(1)

Il regolamento (UE) 2016/679 (2) (in appresso "GDPR") stabilisce le norme per il trasferimento di dati personali da titolari del trattamento o responsabili del trattamento nell'Unione verso paesi terzi e organizzazioni internazionali nella misura in cui tale trasferimento rientri nel suo ambito di applicazione. Le norme in materia di trasferimenti internazionali di dati sono stabilite nel capo V di tale regolamento. Sebbene la circolazione di dati personali verso e da paesi al di fuori dell'Unione europea sia essenziale per l'espansione degli scambi transfrontalieri e della cooperazione internazionale, occorre garantire che il livello di protezione offerto ai dati personali nell'Unione europea non sia compromesso da trasferimenti verso paesi terzi od organizzazioni internazionali (3).

(2)

Ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 la Commissione può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all'interno di un paese terzo garantiscono un livello di protezione adeguato. Nel rispetto di tale condizione, i trasferimenti di dati personali verso un paese terzo possono avvenire senza la necessità di ottenere ulteriori autorizzazioni, come previsto dall'articolo 45, paragrafo 1, e dal considerando 103 di tale regolamento.

(3)

Come specificato all'articolo 45, paragrafo 2, del regolamento (UE) 2016/679, l'adozione della decisione di adeguatezza deve basarsi su un'analisi completa dell'ordinamento giuridico del paese terzo, per quanto riguarda tanto le norme applicabili agli importatori di dati quanto le limitazioni e le garanzie relative all'accesso ai dati personali da parte delle autorità pubbliche. Nella propria valutazione la Commissione deve stabilire se il paese terzo in questione assicura un livello di protezione "sostanzialmente equivalente" a quello garantito all'interno dell'Unione (considerando 104 del regolamento (UE) 2016/679). Tale determinazione deve essere valutata facendo riferimento alla legislazione dell'UE, in particolare al regolamento (UE) 2016/679, nonché alla giurisprudenza della Corte di giustizia dell'Unione europea (Corte di giustizia) (4).

(4)

Come chiarito dalla Corte di giustizia nella sua sentenza del 6 ottobre 2015 nella causa Maximillian Schrems/Data Protection Commissioner (5) (Schrems), C-362/14 ciò non richiede la constatazione dell'esistenza di un livello di protezione identico. In particolare gli strumenti dei quali il paese terzo in questione si avvale per proteggere i dati personali possono essere diversi da quelli attuati all'interno dell'Unione, purché si rivelino efficaci, nella prassi, al fine di assicurare un livello di protezione adeguato (6). Il livello di adeguatezza non comporta pertanto una duplicazione pedissequa delle norme dell'Unione. La prova consiste, piuttosto, nel determinare se, con la sostanza dei diritti alla riservatezza e rendendone l'attuazione, l'azionabilità e il controllo effettivi, il sistema estero, nel suo insieme, offre il necessario livello di protezione (7). Inoltre, secondo tale sentenza, nell'applicare tale norma, la Commissione dovrebbe valutare in particolare se il quadro giuridico del paese terzo in questione preveda norme destinate a limitare le ingerenze nei diritti fondamentali delle persone i cui dati vengono trasferiti dall'Unione, che le entità statali di tale paese sarebbero autorizzate a compiere laddove perseguano obiettivi legittimi, come sicurezza nazionale, e fornisca una tutela giuridica efficace nei confronti delle ingerenze di tale natura (8). Anche i "criteri di riferimento per l'adeguatezza" del comitato europeo per la protezione dei dati, che cercano di chiarire ulteriormente tale livello, forniscono indicazioni al riguardo (9).

(5)

Il livello applicabile in relazione a tale ingerenza nei diritti fondamentali alla tutela della vita privata e alla protezione dei dati è stato ulteriormente chiarito dalla Corte di giustizia nella sua sentenza del 16 luglio 2020 nella causa Data Protection Commissioner/Facebook Ireland Limited e Maximillian Schrems (Schrems II), C-311/18, che ha annullato la decisione di esecuzione (UE) 2016/1250 (10) della Commissione relativa a un precedente quadro transatlantico per il flusso di dati, lo scudo UE-USA per la privacy (scudo per la privacy). La Corte di giustizia ha ritenuto che le limitazioni alla protezione dei dati personali, che derivano dalla normativa interna degli Stati Uniti d'America ("Stati Uniti") in materia di accesso e utilizzo, da parte delle autorità pubbliche statunitensi, di dati trasferiti dall'Unione verso gli Stati Uniti per finalità di sicurezza nazionale non fossero inquadrate in modo da corrispondere a requisiti sostanzialmente equivalenti a quelli richiesti dal diritto dell'Unione, per quanto concerne la necessità e la proporzionalità di tali ingerenze rispetto al diritto alla protezione dei dati (11). La Corte di giustizia ha ritenuto altresì che non fossero disponibili mezzi di ricorso dinanzi a un organo che offra alle persone i cui dati sono trasferiti verso gli Stati Uniti garanzie sostanzialmente equivalenti a quelle richieste dall'articolo 47 della Carta concernente il diritto ad un ricorso effettivo (12).

(6)

A seguito della sentenza Schrems II, la Commissione ha avviato colloqui con il governo degli Stati Uniti in vista di un'eventuale nuova decisione di adeguatezza che soddisfi i requisiti di cui all'articolo 45, paragrafo 2, del regolamento (UE) 2016/679, come interpretato dalla Corte di giustizia. A seguito di tali discussioni, il 7 ottobre 2022 gli Stati Uniti hanno adottato l'Executive Order (decreto presidenziale) 14086 "Enhancing Safeguards for US Signals Intelligence Activities" (decreto presidenziale 14086), integrato da un regolamento sul "Data Protection Review Court" (DPRC, tribunale del riesame in materia di protezione dei dati) emesso dal Procuratore generale degli Stati Uniti (regolamento del Procuratore generale) (13). Inoltre, è stato aggiornato il quadro che si applica ai soggetti commerciali che trattano dati trasferiti dall'Unione ai sensi della presente decisione, il "quadro UE-USA per la protezione dei dati personali" (DPF UE-USA o DPF, dall'inglese: Data Privacy Framework).

(7)

La Commissione ha analizzato con attenzione le leggi e pratiche applicate negli Stati Uniti, compresi il decreto presidenziale 14086 e il regolamento del Procuratore generale. In base alle constatazioni illustrate nei considerando da 9 a 200, la Commissione giunge alla conclusione che gli Stati Uniti assicurano un livello di protezione adeguato dei dati personali trasferiti nell'ambito del DPF UE-USA da un titolare o responsabile del trattamento nell'Unione (14) alle organizzazioni statunitensi che si sono certificate come aderenti al regime.

(8)

Per effetto della presente decisione i trasferimenti di dati personali da titolari e responsabili del trattamento nell'Unione (15) verso organizzazioni certificate negli Stati Uniti possono aver luogo senza la necessità di ottenere ulteriori autorizzazioni. La presente decisione non incide sull'applicazione diretta del regolamento (UE) 2016/679 a tali organizzazioni qualora siano soddisfatte le condizioni relative all'ambito di applicazione territoriale di detto regolamento, di cui all'articolo 3 dello stesso.

(9)

Il DPF UE-USA si fonda su un sistema di certificazione in base al quale un'organizzazione statunitense si impegna a rispettare un insieme di principi in materia di protezione dei dati, ossia i "principi del DPF UE-USA", comprensivi dei principi supplementari (collettivamente i "principi"), emanati dal Dipartimento del Commercio degli USA e riportati nell'allegato I della presente decisione (16). Per essere ammissibile alla certificazione nel quadro del DPF UE-USA, un'organizzazione deve assoggettarsi ai poteri di indagine e di esecuzione della Commissione federale per il commercio (FTC) o del Dipartimento dei Trasporti (DOT) degli Stati Uniti (17). I principi si applicano immediatamente alla data di certificazione. Come spiegato più dettagliatamente nei considerando da 48 a 52, le organizzazioni del DPF UE-USA sono tenute a certificare nuovamente la loro adesione ai principi su base annuale (18).

(10)

La protezione garantita dal DPF UE-USA si applica a tutti i dati personali trasferiti dall'Unione a organizzazioni negli Stati Uniti che hanno certificato la loro adesione ai principi presso il Dipartimento del Commercio, fatta eccezione per i dati raccolti per la pubblicazione, la trasmissione o altre forme di comunicazione pubblica di materiale giornalistico e di informazioni contenute in materiale già pubblicato e divulgato da archivi di mezzi di informazione (19). Tali informazioni non possono pertanto essere trasferite sulla base del DPF UE-USA.

(11)

I principi definiscono i dati personali/le informazioni personali nello stesso modo del regolamento (UE) 2016/679 (GDPR), ossia come "i dati e le informazioni riguardanti singoli individui (identificati o identificabili) cui si applica il GDPR, che un'organizzazione presente negli Stati Uniti riceve dall'Unione europea e registrata in qualsiasi forma" (20). Di conseguenza tali dati e informazioni riguardano anche i dati di ricerca pseudonimizzati (o "codificati") (anche quando la chiave di codifica non è condivisa con l'organizzazione statunitense che riceve tali dati e informazioni) (21). Analogamente la nozione di "trattamento" è definita come "qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione o la diffusione, nonché la cancellazione o la distruzione" (22).

(12)

Il DPF UE-USA si applica alle organizzazioni statunitensi che si qualificano come titolari del trattamento (ossia una persona o un'organizzazione che, da sola o congiuntamente ad altre, stabilisce le finalità e i mezzi del trattamento di dati personali) (23) o responsabili del trattamento (ossia procuratori che agiscono per conto di un titolare del trattamento) (24). I responsabili del trattamento statunitensi devono essere vincolati contrattualmente ad agire esclusivamente secondo le istruzioni del titolare del trattamento dell'UE e a prestargli assistenza per rispondere alle persone che esercitano i loro diritti nell'ambito dei principi (25). Inoltre, se il trattamento è delegato a un terzo, un responsabile del trattamento deve concludere con esso un contratto che garantisca lo stesso livello di protezione previsto dai principi e adottare misure per assicurarne la corretta attuazione (26).

(13)

I dati personali dovrebbero essere trattati in maniera lecita e corretta. Dovrebbero inoltre essere raccolti per una finalità specifica e, di conseguenza, essere utilizzati soltanto nella misura in cui l'uso non sia incompatibile con la finalità del trattamento.

(14)

Nel quadro del DPF UE-USA, ciò è garantito da diversi principi. Innanzitutto, ai sensi del principio sull'integrità dei dati e sulla limitazione della finalità, analogamente a quanto previsto dall'articolo 5, paragrafo 1, lettera b), del regolamento (UE) 2016/679, un'organizzazione non può trattare dati personali in modo incompatibile con la finalità per la quale sono stati inizialmente raccolti o con la finalità successivamente autorizzata dall'interessato (27).

(15)

In secondo luogo, prima di utilizzare i dati personali per una nuova finalità (modificata) sostanzialmente diversa ma comunque compatibile con quella originaria, oppure di divulgarli a terzi, l'organizzazione deve offrire agli interessati la possibilità di opporsi (rifiuto del trattamento, opt-out), conformemente al principio sulla scelta (28), attraverso un meccanismo chiaro, agevolmente riconoscibile e prontamente disponibile. In aspetto importante è dato dal fatto che tale principio non soppianta l'esplicito divieto di trattamento incompatibile (29).

(16)

Garanzie specifiche dovrebbero essere applicate al trattamento di "categorie particolari" di dati.

(17)

Conformemente al principio sulla scelta, si applicano garanzie specifiche al trattamento di "informazioni sensibili", ossia i dati personali che specificano le condizioni mediche o di salute, l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, le informazioni sulla vita sessuale di una persona o qualsiasi altra informazione ricevuta da terzi identificati e trattati da tale parte come sensibili (30). Ciò significa che tutti i dati considerati sensibili ai sensi del diritto dell'Unione in materia di protezione dei dati (compresi i dati sull'orientamento sessuale, i dati genetici e i dati biometrici) saranno trattati come sensibili nell'ambito del DPF UE-USA da parte delle organizzazioni certificate.

(18)

Come norma generale, le organizzazioni devono ottenere il consenso esplicito (opt-in) da parte delle persone al fine di utilizzare informazioni sensibili per finalità diverse da quelle per le quali sono state originariamente raccolte o successivamente autorizzate dalla persona (mediante il consenso) o al fine di divulgarle a terzi (31).

(19)

Non è necessario che tale consenso sia ottenuto in circostanze limitate analoghe a eccezioni comparabili previste dal diritto dell'Unione in materia di protezione dei dati, ad esempio quando il trattamento di dati sensibili è: svolto nell'interesse vitale di una persona; necessario per accertare un diritto in sede giudiziaria; oppure necessario a fini di cura sanitaria o diagnosi medica (32);

(20)

I dati dovrebbero essere esatti e, se necessario, dovrebbero essere aggiornati. Dovrebbero inoltre essere adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati; inoltre, in linea di principio, dovrebbero essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

(21)

Secondo il principio sull'integrità dei dati e sulla limitazione della finalità (33) i dati personali devono limitarsi a quanto pertinente in considerazione della finalità di trattamento. Inoltre, per quanto necessario rispetto alle finalità del trattamento, l'organizzazione deve adottare misure ragionevoli per assicurare che i dati personali siano affidabili per l'uso previsto, accurati, completi e aggiornati.

(22)

Inoltre è possibile conservare le informazioni personali in una forma che identifica o permette di identificare l'interessato (ossia in forma di dati personali) (34) solo per il tempo necessario per conseguire la o le finalità per cui sono stati raccolti in origine o quella o quelle successivamente autorizzate dalla persona ai sensi del principio sulla scelta. Tale obbligo non osta a che le organizzazioni continuino a trattare le informazioni personali per periodi più lunghi, ma limitatamente al periodo e alla misura in cui il trattamento sia ragionevolmente funzionale a una delle seguenti finalità specifiche analoghe alle eccezioni comparabili previste dal diritto dell'Unione in materia di protezione dei dati: archiviazione nel pubblico interesse, attività giornalistica, letteraria e artistica, ricerca scientifica e storica, analisi statistica (35). Qualora i dati personali siano conservati per una di tali finalità, il loro trattamento è subordinato alle garanzie previste dai principi (36).

(23)

I dati personali dovrebbero inoltre essere trattati in maniera da garantirne la sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. A tal fine i titolari e responsabili del trattamento dovrebbero adottare misure tecniche od organizzative per proteggere i dati personali da possibili minacce. Tali misure dovrebbero essere valutate tenendo conto dello stato dell'arte, dei costi correlati e della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti delle persone fisiche.

(24)

Nell'ambito del DPF UE-USA, ciò è garantito dal principio sulla sicurezza, che impone, analogamente all'articolo 32 del regolamento (UE) 2016/679, di adottare misure di sicurezza ragionevoli e adeguate, tenuto conto dei rischi insiti nel trattamento dei dati e nella loro natura (37).

(25)

Gli interessati dovrebbero essere informati dei principali aspetti del trattamento dei dati personali che li riguardano.

(26)

Ciò è garantito dal principio sull'informativa (38), che, analogamente agli obblighi di trasparenza di cui al regolamento (UE) 2016/679, impone alle organizzazioni di informare gli interessati in merito, tra l'altro: i) all'adesione dell'organizzazione al DPF; ii) al tipo di dati raccolti; iii) alla finalità del trattamento; iv) al tipo o all'identità dei terzi cui possono essere comunicati i dati personali e alle finalità di tale divulgazione; v) ai loro diritti individuali; vi) alle modalità di contatto con l'organizzazione; e vii) ai mezzi di ricorso disponibili.

(27)

Tali informazioni devono essere fornite in un linguaggio chiaro e in modo da attirare l'attenzione quando le persone sono invitate per la prima volta a fornire i dati personali o non appena possibile successivamente, ma in ogni caso prima che i dati siano utilizzati per una finalità sostanzialmente diversa da (ma compatibile con) quella per la quale sono stati raccolti o prima che siano divulgati a terzi (39).

(28)

Inoltre le organizzazioni devono rendere pubbliche le loro politiche della privacy che rispecchiano i principi (o, nel caso dei dati relativi alle risorse umane, metterle prontamente a disposizione delle persone interessate) e fornire un collegamento ipertestuale al sito web del Dipartimento del Commercio (contenente ulteriori dettagli sulla certificazione, sui diritti degli interessati e sui meccanismi di ricorso disponibili), all'elenco degli aderenti al quadro per la protezione dei dati personali (elenco degli aderenti al DPF) che comprende le organizzazioni aderenti e al sito web di un adeguato prestatore di meccanismi alternativi di composizione delle controversie (40).

(29)

Gli interessati dovrebbero disporre di determinati diritti azionabili nei confronti del titolare del trattamento o del responsabile del trattamento, in particolare il diritto di accesso ai dati, il diritto di opporsi al trattamento e il diritto di far rettificare e cancellare i dati.

(30)

Il principio sull'accesso (41) di cui al DPF UE-USA conferisce tali diritti alle persone. In particolare gli interessati hanno il diritto, senza che sia necessaria alcuna giustificazione, di ottenere da un'organizzazione la conferma dell'eventualità o meno che quest'ultima stia trattando dati personali che li riguardano; di farsi comunicare i dati in questione; e di ottenere informazioni sulla finalità del trattamento, sulle categorie di dati personali trattati e sui destinatari (o sulle categorie di destinatari) a cui sono comunicati i dati (42). Le organizzazioni sono tenute a rispondere alle richieste di accesso entro un periodo di tempo ragionevole (43). Un'organizzazione può fissare limiti ragionevoli per il numero di volte entro un determinato periodo di tempo per il quale può soddisfare le richieste di accesso di una determinata persona e può addebitare delle commissioni, non eccessive, ad esempio quando le richieste sono manifestamente eccessive, in particolare in ragione della loro natura ripetitiva (44).

(31)

Il diritto di accesso può essere limitato soltanto in circostanze eccezionali analoghe a quelle previste dal diritto dell'Unione in materia di protezione dei dati, in particolare in caso di violazione dei diritti legittimi di terzi; quando l'onere o le spese della fornitura dell'accesso sarebbero sproporzionati rispetto ai rischi per la vita privata della persona nelle circostanze del caso (sebbene tali spese e tale onere non siano fattori di controllo per determinare se la fornitura dell'accesso sia ragionevole); nella misura in cui la divulgazione possa interferire con la salvaguardia di importanti interessi pubblici preponderanti, quali la sicurezza nazionale, la sicurezza pubblica o la difesa; le informazioni contengono informazioni commerciali riservate; oppure le informazioni sono trattate esclusivamente per finalità di statistica o ricerca (45). Il diniego di un diritto o la sua limitazione deve essere necessario/a e debitamente giustificato/a e l'onere di dimostrare il soddisfacimento di tali condizioni incombe all'organizzazione (46). Nell'effettuare tale valutazione, l'organizzazione deve tener conto, in particolare, degli interessi della persona (47). Qualora sia possibile separare le informazioni da altri dati cui si applica una limitazione, l'organizzazione deve omettere le informazioni protette e divulgare le informazioni rimanenti (48).

(32)

Inoltre gli interessati hanno il diritto di ottenere la rettifica o la modifica di dati inesatti e di ottenere la cancellazione dei dati trattati in violazione dei principi (49). Come spiegato al considerando 15, le persone hanno altresì il diritto di opporsi/rifiutare il consenso al trattamento dei loro dati per finalità sostanzialmente diverse (ma compatibili) rispetto a quelle per le quali i dati sono stati raccolti, nonché alla divulgazione dei loro dati a terzi. Quando i dati personali sono utilizzati per finalità di marketing diretto, le persone hanno il diritto generale di revocare il consenso al trattamento in qualsiasi momento (50).

(33)

I principi non affrontano in modo specifico la questione delle decisioni riguardanti l'interessato basate unicamente sul trattamento automatizzato di dati personali. Tuttavia, per quanto riguarda i dati personali raccolti nell'Unione, qualsiasi decisione basata sul trattamento automatizzato sarà generalmente presa dal titolare del trattamento nell'Unione (che ha un rapporto diretto con l'interessato) ed è, di conseguenza, direttamente soggetta al regolamento (UE) 2016/679 (51). Ciò comprende i casi di trasferimento in cui il trattamento è effettuato da un operatore economico straniero (ad esempio statunitense) che agisce in qualità di procuratore (responsabile del trattamento) per conto del titolare del trattamento stabilito nell'Unione (o come responsabile del trattamento in seconda battuta che agisce per conto del responsabile del trattamento dell'Unione, che ha ricevuto i dati dal titolare del trattamento dell'Unione che li ha raccolti) che, su questa base, prende la decisione.

(34)

Ciò è stato confermato da uno studio commissionato dalla Commissione nel 2018 nel contesto del secondo riesame annuale del funzionamento dello scudo per la privacy (52), il quale ha concluso che, all'epoca, non vi erano elementi che suggerissero che le organizzazioni aderenti allo scudo effettuassero di norma un processo decisionale automatizzato sulla base di dati personali trasferiti nell'ambito dello scudo.

