Proposta di risoluzione - B8-0622/2016Proposta di risoluzione
B8-0622/2016

PROPOSTA DI RISOLUZIONE sui trasferimenti transatlantici di dati

17.5.2016 - (2016/2727(RSP))

presentata a seguito di dichiarazioni del Consiglio e della Commissione
a norma dell'articolo 123, paragrafo 2, del regolamento

Jan Philipp Albrecht, Judith Sargentini a nome del gruppo Verts/ALE

Procedura : 2016/2727(RSP)
Ciclo di vita in Aula
Ciclo del documento :  
B8-0622/2016
Testi presentati :
B8-0622/2016
Testi approvati :

B8-0622/2016

Risoluzione del Parlamento europeo sui trasferimenti transatlantici di dati

(2016/2727(RSP))

Il Parlamento europeo,

–  vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati (in appresso "la direttiva"), in particolare l'articolo 25[1],

–  visto il regolamento (UE) n. 2016/679, del Parlamento europeo e del Consiglio relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE[2] (in appresso "il regolamento generale sulla protezione dei dati"), entrato in vigore il 24 maggio 2016 e applicabile a decorrere dal 25 maggio 2018,

–  viste la Carta dei diritti fondamentali dell'Unione europea (in appresso la "Carta") e la Convenzione europea dei diritti dell'uomo (CEDU),

–  vista la sentenza della Corte di giustizia europea del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems/Garante per la protezione dei dati,

–  visto il progetto di decisione di esecuzione della Commissione, del 29 febbraio 2016, relativa all'adeguatezza della protezione offerta dallo scudo per la privacy UE-USA e i relativi allegati, sotto forma di lettere tra l'Amministrazione USA e la Commissione federale per il commercio degli USA,

–  viste la comunicazione della Commissione del 29 febbraio 2016 dal titolo "i trasferimenti transatlantici di dati: ripristinare la fiducia attraverso solide garanzie" (COM(2016)0117), la comunicazione della Commissione del 27 novembre 2013 sul funzionamento del regime "approdo sicuro" dal punto di vista dei cittadini dell'UE e delle società ivi stabilite (COM(2013)0847) e la comunicazione della Commissione del 27 novembre 2013 su come ripristinare la fiducia negli scambi di dati UE-USA (COM(2013)0846),

–  visti il parere sull'argomento (WP 238) adottato il 13 aprile 2016 dal gruppo di lavoro istituito ai sensi dell'articolo 29 della direttiva, nonché i pareri espressi in precedenza sulla stessa questione (WP12, WP27, WP32),

–  visto il regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione[3] e in particolare il suo articolo 5 relativo alla procedura di valutazione,

–  vista la sua risoluzione del 5 luglio 2000 sul progetto di decisione della Commissione sull'adeguatezza della protezione offerta dai principi dell'accordo di approdo sicuro e delle relative domande più frequenti del Dipartimento del commercio degli USA[4],

–  viste la sua risoluzione del 12 marzo 2014 sul programma di sorveglianza dell'Agenzia per la sicurezza nazionale degli Stati Uniti, sugli organi di sorveglianza in diversi Stati membri e sul loro impatto sui diritti fondamentali dei cittadini dell'UE, e sulla cooperazione transatlantica nel campo della giustizia e degli affari interni[5] e la sua risoluzione del 29 ottobre 2015 sul seguito dato alla risoluzione del Parlamento europeo del 12 marzo 2014 sulla sorveglianza elettronica di massa dei cittadini dell'Unione europea[6],

–  visto l'articolo 123, paragrafo 2, del suo regolamento,

A.  considerando che lo sviluppo della società dell'informazione e del commercio elettronico e lo sviluppo della capacità di intercettazione da parte delle agenzie di intelligence hanno portato, a livello mondiale, a un aumento esponenziale della circolazione dei dati e delle comunicazioni elettroniche, nonché dei rischi inerenti all'uso scorretto dei dati e all'intercettazione di tali comunicazioni;

B.  considerando che tali abusi non solo costituiscono un freno allo sviluppo del commercio elettronico e minano la fiducia dei consumatori, bensì spesso configurano una violazione dei diritti e delle libertà dei cittadini e, in particolare, un'ingerenza a danno del diritto alla vita privata;

C.  considerando che protezione dei dati significa proteggere le persone oggetto delle informazioni in corso di trattamento e che tale protezione è uno dei diritti fondamentali riconosciuti dall'Unione (articolo 8 della Carta dei diritti fondamentali e l'articolo 16 del trattato sul funzionamento dell'UE);

D.  considerando che la direttiva, la quale nel 2018 sarà sostituita dal regolamento generale sulla protezione dei dati, stabilisce diritti per l'interessato e contestualmente obblighi per quanti trattano i dati o esercitano il controllo su tale trattamento;

