Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52016DC0117

COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO Trasferimenti transatlantici di dati – Ripristinare la fiducia attraverso solide garanzie

COM/2016/0117 final

Bruxelles, 29.2.2016

COM(2016) 117 final

COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO

Trasferimenti transatlantici di dati – Ripristinare la fiducia attraverso solide garanzie


1. Introduzione – Il ruolo degli scambi di dati personali nelle relazioni UEUSA

Un solido partenariato transatlantico fra l’Unione europea e gli Stati Uniti è oggi più importante che mai. L’UE e gli USA condividono valori comuni, perseguono obiettivi politici ed economici comuni, e cooperano da vicino nella lotta contro le minacce comuni alla sicurezza. La forza duratura delle relazioni UE-USA è dimostrata dalla portata degli scambi commerciali e dalla stretta collaborazione sulla scena mondiale.

Il trasferimento e lo scambio di dati personali è un aspetto essenziale a supporto degli stretti legami che intercorrono fra l’Unione europea e gli Stati Uniti nel settore commerciale così come in quello delle attività di contrasto. Questi scambi richiedono un alto livello di protezione dei dati e garanzie corrispondenti.

Nel giugno 2013, alcune relazioni riguardanti i programmi statunitensi di raccolta di intelligence su vasta scala hanno sollevato serie preoccupazioni, a livello sia dell’UE che degli Stati membri, quanto all’impatto esercitato sui diritti fondamentali degli europei dal trattamento di dati personali su vasta scala da parte sia delle autorità pubbliche che di società private negli Stati Uniti.

In risposta a tali preoccupazioni, il 27 novembre 2013 la Commissione ha pubblicato una comunicazione relativa al ripristino di un clima di fiducia negli scambi di dati fra l’UE e gli USA 1 , che presenta un piano d’azione per ristabilire la fiducia nei trasferimenti di dati a beneficio dell’economia digitale, della protezione dei diritti dei cittadini europei, e delle più ampie relazioni transatlantiche. La comunicazione presenta le seguenti azioni fondamentali per conseguire tale obiettivo:

(i)    adottare il pacchetto di riforme della protezione dei dati proposto dalla Commissione nel 2012 2 ;

(ii)    migliorare il regime “Approdo sicuro” sulla base delle 13 raccomandazioni contenute nella relativa comunicazione 3 , e

(iii) rafforzare le garanzie in materia di protezione dei dati nel contesto della cooperazione fra autorità di contrasto, in particolare con la conclusione dei negoziati sull’accordo quadro sulla protezione dei dati fra l’Unione europea e gli Stati Uniti. Tali negoziati hanno incluso anche l’obiettivo di ottenere impegni dagli Stati Uniti in materia di diritti individuali azionabili, incluse le possibilità di ricorso giudiziario, in particolare attraverso il varo di una legge sul ricorso giudiziario che estende ai cittadini dell’Unione europea certi diritti sanciti dalla legge americana del 1974 sulla tutela della vita privata e finora esercitabili solo dai cittadini statunitensi e dai residenti permanenti.

Questi obiettivi sono stati ribaditi negli orientamenti politici 4 della Commissione Juncker: “La protezione dei dati è un diritto fondamentale di particolare rilevanza nell’era digitale. Oltre a perfezionare rapidamente i lavori legislativi sulle norme comuni di protezione dei dati all’interno dell’Unione europea, dobbiamo affermare questo diritto anche nelle relazioni esterne. Alla luce delle recenti rivelazioni sulle pratiche di sorveglianza di massa, partner a noi vicini, come gli Stati Uniti d’America, devono convincerci che l’attuale regime dell’“Approdo sicuro” garantisce effettivamente la sicurezza: solo così potrà essere mantenuto. Gli USA devono dare inoltre la garanzia che tutti i cittadini dell’UE, che risiedano o no sul suolo statunitense, siano in grado di far valere i propri diritti alla protezione dei dati dinanzi ai giudici americani: si tratta di un elemento essenziale per ristabilire la fiducia nelle relazioni transatlantiche.

Da allora, la Commissione ha lavorato in tal senso. Ha accelerato i negoziati sull’accordo quadro, che sono stati siglati dalle Parti l’8 settembre 2015. Le discussioni interistituzionali sul pacchetto di riforma della protezione dei dati sono state intensificate, e il 15 dicembre 2015 sono sfociate in un accordo politico fra il Consiglio e il Parlamento europeo. Per quanto riguarda i trasferimenti transatlantici di dati in ambito commerciale, nel gennaio 2014 la Commissione ha cominciato a discutere con gli Stati Uniti per rafforzare il regime “Approdo sicuro”. L’annullamento della decisione “Approdo sicuro” da parte della Corte di giustizia nella sentenza Schrems del 6 ottobre 2015 5 ha confermato la necessità di disporre di un nuovo quadro e ha fornito nuovi orientamenti sulle condizioni che un tale quadro dovrebbe soddisfare. A seguito di questa sentenza, il 6 novembre 2015 la Commissione ha emanato orientamenti per le società presentando gli strumenti alternativi che consentono di continuare il trasferimento di dati personali verso gli Stati Uniti 6 . Il 2 febbraio 2016 è stato raggiunto un accordo politico su un nuovo quadro per i trasferimenti transatlantici di dati, lo scudo UE-USA per la privacy 7 , a sostituzione delle disposizioni precedenti.

Questi risultati andranno a beneficio delle relazioni transatlantiche e dovrebbero ripristinare la fiducia degli europei nell’economia digitale rafforzando al tempo stesso i loro diritti fondamentali. Doteranno inoltre l’Unione europea e gli Stati membri di un più forte quadro giuridico per la protezione dei dati che porterà a una maggiore integrazione del mercato interno, in particolare il mercato unico digitale, e che consentirà all’UE di intensificare gli sforzi per promuovere e sviluppare le norme sulla protezione della vita privata e dei dati personali a livello internazionale.

