Procedura : 2016/3018(RSP)
Ciclo di vita in Aula
Ciclo del documento : B8-0244/2017

Testi presentati :

B8-0244/2017

Discussioni :

PV 05/04/2017 - 19
CRE 05/04/2017 - 19

Votazioni :

PV 06/04/2017 - 7.7
CRE 06/04/2017 - 7.7
Dichiarazioni di voto

Testi approvati :


PROPOSTA DI RISOLUZIONE
PDF 182kWORD 54k
3.4.2017
PE598.585v01-00
 
B8-0244/2017

presentata a seguito di una dichiarazione della Commissione

a norma dell'articolo 123, paragrafo 2, del regolamento


sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy (2016/3018(RSP))


Axel Voss, Anna Maria Corazza Bildt, Barbara Kudrycka a nome del gruppo PPE
Helga Stevens a nome del gruppo ECR

Risoluzione del Parlamento europeo sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy (2016/3018(RSP))  
B8-0244/2017

Il Parlamento europeo,

–  visti il trattato sull'Unione europea (TUE), il trattato sul funzionamento dell'Unione europea (TFUE) e la Carta dei diritti fondamentali dell'Unione europea,

–  vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (in appresso, "la direttiva sulla protezione dei dati")(1),

–  visti il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (in appresso "il regolamento generale sulla protezione dei dati")(2) e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio(3),

–  vista la sentenza della Corte di giustizia dell'Unione europea del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems/Data Protection Commissioner(4),

–  vista la comunicazione della Commissione al Parlamento europeo e al Consiglio, del 6 novembre 2015, relativa al trasferimento di dati personali dall'UE agli Stati Uniti d'America in applicazione della direttiva 95/46/CE a seguito della sentenza della Corte di giustizia nella causa C-362/14, (Schrems) (COM(2015)0566),

–  vista la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy(5),

–  visto il parere 4/2016 del Garante europeo della protezione dei dati (GEPD) in merito al progetto di decisione sull'adeguatezza dello scudo UE-USA per la privacy(6),

–  visti il parere del Gruppo dell'articolo 29 per la tutela dei dati, del 13 aprile 2016, in merito al progetto di decisione sull'adeguatezza dello scudo UE-USA per la privacy(7) e la sua dichiarazione del 26 luglio 2016(8),

–  vista la sua risoluzione del 26 maggio 2016 sui flussi di dati transatlantici(9),

–  visto l'articolo 123, paragrafo 2, del suo regolamento,

A.  considerando che nel 2015 la Corte di giustizia dell'Unione europea ha invalidato la decisione UE-USA "Approdo sicuro" riguardante lo scambio di dati personali in quanto garantiva un livello di protezione insufficiente dei diritti alla protezione dei dati dei cittadini dell'UE; che, di conseguenza, la Commissione ha negoziato nel 2016 un nuovo accordo, ossia lo scudo UE-USA per la privacy;

B.  considerando che il Parlamento non è stato coinvolto direttamente nei negoziati ma che nel maggio 2016 ha approvato una risoluzione sui flussi di dati transatlantici, dove ha accolto con favore i "miglioramenti sostanziali" nello scudo per la privacy rispetto alla decisione "Approdo sicuro", caldeggiando tuttavia ulteriori progressi;

C.  considerando che la Commissione svolgerà a breve la prima valutazione annuale dello scudo per la privacy e ne pubblicherà l'esito;

1.  accoglie con favore la conclusione dei negoziati tra l'Unione europea e gli Stati Uniti sullo scudo per la privacy, dopo oltre due anni di negoziazioni tra la Commissione europea e il Dipartimento del commercio degli USA, e si compiace dell'adozione della decisione del 12 luglio 2016 sullo scudo per la privacy UE-USA;

2.  riconosce che le società possono iscriversi allo scudo UE-USA per la privacy presso il Dipartimento del commercio statunitense, il quale verifica successivamente che le rispettive politiche in materia di privacy rispettino le norme rigorose in materia di protezione dei dati previste dallo scudo;

3.  rileva che le organizzazioni che hanno aderito sinora allo scudo UE-USA per la privacy sono 1 937;

4.  si compiace dell'adozione, da parte del Congresso degli Stati Uniti, della legge sul ricorso giudiziario e ricorda la richiesta, avanzata da tempo dal Parlamento, di adottare una simile legge quale condizione indispensabile per la messa a punto dell'accordo quadro UE-USA e per la conclusione dei negoziati sullo scudo per la privacy;

