PROPOSTA DI RISOLUZIONE sui trasferimenti transatlantici di dati
23.5.2016 - (2016/2727(RSP))
a norma dell'articolo 123, paragrafo 2, del regolamento
Sophia in ‘t Veld a nome del gruppo ALDE
Vedasi anche la proposta di risoluzione comune RC-B8-0623/2016
B8-0644/2016
Risoluzione del Parlamento europeo sui trasferimenti transatlantici di dati
Il Parlamento europeo,
– visto l'articolo 16 del trattato sul funzionamento dell'Unione europea (TFUE),
– viste la Carta dei diritti fondamentali dell'Unione europea e la Convenzione europea dei diritti dell'uomo, in particolare gli articoli 7, 8, 47 e 52,
– vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (in appresso "la direttiva")[1], in particolare l'articolo 25,
– visto il regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (in appresso "il regolamento generale sulla protezione dei dati"), entrato in vigore il 24 maggio 2016 e che verrà applicato due anni dopo tale data,
– vista la sentenza della Corte europea dei diritti dell'uomo, del 4 dicembre 2015, nella causa Roman Zakharov/Russia,
– vista la sentenza della Corte europea dei diritti dell'uomo, del 12 gennaio 2016, nella causa Zsabó e Vissy/Ungheria,
– vista la sentenza della Corte di giustizia dell'Unione europea, del 6 ottobre 2015, nella causa C-362/14 Maximillian Schrems/Data Protection Commissioner,
– visto il progetto di decisione di esecuzione della Commissione, del 29 febbraio 2016, relativa all'adeguatezza della protezione offerta dallo scudo per la privacy UE-USA e i relativi allegati, sotto forma di lettere tra l'amministrazione USA e la Commissione federale per il commercio degli USA,
– viste la comunicazione della Commissione del 29 febbraio 2016 al riguardo (COM(2016)0117), la comunicazione della Commissione del 27 novembre 2013 sul funzionamento del regime "Approdo sicuro" dal punto di vista dei cittadini dell'UE e delle società ivi stabilite (COM(2013)0847) e la comunicazione della Commissione del 27 novembre 2013, intitolata "Ripristinare un clima di fiducia negli scambi di dati fra l'UE e gli USA" (COM(2013)0846),
– visti il parere (WP 238) adottato il 13 aprile 2016 dal gruppo di lavoro istituito ai sensi dell'articolo 29 della direttiva, nonché i pareri espressi in precedenza sulla stessa questione (WP 12, WP 27 e WP 32),
– visto il regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione[2] e in particolare l'articolo 5 relativo alla procedura d'esame,
– vista la sua risoluzione del 5 luglio 2000 sul progetto di decisione della Commissione relativa all'adeguatezza della protezione garantita dai "Principi di riservatezza dell'approdo sicuro" e dalle connesse "Domande frequenti" (Frequently Asked Questions) pubblicati dal Dipartimento del commercio degli Stati Uniti[3],
– viste la sua risoluzione del 12 marzo 2014 sul programma di sorveglianza dell'Agenzia per la sicurezza nazionale degli Stati Uniti, sugli organi di sorveglianza in diversi Stati membri e sul loro impatto sui diritti fondamentali dei cittadini dell'UE, e sulla cooperazione transatlantica nel campo della giustizia e degli affari interni[4] e la sua risoluzione del 29 ottobre 2015 sul seguito dato alla risoluzione del Parlamento europeo del 12 marzo 2014 sulla sorveglianza elettronica di massa dei cittadini dell'Unione europea[5],
– visti l'accordo siglato tra gli Stati Uniti d'America e l'Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimenti di reati e la proposta della Commissione al Consiglio di firmare tale accordo,
– visto il parere giuridico del suo Servizio giuridico in merito all'accordo UE-USA sulla protezione dei dati personali e la cooperazione tra le autorità di contrasto nell'UE e negli Stati Uniti,
– visto il parere preliminare del Garante europeo della protezione dei dati in merito all'accordo tra gli Stati Uniti d'America e l'Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimenti di reati,