Parallelamente sono state avviate importanti iniziative che hanno portato a cambiamenti significativi nell’ordinamento giuridico degli Stati Uniti. Il 17 gennaio 2014 il Presidente Obama ha annunciato 8 delle riforme nelle attività di spionaggio elettronico degli Stati Uniti, consegnate successivamente nella direttiva presidenziale 28 (PPD-28) 9 . Cosa importante, queste riforme prevedono l’estensione ai non Americani di certe misure di protezione della privacy, così come un ricentramento della raccolta dei dati in cui si abbandoni la raccolta di massa e si passi a un approccio che dia la priorità alla raccolta e all’accesso mirati. La Commissione ha accolto favorevolmente questi nuovi orientamenti come un passo importante nella giusta direzione 10 . Il processo di riforma è anche confluito nelle discussioni con gli USA sullo scudo UE-USA per la privacy, subendo successivamente ulteriori cambiamenti. Nel giugno 2015 gli Stati Uniti hanno ad esempio approvato la legge sulla libertà 11 , che modifica alcuni programmi di sorveglianza americani, rafforza il controllo giudiziario e aumenta la trasparenza, nei confronti dei cittadini, quanto all’utilizzo di questi programmi. Infine, il 10 febbraio 2016, il Congresso americano ha approvato la legge sul ricorso giudiziario, promulgata dal Presidente Obama il 24 febbraio 2016 12 .

È in questo contesto che la presente comunicazione fa il punto sui progressi compiuti nel conseguimento degli obiettivi formulati nella comunicazione del 2013. Il presente documento mette inoltre in evidenza gli ambiti in cui è necessario continuare a lavorare per cementare e ripristinare totalmente la fiducia nei trasferimenti transatlantici di dati.

2. La riforma dell’UE sulla protezione dei dati

2.1 Contesto

Per cogliere le opportunità e raccogliere le sfide di un mondo sempre più digitale e interconnesso, nel gennaio 2012 la Commissione europea ha presentato un pacchetto di riforme della protezione dei dati (la “riforma”). Rafforzando le regole europee interne e mettendo i cittadini in condizione di esercitare un maggiore controllo sui propri dati personali, la riforma mira a promuovere la fiducia nell’economia digitale, sia che i dati siano trattati in uno Stato membro, nell’UE, o in paesi terzi come gli Stati Uniti.

Il pacchetto di riforme comprende due strumenti giuridici: un regolamento generale sulla protezione dei dati 13 (il “regolamento”), relativo a un quadro comune europeo per la protezione dei dati, e una direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia 14 . Proponendo un regolamento, direttamente applicabile negli Stati membri, la Commissione ha inteso stabilire una normativa sulla protezione dei dati comune per tutti, eliminando così le differenze nel livello di tutela esistenti fra gli Stati membri. Analogamente, la direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia introdurrà per la prima volta un insieme comune di norme a livello europeo, tenendo conto al tempo stesso delle specificità delle tradizioni giudiziarie e delle attività di contrasto negli Stati membri.

Il 15 dicembre 2015 il Parlamento europeo e il Consiglio hanno raggiunto un accordo politico sul pacchetto della riforma, realizzando così una delle principali azioni indicate nella comunicazione del 2013.

2.2 Cos’è cambiato?

Il regolamento aggiorna, modernizza e in alcuni casi consolida i principi di protezione dei dati sanciti dalla direttiva del 1995 15 per garantire il diritto alla privacy. Si concentra sul rafforzamento dei diritti della persona, sul consolidamento del mercato interno europeo, su una più rigorosa applicazione delle norme, su una razionalizzazione dei trasferimenti internazionali di dati personali e sull’istituzione di norme di protezione dei dati a livello globale. Le norme sono concepite per garantire che i dati personali dei cittadini europei siano protetti - indipendentemente dal luogo in cui sono inviati, trattati o conservati – anche al di fuori dell’UE, come può spesso accadere in un mondo digitale. È particolarmente rilevante evidenziare una serie di caratteristiche della riforma.

Primo, il campo d’applicazione territoriale – Il regolamento indica chiaramente che esso si applica anche a società stabilite in un paese terzo se offrono beni e servizi, o controllano il comportamento di persone, nell’UE. Le società basate al di fuori dell’UE dovranno applicare le stesse regole delle società basate nell’Unione. Questo garantisce una protezione completa dei diritti dei cittadini europei, e crea anche condizioni di parità fra le società europee e quelle straniere, evitando così squilibri sul piano concorrenziale fra le imprese dell’UE e le imprese straniere quando operano nell’UE o si rivolgono a consumatori nell’UE.

Secondo, un’applicazione più rigorosa delle norme in materia di tutela dei dati – Il regolamento prevede un efficace sistema sanzionatorio armonizzando i poteri delle autorità di controllo della protezione dei dati degli Stati membri (APD), che avranno la facoltà di comminare ammende fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo totale di un’impresa. Questa facoltà di imporre sanzioni dissuasive per inosservanza delle norme in materia di protezione dei dati, insieme al principio del campo d’applicazione territoriale sopra menzionato, garantiranno che le imprese operanti nell’UE siano indotte a rispettare il diritto dell’Unione. Le nuove norme introducono anche un regime di responsabilità più chiaro e più severo per i responsabili e gli incaricati del trattamento.

Terzo, regole armonizzate per la cooperazione fra autorità di contrasto – La direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia applicherà i principi e le norme generali sulla protezione dei dati al trattamento dei dati personali da parte della polizia e delle autorità giudiziarie degli Stati membri ai fini dell’applicazione del diritto penale. Ciò comporta regole armonizzate in materia di trasferimenti internazionali di dati personali nel contesto della cooperazione ai fini dell’applicazione del diritto penale 16 . La nuova direttiva alzerà il livello di protezione per le persone garantendo al tempo stesso che i dati delle vittime, dei testimoni e degli indiziati di reato siano debitamente tutelati nell’ambito di un’indagine penale o di un’azione di contrasto. Il controllo è garantito da autorità nazionali indipendenti di protezione dei dati e i cittadini devono avere accesso a mezzi di ricorso giurisdizionale adeguati. Al tempo stesso, leggi più armonizzate consentiranno alla polizia e alle autorità giudiziarie di cooperare più strettamente, fra gli Stati membri così come fra Stati membri e partner internazionali, per lottare contro la criminalità e il terrorismo in modo più efficace. Si tratta di un aspetto fondamentale dell’Agenda europea sulla sicurezza 17 . 

Quarto, regole rigorose per trasferimenti internazionali più sicuri – Sia il regolamento che la direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia prevedono norme trasparenti, dettagliate e complete per i trasferimenti di dati personali verso i paesi terzi. Tali norme riguardano tutte le forme di trasferimenti internazionali, che essi siano per fini commerciali o di attività di contrasto, fra privati o fra autorità pubbliche, o fra soggetti privati e autorità pubbliche. Se l’architettura delle norme sui trasferimenti internazionali resta essenzialmente uguale a quella dell’attuale direttiva sulla protezione dei dati (cioè decisioni di adeguatezza, clausole contrattuali tipo e norme vincolanti di impresa, così come alcune deroghe al divieto generale di trasferire dati personali al di fuori dell’UE), la riforma chiarisce e semplifica in vari modi le norme in questione e al tempo stesso riduce la burocrazia. Introduce inoltre alcuni nuovi strumenti per i trasferimenti internazionali.