E.  considerando che tale protezione sarebbe inutile se fosse limitata al territorio dell'Unione e non fornisse anche un'adeguata protezione, come previsto dalla direttiva, nei paesi terzi in cui vengono trasferiti i dati;

F.  considerando che l'adeguatezza della protezione dei dati personali in un paese terzo deve essere valutata sulla base del diritto interno del paese terzo o degli impegni da esso assunti a livello internazionale e che tali mezzi devono dimostrarsi efficaci nella pratica;

G.  considerando che la Commissione deve garantire, a nome dei cittadini dell'Unione e dei suoi Stati membri, un adeguato livello di protezione nei paesi terzi interessati;

H.  considerando che, nella sua sentenza del 6 ottobre 2015, la Corte europea di giustizia ha annullato la decisione della Commissione sull'adeguatezza della protezione offerta dai principi dell'accordo sull'approdo sicuro e delle relative domande più frequenti del Dipartimento del commercio degli USA;

I.  considerando che la Corte europea di giustizia ha chiarito in tale sentenza che un adeguato livello di protezione in un paese terzo deve essere interpretato come "sostanzialmente equivalente" alla protezione assicurata nell'Unione;

Introduzione

1.  accoglie con favore gli sforzi compiuti dalla Commissione e dell'Amministrazione degli USA per conseguire miglioramenti sostanziali nello scudo per la privacy rispetto alla decisione sull'approdo sicuro;

2.  sottolinea l'importanza di tutelare i diritti fondamentali, compresi i diritti alla protezione dei dati e alla vita privata;

3.  sottolinea l'importanza della cooperazione e degli scambi commerciali transatlantici;

4.  sottolinea l'importanza della certezza giuridica per i soggetti interessati e per i responsabili del trattamento dei dati;

5.  esprime preoccupazione per il fatto che lo scudo per la privacy potrebbe risultare non pienamente conforme ai requisiti della Carta, della direttiva, del regolamento generale sulla protezione dei dati e delle sentenze in materia della Corte europea di giustizia e della Corte europea dei diritti dell'uomo;

Settore privato

6.  osserva che i principi dello scudo per la privacy (allegato II) non comprendono una serie di criteri sostanzialmente equivalenti, in quanto non richiedono il consenso dell'interessato, non includono il principio della minimizzazione dei dati e consentono il trattamento dei dati personali per finalità incompatibili con la finalità per la quale i dati sono stati raccolti;

7.  sottolinea che i principi dello scudo per la privacy consentono un'autorizzazione generalizzata per tutti i tipi di trattamento dei dati personali senza la necessità del consenso del soggetto interessato oppure un pieno diritto di formulare obiezioni; esprime preoccupazioni per il fatto che le operazioni di notifica e di scelta (decisione di esonero) sono previste soltanto in caso di modifica sostanziale delle finalità o di divulgazione a terzi; esprime preoccupazione per il fatto che, anche nel caso di dati sensibili, il consenso dell'interessato è richiesto soltanto in questi due casi;

8.  sottolinea che un principio supplementare 2(a) è incompatibile con la sentenza sulla causa Google Spain/Costeja della Corte di giustizia del 13 maggio 2014 (causa C-131/12) e con il diritto alla cancellazione ("diritto all'oblio") ai sensi della normativa UE sulla protezione dei dati;

9.  esprime il timore che l'applicazione di principi dello scudo per la privacy sarebbe estremamente complessa, in quanto l'interessato dovrà compiere cinque passi consecutivi (denuncia al responsabile del trattamento; risoluzione alternativa del contenzioso; denuncia presso il Dipartimento del commercio o la Commissione federale per il commercio europeo attraverso un'autorità di controllo della protezione dei dati; comitato dello scudo per la privacy, tribunale USA); ribadisce che a norma della direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, la risoluzione alternativa delle controversie è vietata per i contratti stipulati con i consumatori;

10.  sottolinea che la sola sanzione per un responsabile del trattamento che agisce in violazione dei principi dello scudo per la privacy è la cancellazione dall'elenco dello scudo per la privacy; non ritiene che ciò sia sostanzialmente equivalente alle sanzioni amministrative e alle altre sanzioni previste nella legislazione dell'UE in materia di protezione dei dati, in particolare il regolamento generale sulla protezione dei dati;

11.  sottolinea che né la Commissione federale per il commercio (FTC), né il Dipartimento del commercio né i responsabili di una risoluzione alternativa delle controversie hanno poteri di indagine comparabili alle autorità europee di vigilanza; ribadisce che la Corte europea di giustizia ha dichiarato che poteri effettivi di vigilanza vanno considerati essenziali ai fini del controllo della protezione dei dati a norma della legislazione primaria dell'UE;

