belgio e Paesi Bassi hanno deciso di condurre un'indagine congiunta sulla sicurezza delle reti di pagamento SWIFT, al fine di accertare se terze parti possano ottenere un accesso non autorizzato o illecito ai dati bancari dei cittadini europei (35);

BF.

considerando che, stando al riesame comune dell'accordo PNR UE-USA, il Dipartimento degli Stati Uniti per la sicurezza interna ha proceduto in 23 occasioni alla divulgazione di dati PNR all'NSA, in modo individuale come supporto a casi di lotta al terrorismo, conformemente alle condizioni specifiche dell'accordo;

BG.

considerando che il riesame comune non menziona il fatto che nel caso del trattamento di dati personali per finalità di intelligence, ai sensi del diritto degli Stati Uniti, le persone non statunitensi non dispongono di alcuna via giudiziaria o amministrativa per proteggere i loro diritti, e che le tutele costituzionali sono concesse solo ai cittadini statunitensi; che questa assenza di diritti giudiziari o amministrativi vanifica la protezione accordata ai cittadini dell'UE nel quadro del vigente accordo PNR;

BH.

considerando che l'accordo del 6 giugno 2003 sulla mutua assistenza giudiziaria UE-USA in materia penale (36) è entrato in vigore il 1o febbraio 2010 ed è teso a favorire la cooperazione tra l'UE e gli Stati Uniti ai fini di una maggiore efficacia della lotta contro la criminalità, nel dovuto rispetto dei diritti degli individui e dello Stato di diritto;

BI.

considerando che l'obiettivo di questo accordo generale è stabilire il quadro giuridico per tutti i trasferimenti di dati personali tra l'UE e gli Stati Uniti esclusivamente allo scopo di prevenire, individuare, indagare o reprimere i reati, compreso il terrorismo, nel quadro della cooperazione di polizia e giudiziaria in materia penale; che i negoziati erano stati autorizzati dal Consiglio il 2 dicembre 2010; che tale accordo è della massima importanza e costituirebbe la base per agevolare il trasferimento di dati nel contesto della cooperazione di polizia e giudiziaria e in materia penale;

BJ.

considerando che tale accordo dovrebbe prevedere principi chiari e precisi giuridicamente vincolanti per l'elaborazione dei dati e dovrebbe, in particolare, riconoscere il diritto dei cittadini dell'Unione di accedere ai propri dati personali a livello giudiziario e di ottenerne la rettifica e la cancellazione negli Stati Uniti, così come il diritto a un efficiente meccanismo di ricorso amministrativo e giudiziario per i cittadini dell'UE negli Stati Uniti nonché un controllo indipendente delle attività di trattamento dei dati;

BK.

considerando che nella sua comunicazione del 27 novembre 2013 la Commissione ha indicato che l'«accordo quadro» dovrebbe portare a un elevato livello di protezione per i cittadini di entrambe le sponde dell'Atlantico e rafforzare la fiducia degli europei negli scambi di dati fra l'UE e gli USA, fornendo una base per sviluppare ulteriormente la cooperazione e il partenariato in materia di sicurezza tra l'Unione europea e gli Stati Uniti;

BL.

considerando che i negoziati relativi all'accordo non hanno registrato progressi a causa della posizione mai abbandonata del governo degli Stati Uniti di rifiutare il riconoscimento dei diritti effettivi di ricorso amministrativo e giudiziario ai cittadini dell'UE e a causa dell'intenzione di fornire ampie deroghe ai principi in materia di protezione dei dati contenuti nell'accordo, come la limitazione delle finalità, la conservazione dei dati o i trasferimenti successivi a livello nazionale o all'estero;

BM.

considerando che il quadro giuridico UE in materia di protezione dei dati è attualmente in fase di revisione al fine di istituire un sistema globale, coerente, moderno e solido per tutte le attività di trattamento dei dati nell'Unione; che nel gennaio 2012 la Commissione ha presentato un pacchetto di proposte legislative: un regolamento generale sulla protezione dei dati (37), che sostituirà la direttiva 95/46/CE e stabilirà una legge uniforme in tutta l'UE, e una direttiva (38) che stabilirà un quadro armonizzato per tutte le attività di trattamento dei dati da parte delle autorità di contrasto a fini giudiziari e ridurrà le attuali divergenze fra le leggi nazionali;

BN.

considerando che il 21 ottobre 2013 la commissione LIBE ha approvato le sue relazioni legislative sulle due proposte e una decisione sull'apertura dei negoziati con il Consiglio, affinché gli strumenti giuridici siano adottati durante questa legislatura;

BO.

considerando che, sebbene il Consiglio europeo del 24 e 25 ottobre 2013 abbia chiesto l'adozione tempestiva di un solido quadro generale UE sulla protezione dei dati al fine di promuovere la fiducia dei cittadini e delle imprese nell'economia digitale, dopo due anni di deliberazioni il Consiglio non è stato ancora in grado di giungere a un approccio generale in ordine al regolamento generale sulla protezione dei dati e alla direttiva (39);

BP.

considerando che la succitata risoluzione del 10 dicembre 2013 sottolinea il potenziale economico dell'attività di «cloud computing» per la crescita e l'occupazione; che il valore economico globale del mercato cloud è stimato in 207 miliardi di dollari USA all'anno fino al 2016, ossia un valore doppio rispetto al 2012;

BQ.

considerando che il livello di protezione dei dati in un ambiente di cloud computing non deve essere inferiore a quello necessario in qualsiasi altro contesto di elaborazione dati; che la normativa sulla protezione dei dati dell'Unione, essendo tecnologicamente neutrale, si applica già completamente ai servizi di cloud computing che operano nell'UE;

BR.

considerando che le attività di sorveglianza di massa danno alle agenzie di intelligence l'accesso ai dati personali conservati o altrimenti trattati da soggetti dell'UE con accordi di servizi cloud con i principali fornitori cloud negli Stati Uniti; che le autorità di intelligence statunitensi hanno avuto accesso ai dati personali conservati o altrimenti trattati nei server situati nel territorio dell'UE accedendo alle reti interne di Yahoo e di Google; che tali attività costituiscono una violazione degli obblighi internazionali e delle norme sui diritti fondamentali dell'Unione europea, fra cui il diritto alla vita privata e familiare, la riservatezza delle comunicazioni, la presunzione di innocenza, la libertà di espressione, la libertà di informazione, la libertà di riunione e associazione e la libertà di svolgere attività commerciali; che non è escluso che le informazioni memorizzate in servizi cloud da parte delle autorità o imprese e istituzioni pubbliche degli Stati membri siano state violate anche dalle autorità di intelligence;

BS.

considerando che le agenzie di intelligence statunitensi perseguono una politica di sistematico indebolimento dei protocolli e prodotti crittografici al fine di poter intercettare persino le comunicazioni criptate; che l'Agenzia per la sicurezza nazionale degli Stati Uniti ha raccolto un numero elevato di cosiddette «vulnerabilità 0-day», ossia quelle vulnerabilità informatiche non ancora note al pubblico o al fornitore del prodotto; che tali attività mettono fortemente a rischio gli sforzi globali finalizzati al miglioramento della sicurezza informatica;

BT.

considerando che le agenzie di intelligence hanno avuto accesso ai dati personali degli utenti di servizi online, il che ha gravemente distorto la fiducia dei cittadini in tali servizi e, pertanto, ha inciso negativamente sulle imprese che investono nello sviluppo di nuovi servizi che utilizzano i «big data» e nuove applicazioni come l'«internet degli oggetti»;

BU.

considerando che i fornitori di tecnologie dell'informazione spesso consegnano prodotti che non sono stati adeguatamente testati ai fini della sicurezza informatica o che talvolta hanno persino sistemi che consentono di scavalcare la normale autenticazione informatica («backdoor») appositamente installati dal fornitore; che l'assenza di norme sulla responsabilità dei fornitori di software ha portato a una situazione a sua volta sfruttata dalle agenzie di intelligence, ma che si presta anche al rischio di attacchi da parte di altre entità;

BV.

considerando essenziale che le imprese che forniscono questi nuovi servizi e queste nuove applicazioni rispettino le norme sulla protezione dei dati e la privacy dei soggetti i cui dati vengono raccolti, trattati e analizzati, in modo da mantenere un elevato livello di fiducia da parte dei cittadini;

BW.

considerando che ai servizi di intelligence nelle società democratiche sono conferiti poteri e facoltà speciali di proteggere i diritti fondamentali, la democrazia e lo Stato di diritto, i diritti dei cittadini e lo Stato contro le minacce interne ed esterne e che essi sono soggetti a responsabilità democratica e controllo giudiziario; che tali poteri e facoltà speciali sono loro conferiti esclusivamente a tal fine; che tali poteri dovrebbero essere utilizzati entro i limiti giuridici imposti dai diritti fondamentali, dalla democrazia e dallo Stato di diritto e che la loro applicazione dovrebbe essere rigidamente controllata, altrimenti rischiano di perdere legittimità e di pregiudicare la democrazia;

BX.

considerando che è consentita una certa segretezza ai servizi di intelligence per evitare di compromettere le operazioni in corso, di rivelare le modalità operative o di mettere in pericolo la vita degli agenti, ma che tale segretezza non può però calpestare o escludere le norme sul controllo democratico e giudiziario delle loro attività e le norme sulla trasparenza, in particolare per quanto riguarda il rispetto dei diritti fondamentali, della democrazia e dello Stato di diritto, tutte pietre miliari di una società democratica;

BY.

considerando che la maggior parte dei meccanismi e degli organismi di controllo nazionali esistenti sono stati istituiti o rinnovati negli anni Novanta e non sono necessariamente stati adattati ai rapidi sviluppi politici e tecnologici dello scorso decennio che hanno portato a una maggiore cooperazione internazionale in materia di intelligence, anche attraverso l'ampia portata degli scambi di dati personali, spesso offuscando il confine tra intelligence e attività di contrasto;

BZ.

considerando che il controllo democratico delle attività di intelligence è ancora condotto unicamente a livello nazionale, nonostante l'aumento degli scambi di informazioni tra gli Stati membri dell'UE nonché tra Stati membri e paesi terzi; che esiste un divario crescente tra il livello di cooperazione internazionale, da un lato, e le limitate capacità di controllo a livello nazionale, dall'altro, che si traduce in un insufficiente e inefficace controllo democratico;

CA.