Il regolamento rafforza inoltre i poteri delle autorità di protezione dei dati dell’UE, anche per quanto riguarda i trasferimenti internazionali. Rispetto a quanto previsto dall’attuale direttiva sulla protezione dei dati, le disposizioni relative all’indipendenza, alle funzioni e ai poteri delle APD dell’UE sono enunciate più dettagliatamente e sostanzialmente potenziate. Questo include espressamente il potere di sospendere la circolazione dei dati verso un destinatario in un paese terzo o un’organizzazione internazionale. La direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia contiene disposizioni analoghe riguardo ai trasferimenti internazionali e al potere delle APD nel settore delle attività di contrasto.

Più specificamente, per quanto riguarda le norme sulle decisioni di adeguatezza della Commissione, il regolamento prevede un preciso e dettagliato elenco di elementi di cui la Commissione deve tenere conto nel valutare il livello di protezione dei dati garantito dall’ordinamento giuridico di un paese terzo. Questo processo consiste in una valutazione approfondita che la Commissione deve intraprendere e che dovrebbe riguardare – altro elemento conforme alla sentenza Schrems – le norme che disciplinano l’accesso ai dati personali da parte delle autorità pubbliche di un paese terzo. Un altro elemento di tale valutazione è accertare se le persone godono di diritti di protezione dei dati effettivi e azionabili e possono ottenere un ricorso effettivo in sede amministrativa e giudiziaria.

Il regolamento prevede inoltre espressamente che la Commissione riesamini periodicamente, almeno ogni quattro anni, tutte le sue decisioni di adeguatezza, per tenersi al corrente di tutti gli sviluppi rilevanti in un paese terzo che potrebbero avere conseguenze dirette, anche negative, sul livello di protezione offerto dall’ordinamento giuridico di tale paese. Questo monitoraggio continuo dell’adeguatezza sarà un processo più dinamico, poiché comporterà anche un dialogo con le autorità del paese terzo in questione.

Per quanto riguarda i trasferimenti verso paesi terzi per i quali non esiste una decisione di adeguatezza, il regolamento stabilisce le condizioni che disciplinano il ricorso a strumenti alternativi di trasferimento come clausole contrattuali tipo e norme vincolanti di impresa. Aggiunge inoltre anche altri strumenti per i trasferimenti, come codici di condotta e meccanismi di certificazione approvati. Precisa infine la situazione in cui possono essere applicate delle deroghe.

2.3 Le prospettive future

La riforma della protezione dei dati è un passo essenziale per rafforzare i diritti fondamentali dei cittadini nell’era digitale e per facilitare le attività economiche semplificando le regole per le imprese nel mercato unico digitale. La fiducia dei consumatori negli operatori dell’UE e dei paesi terzi alimenterà e quindi andrà a beneficio dell’economia digitale europea e mondiale. Avrà effetti positivi sulle relazioni commerciali fra l’Europa e il suo più importante partner commerciale, gli Stati Uniti. Contribuirà a creare chiarezza nonché un ambiente stabile in cui potranno operare le imprese europee e straniere. Quanto alle imprese statunitensi, le loro relazioni commerciali beneficeranno della certezza del diritto offerta da uno spazio economico integrato che applica un insieme uniforme di norme sulla protezione dei dati.

Le norme comuni nel settore delle attività di contrasto garantiranno una migliore protezione dei dati personali e il diritto a effettivi mezzi di ricorso giurisdizionale. Facilitando la cooperazione transfrontaliera fra le autorità di polizia e giudiziarie degli Stati membri si aumenterà l’efficacia dell’applicazione del diritto penale e si creeranno quindi le condizioni per una rafforzata prevenzione della criminalità nell’UE. Questo consentirà al tempo stesso una più agevole cooperazione con le autorità omologhe dei paesi terzi.

L’adozione formale del pacchetto di riforme da parte del Parlamento europeo e del Consiglio è prevista nel corso del primo semestre del 2016. Il regolamento sarà applicabile due anni dopo l’adozione mentre la direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia prevede un periodo di due anni per l’attuazione. Il periodo di transizione di due anni dovrebbe essere usato da tutte le parti interessate, sia all’interno che all’esterno dell’UE, per prepararsi alle nuove norme. La Commissione farà la sua parte: durante il periodo di transizione lavorerà in stretta collaborazione con gli Stati membri, le APD e le altre parti interessate per garantire un’applicazione uniforme delle disposizioni e promuovere un contesto propizio al rispetto delle norme.

3. Lo scudo UE-USA per la privacy - Un nuovo quadro transatlantico per i trasferimenti di dati personali

3.1 Contesto

Per facilitare la circolazione dei dati personali fra l’UE e gli USA ai fini degli scambi commerciali garantendo al tempo stesso la protezione delle informazioni, nel 2000 la Commissione aveva riconosciuto che il regime “Approdo sicuro” forniva un livello di tutela adeguato 18 . Così, nonostante l’assenza di una legge generale sulla protezione dei dati negli Stati Uniti, i dati personali potevano venire liberamente trasferiti dagli Stati membri dell’UE alle imprese negli USA che avevano sottoscritto i principi di riservatezza alla base di tale regime.

Nella comunicazione sul regime “Approdo sicuro” del 2013 19 , la Commissione ha indicato che nel corso del tempo il funzionamento dell’accordo è andato mostrando una serie di punti deboli, in particolare una mancanza di trasparenza da parte delle imprese riguardo alla loro adesione al regime e carenze da parte delle autorità americane nel fare effettivamente rispettare alle imprese in questione i principi di riservatezza previsti. Inoltre, le rivelazioni sui programmi americani di controllo all’inizio di quell’anno hanno sollevato preoccupazioni quanto all’ampiezza e alla portata di certi programmi di intelligence degli Stati Uniti e al livello di accesso da parte delle autorità pubbliche americane ai dati personali degli Europei trasferiti nell’ambito del regime “Approdo sicuro”. Tenuto conto di questi e di altri elementi 20 , la Commissione ha concluso che il regime doveva essere rivisto, e in questo contesto ha formulato 13 raccomandazioni 21 per rafforzare e attualizzare le garanzie in materia di protezione dei dati insite nel regime. Queste raccomandazioni vertono sui seguenti aspetti: (i) rafforzamento dei principi di fondo in materia di riservatezza e maggiore trasparenza delle politiche di tutela della sfera privata delle imprese americane auto-certificate che fanno propri questi principi; (ii) migliore ed efficace supervisione, monitoraggio e controllo, da parte delle autorità americane, del rispetto dei principi da parte delle imprese; (iii) disponibilità di meccanismi di risoluzione delle controversie di costo accessibile per reclami individuali, e (iv) necessità di garantire che il ricorso all’eccezione per motivi di sicurezza nazionale e amministrazione della giustizia prevista nella decisione “Approdo sicuro” del 2000 sia limitato a quanto strettamente necessario e proporzionato.