12.  ribadisce che una decisione di adeguatezza offre ai responsabili del trattamento dei dati dal paese terzo interessato un accesso privilegiato al mercato dell'UE; è preoccupato per il fatto che requisiti meno rigorosi per i principi dello scudo per la privacy rispetto alla normativa UE sulla protezione dei dati offrirebbero un vantaggio concorrenziale ai responsabili e gli incaricati del trattamento stabiliti negli USA rispetto a quelli operanti nell'UE;

13.  deplora il fatto che negli Stati Uniti manchi ancora una legge sulla protezione dei dati, nonostante alcuni sforzi compiuti negli ultimi anni;

Controllo del governo

14.  osserva che l'allegato VI (lettera di Robert S. Litt, ODNI) chiarisce che nella direttiva presidenziale PPD-28 (in appresso PPD-28), l'uso dei dati e delle comunicazioni personali di cittadini non statunitensi raccolti in modo generalizzato è ancora consentito in sei casi; sottolinea che tale raccolta generalizzata deve essere soltanto "per quanto possibile mirata" e "ragionevole", e quindi non risulta conforme ai rigorosi criteri di necessità e proporzionalità stabiliti nella Carta; sottolinea che lo scorso anno la Corte europea dei diritti dell'uomo ha ritenuto che, al fine di assicurare l'applicazione corretta delle verifiche della necessità e della proporzionalità, l'autorizzazione deve indicare chiaramente "una determinata persona da porre sotto sorveglianza o un'unica serie di luoghi per i quali l'autorizzazione è disposta" e che "tale identificazione può essere effettuata con nominativi, indirizzi, numeri di telefono e altre informazioni utili" (Zakharov/Russia (2015), punto 264); segnala che lo scorso anno la stessa Corte ha anche specificato che la verifica della necessità esige che l'intercettazione sia "strettamente necessaria, mirata in particolare a raccogliere informazioni essenziali in una singola operazione" (Szabó e Vissy/Ungheria (2015), punto 73);

15.  rileva inoltre che secondo l'allegato VI i dati e le comunicazioni personali possono essere conservati per cinque anni e oltre, ove ciò sia considerato rientrante negli "interessi di sicurezza nazionale degli Stati Uniti"; è preoccupato perché ciò contrasta con la sentenza della Corte europea di giustizia sulla conservazione dei dati del 2014 (cause riunite C-293/12 e C-594/12);

16.  rileva che la PPD-28 impone nuove norme intese a limitare l'uso e la diffusione di dati e delle comunicazioni personali dei cittadini non statunitensi, ma non ne restringe la raccolta generalizzata; osserva che la nota 5 della PPD-28 precisa che secondo l'Amministrazione degli USA "la raccolta generalizzata" non include la sorveglianza di massa e l'accesso a dati o di comunicazione personali, ma soltanto la conservazione di tali dati o comunicazioni; è preoccupato per il fatto che ciò costituisce una violazione della sentenza Schrems della Corte europea di giustizia, nella quale si afferma che una normativa che consenta "di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata";

17.  osserva che la PPD-28 non è equivalente a un atto legislativo degli USA e può essere revocata unilateralmente da qualsiasi futuro presidente degli USA; segnala il rischio che ciò porti a incertezza giuridica per i cittadini dell'UE in quanto in riferimento allo scudo per la privacy possono presumere che per tutti i dati trasferiti negli USA in futuro potrebbe venire meno la protezione dello scudo per la privacy, con esclusione di eventuali rimedi, processi legislativi o preavvisi;

18.  osserva che l'eccezione generale in materia di sicurezza nazionale di cui all'allegato II, punto 5 dei principi dello scudo per la privacy sono ripresi letteralmente dai principi dell'approdo sicuro e non sono soggetti ad altri limiti;

19.  prende atto della nomina di un difensore civico per il Dipartimento di Stato degli USA come punto di contatto per le autorità di vigilanza dell'UE in materia di sorveglianza del governo; sottolinea, tuttavia, che secondo l'articolo 47 della Carta deve essere possibile un ricorso giuridico per l'interessato stesso; osserva che nell'allegato III (lettera del segretario di Stato John F. Kerry) si afferma che il difensore civico non è competente per "confermare o negare se la persona in questione è stata oggetto di sorveglianza" né per "confermare il ricorso specifico" (punto 4, lettera e)); sottolinea inoltre che il difensore civico non possiede la necessaria indipendenza dall'esecutivo, in quanto è subordinato al Segretario di Stato;

20.  rileva che, dopo l'annullamento della decisione sull'approdo sicuro, gli USA non hanno adottato alcun provvedimento per limitare i programmi di sorveglianza citati dalla Corte europea di giustizia, ma hanno invece adottato la legge sulla condivisione delle informazioni a fini di cibersicurezza del 2015 e stanno completando la modifica dell'articolo 41 del codice di procedura procedura penale federale con ulteriori restrizioni del diritto alla privacy dei cittadini non statunitensi;

