PROPOSTA DI RISOLUZIONE sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy
29.3.2017 - (2016/3018(RSP))
a norma dell'articolo 123, paragrafo 2, del regolamento
Claude Moraes a nome della commissione per le libertà civili, la giustizia e gli affari interni
B8-0235/2017
Risoluzione del Parlamento europeo sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy
Il Parlamento europeo,
– visti il trattato sull'Unione europea (TUE), il trattato sul funzionamento dell'Unione europea (TFUE) e gli articoli 6, 7, 8, 11, 16, 47 e 52 della Carta dei diritti fondamentali dell'Unione europea,
– vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (in appresso, "la direttiva sulla protezione dei dati")[1],
– vista la decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale[2],
– visti il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)[3]e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio[4],
– vista la sentenza della Corte di giustizia dell'Unione europea del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems/Data Protection Commissioner[5],
– vista la comunicazione della Commissione al Parlamento europeo e al Consiglio, del 6 novembre 2015, relativa al trasferimento di dati personali dall'UE agli Stati Uniti d'America in applicazione della direttiva 95/46/CE a seguito della sentenza della Corte di giustizia nella causa C-362/14, (Schrems) (COM(2015)0566),
– vista la comunicazione della Commissione al Parlamento europeo e al Consiglio del 10 gennaio 2017 dal titolo "Scambio e protezione dei dati personali in un mondo globalizzato" (COM(2017)0007),
– vista la sentenza della Corte di giustizia dell'Unione europea del 21 dicembre 2016 nelle cause C-203/15 Tele2 Sverige AB/Post- och telestyrelsen e C-698/15 Secretary of State for the Home Department/Tom Watson and Others[6],
– vista la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy[7],
– visto il parere 4/2016 del Garante europeo della protezione dei dati (GEPD) in merito al progetto di decisione sull'adeguatezza dello scudo UE-USA per la privacy[8],
– visti il parere del Gruppo dell'articolo 29 per la tutela dei dati, del 13 aprile 2016, in merito al progetto di decisione sull'adeguatezza dello scudo UE-USA per la privacy[9] e la sua dichiarazione del 26 luglio 2016[10],
– vista la sua risoluzione del 26 maggio 2016 sui flussi di dati transatlantici[11],
– visto l'articolo 123, paragrafo 2, del suo regolamento,
A. considerando che la Corte di giustizia dell'Unione europea, nella sentenza del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems/Data Protection Commissioner, ha invalidato la decisione "Approdo sicuro" e ha chiarito che un adeguato livello di protezione in un paese terzo deve essere interpretato come "sostanzialmente equivalente" a quello garantito all'interno dell'Unione in forza della direttiva 95/46/CE, letta alla luce della Carta dei diritti fondamentali dell'Unione europea (in appresso, "la Carta dell'UE"), il che rende necessario concludere i negoziati su un nuovo regime in modo da garantire la certezza giuridica quanto alle modalità di trasferimento dei dati personali dall'UE verso gli Stati Uniti;
B. considerando che, in sede di esame del livello di protezione offerto da un paese terzo, la Commissione è tenuta a valutare il contenuto delle norme applicabili in tale paese risultanti dalla legislazione nazionale o dagli impegni internazionali di quest'ultimo, nonché la prassi intesa ad assicurare il rispetto di tali norme, poiché tale istituzione deve prendere in considerazione, in conformità all'articolo 25, paragrafo 2, della direttiva 95/46/CE, tutte le circostanze relative ad un trasferimento di dati personali verso un paese terzo; che tale valutazione non deve fare riferimento unicamente alla legislazione e alle prassi relative alla protezione dei dati personali a fini privati e commerciali, ma deve riguardare tutti gli aspetti del quadro applicabili a tale paese o settore, in particolare, ma non solo, l'applicazione della legge, la sicurezza nazionale e il rispetto dei diritti fondamentali;