considerando che gli organismi nazionali di controllo spesso non hanno pieno accesso ai dati di intelligence ricevuti da un'agenzia di intelligence straniera, il che può creare delle brecce all'interno delle quali gli scambi internazionali di informazioni possono svolgersi senza un'adeguata revisione; che questo problema è ulteriormente aggravato dalla cosiddetta «regola del terzo» o dal principio del «controllo dell'originatore», concepito per consentire agli originatori di mantenere il controllo sull'ulteriore diffusione delle proprie informazioni sensibili, ma che spesso è purtroppo interpretato in modo da essere applicato anche al controllo dei servizi del destinatario;

CB.

considerando che le iniziative pubbliche e private di riforma della trasparenza sono fondamentali per garantire la fiducia del pubblico nelle attività delle agenzie di intelligence; che i sistemi giuridici non dovrebbero impedire alle imprese di divulgare al pubblico informazioni sulle modalità di gestione di tutte le tipologie di richieste governative e ingiunzioni dei tribunali per l'accesso ai dati dell'utente, inclusa la possibilità di divulgare informazioni aggregate sul numero di richieste e ingiunzioni approvate e respinte;

1.

ritiene che le recenti rivelazioni della stampa ad opera di informatori e giornalisti, insieme alle prove di esperti fornite durante questa indagine, alle ammissioni delle autorità e alla carente risposta rispetto a talune accuse, hanno portato a prove convincenti circa l'esistenza di sistemi di vasta portata, complessi e tecnologicamente molto avanzati creati dai servizi di intelligence degli Stati Uniti e di alcuni Stati membri per raccogliere, memorizzare e analizzare dati di comunicazione, inclusi dati di contenuto, dati relativi alle posizioni e metadati di tutti i cittadini del globo a un livello senza precedenti, in maniera indiscriminata e non fondata su sospetti;

2.

evidenzia, in particolare, i programmi di intelligence dell'NSA degli Stati Uniti che consentono la sorveglianza di massa dei cittadini dell'UE attraverso l'accesso diretto ai server centrali delle principali aziende internet americane (programma PRISM), l'analisi dei contenuti e metadati (programma Xkeyscore), l'elusione della codifica online (BULLRUN), l'accesso alle reti informatiche e telefoniche e l'accesso ai dati relativi alla posizione, come pure i sistemi dell'agenzia di intelligence GCHQ del Regno Unito, come l'attività di vigilanza a monte (programma Tempora), il programma di decodificazione (Edgehill), gli attacchi mirati «dell'uomo in mezzo» (man-in-the-middle-attacks, MITM) ai sistemi informatici (programmi Quantumtheory e Foxacid) nonché la raccolta e la conservazione di 200 milioni di SMS al giorno (programma Dishfire);

3.

prende atto delle asserzioni di «pirateria informatica» o infiltrazione nei sistemi di Belgacom da parte dell'agenzia di intelligence britannica GCHQ; prende atto delle dichiarazioni di Belgacom che non ha potuto confermare né negare se le istituzioni dell'UE siano state prese di mira o colpite e che il malware utilizzato era estremamente complesso e il suo sviluppo ed utilizzo avrebbe richiesto ampie risorse finanziarie e di personale di cui enti privati o hacker non avrebbero potuto disporre;

4.

evidenzia che è stata profondamente scossa la fiducia: la fiducia tra i due partner transatlantici, la fiducia tra i cittadini e i loro governi, la fiducia nel funzionamento delle istituzioni democratiche su entrambe le sponde dell'Atlantico, la fiducia nel rispetto dello Stato di diritto e la fiducia nella sicurezza dei servizi informatici e della comunicazione; ritiene che, per ripristinare la fiducia in tutte queste dimensioni, sia necessario preparare un piano di risposta immediata e globale che includa una serie di azioni che siano soggette a controllo pubblico;

5.

rileva che vari governi sostengono che questi programmi di sorveglianza di massa sono necessari per combattere il terrorismo; denuncia con forza il terrorismo, ma è fermamente convinto che la lotta al terrorismo non possa mai essere una giustificazione per programmi di sorveglianza di massa non mirati, segreti o addirittura illegali; ritiene che tali programmi siano incompatibili con i principi di necessità e proporzionalità in una società democratica;

6.

ricorda che l'UE è fermamente convinta della necessità di trovare il giusto punto di equilibrio tra misure di sicurezza e salvaguardia delle libertà civili e dei diritti fondamentali, assicurando nel contempo il massimo rispetto per la riservatezza della vita privata e la protezione dei dati;

7.

ritiene che una raccolta dei dati di tale portata lasci notevoli dubbi sul fatto che tali azioni siano guidate solo dalla lotta al terrorismo, in quanto comporta la raccolta di ogni dato possibile di tutti i cittadini; punta quindi l'indice sulla possibile esistenza di altri scopi, incluso lo spionaggio politico ed economico, che devono essere del tutto dissipati;

8.

mette in dubbio la compatibilità delle attività massicce di spionaggio economico di alcuni Stati membri con il mercato interno dell'UE e il diritto della concorrenza, come stabilito ai titoli I e VII del trattato sul funzionamento dell'Unione europea; riafferma il principio di leale cooperazione sancito dall'articolo 4, paragrafo 3, del trattato sull'Unione europea nonché il principio che gli Stati membri «si astengono da qualsiasi misura che rischi di mettere in pericolo la realizzazione degli obiettivi dell'Unione»;

9.

rileva che i trattati internazionali e la legislazione dell'UE e degli Stati Uniti, nonché i meccanismi di controllo nazionali, non sono riusciti a garantire i necessari pesi e contrappesi o la responsabilità democratica;

10.

condanna la vasta e sistemica raccolta indiscriminata dei dati personali di individui innocenti, spesso contenenti informazioni personali intime; pone in rilievo che i sistemi di sorveglianza indiscriminata di massa da parte dei servizi di intelligence costituiscono una grave interferenza con i diritti fondamentali dei cittadini; sottolinea che la privacy non è un diritto di lusso, ma il primo fondamento di una società libera e democratica; fa presente, inoltre, che la sorveglianza di massa ha effetti potenzialmente gravi sulla libertà di stampa, di pensiero e di parola e sulla libertà di riunione e associazione, così come un potenziale significativo di utilizzo abusivo delle informazioni raccolte contro gli avversari politici; sottolinea che tali attività di sorveglianza di massa comportano anche azioni illegali da parte dei servizi di intelligence e sollevano questioni in materia di extraterritorialità delle leggi nazionali;

11.

ritiene indispensabile che il segreto professionale di avvocati, giornalisti, medici e altre professioni regolamentate sia salvaguardato da attività di sorveglianza di massa; sottolinea, in particolare, che ogni incertezza circa la riservatezza delle comunicazioni tra avvocati e clienti potrebbe avere un impatto negativo sul diritto di accesso al patrocinio giuridico e l'accesso alla giustizia nonché il diritto a un processo equo dei cittadini dell'UE;

12.

ravvisa nei programmi di sorveglianza l'ennesimo passo verso la creazione di uno stato di prevenzione a tutti gli effetti che modifica il paradigma consolidato del diritto penale nelle società democratiche, in base al quale eventuali interferenze con i diritti fondamentali dei sospettati devono essere autorizzate da un giudice o da un pubblico ministero sulla base della legittima suspicione e devono essere disciplinate dalla legge, e promuove invece un mix di attività di polizia e di intelligence con garanzie giuridiche offuscate e indebolite, spesso non in linea con i pesi e contrappesi democratici e i diritti fondamentali, in particolare la presunzione d'innocenza; ricorda a questo proposito la decisione della Corte costituzionale tedesca (40) sul divieto dell'uso di controlli incrociati preventivi («präventive Rasterfahndung»), a meno che non vi sia la prova di un pericolo concreto per altri diritti fondamentali tutelati dalla legge, per cui una situazione di minaccia generale o tensioni internazionali non sono sufficienti a giustificare tali misure;

13.

è convinto che leggi, trattati e tribunali segreti violino lo Stato di diritto; rileva che qualsiasi sentenza di un tribunale e qualsiasi decisione di un'autorità amministrativa di uno Stato non aderente all'UE che autorizzi, direttamente o indirettamente, il trasferimento di dati personali, non deve essere riconosciuta o applicata in alcun modo, se non in presenza di un eventuale trattato in materia di assistenza legale reciproca o di un accordo internazionale in vigore tra la parte terza richiedente e l'Unione o uno Stato membro e previa autorizzazione dell'autorità di controllo competente; ricorda che qualunque sentenza di una corte segreta o di un tribunale segreto e qualunque decisione di un'autorità amministrativa di un paese terzo che autorizzi, direttamente o indirettamente, le attività di sorveglianza non deve essere riconosciuta o applicata;

14.

fa presente che le preoccupazioni sopra menzionate sono acuite dai rapidi sviluppi tecnologici e della società, visto che i dispositivi internet e mobili sono onnipresenti nella moderna vita quotidiana («ubiquitous computing») e il modello aziendale della maggior parte delle aziende internet si basa sul trattamento dei dati personali; ritiene che l'entità di tale problema sia senza precedenti; rileva che ciò potrebbe creare una situazione in cui l'infrastruttura per la raccolta e il trattamento di massa dei dati potrebbe essere utilizzata abusivamente in caso di cambio di regime politico;

15.

constata che non vi è alcuna garanzia, né per le istituzioni pubbliche dell'UE né per i cittadini, che la loro sicurezza informatica o privacy possano essere protette da attacchi di intrusi ben attrezzati («nessuna sicurezza informatica al 100 %»); rileva che, per ottenere la massima sicurezza informatica, gli europei devono essere disposti a dedicare sufficienti risorse, sia umane che finanziarie, per preservare l'indipendenza e l'autonomia dell'Europa in materia di tecnologie informatiche;

16.

respinge fermamente l'idea che tutti i problemi relativi ai programmi di sorveglianza di massa siano puramente una questione di sicurezza nazionale e quindi di competenza esclusiva degli Stati membri; ribadisce che gli Stati membri devono rispettare pienamente il diritto dell'UE e la CEDU quando agiscono per garantire la loro sicurezza nazionale; ricorda una recente sentenza della Corte di giustizia, secondo la quale «sebbene spetti agli Stati membri decidere le misure idonee a garantire la loro sicurezza interna ed esterna, la mera circostanza che una decisione riguardi la sicurezza dello Stato non può comportare l’inapplicabilità del diritto dell’Unione» (41); ricorda inoltre che è in gioco la tutela della privacy di tutti i cittadini dell'UE, così come la sicurezza e l'affidabilità di tutte le reti di comunicazione dell'UE; ritiene pertanto che la discussione e l'azione a livello di UE siano non solo legittime, ma costituiscano anche una questione di autonomia dell'UE;

17.

si congratula con le istituzioni e gli esperti che hanno contribuito a questa indagine; deplora il fatto che le autorità di vari Stati membri abbiano rifiutato di cooperare con l'indagine che il Parlamento europeo ha svolto per conto dei cittadini; accoglie con favore l'apertura di diversi membri del Congresso e dei parlamenti nazionali;

18.