(35)

In ogni caso, nei settori in cui è diffuso tra le imprese il ricorso al trattamento automatizzato dei dati personali per l'adozione di decisioni che si ripercuotono sulla persona (ad esempio erogazione di credito, offerta di prestiti ipotecari, lavoro, alloggio e assicurazioni), il diritto statunitense offre garanzie specifiche contro le decisioni sfavorevoli (53). In base alla normativa vigente, la persona ha diritto di essere informata delle ragioni specifiche su cui si fonda decisione (ad esempio il rifiuto di erogarle un prestito), di contestare le informazioni incomplete o inesatte (e il fatto di aver basato illegittimamente la decisione su determinati fattori) e di impugnare la decisione sfavorevole. Nel settore del credito ai consumatori, la legge sull'informativa corretta nel credito (FCRA) e la legge sulle pari opportunità nel credito (ECOA) contengono garanzie che conferiscono ai consumatori una qualche forma di diritto alla spiegazione e il diritto di impugnare la decisione. Tali leggi sono pertinenti in un'ampia serie di settori, tra cui il credito, il lavoro, gli alloggi e le assicurazioni. Inoltre talune leggi antidiscriminazione, quali il titolo VII della legge sui diritti civili (Civil Rights Act) e la legge sulle pari opportunità negli alloggi (Fair Housing Act), offrono alle persone tutele rispetto ai modelli utilizzati nel processo decisionale automatizzato che potrebbero condurre a discriminazioni sulla base di determinate caratteristiche e conferiscono alle persone il diritto di impugnare tali decisioni, comprese quelle basate su un trattamento automatizzato. Per quanto concerne le informazioni sanitarie, la norma sulla privacy della legge sulla portabilità e responsabilità dell'assicurazione sanitaria (HIPAA) crea alcuni diritti simili a quelli di cui al regolamento (UE) 2016/679 per quanto concerne l'accesso alle informazioni sanitarie personali. Inoltre gli orientamenti delle autorità statunitensi impongono ai prestatori di servizi medici di ricevere informazioni che consentano loro di informare le persone in merito ai sistemi basati su un processo decisionale automatizzato utilizzati nel settore medico (54).

(36)

Pertanto tali norme offrono tutele analoghe a quelle previste dal diritto dell'Unione in materia di protezione dei dati nell'improbabile circostanza in cui decisioni automatizzate siano adottate dall'organizzazione stessa aderente al DPF UE-USA.

(37)

Il livello di protezione offerto ai dati personali trasferiti dall'Unione verso organizzazioni negli Stati Uniti non deve essere compromesso da ulteriori trasferimenti di tali dati a un destinatario che si trova negli Stati Uniti o in un altro paese terzo.

(38)

Ai sensi del principio sulla responsabilità in caso di trasferimento successivo (55) , al cosiddetto "trasferimento successivo", vale a dire il trasferimento di dati personali da un'organizzazione aderente al DPF UE-USA a un terzo titolare del trattamento o responsabile del trattamento, si applicano norme particolari, a prescindere dal fatto che il terzo sia ubicato negli Stati Uniti o in un paese terzo rispetto agli Stati Uniti (e all'Unione). Qualsiasi trasferimento successivo può aver luogo soltanto i) per finalità limitate e specifiche, ii) sulla base di un contratto stipulato tra l'organizzazione aderente al DPF UE-USA e il terzo (56) (o un accordo analogo all'interno di un gruppo aziendale (57)) e iii) soltanto se tale contratto impone a detto terzo di fornire il medesimo livello di protezione garantito dai principi.

(39)

Tale obbligo di garantire il medesimo livello di protezione garantito dai principi, letto in combinazione con il principio sull'integrità dei dati e sulla limitazione della finalità, significa in particolare che il terzo può trattare le informazioni personali che gli sono state trasmesse soltanto per finalità che non sono incompatibili con quelle per le quali sono state raccolte o che sono state successivamente autorizzate dall'interessato (conformemente al principio sulla scelta).

(40)

Anche il principio sulla responsabilità in caso di trasferimento successivo andrebbe letto in combinazione con il principio sull'informativa e, in caso di trasferimento successivo a un terzo titolare del trattamento (58), con il principio sulla scelta, secondo cui l'interessato deve essere informato (tra l'altro) del tipo/dell'identità di qualsiasi terzo destinatario dei dati, dello scopo del trasferimento successivo e della scelta offerta, e può opporsi al trasferimento successivo (facoltà di rifiuto) o, in caso di dati sensibili, deve necessariamente dare il "consenso esplicito" allo stesso (facoltà di accettazione).

(41)

L'obbligo di offrire lo stesso livello di protezione previsto dai principi si applica a ciascuno e a tutti i terzi che intervengono nel trattamento dei dati così trasferiti, ovunque siano ubicati (negli Stati Uniti o in altro paese terzo), così come si applica quando il primo terzo destinatario trasferisce a sua volta i dati ad altro terzo destinatario, cui ad esempio delega il trattamento.

(42)

In tutti i casi il contratto con il terzo destinatario deve prevedere che questi informi l'organizzazione aderente al DPF UE-USA se constata di non poter più assolvere quest'obbligo. A seguito della constatazione in tal senso, il terzo deve cessare il trattamento oppure deve adottare un'altra misura ragionevole e adeguata per rimediare alla situazione (59).

(43)

In caso di trasferimento successivo a un terzo procuratore (ad esempio un responsabile del trattamento) si applicano tutele supplementari. In tal caso l'organizzazione statunitense deve garantire che il procuratore agisca soltanto secondo le istruzioni e deve inoltre adottare provvedimenti ragionevoli e adeguati i) per garantire che, in concreto, il procuratore tratti le informazioni personali che gli sono trasmesse in modo conforme agli obblighi cui i principi vincolano l'organizzazione, e ii) non appena avvertita, per far cessare il trattamento non autorizzato e porvi rimedio (60). Il Dipartimento del Commercio può imporre all'organizzazione di fornire una sintesi o una copia rappresentativa delle disposizioni del contratto in materia di protezione dei dati (61). Qualora sorgano problemi di conformità in una catena di trattamento (delegato), l'organizzazione che agisce in qualità di titolare del trattamento dei dati personali è in linea di principio responsabile, come specificato nel principio su ricorso, controllo e responsabilità, fatto salvo il caso in cui dimostri di non essere responsabile dell'evento che ha cagionato il danno (62).

(44)

Secondo il principio di responsabilizzazione, i soggetti che trattano dati sono tenuti a mettere in atto misure tecniche e organizzative adeguate per rispettare efficacemente i loro obblighi in materia di protezione dei dati e per essere in grado di dimostrare tale rispetto, in particolare all'autorità di controllo competente.

(45)

Una volta che ha volontariamente deciso di certificarsi (63) nell'ambito del DPF UE-USA, un'organizzazione è tenuta a rispettarne i principi che sono effettivi ed azionabili. Ai sensi del principio su ricorso, controllo e responsabilità (64), le organizzazioni aderenti al DPF UE-USA devono fornire meccanismi efficaci per garantire il rispetto dei principi. Le organizzazioni devono altresì adottare misure atte a verificare (65) che la loro politica della privacy sia conforme ai principi e applicata effettivamente. La verifica può configurarsi come autovalutazione, nel cui sistema devono essere comprese procedure interne atte ad assicurare che i dipendenti ricevano una formazione sull'attuazione della politica della privacy dell'organizzazione e che la conformità sia controllata periodicamente con metodo obiettivo, oppure come verifica esterna della conformità, nel cui sistema possono rientrare verifiche, controlli a campione o il ricorso a strumenti tecnologici.

(46)

Inoltre le organizzazioni devono tenere traccia dell'attuazione delle loro pratiche in materia di DPF UE-USA e, nell'ambito delle indagini o dei reclami per mancato soddisfacimento dei requisiti, metterle a disposizione, a richiesta, di un organo indipendente di composizione delle controversie o di un'autorità di contrasto competente (66).

(47)

Il DPF UE-USA sarà amministrato e monitorato dal Dipartimento del Commercio. Il DPF prevede meccanismi di vigilanza e di controllo dell'attuazione atti a verificare e garantire che le organizzazioni aderenti al DPF UE-USA rispettino i principi e che qualsiasi caso di inosservanza sia affrontato. Tali meccanismi sono illustrati nei principi (allegato I) e negli impegni assunti dal Dipartimento del Commercio (allegato III), dall'FTC (allegato IV) e dal DOT (allegato V).

(48)

Per certificarsi ai sensi del DPF UE-USA (o per ricertificarsi annualmente), le organizzazioni sono tenute a dichiarare pubblicamente il loro impegno a rispettare i principi, a rendere disponibili le loro politiche della privacy e ad attuarle pienamente (67). Nel contesto della loro domanda di (ri)certificazione, le organizzazioni devono presentare al Dipartimento del Commercio informazioni riguardanti, tra l'altro, il nome dell'organizzazione pertinente, una descrizione delle finalità per le quali l'organizzazione tratterà i dati personali, i dati personali che saranno oggetto della certificazione, nonché il metodo di verifica scelto, il pertinente meccanismo di ricorso indipendente e l'ente competente a garantire il rispetto dei principi (68).

(49)

Le organizzazioni possono ricevere dati personali sulla base del DPF UE-USA dalla data in cui sono inserite nell'elenco degli aderenti al DPF da parte del Dipartimento del Commercio. Al fine di garantire la certezza del diritto ed evitare "casi di millantata adesione", le organizzazioni che si certificano per la prima volta non possono fare pubblicamente riferimento alla loro adesione ai principi prima che il Dipartimento del Commercio abbia stabilito che la domanda di certificazione dell'organizzazione è completa e l'abbia aggiunta all'elenco degli aderenti al DPF (69). Per poter continuare a fruire del DPF UE-USA per ricevere dati personali dall'Unione, tali organizzazioni devono ricertificare ogni anno la loro adesione al regime. L'organizzazione che, per qualsiasi motivo, abbandona il DPF UE-USA deve eliminare tutte le dichiarazioni che lasciano intendere che l'organizzazione continui ad aderire al regime (70).

(50)

Come rispecchiato negli impegni di cui all'allegato III, il Dipartimento del Commercio verificherà se le organizzazioni soddisfano tutti i requisiti di certificazione e hanno messo in atto una politica della privacy (pubblica) contenente le informazioni richieste ai sensi del principio sull'informativa (71). Sulla base dell'esperienza acquisita con il processo di (ri)certificazione nel contesto dello scudo per la privacy, il Dipartimento del Commercio effettuerà una serie di controlli, anche per verificare se le politiche della privacy delle organizzazioni contengano un collegamento ipertestuale al modulo corretto di reclamo sul sito web del pertinente meccanismo di risoluzione delle controversie e, qualora una domanda di certificazione comprenda più soggetti e filiali di un'organizzazione, per verificare se le politiche della privacy di ciascuno di tali soggetti soddisfino i requisiti di certificazione e siano prontamente a disposizione degli interessati (72). Inoltre, ove necessario, il Dipartimento del Commercio effettuerà controlli incrociati con l'FTC e il DOT al fine di verificare che le organizzazioni siano soggette all'organismo di vigilanza indicato nelle loro domande di (ri)certificazione e collaborerà con gli organi di composizione alternativa delle controversie al fine di verificare che le organizzazioni siano registrate presso il meccanismo di ricorso indipendente indicato nella loro domanda di (ri)certificazione (73).

(51)

Il Dipartimento del Commercio informerà le organizzazioni che, per completare la (ri)certificazione, devono affrontare tutte le questioni individuate durante il suo riesame. Nel caso in cui un'organizzazione non risponda entro un termine stabilito dal Dipartimento del Commercio (ad esempio per quanto concerne la ricertificazione si prevede che il processo sia completato entro 45 giorni) (74) o non completi altrimenti la sua certificazione, la domanda sarà considerata abbandonata. In tal caso, qualsiasi falsa dichiarazione in merito all'adesione al DPF UE-USA o al rispetto di tale regime può essere oggetto di un'azione coercitiva da parte dell'FTC o del DOT (75).

(52)

Ai fini di una corretta applicazione del DPF UE-USA, le parti che intervengono in tale ambito, quali gli interessati, gli esportatori di dati e le autorità nazionali di protezione dei dati, devono essere in grado di riconoscere le organizzazioni che aderiscono ai principi. Al fine di garantire tale trasparenza a livello di "punto di entrata", il Dipartimento del Commercio si è impegnato a tenere e mettere a disposizione del pubblico un elenco delle organizzazioni che si sono certificate come aderenti ai principi e che rientrano nella sfera di competenza di almeno una delle autorità di applicazione della legge di cui agli allegati IV e V della presente decisione (76). Il Dipartimento del Commercio aggiornerà l'elenco in funzione delle domande annuali di ricertificazione presentate dalle organizzazioni e degli eventuali ritiri o delle eventuali esclusioni di organizzazioni dal regime del DPF UE-USA. Inoltre, al fine di garantire la trasparenza anche presso il "punto di uscita", il Dipartimento del Commercio tiene e mette a disposizione del pubblico anche un elenco ufficiale delle organizzazioni depennate dall'elenco, indicando per ciascuna il motivo dell'esclusione (77). Infine fornirà un collegamento ipertestuale alla pagina web dell'FTC dedicata al DPF UE-USA, che elencherà le azioni coercitive avviate dall'FTC nell'ambito del quadro (78).

(53)

Il Dipartimento del Commercio controllerà costantemente l'effettivo rispetto dei principi da parte delle organizzazioni aderenti al DPF UE-USA attraverso meccanismi diversi (79). In particolare effettuerà "controlli a campione" di organizzazioni selezionate in modo casuale, nonché controlli a campione ad hoc di organizzazioni specifiche quando vengono individuate potenziali questioni in materia di conformità (ad esempio organizzazioni segnalate al Dipartimento del Commercio da terzi) per verificare se: i) il punto o i punti di contatto per la gestione dei reclami e delle richieste degli interessati sono disponibili e reattivi; ii) la politica della privacy dell'organizzazione in questione è prontamente disponibile, sia sul suo sito web che tramite un collegamento ipertestuale sul sito web del Dipartimento del Commercio; iii) la politica della privacy dell'organizzazione continua a rispettare i requisiti di certificazione; e iv) il meccanismo indipendente di risoluzione delle controversie scelto dall'organizzazione è disponibile per la gestione dei reclami (80).

(54)

Il Dipartimento del Commercio imporrà all'organizzazione di compilare e presentare un questionario dettagliato, qualora vi siano prove attendibili del fatto che un'organizzazione non rispetta gli impegni assunti nell'ambito del DPF UE-USA (anche qualora il Dipartimento del Commercio riceva reclami o l'organizzazione non risponda in modo soddisfacente alle richieste di informazioni formulate da detto Dipartimento) (81). Un'organizzazione che non risponda in modo soddisfacente e tempestivo al questionario sarà deferita all'autorità competente (FTC o DOT) ai fini dell'adozione di eventuali azioni coercitive (82). Nel contesto delle sue attività di controllo della conformità nell'ambito dello scudo, il Dipartimento del Commercio ha effettuato regolarmente i controlli a campione di cui al considerando 53 e ha monitorato costantemente le segnalazioni pubbliche, attività queste che gli hanno consentito di individuare, affrontare e risolvere questioni in materia di conformità (83). Il Dipartimento depenna dall'elenco degli aderenti al DPF le organizzazioni che hanno commesso reiterate inosservanze dei principi, le quali devono restituire o cancellare i dati personali ricevuti nell'ambito del quadro (84).

(55)

Negli altri casi di depennamento dall'elenco, come in caso di revoca volontaria dell'adesione o di mancata ricertificazione, l'organizzazione deve cancellare o restituire i dati oppure può conservarli a condizione che dichiari ogni anno al Dipartimento del Commercio il proprio impegno di continuare ad applicare i principi oppure li protegga adeguatamente con un altro mezzo autorizzato (ad esempio un contratto che rispecchi totalmente le condizioni delle pertinenti clausole contrattuali tipo approvate dalla Commissione) (85). In tal caso l'organizzazione deve designare altresì al suo interno un referente per tutte le questioni relative al DPF UE-USA.

(56)

Il Dipartimento del Commercio monitorerà eventuali casi di millantata adesione al DPF UE-USA o l'uso improprio del marchio di certificazione di tale regime, sia d'ufficio che sulla base di reclami (ad esempio ricevuti dalle autorità di protezione dei dati) (86). In particolare il Dipartimento del Commercio verificherà su base continuativa che le organizzazioni che i) revocano l'adesione al DPF UE-USA, ii) non completano la ricertificazione annuale (ossia che hanno avviato il processo annuale di ricertificazione ma non lo hanno completato in modo tempestivo o non hanno neppure avviato detto processo), iii) sono depennate dall'elenco degli aderenti al regime, in particolare a causa di una "inosservanza reiterata", o iv) non hanno completato una certificazione iniziale (ossia che hanno avviato il processo di certificazione iniziale ma non lo hanno completato in modo tempestivo), eliminino da qualsiasi politica della privacy pertinente pubblicata eventuali riferimenti al DPF UE-USA che implicano che l'organizzazione aderisce attivamente a tale quadro (87). Il Dipartimento del Commercio effettuerà inoltre ricerche su internet per individuare riferimenti al DPF UE-USA nelle politiche della privacy delle organizzazioni, anche per individuare casi di millantata adesione da parte di organizzazioni che non hanno mai partecipato al DPF UE-USA (88).

(57)

Se la Dipartimento del Commercio constata che i riferimenti al DPF UE-USA non sono stati rimossi o sono utilizzati in modo improprio, informa l'organizzazione in merito a un possibile deferimento all'FTC/al DOT (89). Se un'organizzazione non risponde in modo soddisfacente, il Dipartimento del Commercio deferisce la questione all'ente competente affinché siano adottate eventuali azioni coercitive (90). Se millanta pubblicamente l'adesione ai principi con dichiarazioni o pratiche fuorvianti, l'organizzazione si espone alle azioni coercitive dell'FTC, del DOT o di altra competente autorità di applicazione della legge degli USA. L'adesione millantata nei confronti del Dipartimento del Commercio è perseguibile in forza della legge sulle false dichiarazioni (Codice degli Stati Uniti, titolo 18, articolo 1001).

(58)

Al fine di garantire un livello di protezione adeguato dei dati nella pratica, dovrebbe esistere un'autorità di controllo indipendente cui siano conferiti i poteri di monitorare e assicurare il rispetto delle norme in materia di protezione dei dati.

(59)

Le organizzazioni aderenti al DPF UE-USA devono essere soggette alla competenza giurisdizionale delle autorità statunitensi competenti (FTC e DOT), che dispongono dell'autorità d'indagine e di controllo necessaria per garantire efficacemente il rispetto dei principi (91).

(60)

L'FTC è un'autorità indipendente composta da cinque commissari, nominati dal presidente con il parere e il consenso del Senato (92). I commissari sono nominati per un mandato di sette anni e il loro incarico può essere revocato dal presidente soltanto per inefficienza, negligenza o concussione. L'FTC non può avere più di tre commissari del medesimo partito politico e i commissari non possono, durante la loro nomina, intraprendere altre attività commerciali o professionali o assumere altri impieghi.

(61)

L'FTC può indagare sul rispetto dei principi, nonché sui casi di millantata adesione ai principi o al DPF UE-USA da parte di organizzazioni che non figurano più nell'elenco degli aderenti al DPF o non si sono mai certificate (93). L'FTC può imporre il rispetto delle norme chiedendo l'emissione di provvedimenti amministrativi o federali (comprese le "ordinanze consensuali" ottenute mediante transazione) (94) per ingiunzioni preliminari o permanenti oppure altri mezzi di ricorso, e controllerà sistematicamente il rispetto di tali provvedimenti (95). Se l'organizzazione non si conforma a tali provvedimenti, l'FTC ha facoltà di presentare un'istanza per ottenere sanzioni civili e altre riparazioni, anche per l'eventuale danno causato dal comportamento illecito. Ciascuna ordinanza consensuale emanata nei confronti di un'organizzazione aderente al DPF UE-USA prevede obblighi di informazione da parte dell'organizzazione (96), cui è imposto di rendere pubbliche le parti inerenti a tale regime delle relazioni di conformità o di valutazione presentate all'FTC. Infine l'FTC tiene online un elenco delle imprese nei cui confronti è stata emanata un'ordinanza dell'FTC stessa o di un organo giurisdizionale in casi collegati al DPF UE-USA (97).

(62)

Per quanto concerne lo scudo per la privacy, l'FTC ha adottato misure coercitive in circa 22 casi, sia per quanto riguarda violazioni di requisiti specifici del quadro (ad esempio: mancata dichiarazione al Dipartimento del Commercio del fatto che l'organizzazione continuava ad applicare le tutele di cui allo scudo per la privacy dopo aver abbandonato tale regime; mancata verifica, mediante un'autovalutazione o una verifica esterna della conformità, del fatto che l'organizzazione rispettava il regime) (98) e casi di millantata adesione al regime (ad esempio da parte di organizzazioni che non hanno completato le fasi necessarie per ottenere la certificazione o hanno lasciato scadere la loro certificazione, ma hanno millantato di continuare ad aderire al regime) (99). Tale azione coercitiva è sfociata tra l'altro in un uso proattivo delle citazioni amministrative al fine di ottenere materiale da taluni aderenti allo scudo per verificare l'esistenza di violazioni sostanziali degli obblighi di cui allo scudo per la privacy (100).

(63)

Più in generale, negli ultimi anni l'FTC ha adottato azioni coercitive in una serie di casi riguardanti il rispetto di requisiti specifici in materia di protezione dei dati previsti anche dal DPF UE-USA, ad esempio per quanto concerne i principi di limitazione delle finalità e di conservazione dei dati (101), di minimizzazione dei dati (102), nonché di sicurezza (103) e di accuratezza dei dati (104).