Sulla base di queste 13 raccomandazioni, nel gennaio 2014 la Commissione ha intavolato discussioni con le autorità americane. Il successivo annullamento della decisione “Approdo sicuro” da parte della Corte di giustizia il 6 ottobre 2015 ha confermato la necessità di un nuovo e più solido quadro per i flussi transatlantici di dati commerciali. Se la sentenza della Corte si basa sulle raccomandazioni della Commissione del 2013, essa sottolinea in più la necessità di predisporre limitazioni, garanzie e meccanismi di controllo giurisdizionale per assicurare la protezione continua dei dati personali dei cittadini dell’UE, anche quando essi sono accessibili e utilizzati dalle autorità pubbliche per motivi di sicurezza nazionale, interesse pubblico o amministrazione della giustizia.

Il 2 febbraio 2016, dopo due anni di intense discussioni, l’UE e gli USA hanno raggiunto un accordo politico sul nuovo quadro, lo scudo UE-USA per la privacy. Questo nuovo accordo comprende nuove e importanti garanzie e assicurerà un elevato livello di protezione dei diritti fondamentali dei cittadini dell’UE. Apporterà la necessaria certezza del diritto alle imprese delle due sponde dell’Atlantico che intendono lavorare insieme, e darà un nuovo slancio al partenariato transatlantico.

A seguito della conclusione dei negoziati con gli USA, la Commissione presenterà il nuovo accordo al Gruppo di lavoro “Articolo 29” (che comprende le APD dell’UE) per un parere sul livello di protezione offerto. La decisione di adeguatezza passerà inoltre per la procedura di comitato prima di potere essere adottata. Sarà inoltre consultato il Garante europeo della protezione dei dati.

3.2 Cos’è cambiato?

Lo scudo UE-USA per la privacy fornisce una risposta solida ed efficace sia alle 13 raccomandazioni della Commissione che alla sentenza Schrems. Rispetto al quadro precedente prevede una serie di miglioramenti importanti per quanto riguarda gli impegni che devono assumersi le imprese statunitensi, così come nuovi impegni importanti e spiegazioni dettagliate sulle leggi americane rilevanti e le prassi delle autorità degli USA. Diversamente da quanto previsto nel sistema precedente, lo scudo per la privacy riguarda non solo gli impegni nell’ambito del settore commerciale ma anche – aspetto significativo e per la prima volta nelle relazioni UE-USA – gli obblighi relativi all’accesso ai dati personali da parte delle pubbliche autorità, anche per esigenze di sicurezza nazionale. Si tratta di un elemento fondamentale e necessario alla luce della giurisprudenza della Corte per ripristinare la fiducia nelle relazioni transatlantiche dopo le rivelazioni sulle pratiche di sorveglianza.

I risultati più importanti di questo nuovo accordo possono essere raggruppati in quattro categorie principali

Primo, imposizione di obblighi rigorosi alle società e una severa applicazione - Il nuovo accordo sarà più trasparente e comprenderà efficaci meccanismi di vigilanza per garantire che le imprese seguano le regole che si sono giuridicamente impegnate a rispettare. Le imprese statunitensi che intendono importare dati personali dall’Europa nell’ambito dello scudo per la privacy dovranno accettare obblighi rigorosi sulle modalità di trattamento delle informazioni e su come garantiscono i diritti individuali. Questo implica condizioni più rigide e disposizioni più severe in materia di responsabilità per le imprese che, nel quadro dello scudo per la privacy, trasferiscono dati dell’UE, ad esempio per attività di trattamento in subcontratto, a parti terze non rientranti nel quadro, sia negli USA che in altri paesi terzi (“trasferimenti successivi”). Per quanto riguarda la vigilanza, il Ministero del Commercio degli Stati Uniti si è impegnato a monitorare regolarmente e rigorosamente il rispetto degli obblighi assunti dalle imprese e a eliminare quelle che, con comportamenti disonesti, affermano falsamente di aderire al regime. Gli impegni assunti dalle imprese sono giuridicamente vincolanti e il loro rispetto può essere imposto ai sensi del diritto americano dalla Commissione federale per il Commercio. Le imprese inosservanti saranno passibili di severe sanzioni.

Secondo, limiti e garanzie chiare per quanto riguarda l’accesso da parte del governo degli Stati Uniti – Per la prima volta il governo americano, attraverso il Ministero della Giustizia e l’Ufficio del Direttore dell’intelligence nazionale in quanto organo di supervisione di tutta la comunità di intelligence statunitense, ha fornito all’UE dichiarazioni e garanzie scritte con cui assicura che l’accesso delle autorità pubbliche ai fini dell’amministrazione della giustizia, della sicurezza nazionale e altri scopi di interesse pubblico sarà soggetto a precisi limiti, garanzie e meccanismi di controllo. Gli USA istituiranno anche un nuovo meccanismo di ricorso per i cittadini europei interessati dal trattamento dei dati nell’ambito della sicurezza nazionale, tramite un mediatore che sarà indipendente dai servizi di sicurezza nazionali. Il mediatore sarà incaricato di trattare i reclami e le richieste di informazioni dei cittadini dell’UE relative all’accesso per motivi di sicurezza nazionale, e dovrà confermare che le normative in materia sono state rispettate o che è stato posto rimedio all’inosservanza. Si tratta di uno sviluppo interessante che si applicherà non solo ai trasferimenti nell’ambito dello scudo per la privacy, ma a tutti i dati personali trasferiti negli USA per fini commerciali, indipendentemente dalla base utilizzata per il trasferimento.