è consapevole che in un lasso di tempo così limitato è stato possibile effettuare solo un'indagine preliminare di tutte le questioni in gioco dal luglio 2013; riconosce sia la portata delle rivelazioni in questione che la loro natura continuativa; adotta, quindi, un approccio lungimirante consistente in una serie di proposte specifiche e di un meccanismo di monitoraggio nella prossima legislatura il quale assicuri che i risultati rimangano al vertice dell'agenda politica dell'UE;

19.

intende richiedere forti impegni politici alla nuova Commissione che sarà designata dopo le elezioni europee del maggio 2014 ad attuare le proposte e le raccomandazioni di questa indagine;

20.

esorta le autorità degli Stati Uniti e gli Stati membri dell'UE, ove ancora non sia il caso, a vietare attività di sorveglianza di massa indiscriminata;

21.

invita gli Stati membri dell'UE, e in particolare quelli che partecipano ai cosiddetti programmi «9 occhi» e «14 occhi» (42) a valutare e rivedere se necessario in maniera esaustiva la loro legislazione e le loro prassi che disciplinano le attività dei servizi di intelligence, in modo da garantire che essi siano soggetti a vigilanza parlamentare e giudiziaria e controllo pubblico e rispettino i principi di legalità, necessità, proporzionalità, giusto processo, notifica e trasparenza dell'utente, come stabilito anche nella raccolta di buone prassi dell'ONU e nelle raccomandazioni della Commissione di Venezia, siano in linea con le norme della Convenzione europea sui diritti dell'uomo e rispettino i loro obblighi sui diritti fondamentali in materia di protezione dei dati, privacy e presunzione d'innocenza;

22.

invita tutti gli Stati membri dell'UE e, in particolare, per quanto riguarda la sua risoluzione del 4 luglio 2013 e le audizioni di inchiesta, Regno Unito, Francia, Germania, Svezia, Paesi Bassi e Polonia, a garantire che i loro attuali o futuri quadri legislativi e meccanismi di controllo che disciplinano le attività delle agenzie di intelligence siano in linea con le norme della Convenzione europea sui diritti dell'uomo e la legislazione sulla protezione dei dati dell'Unione europea; invita tali Stati membri a chiarire le asserzioni di attività di sorveglianza di massa, compresa la sorveglianza di massa delle telecomunicazioni transfrontaliere, la sorveglianza non mirata sulle comunicazioni via cavo, eventuali accordi tra i servizi di intelligence e le aziende di telecomunicazioni per quanto riguarda l'accesso e lo scambio di dati personali e l'accesso ai cavi transatlantici, il personale dell'intelligence statunitense e le attrezzature sul territorio dell'Unione europea senza supervisione sulle operazioni di sorveglianza, e la loro compatibilità con la legislazione UE; invita i parlamenti nazionali di tali paesi a intensificare la cooperazione dei loro organi di sorveglianza dell'intelligence a livello europeo;

23.

invita in particolare il Regno Unito, dato l'ampio spazio dedicato dai media alla sorveglianza di massa nel Regno Unito da parte del servizio di intelligence GCHQ, a procedere a un riesame dell'attuale quadro giuridico, che consta di una «complessa interazione» fra tre diversi atti normativi e cioè lo Human Rights Act del 1998, l'Intelligence Services Act del 1994 e il Regulation of Investigatory Powers Act 2000;

24.

prende atto della revisione della legge olandese sull'intelligence e la sicurezza del 2002 (relazione della «Commissione Dessens» del 2 dicembre 2013); sostiene le raccomandazioni della commissione di riesame che mirano a rafforzare la trasparenza, il controllo e la verifica dei servizi di intelligence olandesi; invita i Paesi Bassi ad astenersi dall'ampliare i poteri dei servizi di intelligence in modo tale da consentire di effettuare una sorveglianza non mirata e su grande scala anche sulle comunicazioni via cavo di cittadini innocenti, specialmente visto che uno dei più grandi punti di interscambio Internet del mondo (IXP) si trova ad Amsterdam (AMS-IX); chiede cautela per quanto concerne la definizione del mandato e delle capacità della nuova unità informatica congiunta per l'intelligence dei segnali, nonché per quanto attiene alla presenza e all'attività del personale di intelligence statunitense sul territorio olandese;

25.

invita gli Stati membri, anche quando rappresentati dalle loro agenzie di intelligence, ad astenersi dall'accettare dati provenienti da paesi terzi che siano stati raccolti in violazione della legge e dal consentire attività di sorveglianza sul loro territorio da parte di governi o agenzie di paesi terzi che siano illegali secondo il diritto nazionale o che non soddisfano le garanzie giuridiche sancite negli strumenti internazionali o dell'UE, compresa la protezione dei diritti dell'uomo nell'ambito del TUE, della CEDU e della Carta dei diritti fondamentali dell'UE;

26.

chiede che si metta fine alle intercettazioni di massa e al trattamento delle immagini riprese con webcam da parte di tutti i servizi segreti; invita gli Stati membri a condurre un'indagine approfondita in merito all'eventuale coinvolgimento dei loro servizi segreti nella raccolta e nel trattamento delle immagini riprese con webcam, alle modalità e alla misura in cui ciò è avvenuto, nonché a cancellare tutte le immagini archiviate raccolte attraverso simili programmi di sorveglianza di massa;

27.

invita gli Stati membri ad adempiere immediatamente al loro obbligo positivo, previsto dalla Convenzione europea dei diritti dell'uomo, di proteggere i loro cittadini da una sorveglianza contraria ai suoi requisiti, anche quando l'obiettivo sia la salvaguardia della sicurezza nazionale, effettuata da paesi terzi o dai loro servizi di intelligence, e a garantire che lo Stato di diritto non sia indebolito a causa dell'applicazione extraterritoriale della legge di un paese terzo;

28.

invita il Segretario generale del Consiglio d'Europa ad avviare la procedura di cui all'articolo 52, secondo il quale «ogni Alta Parte contraente, su domanda del Segretario generale del Consiglio d’Europa, fornirà le spiegazioni richieste sul modo in cui il proprio diritto interno assicura l’effettiva applicazione di tutte le disposizioni della presente Convenzione»;

29.

invita gli Stati membri a prendere immediatamente gli opportuni provvedimenti, compresa l'azione penale, contro la violazione della loro sovranità, e quindi la violazione del diritto pubblico internazionale, perpetrata attraverso i programmi di sorveglianza di massa; invita inoltre gli Stati membri a far ricorso a tutte le misure internazionali di difesa dei diritti fondamentali dei cittadini dell'UE, in particolare attivando la procedura di reclamo interstatale ai sensi dell'articolo 41 del Patto internazionale relativo ai diritti civili e politici (ICCPR);

30.

invita gli Stati membri a istituire meccanismi efficaci grazie ai quali i responsabili dei programmi di sorveglianza (di massa) che violano lo Stato di diritto e i diritti fondamentali dei cittadini siano chiamati a rispondere di tale abuso di potere;

31.

invita gli Stati Uniti a rivedere senza indugio la propria legislazione, al fine di adeguarla al diritto internazionale, a riconoscere la privacy e gli altri diritti dei cittadini dell'UE, a prevedere il ricorso giudiziario per i cittadini dell'UE, a porre i diritti dei cittadini dell'UE sullo stesso piano dei diritti dei cittadini statunitensi e a firmare il protocollo aggiuntivo che consente le denunce da parte di soggetti privati a titolo dell'ICCPR;

32.

plaude in tal senso alle osservazioni e alla direttiva strategica presidenziale del Presidente degli Stati Uniti Barack Obama in data 17 gennaio 2014, da considerarsi un passo avanti verso una limitazione dell'autorizzazione all'uso della sorveglianza e al trattamento dei dati a fini di sicurezza nazionale, come pure verso la parità di trattamento delle informazioni personali di tutti gli individui, indipendentemente dalla loro cittadinanza o residenza, da parte della comunità dell'intelligence statunitense; auspica tuttavia, nel contesto delle relazioni UE-USA, ulteriori provvedimenti specifici che rafforzino in particolare la fiducia nei trasferimenti di dati transatlantici e forniscano garanzie vincolanti relative ai diritti applicabili in materia di privacy per i cittadini dell'UE, come evidenziato in modo circostanziato nella presente relazione;

33.

esprime serie preoccupazioni circa il lavoro svolto in seno alla commissione per la Convenzione sulla criminalità informatica del Consiglio d'Europa sull'interpretazione dell'articolo 32 della Convenzione europea sulla criminalità informatica del 23 novembre 2001 (Convenzione di Budapest) sull'accesso transfrontaliero ai dati informatici memorizzati previo consenso o qualora pubblicamente disponibili, e si oppone all'eventuale conclusione di un protocollo o di un orientamento aggiuntivi volti ad ampliare la portata di tale disposizione al di là dell'attuale regime stabilito dalla Convenzione, che già rappresenta una sostanziale eccezione al principio di territorialità, in quanto potrebbe comportare l'accesso a distanza senza restrizioni da parte delle autorità di contrasto a server e computer situati in altre giurisdizioni, senza il ricorso agli accordi di assistenza giudiziaria reciproca e ad altri strumenti di cooperazione giudiziaria istituiti per garantire i diritti fondamentali dell'individuo, che includono la protezione dei dati e il giusto processo, in particolare la convenzione del Consiglio d'Europa n. 108;

34.

invita la Commissione a effettuare, prima del luglio 2014, una valutazione dell'applicabilità del regolamento (CE) n. 2271/96 ai casi di conflitto di leggi sui trasferimenti di dati personali;

35.

invita l'Agenzia per i diritti fondamentali ad effettuare una ricerca approfondita sulla tutela dei diritti fondamentali nel contesto della sorveglianza e in particolare sull'attuale situazione giuridica dei cittadini UE per quanto riguarda i mezzi di ricorso a loro disposizione in relazione a tali pratiche;

36.