C. considerando che i trasferimenti di dati personali tra organizzazioni commerciali dell'UE e degli USA sono un elemento importante per le relazioni transatlantiche; che tali trasferimenti dovrebbero essere effettuati nel pieno rispetto del diritto alla protezione dei dati personali e del diritto alla riservatezza; che uno degli obiettivi fondamentali dell'Unione è la protezione dei diritti fondamentali sanciti dalla Carta dell'UE;
D. considerando che nel suo parere 4/2016 il GEPD ha sollevato numerose preoccupazioni riguardo al progetto di scudo per la privacy; che nello stesso parere il GEPD plaude agli sforzi compiuti da tutte le parti per trovare una soluzione ai trasferimenti di dati personali dall'UE verso gli USA a scopi commerciali nell'ambito di un sistema di autocertificazione;
E. considerando che, nel suo parere 1/2016 in merito al progetto di decisione sull'adeguatezza dello scudo UE-USA per la privacy, il gruppo "Articolo 29" ha accolto con favore i significativi miglioramenti introdotti dallo scudo rispetto alla decisione "Approdo sicuro", pur sollevando serie perplessità riguardo sia agli aspetti commerciali sia all'accesso da parte delle autorità pubbliche ai dati trasferiti nel quadro dello scudo per la privacy;
F. considerando che il 12 luglio 2016, a seguito di ulteriori discussioni con l'amministrazione statunitense, la Commissione ha adottato la decisione di esecuzione (UE) 2016/1250 in cui dichiara l'adeguatezza del livello di protezione dei dati personali trasferiti, nell'ambito dello scudo UE-USA per la privacy, dall'Unione a organizzazioni presenti negli Stati Uniti;
G. considerando che lo scudo UE-USA per la privacy è accompagnato da diverse lettere e dichiarazioni unilaterali dell'amministrazione statunitense in cui sono spiegati, tra l'altro, i principi della protezione dei dati, il funzionamento della vigilanza, dell'applicazione e dei mezzi di ricorso nonché le tutele e le salvaguardie in forza delle quali le agenzie per la sicurezza possono accedere ai dati personali ed effettuarne il trattamento;
H. considerando che, nella sua dichiarazione del 26 luglio 2016, il gruppo dell'articolo 29 per la tutela dei dati plaude ai miglioramenti apportati dal meccanismo dello scudo UE-USA per la privacy rispetto all'accordo sull'approdo sicuro ed elogia la Commissione e le autorità statunitensi per aver tenuto conto delle sue perplessità; che, tuttavia, lo stesso gruppo indica il permanere di una serie di perplessità attinenti sia agli aspetti commerciali sia all'accesso da parte delle autorità pubbliche statunitensi ai dati trasferiti dall'UE, come ad esempio l'assenza di norme specifiche sulle decisioni con procedura automatizzata e di un diritto generale di opposizione, l'esigenza di garanzie più rigorose circa l'indipendenza e i poteri del meccanismo di mediazione o l'assenza di garanzie concrete che escludano che i dati personali possano essere oggetto di una raccolta indiscriminata e di massa (raccolta generalizzata);
1. plaude agli sforzi compiuti sia dalla Commissione che dall'amministrazione statunitense per affrontare le preoccupazioni espresse dalla Corte di giustizia dell'Unione europea, dagli Stati membri, dal Parlamento europeo, dalle autorità garanti della protezione dei dati e dalle parti interessate, onde consentire alla Commissione di adottare la decisione di esecuzione in cui dichiara l'adeguatezza dello scudo UE-USA per la privacy;
2. riconosce che lo scudo UE-USA per la privacy contiene miglioramenti significativi in termini di chiarezza delle norme rispetto al precedente accordo UE-USA sull'approdo sicuro e che le organizzazioni statunitensi che autocertificano la propria adesione allo scudo UE-USA per la privacy dovranno rispettare norme più precise in materia di protezione dei dati rispetto a quelle previste dall'accordo sull'approdo sicuro;