Terzo, protezione effettiva del diritto alla privacy dei cittadini dell’UE con diverse possibilità di ricorso – Chiunque, in Europa, ritenga che i propri dati siano stati oggetto di un uso improprio nel quadro del nuovo accordo avrà a disposizione vari mezzi di ricorso individuale, accessibili e di costo sostenibile, fra cui l’accesso gratuito a organi di risoluzione alternativa delle controversie. Le imprese si impegnano a rispondere ai reclami entro un termine prestabilito. Inoltre, ogni impresa che tratti dati provenienti dall’Europa e relativi alle risorse umane si deve impegnare a rispettare le decisioni delle competenti APD europee, mentre altre imprese possono assumere tale impegno volontariamente. I soggetti interessati possono anche sporgere i reclami presso la loro APD “locale”, che disporrà di una procedura formale per trasmetterli al Ministero del Commercio e alla Commissione federale per il Commercio per facilitare l’indagine e la risoluzione entro un tempo ragionevole. Se non si riesce a risolvere un caso con nessuno di questi mezzi, gli interessati potranno ricorrere in ultima istanza al Comitato dello scudo per la privacy, un meccanismo di risoluzione delle controversie che può adottare decisioni vincolanti ed esecutive nei confronti delle imprese americani aderenti al sistema. Inoltre, le APD dell’UE potranno fornire assistenza agli interessati nella preparazione della loro pratica. Come sopra menzionato, per i reclami riguardanti il possibile accesso da parte dell’autorità di intelligence nazionale sarà creato un nuovo mediatore, che costituirà un ulteriore mezzo di ricorso.

Quarto, e in ultimo, un meccanismo annuale di riesame congiunto - Esso consentirà alla Commissione di monitorare regolarmente il funzionamento di tutti gli aspetti dello scudo per la privacy, inclusi i limiti e le garanzie relativi all’accesso ai fini della sicurezza nazionale. Il riesame verrà effettuato dalla Commissione e dal Ministero statunitense del Commercio, coinvolgendo le autorità di protezione dei dati dell’UE, le autorità di sicurezza nazionali statunitensi e il mediatore. In questo modo gli USA saranno considerati responsabili degli obblighi assunti. Ma la Commissione farà di più: si baserà anche su tutte le altre fonti di informazione disponibili, comprese le relazioni di trasparenza volontarie delle imprese sul livello delle domande di accesso da parte del governo 22 . Tale meccanismo va al di là del nuovo regolamento, che prevede un riesame solo ogni quattro anni, dimostrando così la determinazione sia dell’UE che degli USA a garantire rigorosamente il pieno rispetto delle regole.

Questo riesame non sarà una pura formalità priva di conseguenze. Nei casi in cui le imprese americane o le autorità pubbliche non tengano fede agli impegni assunti, la Commissione avvierà la procedura per sospendere lo scudo per la privacy. Come sottolineato dalla Commissione nella sentenza Schrems, una decisione di adeguatezza non deve restare lettera morta: le imprese e le autorità americane devono piuttosto far vivere il nuovo sistema e sostenerlo continuamente dimostrandosi all’altezza degli impegni presi. Se non lo fanno, il particolare vantaggio per i trasferimenti dei dati derivante dall’accertamento dell’adeguatezza non è più giustificato e verrà ritirato.

3.3 Le prospettive future

Gli impegni assunti dagli USA nell’ambito dello scudo per la privacy serviranno come base, e si rispecchieranno, in una nuova decisione d’adeguatezza della Commissione. Le imprese vengono incoraggiate a cominciare fin da ora i preparativi in modo da essere in grado di aderire al più presto al nuovo quadro, una volta pronto dopo l’adozione della decisione della Commissione. Il governo degli USA pubblicherà le sue dichiarazioni nel Registro federale, confermando così pubblicamente che manterrà gli impegni.

Lo scudo UE-USA per la privacy richiede l’azione di molte parti:

le imprese americane che vi aderiscono, e che devono ottemperare agli impegni assunti nella piena consapevolezza che il nuovo quadro sarà applicato in maniera rigorosa e che la non conformità implica sanzioni. Per rafforzare la fiducia dei consumatori, le imprese sono anche incoraggiate a optare per le APD dell’UE come modalità prescelta per risolvere i reclami presentati nell’ambito del nuovo sistema. È infatti altamente probabile che i cittadini europei si rivolgano a tali autorità. Analogamente, la misura in cui le imprese sono pronte a pubblicare relazioni di trasparenza sulle richieste di accesso, ai fini di sicurezza nazionale e amministrazione della giustizia, ai dati dell’UE che esse ricevono (possibilità prevista dalla legge americana), contribuirà a far mantenere la fiducia sul fatto che tale accesso sia limitato a quanto necessario e proporzionato 23 ;

le diverse autorità americane incaricate della supervisione e dell’applicazione del quadro – nel rispetto dei limiti e delle garanzie stabiliti per l’accesso ai dati ai fini dell’amministrazione della giustizia e della sicurezza nazionale -, e quelle incaricate di rispondere in modo tempestivo e adeguato ai reclami dei cittadini dell’UE su eventuali abusi riguardanti i loro dati personali;

le APD dell’UE, il cui importante ruolo è garantire l’effettivo esercizio dei diritti dei cittadini nell’ambito dello scudo per la privacy, anche instradando i loro reclami verso le autorità americane competenti e collaborando con queste, avviando la procedura presso il mediatore, aiutando i denuncianti a portare il caso dinanzi al Comitato dello scudo per la privacy, ed esercitando un controllo sui trasferimenti di dati relativi alle risorse umane, e

la Commissione, cui spetta l’accertamento dell’adeguatezza e il suo riesame periodico. Tali riesami periodici rappresentano un cambiamento importante rispetto alla staticità della situazione precedente, trasformando l’accertamento di adeguatezza dello scudo per la privacy in un quadro dinamico, rigorosamente controllato.

Il riesame congiunto annuale e la successiva relazione della Commissione – insieme alla prospettiva della sospensione dell’accordo in caso di inosservanza – avranno quindi un ruolo fondamentale nel garantire che lo scudo per la privacy duri nel tempo. L’ambizione di entrambe le sponde dell’Atlantico deve essere quella di sviluppare insieme una solida cultura di rispetto della vita privata e protezione dei diritti individuali che ripristini e mantenga un clima di fiducia.