(64)

Il DOT ha competenza esclusiva sulla disciplina delle pratiche in materia di privacy seguite dalle compagnie aeree e competenza concorrente con l'FTC per le stesse pratiche seguite dal rivenditore che fa servizio di biglietteria nell'attività di vendita di trasporto aereo. I funzionari del DOT mirano innanzitutto a raggiungere una transazione e, se ciò non è possibile, possono avviare un'azione coercitiva che comporta un'udienza probatoria dinanzi a un giudice amministrativo del DOT che ha la facoltà di emettere provvedimenti inibitori e di infliggere sanzioni civili (105). I giudici amministrativi beneficiano di diverse tutele previste dalla legge sulle procedure amministrative (APA) per garantirne l'indipendenza e l'imparzialità. Ad esempio, possono essere rimossi dal loro incarico soltanto per giusta causa; sono assegnati ai casi a rotazione; non possono esercitare funzioni incompatibili con le loro funzioni e responsabilità in qualità di giudici amministrativi; non sono soggetti al controllo da parte della squadra investigativa dell'autorità di cui sono dipendenti (in questo caso il DOT); e devono svolgere la loro funzione di giudizio/esecutiva in modo imparziale (106). Il DOT si è impegnato a monitorare i provvedimenti coercitivi e a garantire che le ordinanze derivanti da casi di DPF UE-USA siano disponibili sul suo sito web (107).

(65)

Al fine di garantire una protezione adeguata e, in particolare, il rispetto dei diritti individuali, l'interessato dovrebbe avere a disposizione mezzi di ricorso efficaci in sede amministrativa e giudiziaria.

(66)

Con il principio su ricorso, controllo e responsabilità il DPF UE-USA impone all'organizzazione aderente di mettere mezzi di ricorso a disposizione della persona lesa dall'inosservanza, offrendo quindi all'interessato dell'Unione la possibilità di sporgere reclamo per mancato rispetto dei principi da parte di organizzazioni aderenti al DPF UE-USA e di ottenere la soluzione del caso di reclamo, se necessario con una decisione che dispone un rimedio effettivo (108). Nell'ambito della certificazione l'organizzazione deve adempiere gli obblighi imposti da tale principio prevedendo meccanismi di ricorso indipendenti effettivi e di pronto impiego, atti a consentire d'istruire e dirimere, senza costi per la persona, qualsiasi reclamo da questa presentato o qualsiasi controversia insorta (109).

(67)

L'organizzazione può scegliere meccanismi di ricorso indipendenti dell'Unione o degli Stati Uniti, compresa la possibilità di impegnarsi volontariamente a cooperare con le autorità di protezione dei dati dell'UE, come spiegato più in dettaglio al considerando 73. Quando le organizzazioni trattano dati relativi alle risorse umane, tale impegno a cooperare con le autorità di protezione dei dati dell'UE è obbligatorio. Fra le altre opzioni disponibili si annoverano gli organi di composizione alternativa delle controversie o i programmi per la privacy elaborati dal settore privato nei quali sono integrati i principi del DPF. Questi ultimi devono contemplare meccanismi di attuazione efficaci rispondenti ai requisiti indicati nel principio su ricorso, controllo e responsabilità.

(68)

Il DPF UE-USA offre quindi all'interessato varie possibilità di far valere i propri diritti, di sporgere reclamo per inosservanza dei principi da parte di imprese dell'UE e statunitensi e di ottenere la soluzione del caso di reclamo, se necessario con una decisione che dispone un rimedio effettivo. La persona può sporgere reclamo direttamente all'organizzazione, a un organo indipendente di risoluzione delle controversie da questa designato, all'autorità nazionale di protezione dei dati, al Dipartimento del Commercio oppure all'FTC. Nei casi in cui nessuno di detti meccanismi di ricorso o di attuazione abbia risolto il caso di reclamo, la persona ha altresì il diritto di chiedere un arbitrato vincolante (allegato I dell'allegato I della presente decisione). Fatta eccezione per il collegio arbitrale, cui si può rivolgere solo dopo aver esperito determinati mezzi di contestazione, la persona è libera di scegliere i meccanismi di ricorso che preferisce o di attivarli tutti, senza alcun obbligo di rivolgersi a uno piuttosto che a un altro o di seguire una determinata sequenza.

(69)

Innanzitutto l'interessato nell'UE può sottoporre il caso di inosservanza dei principi direttamente alle organizzazioni aderenti al DPF UE-USA (110). Per agevolare la soluzione dei casi, l'organizzazione deve predisporre un meccanismo di ricorso effettivo atto a trattare tali reclami. L'organizzazione deve quindi indicare chiaramente alle persone, nella politica della privacy, un referente, interno o esterno, incaricato del trattamento dei reclami (che può essere anche uno stabilimento presente nell'Unione in grado di rispondere alle domande o ai reclami), così come l'organo indipendente di composizione delle controversie (cfr. il considerando 70). Ricevuto il reclamo della persona, direttamente da questa o per il tramite del Dipartimento del Commercio cui l'ha sottoposto un'autorità di protezione dei dati, l'organizzazione deve rispondere all'interessato dell'Unione entro il termine di 45 giorni (111). L'organizzazione è parimenti tenuta a rispondere prontamente alle richieste d'informazioni o di altro tipo riguardo all'osservanza dei principi, emananti dal Dipartimento del Commercio o da un'autorità di protezione dei dati (112) (se l'organizzazione si è impegnata a cooperare con tali autorità).

(70)

In secondo luogo, la persona può anche sporgere reclamo direttamente all'organo indipendente di composizione delle controversie (negli Stati Uniti o nell'Unione) che l'organizzazione ha designato per esaminare e risolvere i casi di reclamo individuale (a condizione che il reclamo non sia manifestamente infondato o futile) e per mettere a disposizione della persona, gratuitamente, un mezzo di ricorso adeguato (113). Le sanzioni e misure correttive imposte da tale organo devono essere sufficientemente severe da assicurare che l'organizzazione rispetti i principi e dovrebbero imporle di correggere o sovvertire gli effetti dell'inosservanza e, a seconda delle circostanze, di astenersi da ulteriori trattamenti dei dati personali in questione e/o di cancellarli, nonché di dare pubblicità all'inosservanza constatata (114). L'organo indipendente di composizione delle controversie designato da un'organizzazione è tenuto a riportare sul proprio sito web pubblico le pertinenti informazioni relative al DPF UE-USA e ai servizi che presta in tale ambito (115). Deve pubblicare ogni anno una relazione che presenti, in forma aggregata, i dati statistici relativi ai servizi prestati (116).

(71)

Le procedure di controllo della conformità seguite dal Dipartimento del Commercio possono prevedere la verifica del fatto che le organizzazioni aderenti al DPF UE-USA siano effettivamente registrate presso i meccanismi di ricorso indipendenti a cui dichiarano di essere registrate (117). Sia le organizzazioni sia i competenti meccanismi di ricorso indipendenti sono tenuti a rispondere prontamente alle richieste del Dipartimento del Commercio vertenti su informazioni relative al DPF UE-USA. Il Dipartimento del Commercio collaborerà con meccanismi di ricorso indipendenti al fine di verificare che includano informazioni sui propri siti web in merito ai principi e ai servizi forniti nell'ambito del DPF UE-USA e che pubblichino relazioni annuali (118).

(72)

Se l'organizzazione non si conforma alla decisione dell'organo di risoluzione delle controversie o dell'organo di autoregolamentazione, questo deve notificarlo al Dipartimento del Commercio e all'FTC (o ad un'altra autorità statunitense competente delle indagini in merito alla non conformità dell'organizzazione) ovvero al giudice competente (119). Quando l'organizzazione rifiuta di uniformarsi alla decisione definitiva dell'ente pubblico, dell'organo di autoregolamentazione o dell'organo indipendente di composizione delle controversie competenti della privacy, ovvero quando tale ente od organo constata che l'organizzazione viola i principi frequentemente, si può configurare la fattispecie dell'inosservanza reiterata, con la conseguenza che il Dipartimento del Commercio, concessi all'organizzazione inadempiente un preavviso di 30 giorni e la possibilità di replica, depenna l'organizzazione dall'elenco degli aderenti al DPF (120). Se l'organizzazione depennata dall'elenco continua a millantare la certificazione rispetto al DPF UE-USA, il Dipartimento del Commercio la deferisce all'FTC o altra autorità di applicazione della legge (121).

(73)

In terzo luogo, le persone possono promuovere altresì reclamo presso un'autorità nazionale di protezione dei dati nell'Unione, che può avvalersi dei propri poteri di indagine e di correzione a norma del regolamento (UE) 2016/679. L'organizzazione è tenuta a cooperare con l'autorità di protezione dei dati per l'esame e la risoluzione del caso di reclamo, se questo riguarda il trattamento di dati sulle risorse umane raccolti nel contesto di un rapporto di lavoro oppure se l'organizzazione ha accettato volontariamente di essere sottoposta alla supervisione delle autorità di protezione dei dati (122). In particolare l'organizzazione è tenuta a rispondere alle richieste d'informazioni dell'autorità di protezione dei dati, a uniformarsi al parere da questa espresso, anche relativamente alle misure correttive o compensative, e a confermarle per iscritto l'adozione dei provvedimenti richiesti (123). In caso di mancato rispetto del parere fornito dall'autorità di protezione dei dati, quest'ultima deferirà tali casi al Dipartimento del Commercio (che può depennare le organizzazioni dall'elenco degli aderenti al DPF) o, per eventuali azioni coercitive, all'FTC o al DOT (la mancata cooperazione con le autorità di protezione dei dati o la mancata conformità rispetto ai principi è perseguibile ai sensi del diritto statunitense) (124).

(74)

Al fine di facilitare la cooperazione per una gestione efficace dei reclami, sia il Dipartimento del Commercio che l'FTC hanno istituito un apposito punto di contatto competente della gestione dei contatti diretti con le autorità di protezione dei dati (125). Tali punti di contatto forniscono assistenza in relazione alle richieste di informazioni dell'autorità di protezione dei dati in merito al rispetto dei principi da parte di un'organizzazione.

(75)

Il parere fornito dalle autorità di protezione dei dati (126) è espresso dopo che le due parti della controversia hanno avuto ragionevoli possibilità di formulare commenti e addurre qualsiasi elemento di prova desiderino. Il comitato può esprimere il parere quanto più rapidamente possibile, compatibilmente con l'esigenza di garantire l'equità del procedimento, e di norma entro un termine di 60 giorni dalla data in cui riceve il reclamo (127). Se l'organizzazione non si adegua al parere entro 25 giorni dalla data in cui è espresso senza fornire soddisfacenti giustificazioni del ritardo, il comitato può notificarle l'intenzione di sottoporre il caso all'FTC (o ad altra autorità statunitense di applicazione della legge) ovvero di concludere che si è verificato un grave inadempimento dell'impegno a cooperare. Nel primo caso, la conseguenza può essere un'azione coercitiva ai sensi dell'articolo 5 della legge sull'FTC (o legge analoga) (128). Nel secondo caso il comitato informa il Dipartimento del Commercio, il quale assimila il rifiuto dell'organizzazione di adeguarsi al parere del comitato delle autorità di protezione dei dati a una reiterata inosservanza che comporta il depennamento dell'organizzazione dall'elenco degli aderenti al DPF.

(76)

Se l'autorità di protezione dei dati cui è stato inviato il reclamo non è intervenuta, o non a sufficienza, per risolvere il caso, la persona può contestare l'intervento (o l'inazione) dinanzi al giudice nazionale del proprio Stato membro dell'UE.

(77)

La persona può sporgere reclamo all'autorità di protezione dei dati anche se l'organizzazione non ha designato il relativo comitato come organo di composizione delle controversie. In tal caso l'autorità di protezione dei dati può sottoporre il reclamo al Dipartimento del Commercio o all'FTC. Per favorire e intensificare la cooperazione sulle questioni relative ai reclami individuali e all'inosservanza da parte delle organizzazioni aderenti al DPF UE-USA, il Dipartimento del Commercio nomina al suo interno un referente incaricato dei collegamenti con le autorità di protezione dei dati e dell'assistenza alle stesse per le richieste vertenti sulla conformità delle organizzazioni ai principi del DPF UE-USA (129). Analogamente l'FTC si è impegnata a istituire un punto di contatto dedicato (130).

(78)

In quarto luogo, il Dipartimento del Commercio si è impegnato a ricevere i reclami vertenti sull'inosservanza dei principi da parte di un'organizzazione, a esaminarli e ad adoperarsi al massimo per risolvere i casi (131). A tal fine prevede procedure particolari che permettono alle autorità di protezione dei dati di sottoporre il reclamo a un apposito referente, di seguirne l'iter e di darvi seguito presso le organizzazioni per facilitare la soluzione del caso (132). Per accelerare il trattamento di ciascun reclamo, il referente affronta il caso di inosservanza in contatto diretto con la pertinente autorità di protezione dei dati e provvede, in particolare, ad aggiornarla sulla situazione entro un termine massimo di 90 giorni dalla data in cui gli è stato sottoposto il reclamo (133). Questo modus operandi permette all'interessato di sporgere reclamo per inosservanza dei principi da parte di organizzazioni aderenti al DPF UE-USA direttamente alla pertinente autorità nazionale di protezione dei dati, che provvede poi a inoltrarla al Dipartimento del Commercio in quanto autorità di gestione di tale regime negli Stati Uniti.

(79)

Se le verifiche eseguite d'ufficio annuali, i reclami o qualsiasi altra informazione portano a concludere che l'organizzazione abbia commesso reiterate inosservanze dei principi, il Dipartimento del Commercio la depenna dall'elenco degli aderenti al DPF (134). Il rifiuto di uniformarsi alla decisione definitiva dell'ente pubblico, dell'organo di autoregolamentazione o dell'organo indipendente di composizione delle controversie competenti della privacy, autorità di protezione dei dati comprese, si configura come inosservanza reiterata (135).

(80)

In quinto luogo, le organizzazioni aderenti al DPF UE-USA devono essere soggette alla competenza giurisdizionale delle autorità statunitensi, in particolare dell'FTC (136), che dispone dell'autorità d'indagine e di controllo necessaria per garantire efficacemente il rispetto dei principi. L'FTC tratta in via prioritaria i casi d'inosservanza dei principi ad essa sottoposti da un organo indipendente di composizione delle controversie o di autoregolamentazione, dal Dipartimento del Commercio e dalle autorità di protezione dei dati (di loro iniziativa o a seguito di reclamo) per stabilire se vi sia stata violazione dell'articolo 5 della legge sull'FTC (137). L'FTC si è impegnata a predisporre una procedura standard per i casi che le sono sottoposti, a istituire al suo interno un referente per i casi sottoposti dalle autorità di protezione dei dati e a scambiare informazioni sui casi sottopostile. Può accettare inoltre i reclami presentati direttamente dalle persone e avviare di propria iniziativa indagini nell'ambito del DPF UE-USA, in particolare nel quadro delle più ampie indagini in materia di tutela della vita privata.

(81)

In sesto luogo, l'interessato dell'Unione può chiedere l'arbitrato vincolante del collegio del quadro UE-USA per la protezione dei dati personali (collegio del DPF UE-USA) come extrema ratio nel caso in cui gli altri mezzi di ricorso disponibili non gli abbiano offerto una soluzione soddisfacente per il reclamo sporto (138). L'organizzazione deve informare la persona della possibilità di chiedere un arbitrato vincolante; una volta che la possibilità si concreta con l'invio dell'avviso all'organizzazione, questa è tenuta a darvi riscontro (139).

(82)

Il collegio del DPF UE-USA è composto da un gruppo di almeno dieci arbitri scelti dal Dipartimento del Commercio e dalla Commissione sulla base dell'indipendenza, dell'integrità e delle competenze in materia di diritto della privacy statunitense e di normativa dell'UE sulla protezione dei dati. Per ogni controversia le parti attingono al gruppo per selezionare un collegio di uno o di tre (140) arbitri.

(83)

L'International Centre for Dispute Resolution (ICDR, Centro internazionale per la composizione delle controversie), la divisione internazionale dell'American Arbitration Association (AAA, Associazione americana per l'arbitrato), è stato selezionato dal Dipartimento del Commercio per amministrare gli arbitrati. I procedimenti dinanzi al collegio del DPF UE-USA saranno disciplinati da una serie di norme arbitrali concordate e da un codice di condotta per gli arbitri nominati. Il sito web dell'ICDR dell'AAA fornisce alle persone informazioni chiare e concise sul meccanismo di arbitrato e sulla procedura da seguire per depositare una domanda di arbitrato.

(84)

Le norme arbitrali concordate tra il Dipartimento del Commercio e la Commissione integrano il DPF UE-USA, che contiene diverse caratteristiche che migliorano l'accessibilità a tale meccanismo da parte degli interessati dell'Unione: i) l'interessato può essere assistito dalla propria autorità nazionale di protezione dei dati per la preparazione del caso da sottoporre al collegio; ii) l'arbitrato si svolge negli Stati Uniti, ma l'interessato dell'Unione può optare per la partecipazione in video o via telefono, che gli è fornita gratuitamente; iii) di norma il procedimento arbitrale si svolge in lingua inglese, ma su richiesta motivata all'interessato sono in linea di massima fornite, gratuitamente, l'interpretazione nell'udienza arbitrale e la traduzione; iv) sebbene ciascuna parte, se rappresentata dinanzi al collegio da un avvocato, debba sopportare le proprie spese di assistenza legale, il Dipartimento del Commercio costituisce un fondo cui ciascuna organizzazione aderente al DPF UE-USA versa una quota annua a copertura dei costi ammissibili della procedura arbitrale; l'entità della quota è limitata a massimali stabiliti dalle autorità statunitensi in consultazione con la Commissione europea (141).

(85)

Il collegio del DPF UE-USA ha il potere di imporre il necessario "provvedimento equo, specifico alla persona e di carattere non pecuniario" (142) a titolo di riparazione per la violazione dei principi. Benché il collegio, nel trarre le conclusioni, tenga conto delle altre riparazioni già ottenute mediante altri meccanismi del DPF UE-USA, la persona può comunque ricorrere all'arbitrato se le reputa insufficienti. Questo permette all'interessato dell'UE di chiedere l'arbitrato in tutti i casi in cui l'intervento (o l'inazione) delle organizzazioni aderenti al DPF UE-USA, di meccanismi di ricorso indipendenti o di competenti autorità statunitensi (ad esempio l'FTC) non abbia offerto una soluzione soddisfacente per il suo reclamo. L'arbitrato non può essere chiesto se un'autorità di protezione dei dati ha autorità di legge per risolvere il caso di reclamo nei confronti di un'organizzazione aderente al DPF UE-USA, ossia quando l'organizzazione è tenuta a cooperare con tale autorità e a conformarsi ai pareri da essa espressi relativamente al trattamento dei dati sulle risorse umane raccolti nel contesto di un rapporto di lavoro oppure quando si sia impegnata volontariamente in tal senso. A norma della legge federale sull'arbitrato, la persona può far valere la decisione arbitrale dinanzi al giudice statunitense nei casi in cui l'organizzazione non si conforma alla decisione arbitrale.

(86)

In settimo luogo, se un'organizzazione non soddisfa il proprio impegno a rispettare i principi e la politica della privacy pubblicata, il diritto statunitense prevede ulteriori possibilità di ricorso giurisdizionale, anche per ottenere un risarcimento dei danni. Ad esempio, a determinate condizioni, le persone possono ottenere un ricorso giurisdizionale (compreso il risarcimento dei danni) ai sensi delle leggi statali sui consumatori in caso di millanteria fraudolenta, atti o pratiche sleali o ingannevoli (143), e ai sensi del diritto del risarcimento per fatto illecito (in particolare per quanto concerne i reati di intrusione in caso di isolamento (144), appropriazione del nome o delle sembianze (145) e divulgazione pubblica di fatti privati (146)).

(87)

Congiuntamente, le varie vie di ricorso di cui sopra garantiscono che ogni reclamo relativo all'inosservanza del DPF UE-USA da parte di organizzazioni certificate sia giudicato e risolto in modo efficace.

(88)

La Commissione ha valutato altresì le limitazioni e le garanzie, compresi i meccanismi di vigilanza e di ricorso individuale messi a disposizione dal diritto statunitense per quanto concerne la raccolta e il successivo utilizzo da parte di autorità pubbliche statunitensi dei dati personali trasferiti verso titolari e responsabili del trattamento negli Stati Uniti per motivi di interesse pubblico, in particolare per finalità di contrasto penale e di sicurezza nazionale ("accesso da parte di pubbliche amministrazioni") (147). Nel valutare se le condizioni in base alle quali l'accesso da parte di pubbliche amministrazioni ai dati trasferiti verso gli Stati Uniti ai sensi della presente decisione soddisfino la verifica dell'"equivalenza sostanziale" ai sensi dell'articolo 45, paragrafo 1, del regolamento (UE) 2016/679, come interpretato dalla Corte di giustizia alla luce della Carta dei diritti fondamentali, la Commissione ha tenuto conto di diversi criteri.