5.  riconosce che lo scudo UE-USA per la privacy differisce sostanzialmente dal regime "Approdo sicuro", in quanto prevede una documentazione molto più dettagliata che impone obblighi più specifici alle imprese che intendono aderire al regime e comprende pesi e contrappesi in grado di assicurare che i soggetti interessati dell'UE possano esercitare i propri diritti qualora i loro dati vengano trattati negli Stati Uniti;

6.  si compiace che il gruppo di lavoro "Articolo 29" abbia riconosciuto i significativi miglioramenti apportati dallo scudo per la privacy rispetto alla decisione "Approdo sicuro";

7.  prende nota delle preoccupazioni sollevate dal gruppo di lavoro "Articolo 29" e del suo approccio costruttivo, e sottolinea inoltre che il principio della durata limitata della conservazione dei dati, menzionato nel parere, dovrebbe innanzitutto essere chiarito nell'Unione europea, dove la situazione e le norme continuano a essere incerte a seguito della sentenza pronunciata dalla Corte di giustizia dell'Unione europea nel 2014;

8.  prende atto della dichiarazione rilasciata dal presidente del gruppo di lavoro "Articolo 29", secondo cui le garanzie essenziali individuate dal gruppo dovrebbero essere valide anche per gli Stati membri dell'UE;

9.  deplora che la procedura di adozione di una decisione sull'adeguatezza non preveda una consultazione formale delle parti interessate, come ad esempio le aziende, in particolare le organizzazioni rappresentative delle PMI;

10.  rileva che, mentre il regime "Approdo sicuro" non prevedeva limitazioni specifiche all'accesso da parte del governo statunitense ai dati trasferiti verso gli Stati Uniti, la documentazione relativa al regime dello scudo UE-USA per la privacy include impegni vincolanti da parte del governo degli USA sotto forma di lettere del direttore dell'Intelligence nazionale, del Segretario di Stato e del dipartimento di Giustizia;

11.  sottolinea che, dal 2013, il Congresso e il governo degli Stati Uniti hanno adottato oltre venti riforme inerenti alle leggi e ai programmi in materia di sorveglianza, tra cui la legge sulla libertà ("Freedom Act"), che vieta la raccolta generalizzata di dati, la direttiva presidenziale 28, in virtù della quale la protezione dei diritti in materia di privacy e di libertà civili delle persone residenti al di fuori degli Stati Uniti diventa parte integrante della politica di sorveglianza degli USA, gli emendamenti alla legge sui servizi di intelligence stranieri ("Foreign Intelligence Act") e la legge sul ricorso giudiziario ("Judicial Redress Act"), che estende le misure in materia di protezione dei dati ai cittadini dell'Unione europea; ritiene che tali riforme siano fondamentali per valutare l'impatto delle interferenze con i diritti fondamentali alla vita privata e alla protezione dei dati sanciti agli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea;

12.  prende atto e si compiace delle iniziative intraprese dal governo e dal Congresso degli Stati Uniti, tra cui il progetto di legge sulla riservatezza delle e-mail ("Email Privacy Bill"), approvato all'unanimità dalla Camera dei rappresentanti nell'aprile 2016 e inteso a modificare la legge sulla tutela della vita privata nel settore delle comunicazioni elettroniche del 1986 ("Electronic Communications Privacy Act", ECPA), come pure l'adozione, nel gennaio 2016 da parte della Camera dei rappresentanti e nel marzo 2016 da parte del Senato, della legge sul miglioramento della libertà di informazione ("Freedom of Information Improvement Act", FOIA), e sostiene con forza la promulgazione di tale legge, in modo da dimostrare i significativi sforzi politici profusi dagli Stati Uniti per migliorare la protezione della vita privata per tutti gli individui;

13.  accoglie con favore la creazione, presso il Dipartimento di Stato, del meccanismo di mediazione, che agisce in modo indipendente dai servizi di sicurezza nazionali e contribuirà a garantire mezzi di ricorso individuale e l'esercizio di un controllo indipendente; chiede di nominare rapidamente il primo Mediatore;