osserva che le aziende identificate dalle rivelazioni dei media in quanto coinvolte nella sorveglianza di massa su larga scala degli interessati dell'UE da parte dell'NSA degli Stati Uniti sono aziende che hanno autocertificato la loro adesione all'accordo «Safe Harbour», e che tale accordo è lo strumento giuridico utilizzato per il trasferimento di dati personali dell'UE agli Stati Uniti (ad esempio Google, Microsoft, Yahoo!, Facebook, Apple e LinkedIn); esprime il timore che queste organizzazioni non abbiano codificato le informazioni e le comunicazioni che scorrono tra i loro centri di dati, consentendo in tal modo ai servizi di intelligence di intercettare le informazioni; accoglie con favore le successive dichiarazioni di alcune aziende statunitensi che hanno affermato di voler accelerare i piani per implementare la codifica dei flussi di dati tra i loro centri dati globali;

37.

ritiene che l'accesso su larga scala da parte delle agenzie di intelligence degli Stati Uniti ai dati personali dell'UE trattati con l'accordo «Safe Harbour» non soddisfi i criteri di deroga per motivi di «sicurezza nazionale»;

38.

ritiene che, dal momento che nelle circostanze attuali i principi dell'accordo «Safe Harbour» non forniscono una protezione adeguata per i cittadini dell'UE, tali trasferimenti debbano essere effettuati nell'ambito di altri strumenti, come le clausole contrattuali o le BCR, purché tali strumenti definiscano garanzie e protezioni specifiche e non siano elusi da altri quadri giuridici;

39.

ritiene che la Commissione non sia intervenuta per porre rimedio alle ben note criticità concernenti l'attuale applicazione dell'accordo «Safe Harbour»;

40.

invita la Commissione a presentare misure che prevedano la sospensione immediata della decisione 2000/520/CE della Commissione, che ha dichiarato l'adeguatezza dei principi sulla privacy dell'accordo «Safe Harbor» e delle relative FAQ pubblicate dal Dipartimento del commercio degli Stati Uniti; invita le autorità statunitensi, quindi, ad avanzare la proposta di un nuovo quadro per il trasferimento di dati personali dall'UE agli Stati Uniti che soddisfi i requisiti giuridici dell'Unione in materia di protezione dei dati e preveda l'adeguato livello di protezione necessario;

41.

invita le autorità competenti degli Stati membri, in particolare i garanti della protezione dei dati, ad avvalersi dei loro attuali poteri e a sospendere immediatamente i flussi di dati a qualsiasi organizzazione che abbia autocertificato la propria adesione ai principi dell'accordo «Safe Harbour» degli Stati Uniti e ad esigere che i flussi di tali dati siano effettuati esclusivamente nell'ambito di altri strumenti e purché contengano le garanzie e le tutele necessarie rispetto alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone;

42.

invita la Commissione a presentare entro il dicembre 2014 una valutazione globale del quadro USA in materia di privacy che contempli le attività commerciali, di polizia e di intelligence nonché raccomandazioni concrete in caso di assenza di una legge generale sulla protezione dei dati negli Stati Uniti; incoraggia la Commissione ad impegnarsi con l'amministrazione degli Stati Uniti al fine di stabilire un quadro giuridico che preveda un livello elevato di tutela delle persone fisiche riguardo alla protezione dei loro dati personali quando trasferiti negli Stati Uniti e a garantire l'equivalenza dei quadri UE e USA in materia di privacy;

43.

ricorda che la direttiva 95/46/CE stabilisce che il trasferimento di dati personali verso un paese terzo può avvenire solo se, fermo restando il rispetto delle disposizioni nazionali adottate a norma delle altre disposizioni della direttiva, il paese terzo di cui trattasi garantisce un adeguato livello di protezione, dal momento che lo scopo di questa disposizione è quello di garantire la continuità della tutela accordata dalla legge sulla protezione dei dati dell'UE nel caso in cui i dati personali siano trasferiti al di fuori dell'UE;

44.

rammenta che la direttiva 95/46/CE prevede altresì che l'adeguatezza del livello di protezione garantito da un paese terzo deve essere valutata alla luce di tutte le circostanze relative a un trasferimento o a una serie di tali operazioni di trasferimento di dati; rammenta altresì che detta direttiva conferisce inoltre alla Commissione competenze di esecuzione per dichiarare se un paese terzo garantisce un livello di protezione adeguato alla luce dei criteri stabiliti dalla direttiva 95/46/CE; ricorda che la direttiva 95/46/CE autorizza infine la Commissione a dichiarare se un paese terzo non garantisce un livello di protezione adeguato;

45.

ricorda che in quest'ultimo caso gli Stati membri devono adottare le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione, e che la Commissione dovrebbe avviare negoziati al fine di porre rimedio alla situazione;

46.

invita la Commissione e gli Stati membri a valutare senza indugio se il livello adeguato di protezione del Privacy Act della Nuova Zelanda e quello della legge canadese sulla tutela delle informazioni personali e dei documenti elettronici, come dichiarato dalle decisioni della Commissione 2013/65/UE e 2002/2/CE, sia stato leso dal coinvolgimento delle agenzie nazionali di intelligence di tali paesi nella sorveglianza di massa dei cittadini dell'UE e, se necessario, a prendere opportune misure per sospendere o annullare le decisioni di adeguatezza; invita inoltre la Commissione a valutare la situazione per gli altri paesi che hanno ottenuto una valutazione di adeguatezza; si attende che la Commissione riferisca al Parlamento circa le risultanze cui è pervenuta riguardo ai paesi summenzionati, entro il dicembre 2014;

47.

ricorda che i garanti nazionali della protezione dei dati hanno indicato che né le clausole contrattuali tipo né le BCR sono state redatte pensando a situazioni di accesso ai dati personali a fini di sorveglianza di massa, e che tale accesso non sarebbe in linea con le clausole di deroga delle clausole contrattuali o BCR che si riferiscono alle deroghe eccezionali per un interesse legittimo in una società democratica, se necessario e proporzionato;

48.

invita gli Stati membri a vietare o sospendere i flussi di dati verso paesi terzi sulla base delle clausole contrattuali tipo, delle clausole contrattuali o delle BCR autorizzati dalle autorità nazionali competenti, laddove sia probabile che la legge alla quale il destinatario di dati è soggetto gli imponga requisiti che vanno oltre le limitazioni strettamente necessarie, adeguate e proporzionate in una società democratica e che possono avere un effetto negativo sulle garanzie previste dalla legge sulla protezione dei dati e dalle clausole contrattuali tipo, o perché la prosecuzione del trasferimento comporterebbe un rischio di grave danno agli interessati;

49.

invita il gruppo di lavoro articolo 29 a emanare orientamenti e raccomandazioni sulle misure di salvaguardia e tutele che gli strumenti contrattuali per i trasferimenti internazionali di dati personali dell'UE dovrebbero contenere, al fine di garantire la tutela della privacy, i diritti e le libertà fondamentali delle persone, tenendo conto in particolare delle leggi dei paesi terzi in materia di intelligence e sicurezza nazionale e il coinvolgimento delle società che ricevono i dati in un paese terzo nelle attività di sorveglianza di massa operata dai servizi di intelligence di un paese terzo;

50.

invita la Commissione a esaminare senza indugio le clausole contrattuali tipo che ha stabilito, al fine di valutare se esse forniscano la necessaria protezione per quanto riguarda l'accesso ai dati personali trasferiti nell'ambito delle clausole a fini di intelligence e, se del caso, di rivederle;

51.

invita la Commissione a condurre entro la fine del 2014 una valutazione approfondita dell'attuale accordo sull'assistenza giudiziaria reciproca, conformemente al suo articolo 17, al fine di verificarne l'attuazione pratica e controllare, in particolare, se gli Stati Uniti abbiano fatto un uso efficace dello stesso per ottenere informazioni o prove nell'UE e se l'accordo sia stato eluso per acquisire le informazioni direttamente nell'UE, e a valutare l'impatto sui diritti fondamentali delle persone; tale valutazione dovrebbe far riferimento non solo alle dichiarazioni ufficiali statunitensi come base sufficiente per l'analisi, ma anche basarsi su specifiche valutazioni dell'UE; questa revisione approfondita dovrebbe anche affrontare le conseguenze dell'applicazione dell'architettura costituzionale dell'Unione a questo strumento, al fine di adeguarlo al diritto dell'Unione, tenendo conto in particolare del protocollo 36 e dell'articolo 10, nonché della dichiarazione 50 relativa a tale protocollo; chiede altresì al Consiglio e alla Commissione di valutare gli accordi bilaterali tra gli Stati membri e gli Stati Uniti al fine di garantire la coerenza di tali accordi bilaterali con gli accordi cui l'UE si attiene o cui deciderà di attenersi con gli Stati Uniti;

52.

invita il Consiglio e la Commissione a informare il Parlamento circa l'utilizzo effettivo da parte degli Stati membri della convenzione relativa all'assistenza giudiziaria reciproca in materia penale tra gli Stati membri, in particolare il titolo III sull'intercettazione delle telecomunicazioni; invita la Commissione a presentare una proposta, conformemente alla dichiarazione 50, riguardante il protocollo 36 come richiesto, prima della fine del 2014, al fine di adeguarlo al quadro del trattato di Lisbona;

53.