(89)

In particolare qualsiasi limitazione nell'esercizio del diritto alla protezione dei dati personali deve essere prevista dalla legge e implica che la base giuridica che consente l'ingerenza in tali diritti deve definire essa stessa la portata della limitazione dell'esercizio del diritto considerato (148). Inoltre, per soddisfare il requisito di proporzionalità secondo cui le deroghe e le limitazioni alla protezione dei dati personali devono operare nei limiti dello stretto necessario in una società democratica per soddisfare gli obbiettivi specifici di interesse generale equivalenti a quelli riconosciuti dall'Unione, questa base giuridica deve prevedere regole chiare e precise che disciplinino la portata e l'applicazione della misura in questione e impongano requisiti minimi in modo che le persone i cui dati sono trasferiti dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contro il rischio di abusi (149). Inoltre tali norme e garanzie devono essere giuridicamente vincolanti e azionabili da parte delle persone (150). In particolare gli interessati devono disporre della possibilità di esperire mezzi di ricorso dinanzi a un giudice indipendente e imparziale al fine di avere accesso a dati personali che li riguardano, o di ottenere la rettifica o la soppressione di tali dati (151).

(90)

Per quanto concerne l'ingerenza nei dati personali trasferiti nell'ambito del DPF UE-USA per finalità di contrasto penale, il diritto statunitense impone una serie di limitazioni in materia di accesso ai dati personali e di loro utilizzo e prevede meccanismi di vigilanza e ricorso che sono in linea con i requisiti di cui al considerando 89 della presente decisione. Le condizioni in cui tale accesso può avvenire e le garanzie applicabili all'uso di tali poteri sono valutate in dettaglio nelle sezioni che seguono. A tale riguardo, il governo degli Stati Uniti (attraverso il ministero della Giustizia) ha fornito altresì assicurazioni circa le limitazioni e le garanzie applicabili (allegato VI della presente decisione).

(91)

I procuratori federali e gli inquirenti federali statunitensi possono accedere, per finalità di contrasto penale, ai dati personali trattati da organizzazioni statunitensi certificate che verrebbero trasferiti dall'Unione ai sensi del DPF UE-USA nel contesto di procedure diverse, come illustrato più dettagliatamente nei considerando da 92 a 99. Tali procedure si applicano allo stesso modo quando le informazioni sono ottenute da un'organizzazione statunitense, indipendentemente dalla cittadinanza o dal luogo di residenza dell'interessato (152).

(92)

Innanzitutto, su richiesta di un funzionario delle autorità di contrasto federali o di un avvocato che agisce per il governo, un giudice può emettere un mandato di perquisizione o di sequestro (anche relativo a informazioni conservate su supporto elettronico) (153). Tale mandato può essere emesso soltanto qualora vi sia un "motivo plausibile (154)" per ritenere che sia possibile rinvenire nel luogo specificato dal mandato "oggetti sequestrabili" (prove di un reato, oggetti detenuti illegalmente o beni progettati per o destinati ad essere utilizzati o che sono stati utilizzati per commettere un reato). Il mandato deve identificare i beni o gli oggetti da sequestrare e designare il giudice al quale il mandato deve essere restituito. Una persona soggetta a perquisizione o i cui beni sono soggetti a perquisizione può chiedere la cancellazione delle prove ottenute o derivate da una perquisizione illegale se tali prove vengono presentate contro tale persona durante un processo penale (155). Quando è tenuto a divulgare dati in forza di un mandato, il titolare dei dati (ossia un'impresa) può contestare l'obbligo di divulgazione in quanto indebitamente gravoso (156).

(93)

In secondo luogo, nell'ambito di indagini in merito a determinati reati gravi (157), solitamente su richiesta di un procuratore federale, è possibile richiedere l'emissione di una citazione da parte di un grand jury (un ramo investigativo di un organo giurisdizionale, formato da giurati scelti da un giudice o un magistrato) al fine di imporre a qualcuno di produrre o mettere a disposizione documenti aziendali, informazioni conservate su supporto elettronico o altri beni materiali. Inoltre leggi diverse autorizzano il ricorso a citazioni amministrative per ottenere la comunicazione o la disponibilità di documenti aziendali, informazioni conservate su supporto elettronico o altri beni materiali nelle indagini riguardanti le frodi mediche, gli abusi su minori, la protezione dei servizi segreti e nei casi che implicano sostanze controllate, così come nelle indagini degli ispettori generali (158). In entrambi i casi le informazioni devono essere pertinenti ai fini dell'indagine e la citazione non può essere irragionevole, ossia eccessivamente ampia, vessatoria o gravosa (e può essere impugnata dal destinatario della citazione in ragione di tali motivi) (159).

(94)

Condizioni molto analoghe si applicano alle citazioni amministrative emesse per chiedere l'accesso ai dati detenuti da società negli Stati Uniti per finalità civili o normative ("interesse pubblico"). L'autorità degli enti con competenze civili o di regolamentazione per l'emissione di tali citazioni amministrative deve essere stabilita per legge. L'uso di una citazione amministrativa è soggetto a una "prova di ragionevolezza", che richiede che l'indagine sia condotta ai sensi di una finalità legittima, che le informazioni richieste nel contesto della citazione siano pertinenti a tale finalità, che l'ente non disponga già delle informazioni richieste con la citazione e che siano state seguite le fasi amministrative necessarie per l'emissione della citazione (160). La giurisprudenza della Corte suprema ha inoltre chiarito la necessità di trovare un equilibrio tra l'importanza dell'interesse pubblico nelle informazioni richieste e l'importanza degli interessi personali e organizzativi in materia di vita privata (161). Sebbene il ricorso a una citazione amministrativa non sia soggetto a previa autorizzazione giudiziaria, esso è soggetto a sindacato giurisdizionale in caso di contestazione da parte del destinatario per i motivi summenzionati, o se l'ente emittente cerca di dare esecuzione alla citazione in giudizio (162). Oltre a queste limitazioni fondamentali generali, dalle singole leggi possono derivare requisiti specifici (più rigorosi) (163).

(95)

In terzo luogo, diverse basi giuridiche consentono alle autorità di contrasto in materia penale di ottenere l'accesso a dati relativi alle comunicazioni. Un organo giurisdizionale può emettere un'ordinanza che autorizza la raccolta in tempo reale di informazioni non di contenuto su un dato numero di telefono o indirizzo di posta elettronica (numero composto, instradamento della comunicazione, destinatario e segnale), tramite il ricorso a dispositivi di intercettazione dei dati informativi della comunicazione in entrata e in uscita, se constata che l'autorità ha certificato che le informazioni che potrebbero essere ottenute sono pertinenti per un'indagine penale in corso (164). Detta ordinanza deve specificare tra l'altro l'identità, se nota, della persona indiziata; gli attributi delle comunicazioni alle quali si applica e una dichiarazione del reato cui si riferiscono le informazioni da raccogliere. L'uso di un dispositivo di intercettazione dei dati informativi della comunicazione in entrata e in uscita può essere autorizzato per un periodo massimo di sessanta giorni, che può essere prorogato soltanto mediante una nuova ordinanza di un organo giurisdizionale.

(96)

Inoltre l'accesso per finalità di contrasto penale a informazioni sugli abbonati, ai dati sul traffico e al contenuto archiviato delle comunicazioni detenute da prestatori di servizi internet, da società telefoniche e da altri prestatori terzi di servizi può essere ottenuto sulla base della legge sulle comunicazioni archiviate (165). Per acquisire il contenuto archiviato delle comunicazioni elettroniche, le autorità di contrasto in materia penale devono, in linea di principio, ottenere un mandato del giudice, fondato su motivi plausibili per ritenere che l'account contenga prove di un reato (166). Per le informazioni relative alla registrazione dell'abbonato, gli indirizzi IP e relative indicazioni temporali e i dati di fatturazione, le autorità di applicazione della legge in materia penale possono ricorrere a una citazione a comparire. Per la maggior parte delle altre informazioni non di contenuto archiviate, quali intestazioni di posta elettronica senza oggetto, un'autorità di contrasto in materia penale deve ottenere un'ordinanza di un organo giurisdizionale, che sarà emessa qualora il giudice ritenga che vi siano ragionevoli motivi per ritenere che le informazioni richieste siano pertinenti e rilevanti per un'indagine penale in corso.

(97)

I prestatori che ricevono richieste ai sensi della legge sulle comunicazioni archiviate possono informare volontariamente un cliente o abbonato le cui informazioni sono oggetto di una richiesta, fatta eccezione per i casi in cui l'autorità di contrasto in materia penale competente ottenga un provvedimento cautelare che vieti tale notifica (167). Tale provvedimento cautelare è un'ordinanza di un organo giurisdizionale che impone a un prestatore di servizi di comunicazione elettronica o di servizi informatici a distanza destinatario di un mandato, una citazione o un'ordinanza di un organo giurisdizionale di non notificare a terzi l'esistenza di detto mandato o detta citazione od ordinanza, per tutto il tempo in cui il giudice lo ritenga opportuno. I provvedimenti cautelari sono concessi se un giudice ritiene che vi sia motivo di ritenere che la notifica in questione comprometterebbe gravemente un'indagine o ritarderebbe indebitamente un processo, ad esempio perché comporterebbe un pericolo per la vita o la sicurezza fisica di una persona, la fuga dall'azione penale, l'intimidazione di potenziali testimoni, ecc. Un memorandum del Procuratore generale aggiunto (vincolante per tutti gli avvocati e gli agenti del Dipartimento della Giustizia) impone ai procuratori di prendere una decisione dettagliata in merito alla necessità di un provvedimento cautelare e di fornire al giudice una giustificazione del modo in cui i criteri di legge per l'ottenimento di un tale provvedimento sarebbero soddisfatti nel caso specifico (168). Il memorandum impone inoltre che le domande per l'ottenimento di provvedimenti cautelari non debbano, in linea di principio, essere intese a ritardare la notifica per più di un anno. Qualora, in circostanze eccezionali, possano essere necessari provvedimenti di durata più lunga, tali provvedimenti possono essere richiesti soltanto con l'accordo scritto di un supervisore designato dal Procuratore degli Stati Uniti o dal Procuratore generale aggiunto pertinente. Inoltre, al momento della chiusura di un'indagine, il procuratore deve valutare immediatamente se vi sia la base per mantenere in essere eventuali provvedimenti cautelari esistenti e, in caso contrario, porre fine al provvedimento cautelare in questione e garantire che il prestatore di servizi ne sia informato (169).

(98)

Le autorità di contrasto in materia penale possono intercettare altresì in tempo reale comunicazioni orali, via cavo o elettroniche sulla base dell'ordinanza di un organo giurisdizionale nella quale il giudice riscontra, fra l'altro, l'esistenza di motivi plausibili per ritenere che l'intercettazione via cavo o elettronica fornirà la prova di un reato federale o del luogo in cui si trova un latitante (170).

(99)

Ulteriori tutele sono fornite da varie politiche e vari orientamenti del Dipartimento della Giustizia, tra cui gli orientamenti del Procuratore generale per le operazioni del Federal Bureau of Investigation (FBI) all'interno degli USA (AGG-DOM), che prevedono, tra l'altro, che l'FBI utilizzi i metodi investigativi meno intrusivi possibili, tenendo conto dell'effetto sulla vita privata e sulle libertà civili (171).

(100)

Secondo le dichiarazioni trasmesse dal governo degli Stati Uniti, tutele equivalenti o superiori descritte sopra vigono per le indagini delle autorità di contrasto a livello di Stati federati (per le indagini svolte a norma di leggi dello Stato federato) (172). In particolare le disposizioni costituzionali, nonché le leggi e la giurisprudenza a livello di Stato, ribadiscono le suddette tutele contro perquisizioni e sequestri irragionevoli richiedendo l'emissione di un mandato di perquisizione (173). Analogamente alle tutele concesse a livello federale, i mandati di perquisizione possono essere emessi soltanto a fronte di una dimostrazione di una causa probabile e devono descrivere il luogo da perquisire e la persona o la cosa da sequestrare (174).

(101)

Per quanto concerne l'utilizzo ulteriore dei dati raccolti dalle autorità federali di contrasto in materia penale, leggi, orientamenti e norme diversi impongono garanzie specifiche. Fatta eccezione per gli strumenti specifici applicabili alle attività dell'FBI (AGG-DOM e Guida alle indagini e operazioni dell'FBI all'interno degli USA), i requisiti di cui alla presente sezione si applicano in generale all'ulteriore utilizzo dei dati da parte di qualsiasi autorità federale, compresi i dati a cui tali autorità hanno accesso per finalità civili o normative. Figurano in tale contesto i requisiti derivanti da note/normative dell'Office of Management and Budget (OMB, Ufficio per la gestione e il bilancio), dalla Federal Information Security Management Modernization Act (legge federale di modernizzazione della gestione della sicurezza delle informazioni), dall'E-Government Act (legge sull'e-Government) e dalla Federal Records Act (legge federale sulle registrazioni).

(102)

Conformemente all'autorità conferita dalla legge Clinger-Cohen (P.L. 104-106, divisione E) e dalla legge sulla sicurezza informatica del 1987 (P.L. 100-235), l'OMB ha emanato la circolare n. A-130 per stabilire orientamenti generali vincolanti che si applicano a tutti gli enti federali (comprese le autorità di contrasto) quando trattano informazioni che consentono l'identificazione personale (175). In particolare, la circolare impone a tutti gli enti federali di limitare la creazione, la raccolta, l'uso, il trattamento, l'archiviazione, la manutenzione, la diffusione e la divulgazione di informazioni che consentono l'identificazione personale a quelle legalmente autorizzate, pertinenti e ragionevolmente ritenute necessarie per il corretto svolgimento delle funzioni di ente autorizzato (176). Inoltre, nella misura ragionevolmente praticabile, gli enti federali devono garantire che le informazioni che consentono l'identificazione personale siano accurate, pertinenti, tempestive e complete e ridotte al minimo necessario per il corretto svolgimento delle funzioni di un ente. Più in generale, gli enti federali devono istituire un programma globale in materia di tutela della vita privata al fine di garantire il rispetto dei requisiti applicabili in tale contesto, sviluppare e valutare le politiche della privacy e gestire i rischi per la vita privata; mantenere procedure per individuare, documentare e segnalare eventuali casi di non conformità in materia di tutela della vita privata; sviluppare programmi di sensibilizzazione in materia di tutela della vita privata e di formazione per i dipendenti e i contraenti; nonché mettere in atto politiche e procedure per garantire che il personale sia ritenuto responsabile del rispetto dei requisiti e delle politiche in materia di tutela della vita privata (177).

(103)

Inoltre la legge sull'e-Government (178) impone a tutti gli enti federali (comprese le autorità di contrasto in materia penale) di predisporre tutele in materia di sicurezza delle informazioni commisurate al rischio e all'entità del danno che deriverebbe dall'accesso, dall'uso, dalla divulgazione, dall'alterazione, dalla modifica o dalla distruzione non autorizzati; disporre di un Chief Information Officer (responsabile delle informazioni) incaricato di garantire il rispetto dei requisiti in materia di sicurezza delle informazioni e di provvedere allo svolgimento di una valutazione annuale indipendente (ad esempio da parte di un ispettore generale, cfr. considerando 109) del programma e delle pratiche di tali enti in materia di sicurezza delle informazioni (179). Analogamente la legge federale sulle registrazioni (FRA) (180) e i regolamenti supplementari (181) impongono che le informazioni detenute dagli enti federali siano soggette a garanzie che garantiscano l'integrità fisica delle informazioni e siano protette contro l'accesso non autorizzato.

(104)

Conformemente all'autorità federale stabilita per legge, compresa la Federal Information Security Modernisation Act (legge federale sulla modernizzazione della sicurezza delle informazioni) del 2014, l'OMB e il National Institute of Standards and Technology (NIST, Istituto nazionale per le norme e la tecnologia) hanno elaborato norme vincolanti per gli enti federali (comprese le autorità di contrasto in materia penale) che specificano ulteriormente i requisiti minimi in materia di sicurezza delle informazioni che devono essere posti in essere, compresi i controlli degli accessi, la garanzia della sensibilizzazione e della formazione, la pianificazione di emergenze, la risposta agli incidenti, gli strumenti di verifica e di responsabilizzazione, la garanzia dell'integrità del sistema e delle informazioni, lo svolgimento di valutazioni dei rischi in materia di vita privata e la sicurezza, ecc. (182). Inoltre, conformemente agli orientamenti dell'OMB, tutti gli enti federali (comprese le autorità di contrasto in materia penale) devono mantenere e attuare un piano per il trattamento delle violazioni dei dati, anche per quanto riguarda la risposta a tali violazioni e la valutazione dei rischi di danno (183).

(105)

Per quanto riguarda la conservazione dei dati, la legge federale sulle registrazioni (184) impone agli enti federali statunitensi (comprese le autorità di contrasto in materia penale) di stabilire periodi di conservazione per le loro registrazioni (alla scadenza dei quali tali registrazioni devono essere smaltite), che devono essere approvati dalla National Archives and Record Administration (185) (NARA, agenzia nazionale per l'amministrazione di archivi e registrazioni). La durata di tale periodo di conservazione è fissata alla luce di diversi fattori, quali il tipo di indagine, l'eventualità che le prove siano comunque pertinenti per l'indagine, ecc. Per quanto concerne l'FBI, il documento AGG-DOM prevede che l'FBI debba disporre di un piano di conservazione delle registrazioni e mantenere un sistema in grado di recuperare tempestivamente lo status e le basi per le indagini.

(106)

Infine la circolare n. A-130 dell'OMB contiene altresì alcuni requisiti per la diffusione di informazioni che consentono l'identificazione personale. In linea di principio, la diffusione e la divulgazione di informazioni che consentono l'identificazione personale deve essere limitata a quanto legalmente autorizzato, pertinente e ragionevolmente ritenuto necessario per il corretto svolgimento delle funzioni di un ente (186). Quando condividono informazioni che consentono l'identificazione personale con altri soggetti, gli enti pubblici federali statunitensi devono imporre, ove pertinente, condizioni (compresa l'attuazione di controlli specifici in materia di sicurezza e tutela della vita privata) che disciplinano il trattamento delle informazioni mediante accordi scritti (compresi contratti, accordi sull'uso dei dati, accordi sullo scambio di informazioni e protocolli d'intesa) (187). Per quanto concerne i motivi in base ai quali le informazioni possono essere diffuse, il documento AGG-DOM e la guida alle indagini e operazioni dell'FBI all'interno degli USA (188) prevedono fra l'altro che l'FBI possa essere tenuto per legge a procedere in tal senso (ad esempio nel quadro di un accordo internazionale) o sia autorizzato a divulgare informazioni in determinate circostanze, ad esempio: ad altri enti statunitensi qualora la divulgazione sia compatibile con la finalità per la quale le informazioni sono state raccolte e sia connessa alle loro responsabilità; alle commissioni del Congresso; ad enti stranieri, se le informazioni sono connesse alle loro responsabilità e se la diffusione è coerente con gli interessi degli Stati Uniti, in particolare se la diffusione è necessaria per tutelare l'incolumità o la sicurezza di persone o beni oppure per fornire protezione nei confronti di un reato o di una minaccia per la sicurezza nazionale o per prevenire tali reati o minacce e la divulgazione è coerente con la finalità per la quale le informazioni sono state raccolte (189).

(107)

Le attività degli enti federali di contrasto in materia penale sono soggette a vigilanza da parte di diversi organismi (190). Come illustrato ai considerando da 92 a 99, nella maggior parte dei casi in tale contesto figurano una vigilanza preventiva da parte della magistratura, che deve autorizzare singole misure di raccolta prima che vi si possa fare ricorso. Inoltre altri enti vigilano sulle diverse fasi delle attività delle autorità di contrasto in materia penale, compresi la raccolta e il trattamento di dati personali. Congiuntamente tali organi giudiziari e non giudiziari garantiscono che le autorità di contrasto siano soggette a una vigilanza indipendente.

(108)

Innanzitutto, in seno a svariati dipartimenti aventi responsabilità in materia di contrasto penale sono presenti addetti alla tutela della vita privata e alle libertà civili (191). Benché i poteri precisi di tali addetti possano variare leggermente in funzione dell'atto costitutivo, in ciascun caso è compresa tipicamente la vigilanza sulle procedure, per assicurare che il dipartimento/l'ente corrispondente tenga adeguatamente conto degli aspetti inerenti alla vita privata e alle libertà civili e abbia predisposto procedure adeguate per trattare i reclami sporti dalle persone che denunciano una violazione della loro vita privata o delle loro libertà civili. I capi di ciascun dipartimento o ente devono garantire che gli addetti alla tutela della vita privata e alle libertà civili dispongano dei materiali e delle risorse necessari per adempiere il loro mandato, abbiano accesso a tutto il materiale e al personale necessari per lo svolgimento delle loro funzioni, siano informati e consultati in merito alle modifiche politiche proposte (192). Gli addetti alla tutela della vita privata e alle libertà civili riferiscono periodicamente al Congresso, indicando tra l'altro il numero e la natura dei reclami ricevuti dal dipartimento/dall'ente e fornendo una sintesi del trattamento loro riservato, delle verifiche effettuate e delle indagini condotte, nonché degli effetti delle attività svolte dall'addetto stesso (193).