21.  osserva che, nonostante queste azioni, gli USA restano l'unico paese che ha preso provvedimenti per tutelare i diritti fondamentali sulla scia delle rivelazioni sulle attività di sorveglianza globale, con l'adozione della legge freedom act del 2015, che ha limitato la sorveglianza di massa da parte delle agenzie di intelligence degli USA a livello nazionale; esprime tuttavia timori perché è rimasta immutata la situazione giuridica per la sorveglianza di massa da parte delle agenzie di intelligence degli USA al di fuori del territorio nazionale e di persone non statunitensi all'interno degli USA come previsto dal codice degli USA (titolo 50, §1881A ("Sezione 702")); ritiene che gli USA dovrebbero introdurre una normativa specifica per porre rimedio a tale situazione;

22.  segnala che diversi Stati membri, tra cui Francia, Regno Unito e Paesi Bassi, stanno valutando l'opportunità di adottare o hanno già adottato una legislazione che aumenta in modo significativo i loro poteri e capacità di sorveglianza, ma non si attiene agli articoli 7 e 8 della Carta dei diritti fondamentali, nonché alla giurisprudenza della Corte europea di giustizia e della Corte europea dei diritti dell'uomo; invita la Commissione ad avviare procedure di infrazione nei confronti di tali Stati membri;

Questioni diverse

23.  evidenzia che la Commissione non ha effettuato alcuna valutazione dei diritti e della protezione dei cittadini dell'UE in caso di trasferimento dei loro dati personali da parte di un controllore dei dati negli Stati Uniti rientrante nello scudo per la privacy a un'autorità incaricata dell'applicazione della legge degli USA; sottolinea che secondo l'allegato VII (lettera di Bruce SWARTZ C., ministero della Giustizia) in materia di accesso dei servizi di contrasto ai dati si fa riferimento soltanto all'accesso ai dati conservati da imprese, ma non si prevede il diritto dell'interessato a ricorrere in via giudiziaria per i dati personali oggetto dell'accesso;

24.  si compiace del fatto che, conformemente all'articolo 3 del progetto di decisione di esecuzione della Commissione, le autorità di controllo della protezione dei dati dell'UE possano continuare a sospendere i trasferimenti di dati personali a responsabili del trattamento partecipanti all'accordo sullo scudo per la privacy; osserva che ciò è in linea con l'articolo 4 della decisione n. 2001/497/CE della Commissione relativa alle clausole contrattuali tipo per il trasferimento di dati personali in paesi terzi;

25.  sottolinea il principio dell'ubicazione del mercato introdotto nel regolamento generale sulla protezione dei dati; sottolinea che, dall'applicazione del regolamento, molti responsabili del trattamento negli USA, che hanno utilizzato l'accordo sull'approdo sicuro e possono avvalersi dello scudo per la privacy, dovranno attenersi direttamente alla normativa quando offrono servizi sul mercato dell'UE o controllano soggetti che si trovano nell'UE;

Conclusioni

26.  conclude che l'accordo sullo scudo per la privacy e la situazione negli USA non presentano miglioramenti sostanziali sufficienti rispetto all'accordo sull'approdo sicuro;

27.  sottolinea che resta estremamente probabile che il progetto di decisione sull'adeguatezza, dopo l'adozione, sarà oggetto di nuova impugnazione in tribunale; segnala che ciò crea una situazione di incertezza giuridica per le imprese e i privati; osserva che esperti in materia di protezione dei dati e associazioni imprenditoriali hanno già avvisato le imprese di utilizzare altri mezzi per trasferire dati personali negli USA;

28.  esprime preoccupazione per il fatto che la Commissione può andare oltre le proprie prerogative esecutive decidendo che l'accordo sullo scudo per la privacy offre di un livello adeguato di protezione negli USA senza procedere a una valutazione completa del sistema statunitense e senza considerare le questioni evidenziate nella presente risoluzione;

29.  invita la Commissione a proseguire il dialogo con gli USA al fine di puntare a un ulteriore miglioramento dell'accordo sullo scudo per la privacy viste le sue attuali carenze, onde ridurre il rischio che la decisione sull'adeguatezza sia impugnata in tribunale;

30.  invita la Commissione a inserire come minimo una clausola di durata massima biennale per la validità della decisione sull'adeguatezza e avviare nuovi negoziati con gli USA per migliorare il quadro attuale sulla base del regolamento generale sulla protezione dei dati;

31.  incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione nonché ai governi e ai parlamenti degli Stati membri e al governo e al Congresso degli Stati Uniti.