è del parere che le informazioni fornite dalla Commissione europea e dal Dipartimento del tesoro degli Stati Uniti non chiariscano se le agenzie di intelligence statunitensi hanno accesso alla messaggistica finanziaria SWIFT nell'UE, intercettando le reti SWIFT o i sistemi operativi delle banche o le reti di comunicazione, autonomamente o in cooperazione con le agenzie di intelligence nazionali dell'UE e senza dover ricorrere ai canali bilaterali di assistenza giudiziaria reciproca e cooperazione giudiziaria;

54.

ribadisce la sua risoluzione del 23 ottobre 2013 e chiede alla Commissione la sospensione dell'accordo TFTP;

55.

invita la Commissione a reagire alle preoccupazioni secondo cui tre dei principali sistemi di prenotazione computerizzati utilizzati dalle compagnie aeree di tutto il mondo si trovano negli Stati Uniti e che i dati PNR sono salvati in sistemi cloud che operano sul territorio degli Stati Uniti sotto la legge statunitense e che non sono adeguati alla protezione dei dati;

56.

ritiene che una soluzione soddisfacente a titolo dell'«accordo quadro» sia una condizione fondamentale per ripristinare pienamente la fiducia tra i partner transatlantici;

57.

chiede l'immediata ripresa dei negoziati con gli Stati Uniti sull'«accordo quadro», che dovrebbe porre i diritti dei cittadini dell'UE sullo stesso piano dei diritti dei cittadini statunitensi; sottolinea inoltre che l'accordo dovrebbe prevedere mezzi di ricorso amministrativo e giudiziario efficaci e applicabili per tutti i cittadini dell'UE negli Stati Uniti, senza alcuna discriminazione;

58.

chiede alla Commissione e al Consiglio di non avviare eventuali nuovi accordi settoriali o accordi per il trasferimento di dati personali a fini di contrasto con gli Stati Uniti fino a quando l«accordo quadro» non sia entrato in vigore;

59.

esorta la Commissione a riferire in dettaglio sui vari punti del mandato negoziale e sullo stato attuale dei lavori entro l'aprile 2014;

60.

invita la Presidenza del Consiglio e gli Stati membri ad accelerare i lavori su tutto il pacchetto relativo alla protezione dei dati per consentirne l'adozione nel 2014, in modo che i cittadini dell'UE possano godere di un elevato livello di protezione nell'immediato futuro; sottolinea che il forte impegno e il pieno sostegno da parte del Consiglio sono una condizione necessaria per dimostrare la credibilità e l'assertività nei confronti dei paesi terzi;

61.

sottolinea che sia il regolamento sulla protezione dei dati sia la direttiva sulla protezione dei dati sono necessari per tutelare i diritti fondamentali delle persone e che, pertanto, entrambi devono essere trattati come un pacchetto da adottare contemporaneamente, al fine di garantire che tutte le attività di trattamento dei dati nell'UE offrano un elevato livello di protezione in tutte le circostanze; sottolinea che adotterà ulteriori misure di cooperazione in materia di attività di contrasto soltanto dopo che il Consiglio avrà avviato negoziati con il Parlamento e la Commissione sul pacchetto relativo alla protezione dei dati;

62.

ricorda che i concetti di «privacy by design» (tutela della vita privata fin dalla progettazione) e «privacy by default» (impostazioni automatiche di tutela della vita privata) costituiscono un rafforzamento della protezione dei dati e dovrebbero essere applicati come orientamenti per tutti i prodotti, servizi e sistemi offerti in internet;

63.

ritiene che criteri più elevati in materia di trasparenza e sicurezza per i servizi online e di telecomunicazione siano un principio fondamentale per un migliore regime di protezione dei dati; invita pertanto la Commissione a presentare una proposta legislativa sulla standardizzazione delle condizioni generali per i servizi online e di telecomunicazione e a incaricare un'autorità di controllo di verificare la conformità con le condizioni generali;

64.

rileva che la fiducia nel cloud computing e nei fornitori di servizi cloud degli Stati Uniti sono stati influenzati negativamente dalle pratiche sopra descritte; sottolinea, quindi, che lo sviluppo di servizi cloud e soluzioni informatiche europei sono un elemento essenziale per la crescita e l'occupazione e la fiducia nei servizi e fornitori di cloud computing nonché per garantire un elevato livello di protezione dei dati personali;

65.

invita tutti gli organi pubblici dell'Unione a non utilizzare i servizi cloud laddove possano essere applicate normative di paesi terzi;

66.

ribadisce la sua profonda preoccupazione in merito all'obbligo di divulgare direttamente dati personali e informazioni UE, elaborati in virtù di accordi di cloud computing, alle autorità di paesi terzi da parte di fornitori di servizi di cloud computing soggetti alla normativa di paesi terzi o che utilizzano server di archiviazione ubicati in paesi terzi, nonché in merito all'accesso diretto a distanza a dati personali e informazioni elaborati dalle autorità di contrasto e dai servizi di intelligence di paesi terzi;

67.

deplora che tale accesso avvenga generalmente tramite applicazione diretta delle proprie norme giuridiche da parte delle autorità di paesi terzi, senza ricorrere a strumenti internazionali istituiti per la cooperazione giuridica, come gli accordi di assistenza giudiziaria reciproca o altre forme di cooperazione giudiziaria;

68.

invita la Commissione e gli Stati membri ad accelerare i lavori per istituire un partenariato europeo per il cloud computing coinvolgendo appieno la società civile e la comunità tecnologica, come la Internet Engineering Task Force (IETF) e integrando gli aspetti relativi alla protezione dei dati;

69.

esorta la Commissione a prestare particolare attenzione, nella negoziazione di accordi internazionali che includano il trattamento di dati personali, ai rischi e alle sfide che il cloud computing comporta per i diritti fondamentali, in particolare, ma non solo, per il diritto alla vita privata e alla protezione dei dati personali, come stabilito dagli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea; esorta inoltre la Commissione a prendere atto delle norme nazionali del partner negoziale in materia di accesso ai dati personali elaborati attraverso servizi di cloud computing da parte delle autorità di contrasto e delle agenzie di intelligence, in particolare richiedendo che l'accesso ai dati sia consentito soltanto nel pieno rispetto delle procedure previste dalla legge e in presenza di una base giuridica inequivocabile, e che sia previsto l'obbligo di specificare le condizioni precise di accesso, le finalità di tale accesso, le misure di sicurezza attuate in sede di trasferimento dei dati e i diritti del singolo, nonché le norme concernenti la vigilanza e mezzi di ricorso efficaci;

70.

ricorda che tutte le imprese che offrono servizi all'interno dell'UE sono tenute a rispettare senza eccezioni il diritto dell'Unione e sono responsabili di eventuali violazioni e sottolinea l'importanza di avere sanzioni amministrative efficaci, proporzionate e dissuasive che possano essere comminate ai fornitori di servizi di «cloud computing» che non rispettano le norme europee in materia di protezione dei dati;

71.

invita la Commissione e le autorità competenti degli Stati membri a valutare in che misura siano state violate le norme europee sulla privacy e la protezione dei dati attraverso la cooperazione delle persone giuridiche dell'Unione con i servizi segreti o attraverso l'accettazione di ingiunzioni dei tribunali di giurisdizioni esterne con richieste di dati personali dei cittadini dell'UE contrarie alla legislazione europea in materia di protezione dei dati;

72.

invita le aziende che forniscono nuovi servizi utilizzando «Big Data» e nuove applicazioni, come l'«internet degli oggetti», a integrare misure per la protezione dei dati già in fase di sviluppo al fine di mantenere un elevato livello di fiducia tra i cittadini;

73.

riconosce che l'UE e gli Stati Uniti d'America stanno proseguendo i negoziati per un partenariato transatlantico su commercio e investimenti, che ricopre una grande importanza strategica per generare un'ulteriore crescita economica;

74.

sottolinea con forza, in considerazione dell'importanza dell'economia digitale nel rapporto e nel rispristino della fiducia tra UE e Stati Uniti, che l'approvazione da parte del Parlamento europeo all'accordo TTIP definitivo potrebbe essere compromessa finché non si abbandoneranno del tutto le attività di sorveglianza di massa generalizzata e l'intercettazione delle comunicazioni presso le istituzioni e le rappresentanze diplomatiche dell'UE e finché non si troverà una soluzione adeguata alla questione dei diritti alla riservatezza dei dati dei cittadini dell'Unione, che preveda anche strumenti di ricorso giudiziario e amministrativo; sottolinea che il Parlamento europeo può dare la sua approvazione all'accordo TTIP definitivo solo a condizione che quest'ultimo rispetti pienamente, tra l'altro, i diritti fondamentali riconosciuti dalla Carta dell'UE, e che la tutela della privacy degli individui in relazione al trattamento e alla diffusione di dati personali continui a essere disciplinata dall'articolo XIV del GATS; sottolinea che la legislazione dell'Unione in materia di protezione dei dati non può essere considerata una «discriminazione arbitraria o ingiustificabile» nell'ambito dell'applicazione dell'articolo XIV del GATS;

75.

sottolinea che, nonostante il controllo delle attività dei servizi d'intelligence debba basarsi sia sulla legittimità democratica (solido quadro giuridico, autorizzazione ex ante e verifica ex post) sia su capacità e competenze tecniche adeguate, la maggior parte degli attuali organismi di controllo dell'UE e degli Stati Uniti mancano fortemente di entrambi gli elementi, in particolare delle capacità tecniche;

76.

invita, come avvenuto nel caso di Echelon, tutti i parlamenti nazionali che non hanno ancora proceduto in tal senso a predisporre un controllo incisivo delle attività d'intelligence da parte dei deputati o degli organismi specializzati con competenze giuridiche in fatto d'indagini; invita i parlamenti nazionali a garantire che tali comitati/organismi di controllo dispongano di sufficienti risorse, competenze tecniche e strumenti giuridici, incluso il diritto di effettuare ispezioni in loco, per poter controllare efficacemente i servizi d'intelligence;

77.

chiede l'istituzione di un gruppo di membri ed esperti che valuti, in modo trasparente e in collaborazione con i parlamenti nazionali, raccomandazioni per un maggiore controllo democratico, in particolare un controllo parlamentare, dei servizi d'intelligence e per una maggiore collaborazione in materia di controllo nell'UE, soprattutto per quanto concerne la sua dimensione transfrontaliera; ritiene che il gruppo debba valutare in particolare la possibilità di elaborare norme minime europee ovvero orientamenti in materia di controllo (ex ante ed ex post) dei servizi d'intelligence, sulla base delle migliori pratiche esistenti e delle raccomandazioni degli organismi internazionali (ONU, Consiglio d'Europa), ivi compresa la questione degli organismi di controllo considerati quali terza parte secondo «la regola del terzo», o il principio del «controllo dell'originatore», concernenti il controllo e la responsabilità dell'intelligence di paesi esteri, criteri per una maggiore trasparenza, sulla base del principio generale dell'accesso alle informazioni e dei cosiddetti principi di «Tshwane» (43), oltre ai principi riguardanti i limiti di durata e di portata delle attività di sorveglianza, onde assicurare che tali attività siano proporzionate e limitate alla loro finalità;

78.

invita il gruppo in parola a preparare una relazione in vista e da ausilio per i preparativi di una conferenza che il Parlamento organizzerà con gli organismi nazionali di controllo, parlamentari o indipendenti che siano, entro l'inizio del 2015;

79.

invita gli Stati membri ad avvalersi delle migliori pratiche in modo da migliorare l'accesso dei propri organi di controllo alle informazioni sulle attività d'intelligence (comprese le informazioni classificate e le informazioni provenienti da altri servizi) e da garantire la facoltà di svolgere ispezioni in loco, una serie di solidi poteri d'interrogazione, risorse e competenze tecniche adeguate, una rigorosa indipendenza rispetto ai relativi governi e un obbligo di rendicontazione nei confronti dei rispettivi parlamenti;