(109)

In secondo luogo, un ispettore generale indipendente supervisiona le attività del Dipartimento della Giustizia, compreso l'FBI (194). Gli ispettori generali sono giuridicamente indipendenti (195) e sono competenti per lo svolgimento di indagini, verifiche e ispezioni indipendenti dei programmi e delle operazioni di tale dipartimento. Sono autorizzati ad accedere a tutti i dati, le relazioni, le verifiche, gli esami, i documenti, le carte, le raccomandazioni o altro materiale pertinente, se necessario mediante l'emanazione di una citazione, e possono assumere testimonianze (196). Sebbene gli ispettori generali formulino soltanto raccomandazioni non vincolanti di azioni correttive, le relazioni che redigono, anche sugli interventi con cui vi si è dato seguito (o sull'assenza di tali interventi) (197), sono in genere rese pubbliche e trasmesse al Congresso, che su tale base può esercitare la sua funzione di vigilanza (cfr. considerando 111) (198).

(110)

In terzo luogo, nella misura in cui svolgono attività antiterrorismo, i dipartimenti aventi competenze in termini di contrasto in materia penale sono soggetti a vigilanza da parte dell'Autorità per la tutela della vita privata e delle libertà civili (PCLOB, Privacy and Civil Liberties Oversight Board), un ente indipendente all'interno del ramo esecutivo composto da cinque membri provenienti dai ranghi di entrambi i partiti, nominati dal presidente per un mandato fisso di sei anni previa approvazione da parte del Senato (199). Ai sensi della legge che istituisce tale ente, alla PCLOB sono attribuite competenze nel settore delle politiche antiterrorismo e della loro attuazione, al fine di tutelare la vita privata e le libertà civili. Nel contesto delle sue attività di controllo, tale autorità ha facoltà di accedere a tutti i dati, le relazioni, le verifiche, i documenti, le carte e le raccomandazioni dell'ente interessato, comprese le informazioni classificate, di procedere a interrogatori e di assumere testimonianze (200). Riceve le relazioni trasmesse dagli addetti alla tutela della vita privata e alle libertà civili di vari dipartimenti/enti federali (201), può rivolgere raccomandazioni al governo e alle autorità di contrasto e riferisce periodicamente alle commissioni del Congresso e al presidente (202). Le relazioni della PCLOB, comprese quelle presentate al Congresso, devono essere messe a disposizione del pubblico nella misura più ampia possibile (203).

(111)

Infine le attività di contrasto in materia penale sono soggette a vigilanza da parte di commissioni specifiche in seno al Congresso degli Stati Uniti (le commissioni Giustizia della Camera dei rappresentanti e del Senato). Le commissioni Giustizia esercitano una vigilanza regolare in vari modi, in particolare attraverso audizioni, indagini, riesami e relazioni (204).

(112)

Come indicato, nella maggior parte dei casi le autorità di contrasto in materia penale devono ottenere un'autorizzazione giudiziaria preventiva per raccogliere dati personali. Sebbene ciò non sia necessario per le citazioni amministrative, queste sono limitate a situazioni specifiche e saranno soggette a un sindacato giurisdizionale indipendente almeno nei casi in cui il governo chieda l'esecuzione per via giudiziaria. In particolare i destinatari di citazioni amministrative possono contestarle dinanzi al giudice in quanto irragionevoli, vale a dire eccessivamente ampie o vessatorie o eccessivamente gravose (205).

(113)

Le persone possono innanzitutto presentare richieste o reclami presso le autorità di contrasto in materia penale in merito al trattamento dei loro dati personali. Rientra in tale contesto la possibilità di richiedere l'accesso ai dati personali e la loro rettifica (206). Per quanto concerne le attività di contrasto del terrorismo, le persone possono altresì promuovere un reclamo presso gli addetti alla tutela della vita privata e alle libertà civili (o ad altri funzionari preposti alla tutela della vita privata) in seno alle autorità di contrasto (207).

(114)

Quando un'autorità pubblica tratta dati personali, la legge degli Stati Uniti offre alla persona varie vie di ricorso giudiziario nei confronti dell'autorità pubblica stessa o di un suo agente (208). Fatto salvo il soddisfacimento delle condizioni applicabili, queste vie di ricorso, che comprendono in particolare la legge sulle procedure amministrative, la legge sulla libertà di informazione (FOIA) e legge sulla privacy nelle comunicazioni elettroniche (ECPA), sono aperte a tutti, indipendentemente dalla cittadinanza.

(115)

In generale, a norma delle disposizioni sul sindacato giurisdizionale previste dalla legge sulle procedure amministrative (209), chiunque subisca un illecito, un inconveniente o un torto a causa dell'azione di un ente pubblico ha diritto di ricorrere al sindacato giurisdizionale (210), anche chiedendo al giudice di dichiarare illegittime e annullare le azioni, constatazioni e conclusioni dell'ente che risultano arbitrarie o illogiche, viziate da abuso di potere o altrimenti non conformi alla legge (211).

(116)

Più precisamente, instaurando un sistema di diritti alla privacy sanciti per legge, il titolo II della legge sulla privacy nelle comunicazioni elettroniche (212) disciplina l'accesso ai contenuti delle comunicazioni orali, via cavo o elettroniche conservati da terzi prestatori di servizi (213). Decreta la punibilità dell'accesso illecito (ossia non autorizzato dal giudice o altrimenti permesso) a tali comunicazioni e offre alla persona lesa la possibilità di avviare, contro l'agente del governo che ha volontariamente commesso tale illecito o contro gli Stati Uniti d'America, un'azione civile dinanzi a un giudice federale statunitense per ottenere il risarcimento dei danni effettivi e punitivi e una riparazione equa o dichiarativa.

(117)

Varie altre leggi conferiscono alla persona il diritto di agire in giustizia contro un'autorità pubblica o un funzionario pubblico statunitense a motivo del trattamento dei dati personali che la riguardano: legge sulle intercettazioni (214), legge sulle frodi e gli abusi informatici (215), legge federale sulle rivendicazioni per fatti illeciti (216), legge sul diritto alla privacy finanziaria (217) e legge sull'informativa corretta nel credito (218).

(118)

Inoltre, ai sensi della legge sulla libertà d'informazione, Codice degli Stati Uniti, titolo 5, articolo 552, chiunque ha il diritto di chiedere l'accesso alle registrazioni esistenti degli enti federali, anche se queste contengono dati personali (219). Una volta esperiti i mezzi di ricorso amministrativi, una persona fisica può invocare tale diritto di accesso adendo un organo giurisdizionale, fatto salvo il caso in cui le registrazioni in questione siano protette contro la divulgazione pubblica mediante un'esenzione o un'esclusione speciale per finalità di contrasto (220). In questo caso, l'organo giurisdizionale valuterà se un'eventuale esenzione si applichi o sia stata legittimamente invocata dall'autorità pubblica pertinente.

(119)

Il diritto statunitense contempla varie limitazioni e garanzie in relazione all'accesso e all'uso di dati personali per finalità di sicurezza nazionale e prevede meccanismi di vigilanza e ricorso in questo settore che sono in linea con i requisiti di cui al considerando 89 della presente decisione. Le condizioni in cui tale accesso può avvenire e le garanzie applicabili all'uso di tali poteri sono valutate in dettaglio nelle sezioni che seguono.

(120)

I dati personali trasferiti dall'Unione alle organizzazioni del DPF UE-USA possono essere raccolti dalle autorità statunitensi per finalità di sicurezza nazionale sulla base di diversi strumenti giuridici, fatte salve condizioni e garanzie specifiche.

(121)

Una volta che i dati personali sono stati ricevuti da organizzazioni situate negli Stati Uniti, gli enti di intelligence statunitensi possono chiedere l'accesso a tali dati per finalità di sicurezza nazionale soltanto nella misura consentita da leggi in vigore, in particolare ai sensi della legge relativa alla vigilanza sull'intelligence esterna (FISA) o di disposizioni di legge che autorizzano l'accesso attraverso cosiddette National Security Letter (NSL) (221). La FISA contiene diverse basi giuridiche che possono essere utilizzate per raccogliere (e successivamente trattare) dati personali di interessati dell'Unione trasferiti nell'ambito del DPF UE-USA (articolo 105 (222), articolo 302 (223), articolo 402 (224), articolo 501 (225) e articolo 702 (226) di detta legge), come descritto più dettagliatamente nei considerando da 142 a 152.

(122)

Gli enti di intelligence statunitensi hanno altresì la possibilità di raccogliere dati personali al di fuori degli Stati Uniti, che possono includere dati personali in transito tra l'Unione e gli Stati Uniti. La raccolta al di fuori degli Stati Uniti si basa sul decreto presidenziale 12333 (227), emesso dal presidente (228).

(123)

La raccolta di intelligence dei segnali è la forma di raccolta di intelligence più pertinente per il presente accertamento dell'adeguatezza, in quanto riguarda la raccolta di comunicazioni elettroniche e dati da sistemi informatici. Tale raccolta può essere effettuata dagli enti di intelligence statunitensi sia all'interno degli Stati Uniti (sulla base della FISA) sia durante il transito dei dati verso gli Stati Uniti (sulla base del decreto presidenziale 12333).

(124)

Il 7 ottobre 2022 il presidente degli Stati Uniti ha emesso il decreto presidenziale 14086 sul miglioramento delle garanzie per le attività di intelligence dei segnali degli Stati Uniti, che stabilisce limitazioni e garanzie per tutte le attività di intelligence dei segnali statunitensi. Tale decreto presidenziale sostituisce in larga misura la direttiva presidenziale 28 (PPD-28) (229) rafforza le condizioni, le limitazioni e le garanzie che si applicano a tutte le attività di intelligence dei segnali (ossia ai sensi della FISA e del decreto presidenziale 12333), indipendentemente dal luogo in cui si svolgono (230), e istituisce un nuovo meccanismo di ricorso attraverso il quale tali garanzie possono essere invocate e applicate dalle persone (231) (cfr. più in dettaglio i considerando da 176 a 194). Nel procedere in tal senso attua nel diritto statunitense l'esito dei colloqui che hanno avuto luogo tra l'UE e gli Stati Uniti a seguito dell'invalidamento da parte della Corte di giustizia della decisione di adeguatezza della Commissione sullo scudo per la privacy (cfr. considerando 6). Si tratta pertanto di un aspetto particolarmente importante del quadro giuridico valutato nel contesto della presente decisione.

(125)

Le limitazioni e le garanzie introdotte dal decreto presidenziale 14086 integrano quelle previste dall'articolo 702 FISA e dal decreto presidenziale 12333. I requisiti descritti di seguito (nelle sezioni 3.2.1.2 e 3.2.1.3) devono essere applicati dagli enti di intelligence quando svolgono attività di intelligence dei segnali ai sensi dell'articolo 702 FISA e del decreto presidenziale 12333, ad esempio nel contesto della selezione/dell'identificazione delle categorie di informazioni di intelligence esterna da acquisire a norma dell'articolo 702 FISA; della raccolta di intelligence esterna o di attività di controspionaggio ai sensi del decreto presidenziale 12333; e dell'adozione di singole decisioni che individuano obiettivi prioritari ai sensi dell'articolo 702 FISA e del decreto presidenziale 12333.

(126)

I requisiti previsti da tale decreto presidenziale emanato dal presidente sono vincolanti per l'intera comunità dell'intelligence e devono essere ulteriormente attuati attraverso politiche e procedure degli enti che le traducano in indicazioni concrete per le operazioni quotidiane. A questo proposito, il decreto presidenziale 14086 concede agli enti di intelligence statunitensi un anno al massimo per aggiornare le politiche e le procedure esistenti (ossia entro il 7 ottobre 2023) per renderle conformi ai requisiti di tale decreto presidenziale. Tali politiche e procedure aggiornate devono essere elaborate in consultazione con il Procuratore generale, l'addetto alla tutela della vita privata e alle libertà civili (CLPO) dell'Ufficio del direttore dell'intelligence nazionale (ODNI) e la PCLOB, un organo di vigilanza indipendente autorizzato a riesaminare le politiche dell'esecutivo e la loro attuazione, al fine di tutelare la vita privata e le libertà civili (cfr. considerando 110 per quanto concerne il ruolo e lo status della PCLOB), e a rendere pubblici tali riesami (232). Inoltre, una volta messe in atto le politiche e le procedure aggiornate, la PCLOB effettuerà un riesame per garantirne la coerenza rispetto al decreto presidenziale. Entro 180 giorni dal completamento di tale riesame da parte della PCLOB, ogni ente di intelligence deve esaminare attentamente e attuare o comunque dare seguito a tutte le raccomandazioni formulate dalla PCLOB. Il 3 luglio 2023 il governo degli Stati Uniti ha pubblicato tali politiche e procedure (233).

(127)

Il decreto presidenziale 14086 stabilisce una serie di requisiti generali che si applicano a tutte le attività di intelligence dei segnali (raccolta, uso, diffusione, ecc. di dati personali).

(128)

Innanzitutto, tali attività devono essere basate su una legge o un'autorizzazione presidenziale e devono essere svolte nel rispetto del diritto statunitense, compresa la costituzione (234).

(129)

In secondo luogo, devono essere messe in atto garanzie adeguate volte ad assicurare che la vita privata e le libertà civili siano parte integrante della pianificazione di tali attività (235).

(130)

In particolare, qualsiasi attività di intelligence dei segnali può essere svolta soltanto dopo aver accertato, sulla base di una valutazione ragionevole di tutti i fattori pertinenti, che tali attività sono necessarie per far progredire una priorità convalidata dell'intelligence (per quanto concerne la nozione di "priorità convalidata dell'intelligence", cfr. considerando 135) (236).

(131)

Inoltre tali attività possono essere condotte soltanto in misura e in modo proporzionati alla priorità convalidata dell'intelligence per la quale sono state autorizzate (237). In altre parole, occorre trovare un giusto equilibrio tra l'importanza della priorità di intelligence perseguita e l'impatto sulla vita privata e sulle libertà civili delle persone interessate, indipendentemente dalla loro cittadinanza o dal loro luogo di residenza (238).

(132)

Infine, per garantire il rispetto di tali requisiti generali, che rispecchiano i principi di legalità, necessità e proporzionalità, le attività di intelligence dei segnali sono soggette a vigilanza (cfr. più in dettaglio la sezione 3.2.2) (239).

(133)

Tali requisiti generali sono ulteriormente corroborati per quanto concerne la raccolta dell'intelligence dei segnali attraverso una serie di condizioni e limitazioni che garantiscono che l'ingerenza nei diritti delle persone sia limitata a quanto necessario e proporzionato ai fini del conseguimento di un obiettivo legittimo.

(134)

Innanzitutto, il decreto presidenziale limita in due modi i motivi per cui i dati possono essere raccolti nel contesto di attività di intelligence dei segnali. Da un lato, il decreto presidenziale stabilisce gli obiettivi legittimi che possono essere perseguiti dalla raccolta di intelligence dei segnali, ad esempio comprendere o valutare le capacità, le intenzioni o le attività di organizzazioni straniere, comprese le organizzazioni terroristiche internazionali, che rappresentano una minaccia corrente o potenziale per la sicurezza nazionale degli Stati Uniti; fornire protezione nei confronti di capacità e attività militari straniere; comprendere o valutare le minacce transnazionali che incidono sulla sicurezza globale, quali il clima e altri cambiamenti ecologici, i rischi per la salute pubblica e le minacce umanitarie (240). Dall'altro lato, il decreto presidenziale elenca alcuni obiettivi che non devono mai essere perseguiti dalle attività di intelligence dei segnali, ad esempio la repressione della critica, del dissenso o della libera espressione di idee od opinioni politiche da parte delle persone o della stampa; la finalità di sfavorire persone per motivi di origine etnica, razza, genere, identità di genere, orientamento sessuale o religione o quella di offrire un vantaggio competitivo a imprese statunitensi (241).

(135)

Gli obiettivi stabiliti nel decreto presidenziale 14086 non possono essere utilizzati dagli enti di intelligence stessi per giustificare la raccolta di intelligence dei segnali, ma devono essere ulteriormente concretizzati, per fini operativi, in priorità più concrete per le quali è possibile raccogliere intelligence dei segnali. In altre parole, la raccolta effettiva può avvenire soltanto al fine di far progredire una priorità più specifica. Tali priorità sono stabilite attraverso un processo specifico volto a garantire il rispetto dei requisiti giuridici applicabili, compresi quelli relativi alla vita privata e alle libertà civili. Più specificamente, le priorità in materia di intelligence sono elaborate innanzitutto dal direttore dell'intelligence nazionale (attraverso il cosiddetto quadro delle priorità nazionali in materia di intelligence) e sottoposte quindi all'approvazione da parte del presidente (242). Conformemente al decreto presidenziale 14086, prima di proporre al presidente priorità in materia di intelligence, il direttore deve ottenere dall'addetto alla tutela della vita privata e alle libertà civili dell'ODNI una valutazione per ciascuna priorità in merito all'eventualità o meno che la priorità in questione 1) persegua uno o più obiettivi legittimi di cui al decreto presidenziale; 2) non sia concepita né si prevede che dia luogo a una raccolta di intelligence dei segnali per uno degli obiettivi vietati di cui al decreto presidenziale; e 3) sia stata stabilita dopo un'adeguata considerazione della vita privata e delle libertà civili di tutte le persone, indipendentemente dalla loro cittadinanza o dal loro luogo di residenza (243). Nel caso in cui il direttore non sia d'accordo con la valutazione dell'addetto alla tutela della vita privata e alle libertà civili, entrambe le opinioni devono essere presentate al presidente (244).

(136)

Di conseguenza tale processo garantisce in particolare che le considerazioni in materia di tutela della vita privata siano prese in considerazione sin dalla fase iniziale in cui vengono elaborate le priorità in materia di intelligence.

(137)

In secondo luogo, una volta stabilita una priorità in materia di intelligence, la decisione di stabilire se e in quale misura l'intelligence dei segnali possa essere raccolta per promuovere tale priorità è disciplinata da una serie di requisiti. Tali requisiti rendono operative le norme generali in materia di necessità e proporzionalità di cui all'articolo 2, lettera a), del decreto presidenziale.

(138)

In particolare l'intelligence dei segnali può essere raccolta soltanto dopo aver accertato, sulla base di una valutazione ragionevole di tutti i fattori pertinenti, che tale raccolta è necessaria per far progredire una specifica priorità in materia di intelligence (245). Nello stabilire se sia necessaria una specifica attività di raccolta di intelligence dei segnali per far progredire una priorità convalidata dell'intelligence, gli enti di intelligence statunitensi devono considerare la disponibilità, la fattibilità e l'adeguatezza di altre fonti e metodi meno intrusivi, compreso da fonti diplomatiche e pubbliche (246). Se disponibili, occorre dare priorità a tali fonti e metodi alternativi e meno intrusivi (247).

(139)

Quando, nell'applicazione di tali criteri, la raccolta dell'intelligence dei segnali è ritenuta necessaria, essa deve essere quanto più possibile mirata e non deve incidere in modo sproporzionato sulla vita privata e sulle libertà civili (248). Al fine di garantire che la vita privata e le libertà civili non siano colpite in modo sproporzionato, ossia al fine di trovare un giusto equilibrio tra le esigenze di sicurezza nazionale e la tutela della vita privata e delle libertà civili, occorre tenere debitamente conto di tutti i fattori pertinenti, quali la natura dell'obiettivo perseguito; l'invasività dell'attività di raccolta, compresa la sua durata; il probabile contributo della raccolta all'obiettivo perseguito; le conseguenze ragionevolmente prevedibili per le persone; la natura e la sensibilità dei dati da raccogliere (249).

(140)

Per quanto concerne il tipo di raccolta dell'intelligence dei segnali, la raccolta di dati all'interno degli Stati Uniti, che è la più pertinente per la presente constatazione di adeguatezza in quanto riguarda dati che sono stati trasferiti a organizzazioni negli Stati Uniti, deve sempre essere mirata, come spiegato più dettagliatamente nei considerando da 142 a 153.

(141)

La "raccolta in blocco" (250) può essere svolta soltanto al di fuori degli Stati Uniti, sulla base del decreto presidenziale 12333. Anche in questo caso, ai sensi del decreto presidenziale 14086, deve essere data priorità alla raccolta mirata (251). Al contrario, la raccolta in blocco è consentita soltanto se le informazioni necessarie per far progredire una priorità convalidata dell'intelligence non possono essere ottenute ragionevolmente mediante una raccolta mirata (252). Quando è necessario effettuare una raccolta di dati in blocco al di fuori degli Stati Uniti, si applicano garanzie specifiche ai sensi del decreto presidenziale 14086 (253). Innanzitutto, devono essere applicati metodi e misure tecniche per limitare i dati raccolti a quanto necessario per far progredire una priorità convalidata dell'intelligence, riducendo al minimo la raccolta di informazioni non pertinenti (254). In secondo luogo, il decreto presidenziale limita l'uso delle informazioni raccolte in blocco (comprese le interrogazioni) a sei obiettivi specifici, tra cui la protezione contro il terrorismo, la presa di ostaggi e l'imprigionamento di persone da parte o per conto di un governo, un'organizzazione o una persona straniera; la protezione contro lo spionaggio straniero, il sabotaggio o l'assassinio; la protezione contro le minacce derivanti dallo sviluppo, dal possesso o dalla proliferazione di armi di distruzione di massa o di tecnologie e minacce correlate, ecc. (255). Infine qualsiasi interrogazione dell'intelligence dei segnali ottenuta in blocco può avvenire soltanto se necessario per far progredire una priorità convalidata dell'intelligence nel perseguimento dei sei obiettivi summenzionati e conformemente a politiche e procedure che tengano adeguatamente conto dell'impatto delle interrogazioni sulla vita privata e sulle libertà civili di tutte le persone, indipendentemente dalla loro cittadinanza o dal luogo di residenza (256).