4. L’accordo quadro – Rafforzare le garanzie di protezione dei dati nell’ambito della cooperazione fra autorità di contrasto

4.1 Contesto

Una dimensione importante della relazione transatlantica è la capacità dell’UE, degli Stati membri e degli USA di reagire efficacemente alle minacce e alle sfide comuni alla sicurezza, in modo collaborativo e coordinato. Questa risposta collettiva si basa in misura considerevole sulla capacità di scambiare dati personali nell’ambito della cooperazione di polizia e giudiziaria in materia penale. A tal fine gli Stati membri e gli USA, così come l’UE e gli USA, hanno concluso nel corso del tempo una serie di accordi bilaterali 24 . Al tempo stesso è altrettanto importante che questi accordi nel settore delle attività di contrasto prevedano effettive garanzie in materia di protezione dei dati. Questo duplice obiettivo - lavorare efficacemente con i partner americani per lottare contro le forme gravi di criminalità e il terrorismo, aumentando al tempo stesso il livello di tutela degli Europei conformemente ai loro diritti fondamentali e alle norme europee di protezione dei dati quando sono effettuati trasferimenti a tal fine – è stato all’origine dei negoziati, avviati nel marzo 2011, su un accordo internazionale per la protezione dei dati nel settore delle attività di contrasto, l’“accordo quadro” UE-USA di protezione dei dati 25 .

L’UE e gli USA hanno concluso i negoziati nell’estate 2015. L’8 settembre 2015 le due parti hanno siglato a Lussemburgo l’accordo quadro 26 , che è ora in attesa della ratifica di entrambe le sponde dell’Atlantico. La firma dell’accordo quadro è legata tuttavia all’approvazione della legge sul ricorso giudiziario da parte del Congresso degli Stati Uniti, ai fini di garantire, per la prima volta, la parità di trattamento fra i cittadini europei e i cittadini statunitensi per quanto riguarda le disposizioni della legge americana del 1974 sulla tutela della vita privata 27 . La legge sul ricorso giudiziario è stata approvata dal Congresso il 10 febbraio 2016 ed è stata promulgata il 24 febbraio 2016.

4.2 Cos’è cambiato?

L’accordo quadro conterrà, per la primissima volta, un insieme completo e armonizzato di garanzie per la protezione dei dati, che si applicheranno a tutti gli scambi transatlantici fra autorità competenti nel settore delle attività di contrasto. Si tratta in effetti di un accordo sui diritti fondamentali, che stabilisce un elevato livello di protezione di cui dovranno tenere conto tutti gli scambi di dati effettuati nell’ambito degli accordi esistenti e futuri.

Primo, le protezioni e le garanzie previste dall’accordo quadro si applicheranno orizzontalmente a tutti gli scambi di dati effettuati nell’ambito della cooperazione transatlantica fra autorità di contrasto nel settore penale. Ciò include i trasferimenti in base alle leggi nazionali, agli accordi fra l’UE e gli USA, agli accordi fra gli Stati membri e gli USA (ad es. i trattati di mutua assistenza giudiziaria), così come a specifici accordi per il trasferimento di dati personali da parte di soggetti privati ai fini di attività di contrasto. Le disposizioni concordate aumenteranno quindi immediatamente il livello di protezione garantito agli interessati europei i cui dati sono oggetto di trasferimento negli USA. Verrà anche rafforzata la certezza del diritto per la cooperazione transatlantica fra autorità di contrasto, garantendo che gli accordi esistenti contengano ogni forma di tutela necessaria e permettano quindi di far fronte a eventuali problemi giuridici.

Secondo, le disposizioni coprono tutte le principali norme europee di protezione dei dati in termini di regole di trattamento (ad es. qualità e integrità dei dati, sicurezza dei dati, responsabilità e controllo), garanzie e limitazioni (ad es. restrizioni nelle finalità e nell’uso, conservazione dei dati, trasferimenti successivi, trattamento di dati sensibili) e diritti individuali (accesso, rettifica, ricorso amministrativo e giudiziario).

Terzo, l’accordo garantirà il diritto al ricorso giudiziario in caso di rifiuto di accesso, rifiuto di rettifica e divulgazione illecita - un considerevole miglioramento che contribuirà in maniera significativa a ripristinare la fiducia negli scambi transatlantici. Questa richiesta dell’UE, fondamentale e da tempo perseguita, rimasta senza risposta per molti anni, è già stata presa in considerazione nella legge sul ricorso giudiziario presentata al Congresso americano nel marzo 2015 e approvata il 10 febbraio 2016. Questa legge estenderà ai cittadini dell’UE 28 tre modalità principali di ricorso giudiziario previste dalla legge americana del 1974 sulla tutela della vita privata e finora riservate solo ai cittadini statunitensi e ai residenti permanenti. Per la prima volta i soggetti dell’UE potranno quindi avvalersi di diritti di applicazione generale per ogni trasferimento transatlantico di dati nel settore delle attività di contrasto in campo penale, cosa che elimina una grave sperequazione nel trattamento dei cittadini europei e americani.

Quarto, l’accordo quadro generalizza e amplia a tutto il settore delle attività contrasto il principio del controllo indipendente come condizione fondamentale per la protezione dei dati, peraltro mancante in molti degli esistenti accordi bilaterali. Ciò comporta poteri effettivi di indagine e risoluzione di singoli reclami relativi al rispetto dell’accordo.

Quinto, l’effettiva attuazione dell’accordo quadro sarà oggetto di riesami periodici congiunti, che accorderanno particolare attenzione alle disposizioni relative ai diritti individuali (accesso, rettifica, ricorso amministrativo e giudiziario).

L’accordo quadro non autorizza, in sé, trasferimenti di dati, né costituisce una decisione di adeguatezza.

4.3 Le prospettive future

L’entrata in vigore della legge sul ricorso giudiziario 29 aprirà la strada alla firma dell’accordo quadro. La Commissione presenterà a breve al Consiglio una proposta di decisione che autorizza la firma dell’accordo quadro. Dopo la firma il Consiglio, previo consenso del Parlamento europeo, dovrà adottare la decisione di conclusione dell’accordo. L’accordo quadro migliorerà in modo significativo l’attuale situazione, caratterizzata da norme sulla protezione dei dati frammentarie, non armonizzate e spesso deboli, in un patchwork di strumenti multilaterali, bilaterali, nazionali e settoriali. L’accordo quadro ha inoltre una funzione retrospettiva, poiché andrà a integrare le garanzie di protezione dei dati negli accordi in vigore quando e nella misura in cui essi non abbiano il livello di salvaguardia richiesto: a tale riguardo apporterà un significativo “valore aggiunto”, andando sostanzialmente a “colmare le lacune” degli accordi esistenti che presentano livelli di protezione dei dati inferiori a quelli in esso previsti. Questo renderà possibile una continuità nella cooperazione fra le autorità di contrasto garantendo al tempo stesso una maggiore certezza del diritto nella realizzazione dei trasferimenti. Per quanto riguarda gli accordi futuri, l’accordo quadro rappresenterà una rete di sicurezza, cioè il livello minimo di protezione al di sotto del quale non si potrà scendere – una garanzia molto importante per il futuro, e un grande cambiamento rispetto alla situazione attuale in cui salvaguardie, protezione e diritti devono essere negoziati da capo per ogni singolo nuovo accordo. L’accordo quadro rappresenta così un modello di garanzie che non possono essere negoziate al ribasso: un precedente molto importante non solo per le relazioni UE-USA ma, più generalmente, per ogni accordo futuro di protezione o scambio di dati a livello internazionale.