80.

invita gli Stati membri a sviluppare una cooperazione fra gli organismi di controllo, in particolare nell'ambito della rete europea ENNIR (European Network of National Intelligence Reviewers);

81.

esorta il VP/AR a riferire periodicamente agli organismi responsabili del Parlamento in merito alle attività del Centro dell'UE di analisi dell'intelligence (IntCen), che è parte del Servizio europeo per l'azione esterna, in merito al pieno rispetto dei diritti fondamentali e delle norme UE vigenti in materia di riservatezza dei dati, consentendo un migliore controllo del Parlamento sulla dimensione esterna delle politiche UE; esorta la Commissione e il VP/AR a presentare, entro dicembre 2014, una proposta di base giuridica per le attività del Centro dell'UE di analisi dell'intelligence (IntCen), se dovessero essere previste operazioni o future competenze nel settore dell'Intelligence o nei suoi impianti di raccolta dati che possano avere un impatto sulla strategia di sicurezza interna dell'Unione;

82.

invita la Commissione a presentare, entro dicembre 2014, una proposta concernente una procedura europea per il rilascio del nulla osta di sicurezza per tutti i titolari di cariche dell'UE, in quanto il sistema attuale, che si basa sul nulla osta di sicurezza dello Stato membro di cittadinanza, prevede requisiti e tempi differenti per le procedure all'interno dei sistemi nazionali, il che comporta pertanto un trattamento diverso dei deputati e del loro personale a seconda della loro cittadinanza;

83.

rammenta le disposizioni dell'accordo interistituzionale tra il Parlamento europeo e il Consiglio relativo alla trasmissione al Parlamento europeo e al trattamento da parte di quest'ultimo delle informazioni classificate detenute dal Consiglio su materie che non rientrano nel settore della politica estera e di sicurezza comune, le quali andrebbero applicate per migliorare il controllo a livello di UE;

84.

invita l'Autorità di controllo comune dell'Europol, insieme alle autorità nazionali per la protezione dei dati, a effettuare un'ispezione congiunta entro la fine del 2014, allo scopo di accertare se le informazioni e i dati personali condivisi con Europol siano stati legittimamente acquisiti dalle autorità nazionali, in particolare se le informazioni o i dati siano stati inizialmente acquisiti dai servizi d'intelligence nell'UE o in un paese terzo, e se esistano misure adeguate volte a prevenire l'uso e l'ulteriore diffusione di tali informazioni o dati; è del parere che Europol non dovrebbe trattare informazioni o dati ottenuti in violazione dei diritti fondamentali che sarebbero tutelati dalla Carta dei diritti fondamentali;

85.

invita Europol ad avvalersi pienamente del proprio mandato per chiedere alle autorità competenti degli Stati membri di avviare indagini penali in relazione ai principali attacchi e violazioni in ambito informatico aventi un potenziale impatto transfrontaliero; ritiene che il mandato di Europol vada rafforzato al fine di permettergli di avviare le proprie indagini a seguito di sospetti di attacchi dannosi alla rete e ai sistemi di informazione di due o più Stati membri od organismi dell'Unione (44); invita la Commissione a riesaminare le attività del Centro europeo per la lotta alla criminalità informatica presso Europol (EC3) e, se del caso, ad avanzare una proposta di quadro globale per il rafforzamento delle competenze del centro;

86.

esprime profonda preoccupazione per le crescenti minacce alla libertà di stampa e per l'effetto deterrente sui giornalisti provocato dalle intimidazioni da parte delle autorità statali, in particolare per quanto riguarda la tutela della riservatezza delle fonti giornalistiche; ribadisce le richieste espresse nella sua risoluzione del 21 maggio 2013 sulla «Carta dell'UE: norme comuni per la libertà dei mezzi d'informazione nell'UE»;

87.

prende atto del fermo di David Miranda e del sequestro del materiale in suo possesso da parte delle autorità del Regno Unito ai sensi dell'allegato 7 del Terrorism Act 2000 (così come della richiesta avanzata al quotidiano The Guardian di distruggere, ovvero consegnare il materiale); è preoccupato che ciò rappresenti una possibile e preoccupante ingerenza nel diritto alla libertà di espressione e alla libertà dei mezzi d'informazione, riconosciuto dall'articolo 10 della CEDU e dall'articolo 11 della Carta dell'UE, e che in casi come questo ci possa essere un abuso della normativa intesa a combattere il terrorismo;

88.

richiama l'attenzione sulla difficile situazione in cui versano gli informatori e i relativi sostenitori, ivi compresi i giornalisti a seguito delle loro rivelazioni; invita la Commissione a valutare se è opportuno che una futura proposta legislativa volta a istituire un programma europeo efficace e globale per la protezione degli informatori, come già richiesto nella risoluzione del Parlamento del 23 ottobre 2013, comprenda anche altre sfere di competenza dell'Unione, prestando particolare attenzione alla complessità della denuncia delle irregolarità nel campo dell'intelligence; invita gli Stati membri a esaminare approfonditamente la possibilità di concedere agli informatori protezione internazionale dalla prosecuzione;

89.

invita gli Stati membri a provvedere a che la loro normativa, segnatamente in materia di sicurezza nazionale, preveda un'alternativa sicura al silenzio per rendere noti o segnalare atti illeciti, tra cui corruzione, reati, violazioni di obblighi giuridici, errori giudiziari e abusi di autorità, che sia altresì in linea con le disposizioni contenute nei diversi strumenti internazionali (ONU e Consiglio d'Europa) di lotta alla corruzione, con i principi definiti nella risoluzione dell'APCE n. 1729 (2010), i principi di «Tshwane», ecc.;

90.

sottolinea che i recenti episodi dimostrano chiaramente la forte vulnerabilità dell'UE, e in particolare delle istituzioni dell'Unione, dei governi e parlamenti nazionali, delle principali società europee, delle infrastrutture e delle reti informatiche europee, agli attacchi sofisticati che utilizzano software e malware complessi; rileva che tali attacchi necessitano di risorse finanziarie e umane di un'entità tale da far supporre che provengano da enti statali che agiscono per conto di governi stranieri; ritiene, in siffatto contesto, che il caso di pirateria informatica o di intercettazione della società di telecomunicazioni Belgacom costituisca un esempio preoccupante di attacco a danno delle capacità informatiche dell'UE; evidenzia che un rafforzamento della capacità e della sicurezza informatiche dell'Unione attenua altresì il grado di vulnerabilità della stessa di fronte a gravi attacchi cibernetici provenienti da grandi organizzazioni criminali o gruppi terroristici;

91.

ritiene che le rivelazioni in materia di sorveglianza di massa, elemento scatenante dell'attuale crisi, possano essere colte come un'opportunità per l'Europa affinché prenda l'iniziativa e sviluppi, quale provvedimento strategico prioritario, capacità autonome e solide legate a risorse informatiche chiave; sottolinea che, al fine di guadagnare nuovamente fiducia, una siffatta capacità informatica europea dovrebbe fondarsi, per quanto possibile, su norme aperte come pure su software e, se possibile, hardware open-source, rendendo l'intera catena di approvvigionamento, dalla progettazione del processore al livello di applicazione, trasparente e assoggettabile a revisione; sottolinea che, per recuperare competitività nel settore strategico dei servizi informatici, occorre avviare un «nuovo corso digitale», con uno sforzo comune e su vasta scala da parte delle istituzioni dell'UE, degli Stati membri, degli istituti di ricerca, dell'industria e della società civile; invita la Commissione e gli Stati membri a utilizzare gli appalti pubblici come leva per sostenere tale capacità di risorse in seno all'UE, facendo delle norme europee in materia di sicurezza e privacy un requisito fondamentale negli appalti pubblici di prodotti e servizi informatici; esorta pertanto la Commissione a rivedere le attuali pratiche in materia di appalti pubblici relativamente al trattamento dei dati, al fine di valutare l'ipotesi di limitare le procedure di gara ad aziende certificate, ed eventualmente alle aziende dell'UE, laddove siano in gioco interessi in materia di sicurezza o altri interessi vitali;

92.

condanna con fermezza il tentativo da parte dei servizi d'intelligence di abbassare gli standard di sicurezza informatica e d'installare backdoor in numerosi sistemi informatici; chiede alla Commissione di presentare un progetto legislativo per proibire l'uso di backdoor da parte delle autorità di contrasto; raccomanda, di conseguenza, l'uso di software open source in tutti gli ambienti in cui la sicurezza informatica costituisce motivo di preoccupazione;

93.

invita tutti gli Stati membri, la Commissione, il Consiglio e il Consiglio europeo a dare pieno sostegno, anche attraverso finanziamenti destinati alla ricerca e allo sviluppo, affinché si sviluppi una capacità tecnologica e di innovazione a livello europeo in relazione a strumenti, aziende e fornitori informatici (hardware, software, servizi e rete), anche ai fini di sicurezza informatica, crittografia e capacità crittografiche; invita tutte le istituzioni responsabili dell'UE e gli Stati membri a investire nelle tecnologie locali e indipendenti UE, a sviluppare in maniera massiccia e ad aumentare la capacità di accertamento;

94.

invita la Commissione, gli enti di normalizzazione e l'ENISA a elaborare, entro dicembre 2014, norme minime e orientamenti in materia di sicurezza e privacy per sistemi informatici, reti e servizi, inclusi i servizi di cloud computing, al fine di proteggere meglio i dati personali dei cittadini dell'UE e l'integrità di tutti i sistemi informatici; crede che tali norme potrebbero diventare il parametro di riferimento per nuove norme globali e che debbano essere definite nel quadro di un processo aperto e democratico, anziché essere determinate da un singolo paese, da una singola entità o multinazionale; ritiene che, sebbene occorra prendere in considerazione le legittime preoccupazioni concernenti l'applicazione della legge e le attività d'intelligence ai fini del sostegno alla lotta al terrorismo, queste non dovrebbero portare a un indebolimento generale della sicurezza di tutti i sistemi informatici; sostiene le recenti decisioni della Internet Engineering Task Force (IETF) intese a includere i governi nel modello di minaccia per la sicurezza di Internet;

95.

sottolinea che le autorità di regolamentazione del settore delle telecomunicazioni nazionali e dell'UE, e in taluni casi anche le società di telecomunicazione, hanno chiaramente trascurato la sicurezza informatica dei propri utenti e clienti; invita la Commissione ad avvalersi appieno dei poteri di cui dispone ai sensi della direttiva quadro in materia di e-privacy e telecomunicazioni per rafforzare la tutela della riservatezza delle comunicazioni attraverso l'adozione di misure volte a garantire la compatibilità delle apparecchiature terminali con il diritto degli utenti a controllare e proteggere i loro dati personali, e per garantire un elevato livello di sicurezza delle reti e dei servizi di telecomunicazione, anche prescrivendo una crittografia delle comunicazioni che sia end-to-end e all'avanguardia;