(142)

Oltre ai requisiti di cui al decreto presidenziale 14086, la raccolta di dati da parte dell'intelligence dei segnali trasferiti a un'organizzazione negli Stati Uniti è soggetta a limitazioni e garanzie specifiche disciplinate dall'articolo 702 FISA (257). L'articolo 702 FISA autorizza l'acquisizione, assistita obbligatoriamente da prestatori statunitensi di servizi di comunicazione elettronica, di informazioni di intelligence esterna ottenuta prendendo a obiettivo cittadini stranieri che si ritiene ragionevolmente siano situati al di fuori degli Stati Uniti (258). Al fine di raccogliere informazioni di intelligence esterna ai sensi dell'articolo 702 FISA, il Procuratore generale e il direttore dell'intelligence nazionale presentano ogni anno alla Corte di vigilanza sull'intelligence esterna (Corte FISA) certificazioni che individuano le categorie di informazioni di intelligence esterna da acquisire (259). Tali certificazioni devono essere accompagnate da procedure di individuazione degli obiettivi, minimizzazione e interrogazione, approvate anche dalla Corte e giuridicamente vincolanti per gli enti di intelligence statunitensi.

(143)

La Corte FISA è un organo giurisdizionale indipendente (260), istituito mediante legge federale, le cui decisioni possono essere impugnate dinanzi alla Corte di controllo della vigilanza sull'intelligence esterna (FISCR) (261) e, in ultima analisi, alla Corte suprema degli Stati Uniti (262). La Corte FISA (così come la FISCR) è coadiuvata da un comitato permanente formato da cinque avvocati e cinque esperti tecnici aventi competenze in materia di sicurezza nazionale e di libertà civili (263). Scegliendo fra queste persone la Corte ne designa una per il ruolo di amicus curiae, col compito di prestare assistenza nell'esame di una domanda di ordinanza o riesame che, a parere della Corte, comporta un'interpretazione rilevante o inedita della legge; la Corte può prescindere dalla designazione se non la ritiene opportuna (264). Il sistema garantisce in particolare che la valutazione della Corte tenga adeguatamente conto degli aspetti inerenti alla tutela della vita privata. Se lo reputa opportuno, la Corte può anche designare una persona o un'organizzazione per il ruolo di amicus curiae, anche per assisterla con perizie tecniche, così come può dare, alla persona o all'organizzazione che lo richiede, la facoltà di presentare una memoria in qualità di amicus curiae (265).

(144)

La Corte FISA riesamina le certificazioni e le relative procedure (in particolare le procedure di individuazione degli obiettivi e minimizzazione) per verificarne la conformità rispetto ai requisiti della FISA. Se detta Corte ritiene che i requisiti non siano soddisfatti, può negare la certificazione in toto o in parte e richiedere la modifica delle procedure (266). A questo proposito la Corte FISA ha confermato ripetutamente che i suoi riesami delle procedure di individuazione degli obiettivi e di minimizzazione a norma dell'articolo 702 non si limitano alle procedure così come scritte, ma comprendono anche le modalità con cui le procedure sono attuate dal governo (267).

(145)

Le determinazioni relative alle singole individuazioni degli obiettivi sono effettuate dall'Agenzia per la sicurezza nazionale (National Security Agency, NSA) (l'ente di intelligence responsabile dell'individuazione degli obiettivi ai sensi dell'articolo 702 FISA) conformemente alle procedure di individuazione degli obiettivi approvate dalla Corte FISA, che impongono all'NSA di valutare, sulla base di tutte le circostanze, che è probabile che concentrare le attività di raccolta dati su una determinata persona consenta di acquisire una categoria di informazioni di intelligence esterna identificata in una certificazione (268). Tale valutazione deve essere dettagliata e basata sui fatti, fondata su un giudizio analitico, sulla formazione e sulle competenze specializzate dell'analista, nonché sulla natura delle informazioni di intelligence esterna da ottenere (269). L'individuazione degli obiettivi avviene individuando i cosiddetti selettori che identificano dispositivi di comunicazione specifici, quali l'indirizzo di posta elettronica o il numero di telefono dell'obiettivo, ma mai parole chiave o nomi di persone (270).

(146)

Gli analisti dell'NSA individuano innanzitutto i cittadini stranieri all'estero che, in base alla loro valutazione, se sorvegliati porteranno a ottenere i pertinenti dati d'intelligence esterna indicati nella certificazione (271). Come indicato nelle procedure di individuazione degli obiettivi da parte dell'NSA, quest'ultima può sottoporre a sorveglianza un obiettivo soltanto se ha già appreso qualcosa in merito a tale obiettivo (272). Tali conoscenze possono derivare da informazioni provenienti da fonti diverse, ad esempio l'intelligence umana. Attraverso tali altre fonti, l'analista deve altresì conoscere un selettore specifico (ossia un account di comunicazione) utilizzato dal potenziale obiettivo. Una volta individuate le persone e approvata, al termine di un processo ampio di verifica interno all'NSA (273), la sorveglianza su di esse, sono "attivati" (ossia sviluppati e applicati) i selettori che identificano i dispositivi di comunicazione (come gli indirizzi di posta elettronica) usati da tali obiettivi (274).

(147)

L'NSA deve documentare la base fattuale per la selezione dell'obiettivo (275) e, a intervalli regolari dopo l'individuazione iniziale dell'obiettivo in questione, deve confermare che le norme applicabili in materia di individuazione degli obiettivi continuano ad essere rispettate (276). Se tali norme non risultano più soddisfatte, è necessario cessare la raccolta di dati (277). La selezione da parte dell'NSA di ciascun obiettivo e la corrispondente registrazione di ciascuna valutazione e logica alla base dell'individuazione dell'obiettivo in questione sono oggetto di riesame, con cadenza bimestrale, ai fini di una verifica della loro conformità rispetto alle procedure in materia di individuazione degli obiettivi, da parte di funzionari degli uffici di vigilanza sull'intelligence presso il Dipartimento della Giustizia, che sono tenuti a segnalare qualsiasi violazione alla Corte FISA e al Congresso (278). La documentazione scritta dell'NSA facilita la vigilanza da parte della Corte FISA in merito all'eventualità o meno che determinate persone siano considerate un obiettivo ai sensi dell'articolo 702 FISA, conformemente ai suoi poteri di vigilanza, illustrati ai considerando 173 e 174 (279). Infine il direttore dell'intelligence nazionale (DNI) è altresì tenuto a comunicare ogni anno il numero totale degli obiettivi a norma dell'articolo 702 FISA nelle relazioni pubbliche statistiche annuali sulla trasparenza. Le imprese che ricevono direttive a norma dell'articolo 702 FISA possono pubblicare dati aggregati (tramite relazioni sulla trasparenza) sulle richieste ricevute (280).

(148)

Per quanto concerne le altre basi giuridiche per la raccolta di dati personali trasferiti ad organizzazioni negli Stati Uniti, si applicano diverse limitazioni e garanzie. In generale la raccolta di dati in blocco è espressamente vietata a norma dell'articolo 402 FISA (autorità in materia di dispositivi di intercettazione) e facendo affidamento su National Security Letter, mentre è necessario ricorrere all'uso di "selettori" specifici (281).

(149)

Al fine di svolgere attività di sorveglianza elettronica individualizzata (ai sensi dell'articolo 105 FISA), gli enti di intelligence devono presentare una domanda alla Corte FISA contenente una dichiarazione dei fatti e delle circostanze su cui si basano per giustificare la convinzione che vi sia un motivo plausibile per ritenere che il dispositivo di comunicazione in questione sia utilizzato o stia per essere utilizzato da una potenza straniera o da un agente di una potenza straniera (282). La Corte FISA valuta, tra l'altro, se dai fatti esposti risultino motivi plausibili per ritenere fondata l'ipotesi di un uso a detti fini (283).

(150)

Al fine di effettuare una perquisizione di locali o beni destinata a sfociare in un'ispezione, un sequestro, ecc. di informazioni, materiali o beni (ad esempio un computer) sulla base dell'articolo 301 FISA, è necessaria una domanda per l'ottenimento di un'ordinanza dalla Corte FISA (284). Tale applicazione deve dimostrare tra l'altro che è probabile che l'obiettivo della perquisizione sia una potenza straniera o un agente di una potenza straniera; che il locale o il bene da sottoporre a perquisizione contenga informazioni di intelligence esterna e che il locale da sottoporre a perquisizione sia di proprietà, sia utilizzato, posseduto o in transito verso o da (un agente di) una potenza straniera (285).

(151)

Analogamente l'installazione di dispositivi di intercettazione dei dati informativi della comunicazione in entrata e in uscita (a norma dell'articolo 402 FISA) richiede la presentazione di una domanda di ordinanza da parte della Corte FISA (o di un magistrato degli Stati Uniti) e l'uso di un selettore specifico, ossia un termine che identifica specificamente una persona, un account, ecc. ed è utilizzato per limitare, nella misura più ampia ragionevolmente possibile, la portata delle informazioni ricercate (286). Il potere in questione non riguarda il contenuto delle comunicazioni, bensì le informazioni sul cliente o sull'abbonato che usa un dato servizio (ad esempio, nome, indirizzo, numero di abbonato, durata/tipo del servizio ricevuto, fonte/modalità di pagamento).

(152)

Anche l'articolo 501 FISA (287), che consente la raccolta di documenti aziendali di un vettore pubblico (ossia qualsiasi persona o ente che trasporta persone o beni per via terrestre, ferroviaria, marittima o aerea a titolo oneroso), di una struttura ricettiva pubblica (ad esempio un albergo, un motel o una pensione), di una struttura di noleggio veicoli o di una struttura di immagazzinamento fisico (ossia che fornisce spazio o servizi connessi all'immagazzinamento di beni e materiali) (288), impone la presentazione di una domanda alla Corte FISA o a un magistrato. Tale domanda deve specificare le registrazioni richieste e i fatti specifici e circostanziabili che inducono a ritenere che la persona alla quale le registrazioni fanno riferimento sia una potenza straniera o un agente di potenza straniera (289).

(153)

Infine le National Security Letter sono autorizzate da leggi diverse e consentono agli enti investigativi di ottenere determinate informazioni (escluso il contenuto delle comunicazioni) da determinati soggetti (ad esempio istituti finanziari, enti di segnalazione del credito, prestatori di servizi di comunicazioni elettroniche) contenute in rapporti di credito, documenti finanziari e archivi elettronici di abbonati e di dati transazionali (290). La legge in materia di National Security Letter che autorizza l'accesso alle comunicazioni elettroniche può essere invocata soltanto dall'FBI e prevede che le richieste utilizzino un termine che identifichi specificamente una persona, un soggetto, un numero di telefono o un conto e certifichino che le informazioni sono pertinenti per un'indagine in materia di sicurezza nazionale autorizzata al fine di fornire protezione contro il terrorismo internazionale o attività clandestine di intelligence (291). Il destinatario di una National Security Letter ha diritto di contestarla per via giudiziaria (292).

(154)

Il trattamento dei dati personali raccolti dagli enti di intelligence statunitensi attraverso l'intelligence dei segnali è soggetto a una serie di garanzie.

(155)

Innanzitutto ogni ente di intelligence deve garantire una sicurezza adeguata dei dati e impedire l'accesso da parte di persone non autorizzate ai dati personali raccolti attraverso l'intelligence dei segnali. A tale riguardo, strumenti diversi, tra i quali leggi, orientamenti e norme, specificano ulteriormente i requisiti minimi di sicurezza delle informazioni che devono essere posti in essere (ad esempio autenticazione a più fattori, cifratura, ecc.) (293). L'accesso ai dati raccolti deve essere limitato al personale autorizzato e formato avente la necessità di conoscere le informazioni per svolgere la propria missione (294). Più in generale gli enti di intelligence devono fornire una formazione adeguata ai propri dipendenti, anche per quanto concerne le procedure di segnalazione e di contrasto delle violazioni della legge (compreso il decreto presidenziale 14086) (295).

(156)

In secondo luogo gli enti di intelligence devono rispettare le norme della comunità dell'intelligence in materia di accuratezza e obiettività, in particolare per quanto concerne la garanzia della qualità e dell'affidabilità dei dati, la considerazione di fonti di informazione alternative e l'obiettività nello svolgimento di analisi (296).

(157)

In terzo luogo, per quanto concerne la conservazione dei dati, il decreto presidenziale 14086 chiarisce che i dati personali di persone non statunitensi sono soggetti ai medesimi periodi di conservazione che si applicano ai dati delle persone statunitensi (297). Gli enti di intelligence sono tenuti a definire periodi di conservazione specifici e/o i fattori che devono essere presi in considerazione per stabilire la durata dei periodi di conservazione applicabili (ad esempio se le informazioni costituiscono prova di un reato; se le informazioni costituiscono informazioni di intelligence esterna; se le informazioni sono necessarie per proteggere la sicurezza di persone od organizzazioni, compresi vittime od obiettivi del terrorismo internazionale), che sono stabiliti in diversi strumenti giuridici (298).

(158)

In quarto luogo, si applicano norme specifiche per quanto concerne la diffusione di dati personali raccolti attraverso l'intelligence dei segnali. Come requisito generale, i dati personali relativi a persone non statunitensi possono essere divulgati soltanto se riguardano il medesimo tipo di informazioni che possono essere diffuse sulle persone statunitensi, ad esempio le informazioni necessarie per proteggere la sicurezza di una persona o di un'organizzazione (quali obiettivi, vittime od ostaggi di organizzazioni terroristiche internazionali) (299). Inoltre i dati personali non possono essere diffusi soltanto in ragione della cittadinanza o del paese di residenza di una persona o al fine di eludere i requisiti di cui al decreto presidenziale 14086 (300). La divulgazione all'interno degli organismi del governo statunitense può avvenire soltanto se una persona autorizzata e formata ha la ragionevole certezza che il destinatario necessita di conoscere le informazioni (301) e le proteggerà adeguatamente (302). Al fine di stabilire se i dati personali possono essere divulgati a destinatari esterni agli organismi del governo statunitense (compreso un governo straniero o un'organizzazione internazionale), occorre tener conto della finalità di tale divulgazione, della natura e della portata dei dati diffusi e del potenziale impatto negativo sulla persona o sulle persone interessate (303).

(159)

Infine, anche per facilitare la vigilanza in merito al rispetto dei requisiti giuridici applicabili e di mezzi di ricorso efficaci, ogni ente di intelligence è tenuto, ai sensi del decreto presidenziale 14086, a conservare una documentazione adeguata sulla raccolta di intelligence dei segnali. I requisiti in materia di documentazione riguardano elementi quali la base fattuale per la valutazione della necessità di una specifica attività di raccolta per far progredire una priorità convalidata dell'intelligence (304).

(160)

Oltre alle suddette garanzie di cui al decreto presidenziale 14086 per l'uso delle informazioni raccolte attraverso l'intelligence dei segnali, tutti gli enti di intelligence statunitensi sono soggetti a requisiti più generali in materia di limitazione delle finalità, minimizzazione dei dati, accuratezza, sicurezza, conservazione e diffusione dei dati, in particolare a norma della circolare n. A-130 dell'OMB, della legge sull'e-Government, della legge federale sulle registrazioni (cfr. considerando da 101 a 106) e degli orientamenti del comitato sui sistemi di sicurezza nazionale (CNSS) (305).

(161)

Le attività degli enti di intelligence statunitensi sono soggette al controllo da parte di organismi diversi.

(162)

Innanzitutto il decreto presidenziale 14086 impone a ciascun ente di intelligence di disporre di funzionari di alto livello competenti in materie giuridiche, di vigilanza e di conformità al fine di garantire il rispetto del diritto statunitense applicabile (306). In particolare tali funzionari devono svolgere una vigilanza periodica delle attività di intelligence dei segnali e garantire che sia posto rimedio a eventuali non conformità. Gli enti di intelligence devono fornire a tali funzionari l'accesso a tutte le informazioni pertinenti per svolgere le loro funzioni di vigilanza e non possono intraprendere azioni volte ad ostacolare o influenzare indebitamente le loro attività di vigilanza (307). Inoltre, qualsiasi caso significativo di non conformità (308), individuato da un funzionario incaricato della vigilanza o da qualsiasi altro dipendente deve essere prontamente segnalato al capo dell'ente di intelligence e al direttore dell'intelligence nazionale, i quali devono garantire che siano adottate tutte le misure necessarie per porre rimedio alla circostanza in questione ed evitare il ripetersi del caso significativo di non conformità (309).

(163)

Questa funzione di vigilanza è svolta da addetti aventi un ruolo designato in materia di conformità, nonché da funzionari e ispettori generali competenti per la tutela della vita privata e delle libertà civili (310).

(164)

Come nel caso delle autorità di contrasto in materia penale, tutti gli enti di intelligence dispongono di addetti alla tutela della vita privata e alle libertà civili (311). I poteri di tali addetti prevedono solitamente la vigilanza sulle procedure, per assicurare che il dipartimento/ente tenga adeguatamente conto degli aspetti inerenti alla vita privata e alle libertà civili e abbia predisposto procedure adeguate per trattare i reclami sporti dalle persone che denunciano una violazione della loro vita privata o delle loro libertà civili (in alcuni casi, come presso l'ODNI, gli addetti stessi sono abilitati a esaminare i reclami (312)). I capi degli enti di intelligence devono garantire che gli addetti alla tutela della vita privata e alle libertà civili dispongano delle risorse necessari per adempiere il loro mandato, abbiano accesso a tutto il materiale e al personale necessari per lo svolgimento delle loro funzioni, siano informati e consultati in merito alle modifiche politiche proposte (313). Gli addetti alla tutela della vita privata e alle libertà civili riferiscono periodicamente al Congresso e alla PCLOB, indicando tra l'altro il numero e la natura dei reclami ricevuti dal dipartimento/dall'ente, fornendo una sintesi del trattamento loro riservato, delle verifiche effettuate e delle indagini condotte, nonché degli effetti delle attività svolte dall'addetto stesso (314).

(165)

In secondo luogo, ciascun ente di intelligence dispone di un ispettore generale indipendente, incaricato, tra l'altro, di vigilare sulle attività di intelligence esterna. L'articolazione del sistema comprende, presso l'ODNI, un Ufficio dell'ispettore generale della comunità dell'intelligence con competenza generale su tutta la comunità dell'intelligence, autorizzato a esaminare i reclami o le informazioni inerenti a presunti comportamenti illeciti o abusi di potere compiuti in relazione con i programmi e attività dell'ODNI e/o della più ampia comunità dell'intelligence (315). Come nel caso delle autorità di contrasto in materia penale (cfr. il considerando 109), tali ispettori generali sono indipendenti per legge (316) e responsabili dei controlli e delle indagini riguardanti i programmi e le operazioni condotte dall'ente in questione per finalità di intelligence nazionale, anche in relazione a casi di abuso o violazione della legge (317). Sono autorizzati ad accedere a tutti i dati, le relazioni, le verifiche, gli esami, i documenti, le carte, le raccomandazioni o altro materiale pertinente, se necessario mediante l'emanazione di una citazione, e possono assumere testimonianze (318). Gli ispettori generali segnalano i casi di presunte violazioni in materia penale ai fini dell'azione penale e formulano raccomandazioni per azioni correttive rivolte ai capi degli enti in questione (319). Sebbene le loro raccomandazioni non siano vincolanti, le relazioni che redigono, anche sugli interventi con cui vi si è dato seguito (o sull'assenza di tali interventi) (320), sono in genere rese pubbliche e trasmesse al Congresso, che su tale base può esercitare la sua funzione di vigilanza (cfr. considerando 168 e 169) (321).

(166)

In terzo luogo l'Autorità di vigilanza sull'intelligence (IOB), istituita nell'ambito del Comitato presidenziale consultivo sull'intelligence (PIAB), vigila sul rispetto della costituzione statunitense e di tutte le norme applicabili da parte delle autorità di intelligence degli Stati Uniti (322). Il Comitato presidenziale consultivo sull'intelligence è un organo consultivo in seno all'Ufficio esecutivo del presidente, composto da 16 membri nominati dal presidente scelti all'esterno degli organismi del governo statunitense. L'Autorità di vigilanza sull'intelligence è costituita da un massimo di cinque membri designati dal presidente tra i membri del Comitato presidenziale consultivo sull'intelligence. Conformemente al decreto presidenziale 12333 (323), i capi di tutti gli enti di intelligence sono tenuti a segnalare all'Autorità di vigilanza sull'intelligence qualsiasi attività di intelligence per la quale vi sia motivo di credere che possa essere illegale o contraria a un decreto presidenziale o a una direttiva presidenziale. Al fine di assicurare che l'Autorità di vigilanza sull'intelligence abbia accesso alle informazioni necessarie per svolgere le sue funzioni, il decreto presidenziale 13462 incarica il direttore dell'intelligence nazionale e i capi degli enti di intelligence di fornire tutte le informazioni e tutta l'assistenza ritenute necessarie da tale autorità per lo svolgimento delle sue funzioni, nella misura consentita dalla legge (324). L'Autorità di vigilanza sull'intelligence è a sua volta tenuta a informare il presidente in merito alle attività di intelligence che ritiene possano violare il diritto degli Stati Uniti (compresi i decreti presidenziali) e non sono adeguatamente affrontate dal Procuratore generale, dal direttore dell'intelligence nazionale o dal capo di un ente di intelligence (325). Inoltre l'Autorità di vigilanza sull'intelligence è tenuta a informare il Procuratore generale in merito a possibili violazioni del diritto penale.