Negoziato parallelamente alla riforma, l’accordo quadro è allineato all’acquis dell’UE sulla protezione dei dati. Particolarmente rilevante è l’interazione fra l’accordo quadro e la direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia, data l’importanza di avere un livello elevato e comune di protezione indipendentemente dal fatto che i dati personali siano trattati a livello nazionale o siano scambiati oltre frontiera, in seno all’UE o con paesi terzi. A tale riguardo l’accordo quadro contribuirà a confermare i requisiti generali della riforma nel contesto transatlantico.

La conclusione dei negoziati sull’accordo quadro, che stabilisce norme comuni in un complesso settore giuridico e politico, è un risultato significativo. Il futuro accordo quadro ripristinerà un clima di fiducia e lo rafforzerà, fornirà garanzie sulla legalità dei trasferimenti di dati e faciliterà la cooperazione UE-USA in questo campo.

In prospettiva, vi è la necessità di affrontare congiuntamente le sfide comuni nel settore della cooperazione di polizia e giudiziaria. Un’importante questione aperta riguarda l’accesso diretto, da parte delle autorità di contrasto, ai dati personali detenuti da società private all’estero. Un tale accesso dovrebbe in linea di principio avere luogo nel quadro di canali formali di cooperazione, come gli accordi di mutua assistenza giudiziaria o altri accordi settoriali. Le imprese private rischiano attualmente di scontrarsi con un’incertezza giuridica che può incidere sulla loro capacità di operare in giurisdizioni diverse nei casi in cui viene chiesto loro di fornire l’accesso a materiale probatorio elettronico, ai sensi della legge di un paese, per dati personali assoggettati alla legge di un altro paese. Parallelamente alla revisione a venire dell’accordo sulla mutua assistenza giudiziaria UE-USA 30 , l’Unione europea accoglierebbe favorevolmente ulteriori scambi con gli Stati Uniti su questa materia, affrontando fra l’altro anche lo sviluppo di norme comuni e più efficaci per raccogliere il materiale probatorio elettronico.

5. Conclusione

La realizzazione delle azioni fondamentali definite nella comunicazione del 2013 dimostra la capacità dell’UE di risolvere i problemi in modo pragmatico e mirato senza sacrificare i suoi solidi valori e tradizioni legati ai diritti fondamentali. Dimostra anche che l’UE e gli USA sono in grado di risolvere le loro divergenze e di prendere decisioni difficili per preservare una relazione strategica duratura. Contemporaneamente, mentre si apre un nuovo capitolo nelle relazioni bilaterali fra l’Unione europea e gli Stati Uniti, occorre restare vigilanti di fronte alle continue minacce e sfide comuni di un mondo non scevro da incertezze.

Una volta pronti lo scudo per la privacy e l’accordo quadro, le due parti dovranno assicurare che questi due importanti sistemi per il trasferimento dei dati funzionino efficacemente e siano duraturi. L’esito positivo dipende in larga misura dall’applicazione effettiva e dal rispetto dei diritti conferiti nonché dalla valutazione continua del funzionamento, cosa che richiede un cambiamento nella forma mentis, un passaggio da una situazione statica a un processo più dinamico.

In questo contesto, un importante elemento di tutto il processo è legato alla riforma in corso dei programmi di intelligence degli Stati Uniti. A tale riguardo, la Commissione seguirà da vicino le relazioni a venire preparate dall’Autorità per la tutela della vita privata e delle libertà civili (PCLOB), e il riesame della sezione 702 del programma FISA, previsto per il 2017, relativo alla sorveglianza estera. Saranno seguite da vicino, in particolare, ulteriori riforme riguardanti la trasparenza, il controllo, e l’estensione delle garanzie ai cittadini non americani.

Più in generale, vista l’importanza dei flussi transfrontalieri di dati ai fini del commercio transatlantico, l’UE seguirà da vicino i prossimi sviluppi legislativi degli USA nel settore della privacy. Ora che l’Europa si è dotata di un insieme di norme unico, coerente e solido, c’è da sperare che anche gli Stati Uniti continuino a impegnarsi per un sistema globale di protezione dei dati e della vita privata. È attraverso un tale approccio globale che i due sistemi potrebbero convergere a lungo termine. A tale proposito, la Commissione terrà una conferenza annuale sulla privacy con le organizzazioni non governative e altre parti interessate delle due sponde dell’Atlantico.

Il partenariato UE-USA può essere il motore dello sviluppo e della promozione di norme internazionali per la tutela della vita privata e dei dati personali. A tale riguardo possono svolgere un ruolo importante anche le iniziative a livello dell’ONU, compresi i lavori del relatore speciale sul diritto alla privacy. Negli anni a venire, data la crescente centralità di tali questioni sulla scena mondiale, l’UE e gli USA dovrebbero cogliere questa opportunità per far progredire i loro valori comuni sulle libertà e i diritti individuali in un mondo digitale globalizzato.

(1)

   Comunicazione della Commissione al Parlamento europeo e al Consiglio - Ripristinare un clima di fiducia negli scambi di dati fra l’UE e gli USA, COM(2013) 846 final del 27.11.2013 (in appresso, la “comunicazione del 2013” o la “comunicazione”), consultabile all’indirizzo: http://eur-lex.europa.eu/legal-content/IT/TXT/?qid=1456831700230&uri=CELEX:52013DC0846 .

(2)

   Proposta di direttiva del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati, COM(2012) 10 final del 25.1.2012, e proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati), COM(2012) 11 final del 25.1.2012, consultabili all’indirizzo: http://ec.europa.eu/justice/data-protection/reform/index_en.htm .