– viste le interrogazioni presentate il 9 marzo 2016 alla Commissione europea dalla commissione per le libertà civili, la giustizia e gli affari interni, concernenti l'accordo quadro, e le relative risposte della Commissione,
– visto l'articolo 123, paragrafo 2, del suo regolamento,
A. considerando che, nella sua sentenza del 6 ottobre 2015, la Corte di giustizia ha annullato la decisione della Commissione relativa all'adeguatezza della protezione garantita dai "Principi di riservatezza dell'approdo sicuro" e dalle connesse "Domande frequenti" (Frequently Asked Questions) pubblicati dal Dipartimento del commercio degli Stati Uniti, sottolineando in particolare che la legislazione degli Stati Uniti in materia di sicurezza nazionale e applicazione della legge, che autorizza in maniera generale la conservazione e il trattamento di tutti i dati personali di tutte le persone i cui dati sono stati trasferiti dall'UE agli Stati Uniti, non è limitata allo stretto necessario;
B. considerando che proteggere i dati personali significa proteggere le persone cui le informazioni trattate si riferiscono e che tale protezione è uno dei diritti fondamentali riconosciuti dall'Unione (articolo 8 della Carta dei diritti fondamentali e articolo 16 del TFUE);
C. considerando che la direttiva 95/46/CE, la quale nel 2018 sarà sostituita dal regolamento generale sulla protezione dei dati, stabilisce diritti per l'interessato e contestualmente obblighi per quanti trattano i dati personali o esercitano il controllo su tale trattamento;
D. considerando che la Commissione deve garantire, a nome dei cittadini dell'Unione e dei suoi Stati membri, che il trasferimento di dati personali verso paesi all'esterno dell'Unione o del SEE avvenga solo qualora sia garantito un livello di protezione adeguato;
E. considerando che per "livello di protezione adeguato" si intende l'obbligo dei paesi terzi di garantire, in virtù della legislazione nazionale o degli impegni assunti a livello internazionale, un livello di protezione delle libertà e dei diritti fondamentali che sia essenzialmente equivalente a quello garantito all'interno dell'Unione europea a norma della direttiva 95/46/CE in combinato disposto con la Carta;
F. considerando che, nell'esaminare il livello di protezione garantito da un paese terzo, la Commissione ha l'obbligo di valutare il contenuto delle norme applicabili in tale paese derivanti dal diritto interno o dagli impegni internazionali, nonché la prassi intesa ad assicurare il rispetto di tali norme, poiché, a norma dell'articolo 25, paragrafo 2, della direttiva 95/46/CE, la valutazione deve avvenire con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; che tale valutazione non deve fare riferimento unicamente alla legislazione e alle prassi relative alla protezione dei dati personali a fini privati e commerciali, ma deve riguardare tutti gli aspetti del quadro applicabili a tale paese o settore, in particolare, ma non solo, l'applicazione della legge, la sicurezza nazionale e il rispetto dei diritti fondamentali;
G. considerando che il gruppo di lavoro "Articolo 29" per la tutela dei dati ha valutato le conseguenze della sentenza Schrems su tutti i trasferimenti di dati verso gli Stati Uniti, mediante un inventario e un'analisi della giurisprudenza della Corte di giustizia dell'Unione europea relativa agli articoli 7, 8, e 47 della Carta dei diritti fondamentali (in seguito "la Carta") e la giurisprudenza della Corte europea dei diritti dell'uomo relativa all'articolo 8 della Convenzione europea dei diritti dell'uomo (in seguito CEDU) riguardanti problematiche relative alla sorveglianza in paesi firmatari della CEDU; che il gruppo di lavoro "Articolo 29" ha identificato in tal modo quattro "garanzie essenziali europee", segnatamente la necessità di basare il trattamento su norme chiare, precise e accessibili, l'obbligo di dimostrare la necessità e la proporzionalità rispetto ai legittimi obiettivi perseguiti, la necessità di disporre di un meccanismo di controllo indipendente e di offrire ai soggetti mezzi di ricorso efficaci;