14.  constata che, sebbene il diritto statunitense offra tutele specifiche contro le decisioni sfavorevoli nei settori in cui è diffuso tra le imprese il ricorso al trattamento automatizzato dei dati personali (per esempio lavoro ed erogazione di credito), lo scudo UE-USA per la privacy non prevede norme specifiche relativamente al processo decisionale automatizzato; invita pertanto la Commissione a monitorare la situazione, anche attraverso le analisi annuali comuni;

15.  osserva con soddisfazione che, in virtù del regime dello scudo UE-USA per la privacy, i soggetti interessati dell'UE dispongono di vari mezzi di ricorso negli Stati Uniti: in primo luogo i reclami possono essere presentanti o direttamente all'impresa o attraverso il Dipartimento del commercio previa consultazione di un'autorità garante della protezione dei dati (APD), oppure a un organismo indipendente per la risoluzione delle controversie; in secondo luogo, per quanto riguarda le interferenze con i diritti fondamentali per motivi di sicurezza nazionale, è possibile intentare un'azione di diritto civile presso i tribunali statunitensi oppure presentare i reclami simili al Mediatore indipendente istituito di recente; infine i reclami concernenti le interferenze con i diritti fondamentali per motivi di applicazione della legge e di interesse pubblico possono essere trattati mediante mozioni contro i mandati di comparizione; incoraggia la Commissione e le APD a fornire ulteriori orientamenti per garantire che i suddetti mezzi di ricorso siano più facilmente accessibili e ampiamente disponibili;

16.  osserva che, sebbene i singoli individui abbiano la possibilità di presentare opposizione presso il titolare del trattamento dell'UE all'eventuale trasferimento dei loro dati personali agli Stati Uniti e all'ulteriore trattamento di tali dati negli Stati Uniti, dove l'impresa che aderisce allo scudo UE-USA per la privacy funge da responsabile del trattamento per conto del titolare del trattamento dell'UE, lo scudo UE-USA per la privacy non contiene norme specifiche relativamente al diritto generale di presentare opposizione presso l'impresa statunitense autocertificata;

17.  rileva la mancanza di esplicite disposizioni su come i principi dello scudo UE-USA per la privacy debbano applicarsi ai responsabili del trattamento (procuratori), pur riconoscendo che tutti i principi si applicano al trattamento dei dati personali da parte di qualsiasi impresa statunitense autocertificata salvo disposizioni contrarie e che i trasferimenti a scopo di trattamento prevedono sempre un contratto con il titolare del trattamento dell'UE che determinerà le finalità e le modalità del trattamento, ivi compreso se il responsabile del trattamento sia autorizzato a effettuare trasferimenti successivi (ad esempio in caso di delega del trattamento);

18.  osserva che la Commissione ha pubblicato una guida per i cittadini in cui si spiega come i diritti alla protezione dei dati dei singoli individui siano garantiti nell'ambito dello scudo UE-USA per la privacy e di quali misure correttive dispongano gli individui qualora ritengano che i loro dati siano stati oggetto di un uso improprio e che i loro diritti alla protezione dei dati non siano stati rispettati; raccomanda di promuovere tale guida al fine di rendere i cittadini consapevoli dei vantaggi offerti dallo scudo per la privacy;

19.  valuta positivamente l'importante ruolo attribuito dal regime dello scudo per la privacy alle APD degli Stati membri nel valutare e approfondire le denunce legate alla protezione dei diritti alla vita privata e alla vita familiare sanciti dalla Carta dei diritti fondamentali dell'Unione europea e nel sospendere i trasferimenti di dati, e plaude all'obbligo imposto al Dipartimento del commercio statunitense di risolvere tali reclami;

20.  ricorda che uno degli obiettivi fondamentali dell'UE a tale riguardo dovrebbe essere la protezione dai dati personali trasferiti al suo principale partner commerciale internazionale e che lo scudo per la privacy contribuirà a far sì che i diritti fondamentali dei soggetti interessati dell'UE siano garantiti anche dopo il trasferimento dei dati;

21.  accoglie favorevolmente il fatto che le imprese non siano più lasciate in un limbo giuridico, dal momento che il regime dello scudo UE-USA per la privacy fornisce una base giuridica per il trasferimento dei dati;