(3)

   Comunicazione della Commissione al Parlamento europeo e al Consiglio sul funzionamento del regime “Approdo sicuro” dal punto di vista dei cittadini dell’UE e delle società ivi stabilite, COM(2013) 847 final del 27.11.2013, pag. 18 (in appresso “comunicazione sul regime ‘Approdo sicuro’”, consultabile al seguente indirizzo:  http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52013DC0847&qid=1458571015478&from=IT .

(4)

   Un nuovo inizio per l’Europa: il mio programma per l’occupazione, la crescita, l’equità e il cambiamento democratico - Orientamenti politici per la prossima Commissione europea.

(5)

   Sentenza del 6 ottobre 2015 nella causa C-362/14, Maximillian Schrems / Data Protection Commissioner, EU:C:2015:650.

(6)

   Si veda la comunicazione della Commissione al Parlamento europeo e al Consiglio relativa al trasferimento di dati personali dall’UE agli Stati Uniti d’America in applicazione della direttiva 95/46/CE a seguito della sentenza della Corte di giustizia nella causa C-362/14, (Schrems), COM(2015) 566 final del 6.11.2015. Si veda anche la dichiarazione del 3 febbraio 2016 del gruppo di lavoro “Articolo 29” sulle conseguenze della sentenza Schrems, consultabile all’indirizzo: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf  

(7)

   Si veda http://europa.eu/rapid/press-release_IP-16-216_it.htm

(8)

    https://www.whitehouse.gov/the-press-office/2014/01/17/remarks-president-review-signals-intelligence  

(9)

    https://www.whitehouse.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities  

(10)

    http://europa.eu/rapid/press-release_MEMO-14-30_en.htm  

(11)

   USA FREEDOM Act del 2015, Pub. L., n. 114-23, § 401, 129 Stat. 268.

(12)

   H.R.1428 - Judicial Redress Act del 2015, che entrerà in vigore 90 giorni dopo l’adozione.

(13)

   COM(2012) 11 final del 25.1.2012 (si veda sopra, nota 2).

(14)

   COM(2012) 10 final del 25.1.2012 (si veda sopra, nota 2).

(15)

   Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, GU L 281 del 23.11.95, pag. 31 (la “direttiva sulla protezione dei dati”).

(16)

   Diversamente da quanto previsto dalla decisione quadro 2008/977/GAI del Consiglio del 27 novembre 2008 sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale, che riguarda solo gli scambi transfrontalieri di dati fra le autorità competenti degli Stati membri, l’applicazione di queste norme in virtù della direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia non dipenderà più dal fatto che questi dati siano stati precedentemente scambiati fra le autorità penali degli Stati membri.

(17)

   Si veda la comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni – Agenda europea sulla sicurezza, COM(2015) 185 final del 28.4.2015.

(18)

   Decisione 2000/520/CE della Commissione del 20 luglio 2000. In tale decisione, basata sull’articolo 25, paragrafo 6, della direttiva sulla protezione dei dati, la Commissione aveva riconosciuto che i principi di “Approdo sicuro” in materia di riservatezza e le relative “Domande più frequenti” pubblicate dal Dipartimento del commercio degli Stati Uniti garantivano una protezione adeguata per il trasferimento di dati personali dall’UE. Il funzionamento dell’accordo “Approdo sicuro” era basato sugli impegni e l’autocertificazione delle imprese che vi avevano aderito. Le norme erano vincolanti ai sensi del diritto americano per tali entità e il loro rispetto poteva essere imposto dalla Commissione federale per il Commercio statunitense.

(19)

   Si veda la nota 3.

(20)

   Tali elementi includevano l’aumento esponenziale dei flussi di dati e la loro importanza fondamentale per l’economia transatlantica, così come la rapida crescita del numero di imprese statunitensi aderenti al regime “Approdo sicuro”. Si veda la comunicazione sul regime “Approdo sicuro”, pag. 37.

(21)

   Comunicazione sul regime “Approdo sicuro”, pagg. 18-19.

(22)

   Le più grosse società di Internet americane stilano già relazioni di questo tipo per guadagnarsi nuovamente la fiducia dei loro clienti. La legge americana sulla libertà del 2015 consente la pubblicazione di relazioni volontarie sulle richieste di accesso, perlomeno entro certi limiti per tutelare gli interessi di sicurezza nazionale.

(23)

   Le relazioni devono essere stilate conformemente alle disposizioni della legge americana sulla libertà del 2015. Si veda la nota 22.

(24)

   In particolare l’accordo UE-USA sui dati del codice di prenotazione (PNR), e il programma di controllo UE-USA delle transazioni finanziarie dei terroristi (TFTP).

(25)

   Accordo fra l’UE e gli USA sulla protezione dei dati personali trasferiti e trattati ai fini di prevenzione, indagine, accertamento o perseguimento di reati, anche di terrorismo, nel quadro della cooperazione di polizia e della cooperazione giudiziaria in materia penale.

(26)

    http://europa.eu/rapid/press-release_STATEMENT-15-5610_en.htm  

(27)

   La legge sul ricorso giudiziario conferisce diritti ai cittadini dei “paesi contemplati”, designati dal governo degli USA in base ai seguenti criteri: (a) il paese [od organizzazione regionale] ha concluso un accordo con gli Stati Uniti relativo alla protezione della privacy per le informazioni condivise ai fini di prevenzione, indagine, accertamento o perseguimento di reati: (b) il paese [od organizzazione regionale] consente il trasferimento di dati personali a fini commerciali verso gli Stati Uniti, e (c) le politiche in materia di trasferimento di dati personali a fini commerciali, e le misure collegate, del paese od organizzazione regionale non compromettono gli interessi di sicurezza nazionale degli Stati Uniti.

(28)

   Ai sensi della legge sul ricorso giudiziario, possono essere parimenti designati come “paesi contemplati” altri paesi non UE o “organizzazioni regionali per l’integrazione economica”, i cui cittadini godranno quindi del diritto al ricorso giudiziario.

(29)

   La legge sul ricorso giudiziario entra in vigore 90 giorni dopo l’adozione.

(30)

   Decisione 2009/820/PESC del Consiglio, del 23 ottobre 2009, relativa alla conclusione, a nome dell’Unione europea, dell’accordo sull’estradizione tra l’Unione europea e gli Stati Uniti d’America e dell’accordo sulla mutua assistenza giudiziaria tra l’Unione europea e gli Stati Uniti d’America, GU L 291 del 7.11.2009, pag. 40.

Top