Parlamento Europeo PROGETTO DI PROPOSTA DI RISOLUZIONE 14.2.2023

Parlamento Europeo PROGETTO DI PROPOSTA DI RISOLUZIONE 14.2.2023

 

Per concludere la discussione sulla dichiarazione della Commissione

a norma dell’articolo 132, paragrafo 2, del Regolamento

sull’adeguatezza della protezione offerta dal Quadro UE-USA sulla privacy dei dati

privacy UE-USA

(2023/2501(RSP))

Juan Fernando López Aguilar

a nome della commissione per le libertà civili, la giustizia e gli affari interni

PE740.749v01-00 2/6 RD\1270647EN.docx

IT

B9-0000/2023

Risoluzione del Parlamento europeo sull’adeguatezza della protezione offerta dall’UEUSA

Quadro sulla privacy dei dati

(2023/2501(RSP))

Il Parlamento europeo,

– vista la Carta dei diritti fondamentali dell’Unione europea (“la Carta”), in particolare gli articoli 7, 8 e 8

Carta”), in particolare gli articoli 7, 8, 16, 47 e 52,

– vista la sentenza della Corte di giustizia del 6 ottobre 2015 nella causa C-

362/14 Maximillian Schrems / Commissario per la protezione dei dati (“Schrems I”)1,

– vista la sentenza della Corte di giustizia del 16 luglio 2020 nella causa C-311/18

Commissario per la protezione dei dati personali contro Facebook Ireland Limited e Maximillian Schrems

(“Schrems II”)2,

– vista la sua inchiesta sulle rivelazioni fatte da Edward Snowden sulla

sorveglianza elettronica di massa dei cittadini dell’Unione europea, comprese le conclusioni della sua risoluzione del 12 marzo 2014 sulla

12 marzo 2014 sul programma di sorveglianza della NSA statunitense, gli organismi di sorveglianza in vari Stati membri e il loro impatto sui cittadini dell’UE.

Stati membri e il loro impatto sui diritti fondamentali dei cittadini dell’UE e sulla cooperazione transatlantica in materia di giustizia e affari interni3.

cooperazione transatlantica in materia di giustizia e affari interni3,

– vista la sua risoluzione del 26 maggio 2016 sui flussi di dati transatlantici4,

– vista la sua risoluzione del 6 aprile 2017 sull’adeguatezza della protezione

protezione offerta dallo scudo per la privacy UE-USA5,

– vista la sua risoluzione del 5 luglio 2018 sull’adeguatezza della protezione offerta dallo Scudo UE-USA per la privacy

dallo Scudo UE-USA per la privacy6,

– vista la sua risoluzione del 20 maggio 2021 sulla sentenza della CGUE del

16 luglio 2020 – Data Protection Commissioner v Facebook Ireland Limited and

Maximillian Schrems (“Schrems II”), causa C-311/187,

– visto il progetto di decisione di esecuzione della Commissione a norma del regolamento (UE) 2016/679 della Commissione.

(UE) 2016/679 del Parlamento europeo e del Consiglio sull’adeguatezza del livello di protezione dei dati personali nell’ambito della normativa UE.

protezione dei dati personali nell’ambito del quadro UE-USA sulla privacy,

– visto l’Ordine Esecutivo 14086 del Presidente degli Stati Uniti d’America del

1 Sentenza del 6 ottobre 2015, Maximilian Schrems c. Commissario per la protezione dei dati, C-362/14,

EU:C:2015:650.

2 Sentenza del 16 luglio 2020, Data Protection Commissioner contro Facebook Ireland Limited e Maximilian Schrems, C-311/18.

Schrems, C-311/18, EU:C:2020:559.

3 GU C 378 del 9.11.2017, pag. 104.

4 GU C 76 del 28.2.2018, pag. 82.

5 GU C 298 del 23.8.2018, pag. 73.

6 GU C 118 dell’8.4.2020, pag. 133.

7 GU C 15 del 12.1.2022, pag. 176.

RD\1270647EN.docx 3/6 PE740.749v01-00

IT

7 ottobre 2022 sul rafforzamento delle salvaguardie per le attività di intelligence dei segnali degli Stati Uniti.

attività di intelligence dei segnali degli Stati Uniti,

– visto il regolamento sul tribunale per la revisione della protezione dei dati emesso dall’Attorney General degli Stati Uniti (“regolamento AG”).

Attorney General statunitense (“Regolamento AG”),

– visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione dei dati personali.

Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al

trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la

direttiva 95/46/CE (“GDPR”)8 , in particolare il capo V,

– vista la proposta di regolamento del Parlamento europeo e del Consiglio relativo al trattamento dei dati personali e alla libera circolazione di tali dati, presentata dalla Commissione il 10 gennaio 2017

Parlamento europeo e del Consiglio relativo al rispetto della vita privata e alla

protezione dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva

2002/58/CE (Regolamento sulla privacy e sulle comunicazioni elettroniche)

(COM(2017)0010), alla decisione di avviare i negoziati interistituzionali confermata

dalla plenaria del Parlamento il 25 ottobre 2017, e all’orientamento generale del Consiglio

adottato il 10 febbraio 2021 (6087/21),

– viste le raccomandazioni del Comitato europeo per la protezione dei dati (EDPB)

01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali nell’UE

livello di protezione dei dati personali dell’UE, e le raccomandazioni 02/2020 del Comitato europeo per la protezione dei dati (EDPB) sulle

Garanzie essenziali europee per le misure di sorveglianza,

– visto il parere dell’EDPB del [da aggiungere],

– visto l’articolo 132, paragrafo 2, del suo regolamento,

A. considerando che nella sentenza “Schrems I”, la Corte di giustizia dell’Unione europea

(CJUE) ha invalidato la decisione della Commissione del 26 luglio 2000 ai sensi della direttiva 95/46/CE del Parlamento europeo.

95/46/CE del Parlamento europeo e del Consiglio relativa all’adeguatezza della protezione

protezione fornita dai principi di approdo sicuro in materia di privacy e le relative domande frequenti

domande frequenti del Dipartimento del Commercio degli Stati Uniti9 , e ha sottolineato che

l’accesso indiscriminato da parte delle autorità di intelligence al contenuto delle comunicazioni elettroniche

delle comunicazioni elettroniche viola l’essenza del diritto fondamentale alla confidenzialità delle

delle comunicazioni previsto dall’articolo 7 della Carta;

B. considerando che con la sentenza “Schrems II” la CGUE ha invalidato la
(UE) 2016/1250 della Commissione, del 12 luglio 2016, ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguatezza della protezione offerta dalla direttiva
Parlamento europeo e del Consiglio sull’adeguatezza della tutela offerta dal
lo scudo UE-USA per la privacy10 e ha concluso che esso non fornisce sufficienti
rimedi giuridici sufficienti contro la sorveglianza di massa per i cittadini non statunitensi e che ciò viola l’essenza del diritto fondamentale a un’assistenza legale
l’essenza del diritto fondamentale a un ricorso legale, come previsto dall’articolo 47 della Carta.
Carta;
C. considerando che il 7 ottobre 2022 il Presidente degli Stati Uniti d’America ha firmato
8 GU L 119 del 4.5.2016, pag. 1.
9 GU L 215 del 25.8.2000, pag. 7.
10 GU L 207 dell’1.8.2016, pag. 1.
PE740.749v01-00 4/6 RD\1270647EN.docx
IT
Ordine esecutivo 14086 sul rafforzamento delle salvaguardie per le attività di intelligence sui segnali degli Stati Uniti.
degli Stati Uniti (“EO”);
D. considerando che il 13 dicembre 2022 la Commissione ha avviato il processo di adozione di una decisione di adeguatezza per l’UE e gli Stati Uniti.
decisione di adeguatezza per il quadro UE-USA sulla privacy dei dati;
E. considerando che, nell’esaminare il livello di protezione offerto da un paese terzo, la Commissione è tenuta a valutare il contenuto del quadro normativo sulla privacy dell’UE e degli USA
paese terzo, la Commissione è tenuta a valutare il contenuto delle norme applicabili in quel paese
derivanti dal suo diritto interno o dai suoi impegni internazionali, nonché la prassi
di garantire l’osservanza di tali norme;
F. considerando che la capacità di trasferire dati personali oltre le frontiere ha il potenziale per essere un motore chiave di innovazione, produttività e competitività economica
dell’innovazione, della produttività e della competitività economica; considerando che questi
trasferimenti dovrebbero essere effettuati nel pieno rispetto del diritto alla protezione dei dati personali e del diritto alla privacy; considerando che tali trasferimenti dovrebbero essere effettuati nel pieno rispetto del diritto alla protezione dei dati personali e del diritto alla privacy
dei dati personali e del diritto alla privacy; considerando che uno degli obiettivi fondamentali dell’Unione europea è la protezione dei diritti fondamentali, come sancito dalla Carta;
G. considerando che il GDPR si applica a tutte le imprese che trattano i dati personali degli
soggetti nell’UE, qualora le attività di trattamento siano connesse all’offerta di beni o servizi a tali soggetti nell’Unione; G. considerando che il GDPR si applica a tutte le imprese che trattano i dati personali dei soggetti servizi a tali interessati nell’Unione, o al monitoraggio del loro comportamento nella misura in cui
comportamento all’interno dell’Unione;