(167)

In quarto luogo, gli enti di intelligence sono soggetti a controllo da parte della PCLOB. Ai sensi della legge che istituisce tale ente, alla PCLOB sono attribuite competenze nel settore delle politiche antiterrorismo e della loro attuazione, al fine di tutelare la vita privata e le libertà civili. Per controllare le attività degli enti di intelligence ha facoltà di accedere a tutti i dati, le relazioni, le verifiche, i documenti, le carte e le raccomandazioni dell'ente interessato, comprese le informazioni classificate, di procedere a interrogatori e di assumere testimonianze (326). Riceve le relazioni trasmesse dagli addetti alla tutela della vita privata e alle libertà civili di vari dipartimenti/enti federali (327), può rivolgere raccomandazioni al governo e agli enti di intelligence e riferisce periodicamente alle commissioni del Congresso e al presidente (328). Le relazioni della PCLOB, comprese quelle presentate al Congresso, devono essere messe a disposizione del pubblico nella misura più ampia possibile (329). La PCLOB ha pubblicato diverse relazioni di vigilanza e di seguito, tra cui un'analisi dei programmi attuati sulla base dell'articolo 702 FISA e della tutela della vita privata in tale contesto, nonché l'attuazione della direttiva presidenziale 28 e del decreto presidenziale 12333 (330). La PCLOB ha altresì il compito di svolgere funzioni di vigilanza specifiche per quanto concerne l'attuazione del decreto presidenziale 14086, in particolare riesaminando se le procedure dell'ente siano coerenti con tale decreto presidenziale (cfr. considerando 126) e valutando il funzionamento della riparazione del meccanismo di ricorso (cfr. considerando 194).

(168)

In quinto luogo, oltre ai citati meccanismi di vigilanza inquadrati nell'esecutivo, commissioni specifiche in seno al Congresso degli Stati Uniti (le commissioni Giustizia e Intelligence della Camera dei rappresentanti e del Senato), hanno competenze di vigilanza sulle attività d'intelligence esterna condotte dagli USA. I membri di tali commissioni hanno accesso alle informazioni classificate e ai metodi e programmi d'intelligence (331). Dette commissioni esercitano le loro funzioni di vigilanza in modi diversi, in particolare attraverso audizioni, indagini, riesami e relazioni (332).

(169)

Le commissioni del Congresso ricevono relazioni periodiche sulle attività di intelligence, anche dal Procuratore generale, dal direttore dell'intelligence nazionale, dagli enti di intelligence e da altri organismi di vigilanza (ad esempio gli ispettori generali) (cfr. considerando 164 e 165). In particolare, a norma della legge sulla sicurezza nazionale, il presidente provvede a che le commissioni del Congresso che si occupano di intelligence siano tenute perfettamente informate e aggiornate sulle attività d'intelligence condotte dagli USA, comprese, come richiesto dal pertinente sottocapo della legge, le attività d'intelligence rilevanti previste per il futuro (333). Il presidente deve inoltre assicurare che tali commissioni del Congresso siano informate prontamente di qualsiasi attività d'intelligence illegale e delle misure correttive adottate o previste al riguardo (334).

(170)

Inoltre ulteriori obblighi di informativa derivano da leggi specifiche. In particolare la FISA impone ad esempio al Procuratore generale di "informare perfettamente" le commissioni Intelligence e Giustizia del Senato e della Camera dei rappresentanti circa le attività svolte dal governo ai sensi di determinati suoi articoli (335). Chiede inoltre al governo di trasmettere alle commissioni del Congresso copia di ogni decisione, ordinanza o parere pronunciati dalla Corte FISA o dalla FISCR, in cui è riportata una spiegazione o interpretazione rilevante di una disposizione della FISA. Per quanto concerne in particolare la sorveglianza a norma dell'articolo 702 FISA, la vigilanza parlamentare si esplica nell'obbligo di presentare le relazioni previste dalla legge alle commissioni Intelligence e Giustizia e nelle frequenti audizioni e riunioni informative, tra cui: la relazione semestrale in cui il Procuratore generale riferisce sull'applicazione dell'articolo 702 FISA, corredata di documenti giustificativi, tra i quali le relazioni sulla conformità del Dipartimento della Giustizia e dell'ODNI e la descrizione dei casi di inosservanza (336), e la distinta valutazione semestrale in cui il Procuratore generale e il direttore dell'intelligence nazionale riferiscono sul rispetto delle procedure atte a rendere mirata e a minimizzare la raccolta dati (337).

(171)

Inoltre la FISA impone al governo statunitense di comunicare ogni anno al Congresso (e al pubblico) il numero delle ordinanze ai sensi della FISA chieste e ottenute, così come, tra l'altro, la stima del numero di cittadini statunitensi o residenti negli USA e di cittadini stranieri sottoposti a sorveglianza (338). Tale legge impone altre comunicazioni pubbliche circa il numero di National Security Letter emanate, anche in questo caso nei confronti sia di cittadini statunitensi o residenti negli USA sia di cittadini stranieri (permettendo nel contempo al destinatario di un'ordinanza o certificazione ai sensi della FISA, o di una richiesta di National Security Letter, di pubblicare, a determinate condizioni, relazioni sulla trasparenza) (339).

(172)

Più in generale la comunità dell'intelligence statunitense si adopera in vari modi per garantire la trasparenza delle sue attività di intelligence (esterna). Ad esempio nel 2015 l'ODNI ha adottato i principi di trasparenza dell'intelligence e un piano di attuazione per la trasparenza e ha ordinato a ciascun ente di intelligence di designare un responsabile della trasparenza dell'intelligence al fine di promuovere la trasparenza e guidare le iniziative in materia di trasparenza (340). Nell'ambito di tali sforzi, la comunità dell'intelligence ha reso e continua a rendere pubbliche parti declassificate di politiche, procedure, relazioni di vigilanza, relazioni sulle attività di cui all'articolo 702 FISA e al decreto presidenziale 12333, decisioni della Corte FISA e altri materiali, anche su una pagina web dedicata "IC on the Record", gestita dall'ODNI (341).

(173)

Infine la raccolta di dati personali ai sensi dell'articolo 702 FISA, oltre alla vigilanza da parte degli organi di vigilanza di cui ai considerando da 162 a 168, è soggetta a vigilanza da parte della Corte FISA (342). Conformemente alla norma 13 del regolamento di procedura della Corte FISA, i responsabili della conformità presso gli enti di intelligence statunitensi sono tenuti a segnalare al Dipartimento della Giustizia e all'ODNI qualsiasi violazione delle procedure in materia di individuazione degli obiettivi, minimizzazione e interrogazione di cui all'articolo 702 FISA, i quali a loro volta le segnalano alla Corte FISA. Inoltre il Dipartimento della Giustizia e l'ODNI presentano alla Corte FISA relazioni semestrali di valutazione congiunta della vigilanza, che individuano le tendenze in materia di conformità delle procedure di individuazione degli obiettivi; forniscono dati statistici; descrivono le categorie dei casi di non conformità; descrivono in maniera dettagliata i motivi per cui si sono verificati taluni casi di non conformità rispetto alle procedure di individuazione degli obiettivi, così come le misure adottate dagli enti di intelligence per evitare il ripetersi di tali casi (343).

(174)

Se necessario (ad esempio qualora vengano individuate violazioni delle procedure di individuazione degli obiettivi), la Corte può ordinare all'ente di intelligence pertinente di adottare misure correttive (344). Le misure correttive in questione potranno spaziare da misure individuali a misure strutturali, ad esempio dalla cessazione dell'acquisizione di dati e dalla cancellazione di dati ottenuti illecitamente fino alla modifica delle pratiche di raccolta, anche per quanto riguarda gli orientamenti e la formazione del personale (345). Inoltre, durante il riesame annuale delle certificazioni a norma dell'articolo 702, la Corte FISA prende in considerazione i casi di non conformità per stabilire se le certificazioni presentate sono conformi ai requisiti della FISA. Analogamente se la Corte FISA ritiene che le certificazioni del governo non siano state sufficienti, anche in ragione di particolari casi di inadempienza, può emettere una cosiddetta "ordinanza sulle carenze" che impone al governo di porre rimedio alla violazione entro 30 giorni o impone al governo di cessare o non iniziare ad attuare la certificazione a norma dell'articolo 702 in questione. Infine la Corte FISA valuta le tendenze rilevate in materia di conformità e può imporre modifiche delle procedure o ulteriori attività di vigilanza e comunicazione per affrontare le tendenze in materia di conformità (346).

(175)

Come spiegato più dettagliatamente nella presente sezione, negli Stati Uniti gli interessati dispongono di svariate vie di ricorso che consentono loro la possibilità di promuovere un'azione legale dinanzi a un organo giurisdizionale indipendente e imparziale dotato di poteri vincolanti. Congiuntamente tali mezzi consentono alle persone fisiche di avere accesso ai propri dati personali, di ottenere un riesame della legittimità dell'accesso ai propri dati da parte di pubbliche amministrazioni e, qualora si accerti una violazione, di porvi rimedio, anche attraverso la rettifica o la cancellazione dei dati personali in questione.

(176)

Innanzitutto è istituito un meccanismo di ricorso specifico, ai sensi del decreto presidenziale 14086, integrato dal regolamento del Procuratore generale, che istituisce il Tribunale del riesame in materia di protezione dei dati (DPRC), al fine di gestire e risolvere i reclami di persone riguardanti le attività statunitensi di intelligence dei segnali. Chiunque nell'UE ha il diritto di presentare un reclamo rivolgendosi al meccanismo di ricorso in merito a una presunta violazione del diritto statunitense che disciplina le attività di intelligence dei segnali (ad esempio il decreto presidenziale 14086, l'articolo 702 FISA, il decreto presidenziale 12333) che lede gli interessi della persona in questione in materia di tutela della vita privata e libertà civili (347). Tale meccanismo di ricorso è a disposizione di persone provenienti da paesi od organizzazioni regionali di integrazione economica che sono stati designati dal Procuratore generale degli Stati Uniti come "Stati qualificati" (348). Il 30 giugno 2023 l'Unione europea e i tre paesi dell'Associazione europea di libero scambio, che assieme costituiscono lo Spazio economico europeo, sono stati designati dal Procuratore generale ai sensi dell'articolo 3, lettera f), del decreto presidenziale 14086 come "Stati qualificati" (349). Tale designazione lascia impregiudicato l'articolo 4, paragrafo 2, del trattato sull'Unione europea.

(177)

Un interessato dell'Unione che intenda promuovere un reclamo deve presentarlo a un'autorità di controllo di uno Stato membro dell'UE competente per la vigilanza in merito al trattamento di dati personali da parte di autorità pubbliche (un'autorità di protezione dei dati) (350). Ciò garantisce un facile accesso al meccanismo di ricorso consentendo alle persone di rivolgersi a un'autorità "vicina a casa" con la quale possono comunicare nella propria lingua. Una volta verificati i requisiti per la presentazione di un reclamo di cui al considerando 178, l'autorità di protezione dei dati competente trasmette il reclamo al meccanismo di ricorso tramite il segretariato del comitato europeo per la protezione dei dati.

(178)

La promozione di un reclamo presso il meccanismo di ricorso è soggetta a requisiti di ammissibilità ridotti, in quanto le persone non devono dimostrare che i loro dati sono stati effettivamente oggetto di attività di intelligence dei segnali negli Stati Uniti (351). Al tempo stesso, per fornire un punto di partenza per lo svolgimento del riesame da parte del meccanismo di ricorso, occorre che gli interessati forniscano talune informazioni di base, ad esempio in merito ai dati personali che si ritiene ragionevolmente siano stati trasferiti negli Stati Uniti e ai mezzi con cui si ritiene che tale trasferimento sia avvenuto; l'identità degli enti pubblici statunitensi che si ritiene siano coinvolti nella presunta violazione (laddove nota); la base per sostenere che si è verificata una violazione del diritto statunitense (anche se anche in questo caso non è necessario dimostrare che i dati personali sono stati effettivamente raccolti da enti di intelligence statunitensi) e la natura del provvedimento richiesto.

(179)

L'indagine iniziale sui reclami presentati a questo meccanismo di ricorso è svolta dall'addetto alla tutela della vita privata e alle libertà civili dell'ODNI, il cui ruolo e i cui poteri statutari sono stati ampliati per le azioni specifiche intraprese a norma del decreto presidenziale 14086 (352). All'interno della comunità dell'intelligence, l'addetto alla tutela della vita privata e alle libertà civili ha il compito, tra l'altro, di garantire che la tutela delle libertà civili e della vita privata sia adeguatamente integrata nelle politiche e procedure dell'ODNI e degli enti di intelligence; di vigilare sul rispetto, da parte dell'ODNI, dei requisiti applicabili in materia di libertà civili e tutela della vita privata; e di svolgere valutazioni dell'impatto sulla vita privata (353). L'addetto alla tutela della vita privata e alle libertà civili dell'ODNI può essere revocato dal direttore dell'intelligence nazionale soltanto per giusta causa, ossia in caso di condotta illecita, concussione, violazione della sicurezza, negligenza o incapacità (354).

(180)

Nell'effettuare il riesame, l'addetto alla tutela della vita privata e alle libertà civili dell'ODNI ha accesso alle informazioni per la sua valutazione e può avvalersi dell'assistenza obbligatoria degli addetti alla tutela della vita privata e alle libertà civili attivi in seno ai diversi enti di intelligence (355). Agli enti di intelligence è fatto divieto di ostacolare o influenzare indebitamente i riesami svolti dall'addetto alla tutela della vita privata e alle libertà civili dell'ODNI. Rientra in tale contesto anche il direttore dell'intelligence nazionale, che non deve interferire con il riesame (356). In sede di esame di un reclamo, l'addetto alla tutela della vita privata e alle libertà civili dell'ODNI deve applicare la legge "in modo imparziale", tenendo conto sia degli interessi di sicurezza nazionale nelle attività di intelligence dei segnali che delle tutele della vita privata (357).

(181)

Nel contesto del suo esame, l'addetto alla tutela della vita privata e alle libertà civili dell'ODNI stabilisce se si è verificata una violazione del diritto statunitense applicabile e, in tal caso, si pronuncia in merito a una riparazione adeguata (358). Quest'ultima fa riferimento a misure che pongono pienamente rimedio a una violazione individuata, quali la cessazione dell'acquisizione illecita di dati, la cancellazione dei dati raccolti illecitamente, la cancellazione dei risultati di interrogazioni condotte in modo inadeguato su dati altrimenti raccolti lecitamente, la limitazione dell'accesso ai dati raccolti legalmente a personale adeguatamente formato o il richiamo di relazioni di intelligence contenenti dati acquisiti senza legittima autorizzazione o diffusi illecitamente (359). Le decisioni dell'addetto alla tutela della vita privata e alle libertà civili dell'ODNI sui singoli reclami (compresa la riparazione) sono vincolanti per gli enti di intelligence interessati (360).

(182)

L'addetto alla tutela della vita privata e alle libertà civili dell'ODNI deve conservare la documentazione del suo riesame e produrre una decisione classificata che spieghi la base delle sue constatazioni fattuali, la determinazione dell'esistenza di una violazione contemplata e la determinazione della riparazione adeguata (361). Se dall'esame condotto dall'addetto alla tutela della vita privata e alle libertà civili dell'ODNI emerge una violazione di un'autorità soggetta a vigilanza da parte della Corte FISA, tale addetto alla tutela della vita privata e alle libertà civili deve fornire altresì una relazione classificata al Procuratore generale aggiunto per la sicurezza nazionale, il quale a sua volta è tenuto a segnalare la non conformità alla Corte FISA, che può adottare ulteriori azioni coercitive (conformemente alla procedura illustrata ai considerando 173 e 174) (362).

(183)

Una volta completato l'esame, l'addetto alla tutela della vita privata e alle libertà civili dell'ODNI informa il reclamante, tramite l'autorità nazionale, in merito al fatto che l'esame non ha individuato alcuna violazione contemplata o l'addetto alla tutela della vita privata e alle libertà civili dell'ODNI ha emesso una decisione che richiede una riparazione adeguata (363). Ciò consente di tutelare la riservatezza delle attività svolte a tutela della sicurezza nazionale, fornendo nel contempo alle persone una decisione che confermi che il loro reclamo è stato debitamente esaminato e giudicato. Tale decisione può inoltre essere impugnata dalla persona. A tal fine, la persona in questione viene informata della possibilità di presentare ricorso adendo il DPRC per ottenere un riesame delle decisioni dell'addetto alla tutela della vita privata e alle libertà civili (cfr. considerando 184 e successivi) così come del fatto che, qualora tale Corte sia adita, viene selezionato un avvocato speciale per sostenere gli interessi del reclamante (364).

(184)

Qualsiasi reclamante, nonché ciascun servizio della comunità dell'intelligence, può chiedere il riesame della decisione dell'addetto alla tutela della vita privata e alle libertà civili dell'ODNI dinanzi al DPRC. Tali domande di riesame devono essere presentate entro 60 giorni dal ricevimento della notifica da parte dell'addetto alla tutela della vita privata e alle libertà civili dell'ODNI che informa che l'esame è stato completato e devono comprendere tutte le informazioni che la persona desidera fornire al DPRC (ad esempio argomentazioni su questioni di diritto o sull'applicazione del diritto ai fatti del caso) (365). Anche in questo caso gli interessati dell'Unione possono presentare la loro domanda all'autorità di protezione dei dati competente (cfr. considerando 177).

(185)

Il DPRC è un tribunale indipendente istituito dal Procuratore generale sulla base del decreto presidenziale 14086 (366). È composto da almeno sei giudici, nominati dal Procuratore generale in consultazione con la PCLOB, il Segretario al Commercio e il direttore dell'intelligence nazionale per un mandato rinnovabile di quattro anni (367). La nomina dei giudici da parte del Procuratore generale si basa sui criteri utilizzati dal potere esecutivo per valutare i candidati alla magistratura federale, tenendo conto di eventuali precedenti esperienze giudiziarie (368). Inoltre i giudici devono essere operatori della giustizia (ossia membri attivi in regola dell'ordine forense e debitamente abilitati a esercitare la professione legale) e avere un'esperienza adeguata in relazione al diritto in materia di tutela della vita privata e di sicurezza nazionale. Il Procuratore generale deve adoperarsi per garantire che almeno la metà dei giudici in un dato momento disponga di un'esperienza giudiziaria precedente e che tutti i giudici siano in possesso di un nulla osta di sicurezza per poter accedere a informazioni classificate in materia di sicurezza nazionale (369).

(186)

Possono essere nominate a far parte del DPRC soltanto le persone che soddisfano le qualifiche di cui al considerando 185 e che non sono dipendenti del ramo esecutivo al momento della loro nomina o che non lo sono state nei due anni antecedenti. Analogamente, durante il loro mandato presso il DPRC, i giudici non possono svolgere funzioni o impieghi ufficiali all'interno del governo statunitense (se non in qualità di giudici presso il DPRC) (370).

(187)

L'indipendenza del processo di pronuncia del giudizio è conseguita mediante una serie di garanzie. In particolare al potere esecutivo (il Procuratore generale e gli enti di intelligence) è vietato interferire con il riesame del DPRC o influenzare indebitamente tale processo (371). Il DPRC stesso è tenuto a giudicare le cause in modo imparziale (372) e opera secondo un proprio regolamento interno (adottato a maggioranza dei voti). Inoltre l'incarico dei giudici del DPRC può essere revocato esclusivamente dal Procuratore generale e soltanto per giusta causa (ad esempio condotta illecita, concussione, violazione della sicurezza, negligenza o incapacità), dopo aver tenuto debitamente conto delle norme applicabili ai giudici federali stabilite nelle norme per i procedimenti in materia di condotta della magistratura e di disabilità della magistratura (373).

(188)

Le domande presentate al DPRC sono esaminate da collegi di tre giudici, tra cui un presidente, che devono agire conformemente al codice di condotta per i giudici statunitensi (374). Ciascun collegio è assistito da un avvocato speciale (375), il quale ha accesso a tutte le informazioni relative alla causa, comprese quelle classificate (376). Il ruolo dell'avvocato speciale consiste nel garantire che gli interessi del reclamante siano rappresentati e che il collegio del DPRC sia ben informato su tutte le questioni di diritto e di fatto pertinenti (377). Al fine di informare ulteriormente la propria posizione in merito a una domanda di riesame presentata da una persona al DPRC, l'avvocato speciale può chiedere informazioni al reclamante mediante la formulazione di domande scritte (378).

(189)

Il DPRC esamina le decisioni adottate dall'addetto alla tutela della vita privata e alle libertà civili dell'ODNI (sia in relazione all'eventualità che si sia verificata una violazione del diritto statunitense applicabile, sia per quanto riguarda la riparazione adeguata) sulla base, come minimo, delle registrazioni dell'indagine condotta da tale addetto dell'ODNI, nonché di tutte le informazioni e le osservazioni fornite dal reclamante, dall'avvocato speciale o da un ente di intelligence (379). Un collegio del DPRC ha accesso a tutte le informazioni necessarie per effettuare un riesame, che può ottenere tramite l'addetto alla tutela della vita privata e alle libertà civili dell'ODNI (ad esempio il collegio può chiedere a tale addetto di integrare le proprie registrazioni con informazioni supplementari o conclusioni fattuali, se necessario per effettuare il riesame) (380).