96.

appoggia la strategia informatica dell'UE, ma ritiene che non affronti tutte le possibili minacce e che debba essere ampliata onde contemplare comportamenti statali malevoli; sottolinea la necessità di rafforzare la sicurezza e la resilienza dei sistemi informatici;

97.

invita la Commissione a presentare, entro gennaio 2015 al più tardi, un piano d'azione per sviluppare una maggiore indipendenza dell'UE nel settore informatico, fra cui un approccio più coerente per rafforzare le capacità tecnologiche informatiche europee (compresi i sistemi informatici, le apparecchiature, i servizi, il cloud computing, la crittografia e l'anonimizzazione) e proteggere le infrastrutture informatiche cruciali (anche in termini di proprietà e vulnerabilità);

98.

invita la Commissione, nel quadro del prossimo programma di lavoro di Orizzonte 2020, a indirizzare maggiori risorse a favore della promozione, a livello europeo, di ricerca, sviluppo, innovazione e formazione nel campo delle tecnologie informatiche, in particolare a favore delle tecnologie e infrastrutture per il rafforzamento della tutela della vita privata, della crittologia, dei sistemi informatici sicuri, delle migliori soluzioni possibili nel campo della sicurezza, ivi compresa la sicurezza open source, e di altri servizi della società dell'informazione, nonché a promuovere il mercato interno a livello europeo di software, hardware e mezzi e infrastrutture di comunicazione criptati, sviluppando anche una strategia industriale globale dell'UE per il settore informatico; ritiene che le piccole e medie imprese svolgano un ruolo speciale nella ricerca; sottolinea che non andrebbero concessi fondi dell'UE a favore di progetti la cui unica finalità consiste nello sviluppare strumenti per accedere illegalmente ai sistemi informatici;

99.

chiede alla Commissione di delineare le attuali responsabilità e di esaminare, entro dicembre 2014 al più tardi, la necessità di un mandato più ampio, un migliore coordinamento e/o risorse e capacità tecniche aggiuntive per l'ENISA, il centro per la lotta alla criminalità informatica dell'Europol e altri centri specializzati dell'Unione, il CERT-UE e il GEPD, onde consentire loro di svolgere un ruolo di primo piano nella messa in sicurezza dei sistemi di comunicazione europei, di essere più efficienti nel prevenire e nell'indagare sulle principali violazioni informatiche in seno all'UE così come nello svolgere (o nell'aiutare gli Stati membri e gli organismi dell'UE a svolgere) indagini tecniche in loco concernenti le principali violazioni informatiche; invita, in particolare, la Commissione a valutare la possibilità di rafforzare il ruolo dell'ENISA per quanto concerne la difesa dei sistemi interni delle istituzioni dell'UE e a istituire in seno ad essa un gruppo di pronto intervento informatico (CERT) per l'UE e i suoi Stati membri;

100.

chiede alla Commissione di valutare la necessità di un'accademia informatica dell'UE che riunisca i migliori esperti indipendenti, a livello europeo e internazionale, in tutti i campi correlati, con il compito di fornire a tutte le istituzioni e agli organi pertinenti dell'UE pareri scientifici sulle tecnologie informatiche, ivi comprese strategie legate alla sicurezza;

101.

invita i servizi competenti del segretariato generale del Parlamento europeo, sotto la responsabilità del suo Presidente, a elaborare una relazione intermedia entro dicembre 2014 oltre a condurre, entro giugno 2015 al più tardi, un esame e una valutazione approfonditi dell'affidabilità della sicurezza informatica del Parlamento europeo che siano incentrati su mezzi di bilancio, risorse umane, capacità tecniche, organizzazione interna e su tutti gli elementi pertinenti, al fine di raggiungere un elevato livello di sicurezza per i sistemi informatici del Parlamento europeo; ritiene che tale valutazione debba per lo meno fornire informazioni, analisi e raccomandazioni per quanto riguarda:

102.

chiede a tutte le istituzioni e alle agenzie dell'UE di svolgere un esercizio analogo in collaborazione con l'ENISA, Europol e i CERT, entro giugno 2015 al più tardi, e di elaborare entro dicembre 2014 una relazione intermedia, in particolare al Consiglio europeo, al Consiglio, al Servizio europeo per l'azione esterna (comprese le delegazioni dell'UE), alla Commissione, alla Corte di giustizia e alla Banca centrale europea; invita gli Stati membri a effettuare valutazioni analoghe;

103.

sottolinea che, per quanto riguarda l'azione esterna dell'UE, occorre effettuare talune valutazioni dei fabbisogni di bilancio correlati, adottare senza indugio le prime misure nel caso del Servizio europeo per l'azione esterna (SEAE), nonché assegnare fondi adeguati nel progetto di bilancio per il 2015;

104.

ritiene che i sistemi informatici su larga scala utilizzati nel settore della libertà, sicurezza e giustizia, come il Sistema d'informazione Schengen II, il Sistema d'informazione visti, Eurodac e gli eventuali sistemi futuri, come un sistema ESTA dell'Unione, dovrebbero essere sviluppati e gestiti in modo tale da garantire che i dati non siano compromessi a seguito di richieste da parte di autorità di paesi terzi; chiede a eu-LISA di riferire al Parlamento circa l'affidabilità dei sistemi in uso entro la fine del 2014;

105.

invita la Commissione e il SEAE a intervenire a livello internazionale, con le Nazioni Unite, in particolare, e in collaborazione con i partner interessati ad attuare una strategia dell'UE per la governance democratica di Internet al fine di evitare un'indebita influenza sulle attività di ICANN e IANA da parte di singole entità, società o paesi, garantendo un'adeguata rappresentanza di tutte le parti interessate in tali organismi ed evitando al contempo di facilitare il controllo o la censura di Stato, oppure la «balcanizzazione» e la frammentazione di Internet;

106.

invita l'UE ad assumere un ruolo guida per rimodellare l'architettura e la governance di Internet nell'ottica di far fronte ai rischi concernenti i flussi e l'archiviazione dei dati, con uno sforzo rivolto a una maggiore minimizzazione e trasparenza dei dati, a una minore archiviazione centralizzata dei dati grezzi, nonché alla deviazione del traffico Internet, ovvero alla completa crittografia end-to-end di tutto il traffico Internet in modo da evitare gli attuali rischi associati alla deviazione superflua del traffico attraverso il territorio di paesi che non rispettano le norme di base in materia di diritti fondamentali, protezione dei dati e della vita privata;

107.

invita a promuovere:

108.

chiede alla Commissione di presentare una proposta legislativa su un sistema europeo di instradamento che comprenda l'elaborazione di registri dettagliati del traffico (CDR) a livello UE che sarà una sottostruttura dell'internet esistente e non si estenderà oltre i confini dell'UE; osserva che tutti i dati di instradamento e i CDR dovrebbero essere elaborati conformemente ai quadri giuridici dell'UE;

109.

invita gli Stati membri, in collaborazione con l'ENISA, il centro CyberCrime dell'Europol, i CERT e le autorità nazionali per la protezione dei dati e le unità preposte alla lotta contro la criminalità informatica, a sviluppare una cultura della sicurezza e ad avviare una campagna di formazione e di sensibilizzazione al fine di consentire ai cittadini di fare una scelta più consapevole sui dati personali da mettere online e su come meglio proteggerli, anche attraverso la crittografia e un cloud computing protetto, avvalendosi appieno della piattaforma d'informazioni di interesse pubblico prevista dalla direttiva sul servizio universale;

110.

invita la Commissione a presentare, entro dicembre 2014 al più tardi, una proposta legislativa per incoraggiare i produttori di hardware e software a introdurre una maggiore sicurezza e privacy nei loro prodotti attraverso caratteristiche progettuali e funzioni automatiche, prevedendo anche disincentivi per la raccolta indebita e sproporzionata dei dati personali di massa e la responsabilità giuridica da parte dei produttori per le vulnerabilità senza patch conosciute, i prodotti difettosi o non sicuri ovvero l'installazione di backdoor segrete che permettono l'accesso non autorizzato ai dati e il trattamento di questi ultimi; invita in tal senso la Commissione a valutare la possibilità di istituire un sistema di certificazione o convalida per l'hardware, comprese procedure di collaudo a livello di Unione onde assicurare l'integrità e la sicurezza dei prodotti;

111.

crede che, oltre alla necessità di modifiche legislative, l'indagine abbia evidenziato l'esigenza per gli Stati Uniti di ristabilire la fiducia con i suoi partner UE, dal momento che sono principalmente in gioco le attività delle agenzie d'intelligence statunitensi;

112.

sottolinea che la crisi di fiducia venutasi a creare si estende:

113.

ricorda l'importante partenariato storico e strategico tra gli Stati membri dell'UE e gli Stati Uniti, fondato su una fede comune nella democrazia, nello Stato di diritto e nei diritti fondamentali;

114.

ritiene che la sorveglianza di massa dei cittadini e lo spionaggio di leader politici da parte degli Stati Uniti abbiano causato gravi danni alle relazioni tra l'UE e gli Stati Uniti e abbiano influito negativamente sulla fiducia nelle organizzazioni statunitensi che operano nell'UE; è del parere che tale situazione sia ulteriormente aggravata dalla mancanza di vie di ricorso giudiziario e amministrativo, in virtù del diritto statunitense, per i cittadini dell'UE, in particolare in casi di attività di sorveglianza ai fini di intelligence;

115.

riconosce, alla luce delle sfide globali che attendono l'UE e gli Stati Uniti, che il partenariato transatlantico deve essere ulteriormente rafforzato, e che è di vitale importanza che la cooperazione transatlantica nella lotta al terrorismo continui sulla base di una nuova fiducia fondata su un vero rispetto comune dello Stato di diritto e sul rifiuto di tutte le pratiche indiscriminate di sorveglianza di massa; insiste pertanto sulla necessità che gli Stati Uniti adottino misure precise per ristabilire la fiducia e porre nuovamente l'accento sui valori fondamentali condivisi alla base del partenariato;

116.