H. considerando che i flussi di dati a livello transfrontaliero tra gli Stati Uniti e l'Unione europea sono i più intensi al mondo – il 50% in più rispetto ai flussi di dati tra Stati Uniti e Asia e quasi il doppio rispetto ai flussi di dati tra Stati Uniti e America latina – e che il trasferimento e lo scambio di dati personali è una componente essenziale alla base dei legami tra l'Unione europea e gli Stati Uniti sia nel settore commerciale che in quello dell'applicazione della legge;
I. considerando che un aspetto importante delle relazioni transatlantiche è la capacità dell'UE, degli Stati membri e degli Stati Uniti di rispondere in modo efficace a minacce e sfide comuni in materia di sicurezza, in modo coordinato e cooperativo, basandosi in particolare sulla capacità di scambiare dati personali nell'ambito della cooperazione giudiziaria e di polizia in materia penale, il che rende necessario un quadro esaustivo e giuridicamente valido che garantisca la legittimità del trasferimento;
J. considerando che nell'estate del 2015 l'UE e gli Stati Uniti hanno finalizzato i negoziati in merito all'accordo internazionale sulla protezione dei dati nel settore dell'applicazione della legge, l'accordo quadro UE-USA sulla protezione dei dati, siglato l'8 settembre 2015 a Lussemburgo, e che la legge statunitense sul ricorso in sede giudiziaria che prevede parità di trattamento tra cittadini dell'UE e degli Stati Uniti in virtù della legge americana sulla privacy è stata approvata dal Congresso il 10 febbraio 2016 ed è stata promulgata il 24 febbraio 2016;
1. accoglie con favore gli sforzi profusi dalla Commissione e dall'amministrazione statunitense per conseguire miglioramenti sostanziali allo scudo per la privacy rispetto alla decisione "Approdo sicuro", nello specifico l'inserimento delle definizioni chiave quali "dati personali", "trattamento" e "responsabile del trattamento", i meccanismi istituiti per garantire il controllo dell'elenco dello scudo per la privacy nonché i controlli interni ed esterni della conformità, ora obbligatori;
2. riconosce gli sforzi da parte degli Stati Uniti per fornire una valutazione più approfondita del quadro giuridico riguardante le interferenze con i dati personali trasferiti nel quadro dello scudo per la privacy UE-Stati Uniti ai fini dell'applicazione della legge, ivi comprese le garanzie e le limitazioni applicabili;
3. rileva con soddisfazione che, conformemente all'articolo 3 del progetto di decisione di esecuzione della Commissione, le autorità di controllo della protezione dei dati dell'UE possono continuare a sospendere i trasferimenti di dati personali a responsabili del trattamento partecipanti all'accordo sullo scudo per la privacy; osserva che ciò è in linea con l'articolo 4 della decisione 2001/497/CE della Commissione relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi;
4. riconosce e accoglie con favore i progressi conseguiti verso un migliore accesso ai mezzi di ricorso giudiziari per i cittadini dell'UE negli Stati Uniti con l'approvazione da parte del Congresso della legge statunitense sul ricorso in sede giudiziaria, promulgata il 24 febbraio 2016;
Garantire uno strumento legittimo e sostenibile per i flussi di dati transatlantici
5. insiste sul fatto che la certezza giuridica nel trasferimento di dati personali tra l'UE e gli Stati Uniti è un elemento essenziale per la fiducia dei consumatori, lo sviluppo delle imprese a livello transatlantico e la cooperazione ai fini dell'applicazione della legge, il che rende indispensabile che gli strumenti in grado di consentire tali trasferimenti siano conformi tanto al diritto primario quanto quello derivato dell'UE, onde garantirne l'efficacia e l'attuazione a lungo termine;