H. considerando che la sorveglianza di massa, compresa la raccolta di dati in massa, da parte di attori statali è la fiducia dei cittadini e delle imprese europee nei servizi digitali e, di conseguenza, nell’economia digitale
nei servizi digitali e, di conseguenza, nell’economia digitale;
I. considerando che i responsabili del trattamento dovrebbero sempre essere responsabili del rispetto degli obblighi in materia di protezione dei dati, compresa la dimostrazione di conformità per qualsiasi trattamento dei dati, a prescindere dal tipo di obblighi in materia di protezione dei dati, compresa la dimostrazione di conformità per qualsiasi trattamento dei dati, indipendentemente dalla sua natura, portata, contesto, finalità e rischi per gli interessati;
J. considerando che negli Stati Uniti non esiste una legislazione federale in materia di privacy e protezione dei dati (USA); che l’Unione europea e gli Stati Uniti hanno definizioni diverse dei concetti chiave di protezione dei dati, quali i principi di necessità e proporzionalità concetti chiave della protezione dei dati, quali i principi di necessità e proporzionalità;
1. Ricorda che la privacy e la protezione dei dati sono diritti fondamentali giuridicamente applicabili
sanciti dai trattati, dalla Carta e dalla Convenzione europea dei diritti dell’uomo,
nonché nelle leggi e nella giurisprudenza; sottolinea che devono essere applicati in modo da non ostacolare inutilmente il commercio. Non ostacolino inutilmente il commercio o le relazioni internazionali, ma possano essere bilanciati solo contro altri diritti fondamentali e non contro interessi commerciali o politici;
2. Riconosce gli sforzi compiuti nell’EO per stabilire limiti alle attività di intelligence dei servizi segreti degli Stati Uniti, facendo riferimento ai principi del diritto internazionale, attività di intelligence dei segnali degli Stati Uniti, facendo riferimento ai principi di proporzionalità e necessità e fornendo un elenco di obiettivi legittimi per tali attività un elenco di obiettivi legittimi per tali attività; sottolinea, tuttavia, che questi
principi sono elementi chiave di lunga data del regime di protezione dei dati dell’UE e che
le loro definizioni sostanziali nel ME non sono in linea con la loro definizione ai sensi del diritto dell’UE
dell’UE e con la loro interpretazione da parte della CGUE; sottolinea inoltre che, ai fini del
del quadro UE-USA sulla privacy, tali principi saranno interpretati esclusivamente alla luce della
alla luce del diritto e delle tradizioni giuridiche degli Stati Uniti; sottolinea che il ME richiede che i segnali di
intelligence deve essere condotta in modo proporzionato alla “priorità di intelligence convalidata”, che sembra essere una convalidata”, il che sembra essere un’interpretazione ampia della proporzionalità;

3. Si rammarica del fatto che il ME non proibisca la raccolta di dati in massa da parte dei servizi segreti, compreso il contenuto delle comunicazioni.

intelligence, compreso il contenuto delle comunicazioni; osserva che l’elenco degli obiettivi legittimi di sicurezza nazionale può essere ampliato dal Presidente degli Stati Uniti, che può stabilire

obiettivi legittimi di sicurezza nazionale può essere ampliato dal Presidente degli Stati Uniti, che può decidere di non rendere di non rendere pubblici i relativi aggiornamenti;

4. Il testo non si applica ai dati a cui le autorità pubbliche accedono con altri mezzi, ad esempio attraverso il Cloud degli Stati Uniti altri mezzi, ad esempio attraverso il Cloud Act o il Patriot Act, l’acquisto di dati commerciali o la condivisione volontaria di dati commerciali o da accordi volontari di condivisione dei dati;

5. Sottolinea che le decisioni del Tribunale per il riesame della protezione dei dati (“DPRC”) saranno

classificate e non saranno rese pubbliche o disponibili al reclamante; sottolinea che il DPRC

fa parte del ramo esecutivo e non di quello giudiziario; sottolinea che il denunciante sarà rappresentato da un “avvocato speciale”.

un “difensore speciale” designato dal DPRC, per il quale non è previsto alcun requisito di indipendenza

di indipendenza; sottolinea che il processo di ricorso previsto dal ME si basa sulla segretezza e non

è basato sulla segretezza e non prevede l’obbligo di notificare al reclamante il trattamento dei suoi dati personali.