è pronto a impegnarsi in un dialogo con le controparti statunitensi affinché, nell'attuale dibattito pubblico e congressuale americano sulla riforma della sorveglianza e sulla revisione del controllo dei servizi d'intelligence, siano garantiti il diritto alla privacy e altri diritti dei cittadini e dei residenti dell'UE, ovvero delle altre persone tutelate dal diritto dell'Unione, nonché gli equivalenti diritti all'informazione e alla tutela della privacy presso i tribunali statunitensi, compresi gli strumenti di ricorso giuridico, attraverso, a titolo di esempio, una revisione del Privacy Act e dell'Electronic Communications Privacy Act come pure una ratifica del primo protocollo facoltativo al Patto internazionale relativo ai diritti civili e politici (ICCPR), di modo che l'attuale discriminazione non si perpetui;

117.

insiste sulla necessità di intraprendere le riforme necessarie e fornire efficaci garanzie agli europei per assicurare che l'uso degli strumenti di sorveglianza e il trattamento dei dati ai fini d'intelligence straniera siano proporzionali, limitati da condizioni chiaramente definite e collegati a un ragionevole sospetto o una probabile causa di attività terroristica; sottolinea che lo scopo in parola deve essere soggetto a controllo giurisdizionale trasparente;

118.

ritiene che occorrano segnali politici chiari dai nostri partner americani per dimostrare che gli Stati Uniti distinguono tra alleati e avversari;

119.

esorta la Commissione europea e l'amministrazione degli Stati Uniti ad affrontare, nel quadro dei negoziati in corso su un accordo quadro UE-USA sul trasferimento dei dati a fini di contrasto, le questioni legate ai diritti in materia di informazione e di ricorso giudiziario dei cittadini dell'UE, e a concludere tali negoziati, in linea con l'impegno assunto in occasione della riunione ministeriale «Giustizia e affari interni» UE-USA del 18 novembre 2013, prima dell'estate 2014;

120.

incoraggia gli Stati Uniti ad aderire alla Convenzione del Consiglio d'Europa per la protezione delle persone in relazione al trattamento automatico dei dati a carattere personale (convenzione n. 108), dal momento che hanno aderito alla Convenzione sulla criminalità informatica del 2001, rafforzando in tal modo la base giuridica condivisa fra gli alleati transatlantici;

121.

invita le istituzioni dell'UE a valutare la possibilità di stabilire con gli Stati Uniti un codice di condotta per garantire che non vengano effettuate attività di spionaggio da parte degli Stati Uniti nei confronti delle istituzioni e delle strutture dell'UE;

122.

ritiene inoltre che il coinvolgimento e le attività degli Stati membri dell'UE abbiano portato a una perdita di fiducia, sia tra gli Stati membri che tra i cittadini UE e le relative autorità nazionali; è del parere che solo una massima chiarezza circa le finalità e i mezzi di sorveglianza, un dibattito pubblico e, in ultima analisi, la revisione della normativa, che preveda la fine delle attività di sorveglianza di massa e il rafforzamento del sistema di controllo giudiziario e parlamentare, saranno in grado di ripristinare la fiducia perduta; ribadisce le difficoltà inerenti allo sviluppo di politiche globali a livello di UE in materia di sicurezza dal momento che sono in atto attività di sorveglianza di questo tipo; sottolinea che il principio dell'UE di leale cooperazione presuppone che gli Stati membri si astengano dal condurre attività di intelligence nel territorio di altri Stati membri;

123.

prende atto del fatto che alcuni Stati membri stanno perseguendo una comunicazione di tipo bilaterale con le autorità statunitensi in merito alle accuse di spionaggio, e che alcuni di essi hanno concluso (Regno Unito) o prevedono di concludere (Germania, Francia) cosiddetti accordi di «antispionaggio»; sottolinea che tali Stati membri devono rispettare appieno gli interessi e il quadro legislativo dell'UE nel suo insieme; ritiene che tali accordi bilaterali siano controproducenti e non pertinenti, dato che è necessario un approccio europeo alla problematica in questione; chiede al Consiglio di informare il Parlamento circa gli sviluppi realizzati dagli Stati membri in merito a un accordo reciproco antispionaggio a livello di Unione;

124.

ritiene che tali accordi non debbano violare i trattati dell'Unione, in particolare il principio di leale cooperazione (ai sensi dell'articolo 4, paragrafo 3, TUE), o compromettere le politiche dell'UE in generale e, più specificamente, il mercato interno, la concorrenza leale e lo sviluppo economico, industriale e sociale; decide di esaminare la conformità di qualsiasi accordo di questo tipo con il diritto europeo e si riserva il diritto di attivare le procedure previste dal trattato nel caso in cui si dimostri che tali accordi siano in contraddizione con il principio di coesione dell'Unione o i principi fondamentali su cui si basa;

125.

invita gli Stati membri a compiere ogni sforzo possibile per garantire una migliore cooperazione con l'obiettivo di fornire garanzie contro lo spionaggio, in cooperazione con gli organi e le agenzie pertinenti dell'UE, ai fini della tutela dei cittadini e delle istituzioni dell'UE, delle imprese europee, dell'industria europea, delle infrastrutture e delle reti informatiche, nonché della ricerca europea; ritiene che il coinvolgimento attivo delle parti interessate dell'UE sia un requisito indispensabile per un efficace scambio di informazioni; osserva che le minacce alla sicurezza hanno assunto un carattere più internazionale, diffuso e complesso, che presuppone pertanto una maggiore cooperazione a livello europeo; ritiene che tale sviluppo debba riflettersi meglio nei trattati, e chiede pertanto una revisione di questi ultimi al fine di rafforzare il concetto di leale cooperazione tra gli Stati membri e l'Unione per quanto riguarda l'obiettivo inteso a realizzare uno spazio di sicurezza, nonché di evitare attività di spionaggio reciproco tra Stati membri all'interno dell'Unione;

126.

ritiene che sia assolutamente necessario realizzare strutture di comunicazione a prova di intercettazione (email e telecomunicazioni, inclusi le linee terrestri e i telefoni cellulari) e sale riunione a prova di intercettazione presso tutte le istituzioni e delegazioni pertinenti dell'UE; invita pertanto a realizzare un sistema interno dell'UE di posta elettronica crittografata;

127.

invita il Consiglio e la Commissione a dare il loro consenso senza ulteriori indugi alla proposta, approvata dal Parlamento europeo il 23 maggio 2012, di regolamento del Parlamento europeo relativo alle modalità per l'esercizio del diritto d'inchiesta del Parlamento europeo e che abroga la decisione 95/167/CE, Euratom, CECA del Parlamento europeo, del Consiglio e della Commissione, presentata sulla base dell'articolo 226 TFUE; chiede di procedere a una revisione del trattato al fine di ampliare tali poteri di indagine per contemplare, senza limitazioni o eccezioni, tutti i settori di competenza o di attività dell'Unione e per includere la possibilità di effettuare interrogatori sotto giuramento;

128.

invita la Commissione a presentare, entro gennaio 2015 al più tardi, una strategia dell'UE per la governance democratica di Internet;

129.

invita gli Stati membri a dare seguito all'invito della 35a Conferenza internazionale dei commissari per la protezione dei dati e la privacy a sostenere l'adozione di un protocollo aggiuntivo all'articolo 17 del Patto internazionale relativo ai diritti civili e politici (ICCPR), che dovrebbe basarsi sugli standard elaborati e approvati dalla Conferenza internazionale e sulle disposizioni dell'osservazione generale n. 16 del Comitato dei diritti umani relativa al Patto al fine di creare norme applicabili a livello internazionale per la protezione dei dati e la tutela della privacy nel rispetto dello Stato di diritto; invita gli Stati membri a includere in tale attività la richiesta di istituire un'agenzia internazionale delle Nazioni Unite responsabile, in particolare, di controllare gli strumenti di sorveglianza emergenti e di regolamentare e analizzare il loro impiego; chiede all'alto rappresentante/vicepresidente della Commissione e al Servizio europeo per l'azione esterna di adottare un'impostazione proattiva;

130.

invita gli Stati membri a elaborare una strategia coerente e solida nel contesto delle Nazioni Unite, appoggiando in particolare la risoluzione sul «diritto alla privacy nell'era digitale» di cui si sono fatti promotori Brasile e Germania, adottata dal terzo Comitato della Commissione dell'Assemblea Generale delle Nazioni Unite (Comitato dei diritti umani) in data 27 novembre 2013, nonché prendendo ulteriori provvedimenti per la difesa del diritto fondamentale alla privacy e alla protezione dei dati a livello internazionale, evitando nel contempo di facilitare il controllo o la censura di Stato o la frammentazione di Internet, inclusa un'iniziativa a favore dell'adozione di un trattato internazionale che vieti le attività di sorveglianza di massa e a favore dell'istituzione di un'agenzia per assicurarne il controllo;

131.

decide di presentare ai cittadini, alle istituzioni e agli Stati membri dell'UE le raccomandazioni summenzionate, sotto forma di piano prioritario per la prossima legislatura; invita la Commissione e le altre istituzioni, organi, uffici e agenzie dell'UE di cui alla presente risoluzione, in conformità dell'articolo 265 del TFUE, a dar seguito alle raccomandazioni e agli inviti contenuti nella presente risoluzione;

132.

decide di varare un «Habeas Corpus digitale europeo — Protezione dei diritti fondamentali nell'era digitale» che preveda le otto azioni in appresso, di cui esso stesso sorveglierà l'attuazione:

133.

invita le istituzioni e gli Stati membri dell'UE a promuovere l'«Habeas Corpus digitale europeo — Protezione dei diritti fondamentali nell'era digitale»; s'impegna ad agire in qualità di difensore dei diritti dei cittadini dell'UE in conformità del seguente programma di controllo dell'attuazione:

134.

incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio europeo, al Consiglio, alla Commissione, ai parlamenti e ai governi degli Stati membri, alle autorità nazionali autorità preposte alla protezione dei dati, al GEPD, a eu-LISA, all'ENISA, all'Agenzia per i diritti fondamentali, al Gruppo dell'articolo 29, al Consiglio d'Europa, al Congresso degli Stati Uniti d'America, all'amministrazione statunitense, al presidente, al governo e al parlamento della Repubblica federativa del Brasile, nonché al Segretario generale delle Nazioni Unite;

135.

incarica la sua commissione per le libertà civili, la giustizia e gli affari interni di riferire in Aula sull'argomento, un anno dopo l'approvazione della presente risoluzione; ritiene che sia essenziale valutare in che misura siano state seguite le raccomandazioni adottate dal Parlamento e analizzare ogni caso in cui non si sia dato seguito alle stesse.