6. insiste sul fatto che l'accordo sullo scudo per la privacy deve rispettare il diritto primario e derivato dell'UE e le pertinenti sentenze della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo; invita la Commissione ad adattare l'accordo e il progetto di decisione di conseguenza;
7. urge la Commissione a chiarire pienamente lo status giuridico delle assicurazioni scritte fornite dagli Stati Uniti;
Osservazioni relative al settore privato
8. insiste sul fatto che i principi dello scudo per la privacy (allegato II) debbano offrire criteri sostanzialmente equivalenti, inclusa la riduzione al minimo della quantità di dati, consentendo il trattamento dei dati personali per scopi compatibili con la finalità per la quale i dati sono stati raccolti; sarebbe preoccupato qualora il trattamento dei dati personali dovesse essere consentito senza la necessità del consenso del soggetto interessato o senza il pieno diritto di opporsi;
9. rammenta che l'adozione di una decisione di adeguatezza offre ai responsabili del trattamento dei dati del paese terzo interessato un accesso privilegiato al mercato dell'UE; esprime il timore che, qualora i requisiti dei principi dello scudo della privacy si rivelassero meno rigorosi rispetto alla normativa UE sulla protezione dei dati, offrirebbero ai responsabili e agli incaricati del trattamento con sede negli Stati Uniti un vantaggio competitivo rispetto ai loro equivalenti nell'UE;
Vigilanza del governo, accesso dei servizi di contrasto e eccezione in materia di sicurezza nazionale
10. ricorda che, per stabilire l'esistenza di un'interferenza con il diritto fondamentale al rispetto della vita privata, non importa se le informazioni in questione relative alla vita privata siano sensibili o se le persone in questione abbiano subito conseguenze negative a causa di tale interferenza (sentenza Digital Rights Ireland e altri, C-293/12 e C-594/12, UE: C: 2014: 238, punto 33);
11. evidenzia a tale proposito che l'allegato VI (lettera di Robert S. Litt, ODNI) chiarisce che, ai sensi della direttiva presidenziale 28 ("Presidential Policy Directive 28" in appresso "PPD-28"), la raccolta generalizzata di dati e comunicazioni personali di cittadini non statunitensi è ancora consentita in sei casi; sottolinea che mentre la PPD-28 impone nuove norme intese a limitare l'uso e la diffusione di dati e comunicazioni personali di cittadini non statunitensi, non ne limita la raccolta generalizzata; osserva che, nell'accezione dell'amministrazione degli Stati Uniti, la "raccolta generalizzata" non comprende il controllo generalizzato dei dati o delle comunicazioni personali, o l'accesso ad essi, ma solo l'archiviazione generalizzata di tali dati o comunicazioni, contraddicendo quindi, potenzialmente, la sentenza Schrems della CDG in cui si afferma che l'accesso "in maniera generalizzata al contenuto di comunicazioni elettroniche pregiudica il contenuto essenziale del diritto fondamentale al rispetto della vita privata";
12. deplora che l'eccezione generale in materia di sicurezza nazionale, di cui all'allegato II, punto 5 dei principi dello scudo per la privacy, sia ripresa letteralmente dai principi dell'approdo sicuro e non sia soggetta ad altri limiti;
13. evidenzia che la Commissione non ha effettuato alcuna valutazione dei diritti e della protezione dei cittadini dell'UE in caso di trasferimento dei loro dati personali da parte di un controllore dei dati negli Stati Uniti rientrante nello scudo per la privacy a un'autorità incaricata dell'applicazione della legge degli USA; sottolinea che l'allegato VII (lettera di Bruce C. Swartz, Dipartimento di giustizia) sull'accesso dei servizi di contrasto ai dati fa riferimento esclusivamente all'accesso ai dati conservati dalle imprese e non affronta la questione del soggetto interessato da tali dati né del diritto al ricorso giudiziario di cui dispongono le persone i cui dati siano oggetto dell'accesso;