3. osserva che, al 23 marzo 2017, le organizzazioni statunitensi che avevano aderito allo scudo UE-USA per la privacy erano 1 893; si rammarica che lo scudo per la privacy si basi su un'autocertificazione volontaria e valga dunque solo per le organizzazioni statunitensi che vi hanno aderito volontariamente, e che molte aziende, in questo modo, non rientrino nel regime;
4. riconosce che lo scudo UE-USA per la privacy facilita i trasferimenti di dati dalle PMI e dalle aziende dell'Unione verso gli Stati Uniti;
5. osserva che, in linea con la sentenza della Corte nella causa Schrems, i poteri delle autorità europee garanti della protezione dei dati non vengono modificati dalla decisione sull'adeguatezza e che, pertanto, tali autorità possono esercitare i propri poteri, compreso quello di sospendere o vietare il trasferimento di dati verso un'organizzazione iscritta allo scudo UE-USA per la privacy; valuta positivamente al riguardo l'importante ruolo attribuito dal regime dello scudo per la privacy alle autorità garanti della protezione dei dati degli Stati membri nel valutare e approfondire le denunce legate alla protezione dei diritti alla vita privata e alla vita familiare sanciti dalla Carta dell'UE e nel sospendere i trasferimenti di dati, e plaude all'obbligo imposto al Dipartimento del commercio statunitense di risolvere tali reclami;
6. osserva con soddisfazione che, in virtù del regime dello scudo per la privacy, i soggetti interessati dell'UE dispongono di vari mezzi di ricorso negli Stati Uniti: in primo luogo i reclami possono essere presentanti o direttamente all'impresa o attraverso il Dipartimento del commercio previa consultazione di un'autorità garante della protezione dei dati, oppure a un organismo indipendente per la risoluzione delle controversie; in secondo luogo, per quanto riguarda le interferenze con i diritti fondamentali per motivi di sicurezza nazionale, è possibile intentare un'azione di diritto civile presso i tribunali statunitensi oppure presentare i reclami simili al Mediatore indipendente istituito di recente; infine i reclami concernenti le interferenze con i diritti fondamentali per motivi di applicazione della legge e di interesse pubblico possono essere trattati mediante mozioni contro i mandati di comparizione; incoraggia la Commissione e le autorità garanti della protezione dei dati a fornire ulteriori orientamenti per garantire che tutti i suddetti mezzi di ricorso siano più facilmente accessibili e ampiamente disponibili;
7. prende atto del preciso impegno del Dipartimento del commercio USA di monitorare strettamente l'osservanza dei principi dello scudo UE-USA per la privacy da parte delle organizzazioni statunitensi e della sua intenzione di adottare misure coercitive nei confronti dei soggetti inadempienti;
8. ribadisce il suo invito alla Commissione affinché chieda chiarimenti in merito allo status giuridico delle "garanzie scritte" fornite dagli Stati Uniti e a garantire che qualsiasi impegno o accordo previsto nel quadro dello scudo per la privacy venga mantenuto dopo l'insediamento di una nuova amministrazione negli Stati Uniti;
9. ritiene che, nonostante le garanzie e gli impegni forniti dal governo USA per mezzo delle lettere allegate all'accordo sullo scudo per la privacy, permangano gravi interrogativi per quanto riguarda alcuni aspetti commerciali, la sicurezza nazionale e l'applicazione della legge;
10. rileva, in particolare, la differenza significativa tra la protezione di cui all'articolo 7 della direttiva 95/46/CE e il principio "di informativa e di scelta" dell'accordo sullo scudo per la privacy, nonché le notevoli differenze tra l'articolo 6 della direttiva 95/46/CE e il principio "sull'integrità dei dati e la limitazione della finalità" dell'accordo sullo scudo per la privacy; sottolinea che, invece della necessità di una base giuridica (quale il consenso o il contratto) che si applica a tutte le operazioni di trattamento, i diritti dei soggetti interessati dal trattamento dei dati nell'ambito dei principi dello scudo per la privacy si applicano soltanto nel caso di due operazioni limitate di trattamento (divulgazione e cambio di finalità) e garantiscono esclusivamente il diritto di rifiuto ("opt-out");