che i suoi dati personali sono stati trattati, pregiudicando così il suo diritto di accesso o di rettifica dei dati

di accesso o di rettifica dei propri dati; osserva che la procedura di ricorso proposta non prevede la possibilità di

di ricorso presso un tribunale federale e pertanto, tra l’altro, non prevede alcuna

possibilità per il reclamante di chiedere un risarcimento danni; conclude che il DPRC non

non soddisfa gli standard di indipendenza e imparzialità dell’articolo 47 della Carta;

6. Rileva che, sebbene gli Stati Uniti abbiano previsto un nuovo meccanismo di rimedio per le questioni

accesso ai dati da parte delle autorità pubbliche, i rimedi disponibili per le questioni commerciali sono insufficienti.

commerciali nell’ambito della decisione sull’adeguatezza sono insufficienti; osserva che tali questioni sono in larga misura

lasciate in gran parte alla discrezione delle imprese, che possono scegliere vie di ricorso alternative, come ad esempio

meccanismi di risoluzione delle controversie o l’utilizzo dei programmi di tutela della privacy delle imprese;

7. Rileva che le imprese europee hanno bisogno e meritano la certezza del diritto; sottolinea che i successivi meccanismi di trasferimento dei dati, che sono stati successivamente

meccanismi successivi di trasferimento dei dati, che sono stati successivamente abrogati dalla CGUE,

di trasferimento dei dati, successivamente abrogati dalla CGUE, hanno creato costi aggiuntivi per le imprese europee; osserva che la continua incertezza e la necessità di adattarsi a nuove soluzioni legali

necessità di adattarsi a nuove soluzioni giuridiche è particolarmente onerosa per le micro, piccole e medie imprese; osserva che la continua incertezza e la necessità di adattarsi a nuove soluzioni legali

medie imprese;

8. Sottolinea che, a differenza di tutti gli altri Paesi terzi che hanno ricevuto una decisione di adeguatezza ai sensi del GDPR, gli Stati Uniti continuano a essere

GDPR, gli Stati Uniti non hanno ancora una legge federale sulla protezione dei dati; sottolinea che l’EO non è chiaro e preciso.

che l’EO non è chiaro, preciso o prevedibile nella sua applicazione, in quanto può essere modificato in qualsiasi momento dal Presidente degli Stati Uniti.

in qualsiasi momento da parte del Presidente degli Stati Uniti; è pertanto preoccupato per l’assenza di una clausola di caducità

che potrebbe prevedere che la decisione scada automaticamente quattro anni dopo la sua

entrata in vigore;

9. Sottolinea che le decisioni sull’adeguatezza devono prevedere meccanismi chiari e rigorosi

di monitoraggio e di revisione, al fine di garantire che le decisioni siano a prova di futuro e che il diritto fondamentale dei cittadini dell’UE alla protezione dei dati dell’UE alla protezione dei dati;

Conclusioni

10. Ricorda che, nella sua risoluzione del 20 maggio 2021, il Parlamento ha chiesto alla Commissione di non

adottare alcuna nuova decisione di adeguatezza in relazione agli Stati Uniti, a meno che non vengano introdotte riforme significative, in particolare per la sicurezza nazionale.

riforme significative, in particolare per quanto riguarda la sicurezza nazionale e l’intelligence;

11. Conclude che il quadro sulla privacy dei dati UE-USA non riesce a creare un’effettiva equivalenza nel livello di protezione livello di protezione; invita la Commissione a proseguire i negoziati con le controparti statunitensi allo scopo di creare un meccanismo con le controparti statunitensi al fine di creare un meccanismo che garantisca tale equivalenza e che fornisca il livello adeguato di protezione richiesto dai dati dell’Unione. e che fornisca l’adeguato livello di protezione richiesto dalla normativa dell’Unione in materia di dell’Unione e dalla Carta, come interpretata dalla CGUE; sollecita la Commissione a non adottare l’accertamento dell’adeguatezza;
°
° °
12. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio, alla Commissione e al Presidente degli Stati Uniti D’ America

 

Allegato 2

Share:

Ultimi Articoli

Il Medico Competente

IL MEDICO COMPETENTE Nel rispondere alla richiesta di chiarimenti avanzata dalla Società Italiana di Medicina del Lavoro – SIML in merito alla corretta qualificazione del

Consulente del Lavoro

IL RUOLO DEI CONSULENTI DEL LAVORO Rispondendo ai quesiti sottoposti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, l’Autorità Garante ne ha

                     Microtek Service

           dal 2001 al Vostro Servizio

Servizi

Newsletter

Iscriviti