L’EDPB ha adottato il suo parere sulla bozza di decisione di adeguatezza relativa al quadro UE-USA per il trasferimento di dati personali. L’EDPB accoglie con favore i miglioramenti sostanziali, come l’introduzione di requisiti che incorporano i principi di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense e il nuovo meccanismo di ricorso per gli interessati dell’UE. Tuttavia, il Garante europeo dimostra anche alcuni importanti dubbi in merito alla bozza di decisione di adeguatezza.
Infatti, l’EDPB rileva che alcuni principi del DPF rimangono essenzialmente gli stessi del Privacy Shield, con alcuni punti critici da affrontare da parte della Commissione Europea, tra cui:
- alcune esenzioni al diritto di accesso ed ampia esenzione dal diritto di accesso per le informazioni disponibili al pubblico;
- assenza di alcune definizioni chiave;
- assenza di chiarezza sull’applicazione dei principi dell’accordo UE-USA agli incaricati del trattamento;
- assenza di norme specifiche sul processo decisionale automatizzato e sulla profilazione;
- assenza di garanzie da imporre al destinatario iniziale, in modo da non compromettere i diritti degli interessati con trasferimenti effettuati successivamente;
- necessità di chiarire la portata delle esenzioni relative all’obbligo di aderire ai principi del DPF;
- necessità di fare maggiore chiarezza sulla raccolta temporanea di dati in blocco e sull’ulteriore conservazione e diffusione dei dati raccolti in blocco;
- assenza di un requisito di autorizzazione preventiva da parte di un’autorità indipendente per la raccolta di dati in blocco ai sensi dell’Executive Order 12333;
- assenza di una revisione sistematica indipendente ex-post da parte di un tribunale o di un organismo indipendente equivalente;
- il meccanismo di ricorso, in quanto la risposta standard del DPRC (Data Protection Review Court) al denunciante (che potrebbe essere anche una decisione) non può essere impugnata;
- l’autorizzazione preventiva indipendente della sorveglianza ai sensi della Sezione 702 FISA, in quanto la Corte FISA non esamina la conformità con l’Ordine Esecutivo 14086 quando certifica i programmi che autorizzano l’individuazione di persone non statunitensi, anche se le autorità di intelligence che eseguono il programma sono vincolate da esso.
Infine, l’EDPB sarebbe favorevole a subordinare l’entrata in vigore della decisione di adeguatezza con l’adozione di politiche e procedure aggiornate per l’effettiva attuazione dell’Ordine Esecutivo 14086 da parte di tutte le agenzie di intelligence statunitensi, con la raccomandazione alla Commissione Europea di valutare tali politiche e procedure aggiornate e di condividere la propria valutazione con l’EDPB.