11. ritiene che queste numerose perplessità possano portare, in futuro, a una nuova contestazione della decisione sull'adeguatezza della protezione dinanzi ai tribunali; sottolinea le conseguenze negative sia in termini di rispetto dei diritti fondamentali che per la necessaria certezza giuridica delle parti interessate;
12. constata, tra l'altro, l'assenza di norme specifiche relativamente al processo decisionale automatizzato e a un diritto generale di opposizione nonché la mancanza di precise disposizioni su come debbano applicarsi i principi dello scudo per la privacy ai responsabili del trattamento (procuratori);
13. osserva che, pur avendo i singoli la possibilità di rifiutare dinanzi al titolare del trattamento dell'UE l'eventuale trasferimento dei loro dati personali agli Stati Uniti e l'ulteriore trattamento di tali dati negli Stati Uniti dove l'azienda che aderisce allo scudo per la privacy funge da responsabile del trattamento per conto del titolare del trattamento dell'UE, lo scudo per la privacy non contiene norme specifiche relativamente al diritto generale di rifiuto nei confronti dell'azienda statunitense autocertificata;
14. osserva che solo una parte delle organizzazioni statunitensi che hanno aderito allo scudo per la privacy ha scelto di ricorrere a un'autorità europea garante della protezione dei dati per il meccanismo di risoluzione delle controversie; esprime preoccupazione per il fatto che ciò rappresenta uno svantaggio per i cittadini dell'UE quando cercano di esercitare i loro diritti;
15. rileva la mancanza di esplicite disposizioni su come debbano applicarsi i principi dello scudo per la privacy ai responsabili del trattamento (procuratori), pur riconoscendo che tutti i principi si applicano al trattamento dei dati personali da parte di qualsiasi azienda statunitense autocertificata "[s]alvo disposizioni contrarie" e che i trasferimenti a scopo di trattamento prevedono sempre un contratto con il titolare del trattamento dell'UE che determinerà le finalità e le modalità del trattamento, ivi compreso se il responsabile del trattamento sia autorizzato a effettuare trasferimenti successivi (ad esempio in caso di delega del trattamento);
16. sottolinea che, per quanto riguarda la sicurezza nazionale e la sorveglianza, nonostante i chiarimenti forniti dall'Ufficio del direttore dell'intelligence nazionale (ODNI) nelle lettere di accompagnamento al regime dello scudo per la privacy, la "sorveglianza generalizzata", nonostante la diversa terminologia utilizzata dalle autorità statunitensi, rimane possibile; deplora il fatto che il concetto di "sorveglianza generalizzata" non sia definito in modo uniforme e che venga adottata la terminologia americana e sollecita pertanto una definizione uniforme legata alla concezione europea di sorveglianza generalizzata, nella quale la valutazione non dipenda dalla selezione; sottolinea che qualsiasi tipo di sorveglianza generalizzata costituisce una violazione della Carta UE;
17. ricorda che l'allegato VI (lettera di Robert S. Litt, ODNI) chiarisce che nella direttiva presidenziale PPD-28 (in appresso PPD-28), la raccolta generalizzata dei dati e delle comunicazioni personali di cittadini non statunitensi è ancora consentita in sei casi; sottolinea che tale raccolta generalizzata deve essere soltanto "per quanto possibile mirata" e "ragionevole", e quindi non risulta conforme ai più rigorosi criteri di necessità e proporzionalità stabiliti nella Carta UE;
18. deplora che lo scudo UE-USA per la privacy non vieti la raccolta generalizzata di dati a fini di applicazione della legge;
19. sottolinea che, nella sentenza del 21 dicembre 2016, la CGUE ha chiarito che la Carta UE deve essere interpretata "nel senso che ... osta ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell'insieme dei dati relativi al traffico e dei dati relativi all'ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica"; sottolinea che la sorveglianza generalizzata negli Stati Uniti non garantisce pertanto un livello sostanzialmente equivalente di protezione dei dati personali e delle comunicazioni;
