La Risoluzione del Parlamento europeo sull’adeguatezza della protezione offerta dal quadro UE-USA in materia di privacy dei dati ha affrontato un tema di cruciale importanza che riguarda tutte le organizzazioni, grandi e piccole che sia che trasferiscono i dati oltre oceano negli USA.
Dopo le pronunce della Corte di giustizia dell’Unione europea (CGUE) in data 6 ottobre 2015 nella causa C-362/14, Maximillian Schrems/Data Protection Commissioner (“Schrems I”) e in data 16 luglio 2020 nella causa C-311/18, Data Protection Commissioner/Facebook Ireland Limited e Maximillian Schrems (“Schrems II”) il quadro relativo ai trasferimenti dei dati personali è profondamente cambiato al punto che, in assenza di una decisione di adeguatezza è possibile trasferire i dati personali dall’UE agli USA solo in presenza di adeguate garanzie ai sensi dell’art. 46 GDPR.
Nella decisione in esame, il Parlamento Europeo ha individuato diversi il problema di fondo, fra cui la sorveglianza delle persone non statunitensi ai sensi del diritto statunitense e il fatto che i cittadini europei non dispongono di effettivi mezzi di ricorso per la tutela adeguata dei propri dati personali.
Sebbene gli Stati Uniti abbiano previsto un nuovo meccanismo di ricorso per le questioni relative all’accesso delle autorità pubbliche ai dati, il Parlamento ha proiettato significativi dubbi sull’efficacia su questi laddove le imprese europee necessitano e meritano certezza giuridica
Fra tutti, il punto più cruciale che è stato messo in luce dalla Risoluzione del parlamento è il fatto che gli Stati Uniti ancora non dispongono di una legge federale sulla protezione dei dati, mentre sono presenti numerose disposizioni di Legge statale che, però, variano enormemente in ragione del livello di protezione offerta alle persone fisiche. Fra tutte, la legislazione statale di maggiore impatto e che merita sicuramente menzione è il California Consumer Privacy Act del 2018 che accorda un corpo di tutela dei diritti, per certi aspetti, paragonabile a quello previsto dal GDPR (v.https://oag.ca.gov/privacy/ccpa)
Dopo avere messo in luce le pesanti criticità che l’ordinamento statunitense pone in materia di protezione dei dati personali, il Parlamento ha concluso la propria disposizione nel senso che il quadro UE-USA in materia di privacy dei dati non crea un’equivalenza essenziale del livello di protezione delle persone coinvolte nei trattamenti di dati personali.
La risoluzione, pertanto, invita la Commissione a proseguire i negoziati con le sue controparti statunitensi al fine di creare un meccanismo che garantisca tale equivalenza, nonché l’adeguato livello di protezione richiesto dal diritto dell’Unione in materia di protezione dei dati e dalla Carta secondo l’interpretazione della CGUE
Inoltre, il Parlamento ha invitato la Commissione a non adottare la decisione di adeguatezza fino a quando non saranno pienamente attuate tutte le raccomandazioni formulate nella presente risoluzione e nel parere del comitato europeo per la protezione dei dati nonché ad agire nell’interesse delle imprese e dei cittadini dell’UE garantendo che il quadro proposto fornisca una base giuridica solida, sufficiente e orientata al futuro per i trasferimenti di dati UE-USA.
Nel caso di adozione, allo stato, di una decisione di adeguatezza sul trasferimento dei dati UE-USA, il Parlamento ha previsto che la stessa sarebbe, verosimilmente impugnata e invalidata dalla CGUE come le precedenti decisioni.
Per maggiori informazioni visita https://www.europarl.europa.eu/doceo/document/B-9-2023-0234_IT.html