22.  ricorda inoltre che la certezza giuridica e, nello specifico, la presenza di norme chiare e uniformi sono fondamentali per lo sviluppo e la crescita delle imprese, in particolare delle PMI, e mette pertanto in guardia contro qualsiasi tentativo di pregiudicare il regime dello scudo UE-USA per la privacy adottato, il che comporterebbe, per migliaia di imprese di ogni tipo e dimensione, tanto nell'Unione europea quanto negli Stati Uniti, incertezza e gravi ripercussioni sulle loro attività e sulla loro capacità di operare oltreoceano;

23.  ribadisce che le PMI rappresentavano il 60 % delle imprese che si avvalevano dell'accordo "Approdo sicuro" e sono quelle che possono beneficiare maggiormente del nuovo scudo UE-USA per la privacy; invita la Commissione, in stretta collaborazione con le APD, ad assicurare a tali imprese chiarezza, precisione e accessibilità maggiori in relazione all'attuazione e al funzionamento dello scudo per la privacy;

24.  ritiene che lo scudo per la privacy sia fondamentale per colmare il divario tra l'approccio europeo e quello americano in materia di privacy e che sia pertanto essenziale per ricostruire la fiducia a livello transatlantico; si dichiara fiducioso che lo scudo UE-USA per la privacy sarà soggetto a rigoroso controllo da parte delle autorità di regolamentazione e della Commissione mediante il meccanismo annuale di riesame congiunto non appena diventerà un quadro di conformità consolidato, in modo da garantire la sua solidità e validità giuridica;

25.  invita la Commissione a mettere pienamente in atto la propria responsabilità, a norma del regime dello scudo UE-USA per la privacy, di sottoporre a riesame periodico i suoi riscontri relativi all'adeguatezza e le relative giustificazioni giuridiche, con l'obiettivo di garantire che i dati personali siano adeguatamente protetti e che lo scudo per la privacy funzioni in modo efficiente senza indebolire inutilmente altri diritti fondamentali, quali il diritto alla vita privata e alla sicurezza, il diritto di ricevere e comunicare informazioni e il diritto alla libertà di impresa; sollecita altresì la Commissione a riferire al Parlamento su base annua in merito alle sue precise conclusioni e alle misure correttive al riguardo;

26.  invita la Commissione a garantire che il meccanismo annuale di riesame congiunto sia incentrato sul numero di reclami dei cittadini registrati, sull'efficacia dei meccanismi di ricorso e sull'accessibilità agli stessi per i soggetti interessati dell'UE, con riferimento anche al Mediatore, sui progressi compiuti dagli Stati Uniti nella riforma delle leggi in materia di sorveglianza, sulla cooperazione tra le APD dell'UE e il Dipartimento del commercio statunitense / la Commissione federale per il commercio degli Stati Uniti, sul ruolo di monitoraggio/applicazione del Dipartimento del commercio / della Commissione federale per il commercio per quanto riguarda la conformità delle imprese statunitensi allo scudo per la privacy/alle loro politiche in materia di privacy nonché sul numero di imprese che vi hanno aderito;

27.  riconosce che lo scudo UE-USA per la privacy è parte di un dialogo più ampio tra l'UE e i paesi terzi, tra cui gli Stati Uniti, in materia di riservatezza dei dati, commercio, sicurezza e diritti connessi nonché obiettivi di interesse condiviso; invita pertanto tutte le parti a collaborare in vista della creazione e di un netto miglioramento di quadri internazionali attuabili e normative nazionali che permettano di conseguire tali obiettivi;

28.  si rammarica per la data anticipata di questo dibattito e osserva che la presentazione del primo riesame annuale congiunto avrebbe costituito un momento più opportuno per trarre le prime conclusioni sul funzionamento del regime dello scudo UE-USA per la privacy;

29.  incarica il suo Presidente di trasmettere la presente risoluzione alla Commissione, al Consiglio, ai parlamenti nazionali degli Stati membri nonché al Congresso e al governo degli Stati Uniti.

(1)

GU L 281 del 23.11.1995, pag. 31.

(2)

GU L 119 del 4.5.2016, pag. 1.

(3)

GU L 119 del 4.5.2016, pag. 89.

(4)

ECLI:EU:C:2015:650.

(5)

GU L 207 dell'1.8.2016, pag. 1.

(6)

GU C 257 del 15.7.2016, pag. 8.

(7)

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf

(8)

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf

(9)

Testi approvati, P8_TA(2016)0233.

Avviso legale