20. è preoccupato per le recenti rivelazioni in merito alle attività di sorveglianza condotte da un provider statunitense di servizi di comunicazione elettronica su tutte le email arrivate ai suoi server, su richiesta della National Security Agency (NSA) e dell'FBI, ancora nel 2015, ossia un anno dopo l'adozione della PPD-28 e durante il negoziato dello scudo per la privacy UE-USA; insiste sul fatto che la Commissione chieda alle autorità statunitensi di fare piena luce e metta le risposte a disposizione del Consiglio, del Parlamento e delle autorità nazionali garanti della protezione dei dati; ravvede in questo un motivo per dubitare fortemente delle garanzie fornite dall'ODNI; è consapevole del fatto che lo scudo UE-USA per la privacy si basa sulla PPD-28, che è stata emanata dal Presidente e che può anche essere revocata da ogni futuro Presidente senza l'approvazione del Congresso;
21. esprime forti preoccupazioni per la pubblicazione delle "Procedures for the Availability or Dissemination of Raw Signals Intelligence Information by the National Security Agency under Section 2.3 of Executive Order 12333", approvate dal Ministro della giustizia USA il 3 gennaio 2017, che autorizzano l'Agenzia nazionale per la sicurezza a condividere ingenti quantità di dati privati raccolti senza mandato, ordinanze del tribunale o autorizzazione del Congresso con altre 16 agenzie, tra cui l'FBI, l'agenzia federale antidroga (DEA) e il Dipartimento della sicurezza interna; invita la Commissione a valutare immediatamente la compatibilità di queste nuove norme con gli impegni assunti dalle autorità statunitensi nel quadro dello scudo per la privacy, nonché il loro impatto sul livello di protezione dei dati personali negli Stati Uniti;
22. deplora che né i principi dello scudo per la privacy né le lettere dell'amministrazione USA contenenti chiarimenti e garanzie dimostrino l'esistenza di effettivi diritti di ricorso giurisdizionale per i soggetti UE i cui dati personali siano oggetto di trasferimento verso un'organizzazione statunitense a titolo dei principi dello scudo per la privacy e quindi oggetto di accesso e trattamento da parte delle autorità pubbliche statunitensi a fini di applicazione della legge e di interesse pubblico, messi in evidenza dalla Corte di giustizia dell'Unione europea nella sentenza del 6 ottobre 2015 quale essenza del diritto fondamentale di cui all'articolo 47 della Carta;
23. ricorda la sua risoluzione del 26 maggio 2016 secondo cui il meccanismo di mediazione istituito dal Dipartimento di Stato USA non è sufficientemente indipendente e non è dotato di poteri sufficienti ed effettivi per esercitare le sue funzioni e garantire un ricorso effettivo ai soggetti UE; osserva che, secondo le indicazioni e le garanzie fornite dal governo degli Stati Uniti, l'Ufficio del mediatore è indipendente dai servizi segreti statunitensi, libero da qualsiasi influenza indebita che potrebbe influenzare la sua funzione e che collabora inoltre con altri organismi di sorveglianza indipendenti con poteri effettivi di vigilanza sulla comunità di intelligence degli Stati Uniti; nutre in generale preoccupazione per il fatto che un soggetto interessato da una violazione delle regole possa chiedere soltanto informazioni sui dati e la loro cancellazione o di bloccarne l'ulteriore elaborazione, ma non possa chiedere un risarcimento dei danni;
24. deplora che la procedura di adozione di una decisione sull'adeguatezza non preveda una consultazione formale delle parti interessate, come ad esempio le aziende, in particolare le organizzazioni rappresentative delle PMI;
25. si rammarica del fatto che la Commissione abbia seguito la procedura di adozione della decisione di esecuzione della Commissione secondo modalità pratiche che di fatto non hanno consentito al Parlamento di esercitare in maniera efficace il suo diritto di controllo sul progetto di atto di esecuzione;