(190)

Al momento di concludere il suo riesame, il DPRC può: 1) decidere che non vi sono prove indicanti che sono state svolte attività di intelligence dei segnali riguardanti dati personali del reclamante; 2) decidere che le decisioni dell'addetto alla tutela della vita privata e alle libertà civili dell'ODNI erano giuridicamente corrette e suffragate da prove sostanziali; oppure 3) qualora il DPRC non concordi con le conclusioni dell'addetto dell'ODNI (qualora si sia verificata una violazione del diritto statunitense applicabile o sia da definire una riparazione adeguata), emettere decisioni proprie in merito alla questione (381).

(191)

In tutti i casi il DPRC adotta una decisione scritta a maggioranza dei voti. Nel caso in cui dal riesame emerga una violazione delle norme applicabili, la decisione specificherà un'eventuale riparazione, che contempla la cancellazione dei dati raccolti illecitamente, la cancellazione dei risultati di interrogazioni condotte in modo inadeguato, la limitazione dell'accesso ai dati raccolti legalmente a personale adeguatamente formato o il richiamo di relazioni di intelligence contenenti dati acquisiti senza legittima autorizzazione o diffusi illecitamente (382). La decisione del DPRC è vincolante e definitiva per quanto concerne il reclamo promosso presso lo stesso (383). Inoltre, se dall'esame condotto emerge una violazione di un'autorità soggetta a vigilanza da parte della Corte FISA, il DPRC deve fornire altresì una relazione classificata al Procuratore generale aggiunto per la sicurezza nazionale, il quale a sua volta è tenuto a segnalare la non conformità alla Corte FISA, che può adottare ulteriori azioni coercitive (conformemente alla procedura illustrata ai considerando 173 e 174) (384).

(192)

Ogni decisione di un collegio del DPRC è trasmessa all'addetto alla tutela della vita privata e alle libertà civili dell'ODNI (385). Nei casi in cui il riesame effettuato dal DPRC è stato avviato a seguito di una domanda presentata dal reclamante, il reclamante è informato tramite l'autorità nazionale del fatto che il DPRC ha completato il riesame e che il riesame non ha individuato alcuna violazione contemplata o il DPRC ha emesso una decisione che richiede una riparazione adeguata (386). L'Ufficio per la tutela della vita privata e le libertà civili del Dipartimento della Giustizia tiene un registro di tutte le informazioni esaminate dal DPRC e di tutte le decisioni adottate, che sono messe a disposizione per essere prese in considerazione come precedenti non vincolanti da parte dei futuri collegi del DPRC (387).

(193)

Il Dipartimento del Commercio è inoltre tenuto a tenere registrazioni in merito a ciascun reclamante che ha presentato un reclamo (388). Al fine di migliorare la trasparenza, almeno ogni cinque anni, il Dipartimento del Commercio deve contattare gli enti di intelligence pertinenti al fine di verificare se le informazioni relative a un riesame da parte del DPRC sono state declassificate (389). In tal caso l'interessato viene informato del fatto che tali informazioni possono essere disponibili ai sensi del diritto applicabile (ossia che può chiedere l'accesso alle stesse ai sensi della legge sulla libertà d'informazione, cfr. considerando 199).

(194)

Infine il corretto funzionamento di questo meccanismo di ricorso sarà soggetto a una valutazione periodica e indipendente. Più specificamente, ai sensi del decreto presidenziale 14086, il funzionamento del meccanismo di ricorso è soggetto a riesame annuale da parte della PCLOB, un organismo indipendente (cfr. considerando 110) (390). Nel contesto di tale riesame, la PCLOB valuta tra l'altro se l'addetto alla tutela della vita privata e alle libertà civili dell'ODNI e il DPRC hanno trattato i reclami in modo tempestivo; se hanno ottenuto pieno accesso alle informazioni necessarie; se le garanzie sostanziali di cui al decreto presidenziale 14086 sono state adeguatamente prese in considerazione nel processo di riesame; e se la comunità dell'intelligence si sia pienamente conformata a quanto stabilito dall'addetto alla tutela della vita privata e alle libertà civili dell'ODNI e dal DPRC. La PCLOB elabora una relazione sull'esito del suo riesame che presenta al presidente, al Procuratore generale, al direttore dell'intelligence nazionale, al capo degli enti di intelligence, all'addetto alla tutela della vita privata e alle libertà civili dell'ODNI e alle commissioni in materia di intelligence del Congresso; tale relazione sarà altresì resa pubblica in una versione non classificata, e alimenterà a sua volta il riesame periodico del funzionamento della presente decisione che sarà condotto dalla Commissione. Il Procuratore generale, il direttore dell'intelligence nazionale, l'addetto alla tutela della vita privata e alle libertà civili dell'ODNI e i capi degli enti di intelligence sono tenuti ad attuare o a trattare in altro modo tutte le raccomandazioni incluse in tali relazioni. Inoltre la PCLOB emetterà una certificazione pubblica annuale attestante se il meccanismo di ricorso stia trattando o meno i reclami in linea con i requisiti di cui al decreto presidenziale 14086.

(195)

Oltre al meccanismo di ricorso specifico istituito a norma del decreto presidenziale 14086, tutte le persone (indipendentemente dalla loro cittadinanza o dal loro luogo di residenza) dispongono di vie di ricorso dinanzi agli organi giurisdizionali ordinari statunitensi (391).

(196)

In particolare la FISA e una legge correlata offrono alle persone la possibilità: di avviare una causa civile contro gli USA per ottenere un risarcimento pecuniario quando le informazioni che le riguardano sono state usate o divulgate illecitamente e con dolo (392); di adire le vie legali contro agenti del governo statunitense che agiscono nella loro capacità personale per ottenere un risarcimento pecuniario (393); e di contestare la legalità della sorveglianza (chiedendo anche di sopprimere le informazioni) quando il governo degli Stati Uniti intende usare o divulgare le informazioni raccolte o ricavate dalla sorveglianza elettronica contro la persona in un procedimento giudiziario o amministrativo negli USA (394). Più in generale, se il governo intende utilizzare le informazioni ottenute nel corso di operazioni di intelligence contro un indiziato nel contesto di un procedimento penale, i requisiti costituzionali e statutari (395) impongono l'obbligo di divulgare determinate informazioni, affinché l'indiziato possa contestare la legittimità della raccolta e dell'uso delle prove da parte del governo.

(197)

Inoltre vi è una serie di ulteriori possibilità per adire le vie legali contro agenti del governo in caso di accesso o uso illecito dei dati personali da parte del governo, anche per asserite finalità di sicurezza nazionale, ossia la legge sulle frodi e gli abusi informatici (396), la legge sulla privacy nelle comunicazioni elettroniche (397) e la legge sul diritto alla privacy finanziaria (398). Tutte queste azioni legali riguardano dati, obiettivi e/o tipi di accesso specifici (ad es. accesso remoto a un computer via internet) e sono disponibili a determinate condizioni (ad esempio condotta intenzionale/dolosa, abuso di potere, danno).

(198)

Una possibilità di ricorso più generale è offerta dalla legge sulle procedure amministrative (399), in base alla quale chiunque subisca un illecito, un inconveniente o un torto a causa dell'azione di un ente pubblico ha diritto di ricorrere al sindacato giurisdizionale (400), anche chiedendo al giudice di dichiarare illegittime e annullare le azioni, constatazioni e conclusioni dell'ente che risultano arbitrarie o illogiche, viziate da abuso di potere o altrimenti non conformi alla legge (401). Ad esempio nel 2015 un organo giurisdizionale di appello federale si è pronunciato in merito a un'istanza in merito alla legge sulle procedure amministrative secondo cui la raccolta in blocco di metadati telefonici da parte del governo statunitense non era autorizzata dall'articolo 501 FISA (402).

(199)

Infine, oltre ai mezzi di ricorso di cui ai considerando da 176 a 198, chiunque ha il diritto di chiedere l'accesso alle registrazioni esistenti degli enti federali ai sensi della legge sulla libertà d'informazione, anche se queste contengono dati personali (403). L'ottenimento di tale accesso può facilitare altresì l'avvio di procedimenti dinanzi agli organi giurisdizionali ordinari, anche a sostegno della legittimazione ad agire. Gli enti possono non divulgare informazioni che rientrano in determinate eccezioni elencate, compreso l'accesso alle informazioni classificate in materia di sicurezza nazionale e alle informazioni relative alle indagini di autorità di contrasto (404), ma i reclamanti che non sono soddisfatti della risposta hanno la possibilità di contestarla chiedendo un controllo amministrativo e, successivamente, giurisdizionale (dinanzi agli organi giurisdizionali federali) (405).

(200)

Ne consegue che quando le autorità degli Stati Uniti preposte all'attività di contrasto e alla sicurezza nazionale accedono a dati personali che rientrano nell'ambito di applicazione della presente decisione, tale accesso è disciplinato da un quadro giuridico che stabilisce le condizioni alle quali può avvenire l'accesso e assicurano che l'accesso e l'ulteriore uso dei dati siano limitati a quanto necessario e proporzionati all'obiettivo di interesse pubblico perseguito. Tali garanzie possono essere invocate da persone che godono di diritti di ricorso effettivi.

(201)

La Commissione ritiene che gli Stati Uniti, attraverso i principi emanati dal Dipartimento del Commercio degli Stati Uniti, garantiscano un livello di protezione dei dati personali trasferiti dall'Unione alle organizzazioni certificate negli Stati Uniti nell'ambito del quadro UE-USA per la protezione dei dati personali sostanzialmente equivalente a quello garantito dal regolamento (UE) 2016/679.

(202)

Inoltre la Commissione ritiene che l'effettiva applicazione dei principi sia garantita dagli obblighi di trasparenza e dall'amministrazione del DPF da parte della Dipartimento del Commercio. Nel complesso i meccanismi di vigilanza e i mezzi di ricorso previsti dal diritto statunitense consentono altresì di individuare e punire nella pratica eventuali violazioni delle norme in materia di protezione dei dati e offrono all'interessato mezzi di ricorso per ottenere l'accesso ai dati personali che lo riguardano e, in ultima analisi, la rettifica o la cancellazione di tali dati.

(203)

Infine, sulla base delle informazioni disponibili sull'ordinamento giuridico statunitense, comprese le informazioni figuranti negli allegati VI e VII, la Commissione ritiene che qualsiasi ingerenza attuata nell'interesse pubblico, in particolare per finalità di contrasto penale e di sicurezza nazionale, da parte di autorità pubbliche statunitensi in relazione ai diritti fondamentali delle persone i cui dati personali sono trasferiti dall'Unione agli Stati Uniti nell'ambito del quadro UE-USA per la protezione dei dati personali, sarà limitata a quanto strettamente necessario a conseguire l'obiettivo legittimo in questione, e che contro tali ingerenze esista una tutela giuridica efficace. Pertanto, alla luce delle conclusioni di cui sopra, è opportuno decidere che gli Stati Uniti garantiscono un livello di protezione adeguato ai sensi dell'articolo 45 del regolamento (UE) 2016/679, interpretato alla luce della Carta dei diritti fondamentali dell'Unione europea, per i dati personali trasferiti dall'Unione europea a organizzazioni certificate ai sensi del quadro UE-USA per la protezione dei dati personali.

(204)

Dato che le limitazioni, le garanzie e il meccanismo di ricorso istituiti dal decreto presidenziale 14086 sono elementi essenziali del quadro giuridico statunitense su cui si basa la valutazione della Commissione, l'adozione della presente decisione si fonda in particolare sull'adozione di politiche e procedure aggiornate per l'attuazione del decreto presidenziale 14086 da parte di tutti gli enti di intelligence statunitensi e sulla designazione dell'Unione quale organizzazione qualificata ai fini del meccanismo di ricorso che hanno avuto luogo rispettivamente il 3 luglio 2023 (cfr. considerando 126) e il 30 giugno 2023 (cfr. considerando 176).

(205)

Gli Stati membri e i loro organi sono tenuti ad adottare le misure necessarie per conformarsi agli atti delle istituzioni dell'Unione, che si presumono legittimi e producono pertanto effetti giuridici, finché non siano stati revocati o annullati nel contesto di un ricorso per annullamento ovvero dichiarati invalidi a seguito di un rinvio pregiudiziale o di un'eccezione di illegittimità.

(206)

Di conseguenza, una decisione di adeguatezza adottata dalla Commissione a norma dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 è vincolante per tutti gli organi degli Stati membri che ne sono i destinatari, comprese le autorità di controllo indipendenti. In particolare i trasferimenti da un titolare del trattamento o un responsabile del trattamento nell'Unione verso organizzazioni certificate negli Stati Uniti possono avvenire senza la necessità di ottenere ulteriori autorizzazioni.

(207)

È opportuno ricordare che, ai sensi dell'articolo 58, paragrafo 5, del regolamento (UE) 2016/679, e come spiegato dalla Corte di giustizia nella sentenza Schrems (406), quando un'autorità nazionale di protezione dei dati mette in dubbio, anche in seguito a un reclamo, la compatibilità di una decisione di adeguatezza della Commissione con i diritti fondamentali della persona fisica concernenti la tutela della vita privata e la protezione dei dati, il diritto nazionale deve prevedere mezzi di ricorso per l'affermazione di tali obiezioni dinanzi un organo giurisdizionale nazionale, che può essere tenuto a effettuare un rinvio pregiudiziale alla Corte di giustizia (407).

(208)

Secondo la giurisprudenza della Corte di giustizia (408), e come riconosciuto dall'articolo 45, paragrafo 4, del regolamento (UE) 2016/679, la Commissione dovrebbe monitorare costantemente gli sviluppi nel paese terzo registrati dopo l'adozione di una decisione di adeguatezza, al fine di valutare se il paese terzo continui a garantire un livello di protezione sostanzialmente equivalente. Tale verifica è in ogni caso obbligatoria quando la Commissione riceve informazioni che fanno sorgere un dubbio giustificato al riguardo.

(209)

La Commissione dovrebbe pertanto controllare su base continuativa la situazione negli Stati Uniti per quanto riguarda il quadro giuridico e la prassi effettiva del trattamento dei dati personali valutati dalla presente decisione. Per agevolare tale processo, le autorità degli Stati Uniti dovrebbero informare tempestivamente la Commissione in merito a sviluppi sostanziali dell'ordinamento giuridico degli Stati Uniti che abbiano un impatto sul quadro giuridico oggetto della presente decisione, nonché di qualsiasi evoluzione delle pratiche relative al trattamento dei dati personali oggetto della presente decisione, per quanto riguarda sia il trattamento di dati personali da parte di organizzazioni certificate negli Stati Uniti, sia le limitazioni e le garanzie applicabili all'accesso ai dati personali da parte delle autorità pubbliche.

(210)

Inoltre, al fine di consentire alla Commissione di svolgere in modo efficace la propria funzione di monitoraggio, gli Stati membri dovrebbero informarla delle eventuali azioni intraprese dalle autorità nazionali di protezione dei dati, in particolare per quanto riguarda eventuali domande o reclami presentati da interessati dell'Unione relativamente al trasferimento di dati personali dall'Unione verso organizzazioni certificate negli Stati Uniti. La Commissione dovrebbe inoltre essere informata di eventuali indicazioni del fatto che le azioni delle autorità pubbliche degli Stati Uniti responsabili della prevenzione, dell'indagine, dell'accertamento o del perseguimento dei reati ovvero della sicurezza nazionale, compresi gli organismi di vigilanza, non garantiscono il necessario livello di protezione.

(211)

In applicazione dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 (409), la Commissione, in seguito all'adozione della presente decisione, dovrebbe riesaminare periodicamente se le conclusioni relative all'adeguatezza del livello di protezione garantito dagli Stati Uniti nell'ambito del DPF UE-USA continuino ad essere giustificate sotto il profilo fattuale e giuridico. Poiché in particolare il decreto presidenziale 14086 e il regolamento del Procuratore generale richiedono la creazione di meccanismi nuovi e l'attuazione di garanzie nuove, la presente decisione dovrebbe essere oggetto di un primo riesame entro un anno dalla sua entrata in vigore, al fine di verificare se tutti gli elementi pertinenti siano stati pienamente attuati e funzionino efficacemente nella pratica. A seguito del primo riesame, e tenuto conto del suo esito, la Commissione deciderà, in stretta consultazione con il comitato istituito a norma dell'articolo 93, paragrafo 1, del regolamento (UE) 2016/679, la frequenza dei riesami futuri (410).

(212)

Al fine di effettuare i riesami, la Commissione dovrebbe incontrare il Dipartimento del Commercio, l'FTC e il DOT accompagnati, se del caso, da altri dipartimenti ed enti coinvolti nell'attuazione del DPF UE-USA, nonché, per le questioni relative all'accesso ai dati da parte di pubbliche amministrazioni, rappresentanti del Dipartimento della Giustizia, dell'ODNI (compreso l'addetto alla tutela della vita privata e alle libertà civili), di altri servizi della comunità dell'intelligence, del DPRC e degli avvocati speciali. Alla riunione dovrebbero poter partecipare i rappresentanti dei membri del comitato europeo per la protezione dei dati.

(213)

I riesami in questione dovrebbero riguardare tutti gli aspetti del funzionamento della presente decisione per quanto concerne il trattamento di dati personali negli Stati Uniti, in particolare: l'applicazione e l'attuazione dei principi, con particolare riguardo alle tutele offerte in caso di trasferimenti successivi; gli sviluppi pertinenti della giurisprudenza; l'efficacia dell'esercizio dei diritti individuali; il controllo e l'applicazione del rispetto dei principi; nonché le limitazioni e le garanzie per quanto concerne l'accesso da parte di pubbliche amministrazioni, in particolare in relazione all'attuazione e all'applicazione delle garanzie introdotte dal decreto presidenziale 14086, anche attraverso politiche e procedure sviluppate dagli enti di intelligence; l'interazione tra il decreto presidenziale 14086 e l'articolo 702 FISA e il decreto presidenziale 12333; e l'efficacia dei meccanismi di vigilanza e delle vie di ricorso (compreso il funzionamento del nuovo meccanismo di ricorso istituito a norma del decreto presidenziale 14086). Nel contesto di tali riesami si presterà attenzione anche alla cooperazione tra le autorità di protezione dei dati e le autorità competenti degli Stati Uniti, anche tramite lo sviluppo di orientamenti e di altri strumenti interpretativi sull'applicazione dei principi nonché su altri aspetti del funzionamento del quadro in questione.

(214)

La Commissione dovrebbe elaborare, sulla base del riesame, una relazione pubblica da presentare al Parlamento europeo e al Consiglio.

(215)

Se dalle informazioni disponibili, in particolare da quelle risultanti dal monitoraggio della presente decisione o fornite dalle autorità statunitensi o degli Stati membri, risulta che il livello di protezione offerto ai dati trasferiti nell'ambito della presente decisione potrebbe non essere più adeguato, la Commissione dovrebbe informare prontamente le autorità statunitensi competenti e richiedere che adottino misure adeguate entro un periodo di tempo specificato e ragionevole.

(216)

Laddove alla scadenza di tale periodo di tempo specificato le autorità statunitensi competenti non abbiano adottato tali misure o non dimostrino altrimenti in modo soddisfacente che la presente decisione continua ad essere basata su un livello di protezione adeguato, la Commissione avvierà la procedura di cui all'articolo 93, paragrafo 2, del regolamento (UE) 2016/679 al fine di sospendere o abrogare parzialmente o completamente la presente decisione.

(217)

In alternativa, la Commissione avvierà tale procedura al fine di modificare la presente decisione, in particolare imponendo ulteriori condizioni per i trasferimenti di dati o limitando il riconoscimento dell'adeguatezza soltanto ai trasferimenti di dati per cui continua ad essere garantito un livello di protezione adeguato.

(218)

In particolare, la Commissione dovrebbe avviare la procedura di sospensione o revoca se si verifica una delle ipotesi seguenti:

(219)

La Commissione dovrebbe inoltre valutare l'opportunità di avviare la procedura di modifica, sospensione o abrogazione della presente decisione se le autorità statunitensi competenti non forniscano le informazioni o i chiarimenti necessari alla valutazione del livello di protezione offerto ai dati personali trasferiti dall'Unione agli Stati Uniti o per quanto concerne la conformità alla presente decisione. A tale riguardo, la Commissione dovrebbe tener conto della misura in cui le informazioni pertinenti possono essere ottenute da altre fonti.

(220)

In ragione di motivi imperativi d'urgenza debitamente giustificati, ad esempio se il decreto presidenziale 14086 o il regolamento del Procuratore generale fossero modificati in modo tale da compromettere il livello di protezione descritto nella presente decisione o se la designazione del Procuratore generale dell'Unione in qualità di organizzazione qualificata ai fini del meccanismi di ricorso viene revocata, la Commissione farà ricorso alla possibilità di adottare, conformemente alla procedura di cui all'articolo 93, paragrafo 3, del regolamento (UE) 2016/679, atti di esecuzione immediatamente applicabili destinati a sospendere, abrogare o modificare la presente decisione.

(221)

Il comitato europeo per la protezione dei dati ha pubblicato il proprio parere (411), del quale si è tenuto conto nell'elaborazione della presente decisione.

(222)

Il Parlamento europeo ha adottato una risoluzione sull'adeguatezza della protezione offerta dal quadro UE-USA in materia di privacy dei dati (412).

(223)

Le misure di cui alla presente decisione sono conformi al parere del comitato istituito a norma dell'articolo 93, paragrafo 1, del regolamento (UE) 2016/679,