Meccanismi di ricorso
14. esprime preoccupazione per la complessità e la mancanza di chiarezza dell'architettura complessiva del meccanismo per l'esercizio dei diritti di ricorso dei cittadini dell'UE, che potrebbero avere un impatto negativo sulla sua effettiva applicazione;
15. accoglie con favore l'istituzione da parte delle autorità statunitensi di un Difensore civico come nuovo meccanismo di ricorso, ma ritiene che questa nuova istituzione non sia sufficientemente indipendente, non si veda attribuiti poteri adeguati per esercitare efficacemente e far rispettare le proprie funzioni e quindi non garantisca un ricorso soddisfacente in caso di disaccordo; deplora il fatto che ai soggetti interessati dell'UE non venga garantito un ricorso giurisdizionale contro una decisione del Difensore civico, in contrasto con le prescrizioni della Corte europea dei diritti dell'uomo;
Raccomandazioni
16. invita la Commissione ad accordare la debita attenzione e a rispondere ai punti sollevati nella presente risoluzione, nonché nel parere 01/2016 del gruppo di lavoro sulla protezione dei dati istituito a norma dell'articolo 29 quanto al progetto di decisione sull'adeguatezza dello scudo per la privacy, prima di adottare la propria decisione sull'adeguatezza, con particolare riguardo alle seguenti quattro garanzie essenziali: opportunità di basare il trattamento su regole chiare, precise e accessibili; obbligo di dimostrare la necessità e la proporzionalità con riguardo ai legittimi obiettivi perseguiti, necessità di disporre di un meccanismo di controllo indipendente; e di offrire ai soggetti mezzi di ricorso efficaci;
17. chiede, in particolare, che la Commissione affronti le preoccupazioni espresse dal gruppo di lavoro sulla protezione dei dati istituito a norma dell'articolo 29 nel suo parere in materia, vale a dire che la lingua utilizzata nel progetto di decisione sull'adeguatezza non obbliga le organizzazioni a cancellare i dati quando questi non sono più necessari, che l'amministrazione degli Stati Uniti non esclude completamente la raccolta continuata, massiccia e indiscriminata di dati, anche se tale raccolta di dati costituisce ingiustificata interferenza con i diritti fondamentali delle persone, e che i poteri e la posizione del Difensore civico devono essere chiariti al fine di dimostrare che il ruolo è veramente indipendente e in grado di offrire un ricorso efficace nei confronti di un trattamento dei dati non conforme alle regole;
18. invita la Commissione ad applicare la decisione sull'adeguatezza solo temporaneamente, nell'attesa dei risultati di nuovi negoziati con gli Stati Uniti su un miglioramento del quadro basato sul regolamento generale sulla protezione dei dati;
19. invita la Commissione a garantire che i soggetti interessati dell'UE possano beneficiare di ricorsi amministrativi e giudiziari efficaci quando le autorità di contrasto statunitensi accedono ai loro dati personali trasferiti nel quadro dello scudo per la privacy e li trattano a fini di contrasto, per garantire il rispetto della Carta;
20. sollecita la Commissione ad affrontare le preoccupazioni espresse, poiché la Commissione potrebbe altrimenti andare oltre le proprie prerogative esecutive decidendo che l'accordo sullo scudo per la privacy offre un livello adeguato di protezione negli USA senza procedere a una valutazione completa del sistema statunitense;
21. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio, alla Commissione, ai governi e ai parlamenti degli Stati membri nonché al governo e al Congresso degli Stati Uniti.
- [1] GU L 281 del 23.11.1995, pag. 31.
- [2] GU L 55 del 28.2.2011, pag. 13.
- [3] GU C 121, del 24.4.2001, pag. 152.
- [4] Testi approvati, P7_TA(2014)0230.
- [5] Testi approvati, P8_TA(2015)0388.