26. invita la Commissione ad adottare tutte le misure necessarie a garantire che lo scudo per la privacy rispetti pienamente il regolamento (UE) n. 2016/679, che si applicherà a partire dal 16 maggio 2018, e la Carta UE;
27. invita la Commissione a garantire, in particolare, che i dati personali trasferiti agli Stati Uniti d'America nel quadro dello scudo per la privacy possano essere trasferiti solo verso un altro paese terzo se tale trasferimento è compatibile con la finalità della raccolta iniziale dei dati e se il paese terzo applica le stesse norme in materia di accesso specifico e mirato a fini di applicazione della legge;
28. invita la Commissione a controllare se i dati personali non più necessari per la finalità per la quale erano stati inizialmente raccolti siano cancellati, anche da parte delle autorità incaricate dell'applicazione della legge;
29. invita la Commissione a monitorare attentamente se lo scudo per la privacy consenta alle autorità garanti della protezione dei dati di esercitare appieno i loro poteri e, in caso negativo, a individuare le disposizioni che ostacolano l'esercizio dei poteri da parte delle autorità garanti della protezione dei dati;
30. invita la Commissione a condurre, nel corso della prima analisi annuale comune, un esame completo e approfondito di tutte le carenze e i punti deboli indicati nella presente risoluzione e nella risoluzione del 26 maggio 2016 sui flussi di dati transatlantici, nonché di quelli individuati dal gruppo ex articolo 29 per la tutela dei dati, dal GEPD e dalle parti interessate, a dimostrare in che modo siano stati affrontati per garantire la conformità con la Carta e il diritto UE e a valutare scrupolosamente se i meccanismi e le salvaguardie indicati nelle garanzie e nei chiarimenti forniti dall'amministrazione statunitense siano efficaci e praticabili;
31. chiede alla Commissione di fare in modo che, ai fini della realizzazione dell'analisi annuale comune, tutti i membri del gruppo abbiano pieno e illimitato accesso a tutti i documenti e a tutti i locali necessari per l'espletamento dei loro compiti, tra cui agli elementi che consentono una corretta valutazione della necessità e della proporzionalità della raccolta dei dati trasferiti dalle autorità pubbliche, nonché dell'accesso agli stessi, a fini di applicazione della legge o di sicurezza nazionale;
32. sottolinea che a tutti i membri del gruppo incaricato dell'analisi comune deve essere garantita l'indipendenza nell'espletamento dei loro compiti e riconosciuto il diritto di esprimere i loro pareri discordi nella relazione finale dell'analisi comune, che saranno resi pubblici e allegati alla relazione comune;
33. chiede alle autorità UE garanti della protezione dei dati di monitorare il funzionamento dello scudo UE-USA per la privacy e di esercitare i loro poteri, compreso quello di sospendere o vietare a titolo definitivo il trasferimento di dati personali verso un'organizzazione inserita nello scudo UE-USA per la privacy, qualora ritengano che i diritti fondamentali alla riservatezza e alla protezione dei dati personali dei soggetti interessati dell'UE non siano garantiti;
34. sottolinea che il Parlamento dovrebbe avere pieno accesso a ogni documento pertinente relativo all'analisi annuale comune;
35. incarica il suo Presidente di trasmettere la presente risoluzione alla Commissione, al Consiglio, ai governi e ai parlamenti nazionali degli Stati membri nonché al governo e al Congresso degli Stati Uniti d'America.
- [1] GU L 281 del 23.11.1995, pag. 31.
- [2] GU L 350 del 30.12.2008, pag. 60.
- [3] GU L 119 del 4.5.2016, pag. 1.
- [4] GU L 119 del 4.5.2016, pag. 89.
- [5] ECLI:EU:C:2015:650.
- [6] ECLI:EU:C:2016:970.
- [7] GU L 207 dell'1.8.2016, pag. 1.
- [8] GU C 257 del 15.7.2016, pag. 8.
- [9] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
- [10] http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
- [11] Testi approvati, P8_TA(2016)0233.