Il Parlamento europeo,

–  visti il trattato sull'Unione europea (TUE), il trattato sul funzionamento dell'Unione europea (TFUE) e gli articoli 6, 7, 8, 11, 16, 47 e 52 della Carta dei diritti fondamentali dell'Unione europea ("Carta"),

–  visti il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)(1) (RGPD), e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio(2),

–  vista la sentenza della Corte di giustizia dell'Unione europea del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems/Data Protection Commissioner(3),

–  vista la sentenza della Corte di giustizia dell'Unione europea del 21 dicembre 2016 nelle cause C-203/15 Tele2 Sverige AB contro Post- och telestyrelsen e C-698/15 Secretary of State for the Home Department contro Tom Watson e altri(4);

–  vista la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy(5),

–  visto il parere 4/2016 del Garante europeo della protezione dei dati (GEPD) del 30 maggio 2016 in merito al progetto di decisione sull'adeguatezza dello scudo UE-USA per la privacy(6),

–  visti il parere 01/2016 del Gruppo dell'articolo 29 per la tutela dei dati (WP29), del 13 aprile 2016, in merito al progetto di decisione sull'adeguatezza dello scudo UE-USA per la privacy(7) e la sua dichiarazione del WP29 del 26 luglio 2016(8),

–  visti la relazione della Commissione del 18 ottobre 2017 al Parlamento europeo e al Consiglio sul primo riesame annuale del funzionamento dello scudo UE-USA per la privacy (COM(2017)0611) e il documento di lavoro dei servizi della Commissione che accompagna il documento (SWD(2017)0344),

–  visto il documento del WP29 del 28 novembre 2017 intitolato “Scudo UE-USA per la privacy – Primo riesame congiunto annuale”(9),

–  vista la lettera di risposta del WP29 del giorno 11 aprile 2018 sul rinnovo dell’autorizzazione della sezione 702 del Foreign Intelligence Surveillance Act (FISA) statunitense,

–  vista la sua risoluzione del 6 aprile 2017 sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy(10);

–  visto l'articolo 123, paragrafo 2, del suo regolamento,

A.  considerando che la Corte di giustizia dell'Unione europea (CGUE), nella sentenza del 6 ottobre 2015 relativa alla causa C-362/14 Maximillian Schrems contro Data Protection Commissioner, ha invalidato la decisione sull'approdo sicuro e chiarito come debba intendersi un livello adeguato di protezione in un paese terzo, ossia come "sostanzialmente equivalente" a quello garantito all'interno dell'Unione europea in forza della direttiva 95/46/CE letta alla luce della Carta, suggerendo la necessità di concludere i negoziati su un nuovo regime al fine di garantire la certezza giuridica quanto alle modalità di trasferimento dei dati personali dall'UE agli USA;

B.  considerando che, in sede di esame del livello di protezione offerto da un paese terzo, la Commissione è tenuta a valutare il contenuto delle norme applicabili in tale paese risultanti dalla legislazione nazionale o dagli impegni internazionali di quest'ultimo, nonché la prassi intesa ad assicurare il rispetto di tali norme, poiché tale istituzione deve prendere in considerazione, in conformità all'articolo 25, paragrafo 2, della direttiva 95/46/CE, tutte le circostanze relative ad un trasferimento di dati personali verso un paese terzo; che tale valutazione non deve fare riferimento unicamente alla legislazione e alle prassi relative alla protezione dei dati personali a fini privati e commerciali, ma deve riguardare tutti gli aspetti del quadro applicabili a tale paese o settore, in particolare, ma non solo, l'applicazione della legge, la sicurezza nazionale e il rispetto dei diritti fondamentali;

C.  considerando che i trasferimenti di dati personali tra organizzazioni commerciali dell'UE e degli USA sono un elemento importante per le relazioni transatlantiche alla luce della crescente digitalizzazione dell’economia globale; che tali trasferimenti dovrebbero essere effettuati nel pieno rispetto del diritto alla protezione dei dati personali e del diritto alla riservatezza; che uno degli obiettivi fondamentali dell'UE è la protezione dei diritti fondamentali sanciti dalla Carta;

D.  considerando che Facebook, uno dei firmatari dello scudo per la privacy, ha confermato che i dati di 2.7 milioni di cittadini dell’UE facevano parte di quelli indebitamente utilizzati dai consulenti politici Cambridge Analytica;

E.  considerando che nel suo parere 4/2016 il GEPD ha sollevato numerose preoccupazioni riguardo al progetto di scudo per la privacy; che nello stesso parere il GEPD plaude agli sforzi compiuti da tutte le parti per trovare una soluzione ai trasferimenti di dati personali dall'UE verso gli USA a scopi commerciali nell'ambito di un sistema di autocertificazione;

F.  considerando che, nel suo parere 1/2016 in merito al progetto di decisione sull'adeguatezza dello scudo UE-USA per la privacy, il gruppo dell'articolo 29 ha accolto con favore i significativi miglioramenti introdotti dallo scudo rispetto alla decisione "Approdo sicuro", pur sollevando serie perplessità riguardo sia agli aspetti commerciali sia all'accesso da parte delle autorità pubbliche ai dati trasferiti nel quadro dello scudo per la privacy;

G.  considerando che il 12 luglio 2016, a seguito di ulteriori discussioni con l'amministrazione statunitense, la Commissione ha adottato la decisione di esecuzione (UE) 2016/1250 in cui dichiara l'adeguatezza del livello di protezione dei dati personali trasferiti, nell'ambito dello scudo UE-USA per la privacy, dall'Unione a organizzazioni presenti negli Stati Uniti;

H.  considerando che lo scudo UE-USA per la privacy è accompagnato da diversi impegni e garanzie unilaterali dell'amministrazione statunitense in cui sono spiegati, tra l'altro, i principi della protezione dei dati, il funzionamento della vigilanza, dell'applicazione e dei mezzi di ricorso nonché le tutele e le salvaguardie in forza delle quali le agenzie per la sicurezza possono accedere ai dati personali ed effettuarne il trattamento;

I.  considerando che, nella sua dichiarazione del 26 luglio 2016, il WP29 plaude ai miglioramenti apportati dal meccanismo dello scudo UE-USA per la privacy rispetto all'accordo sull'approdo sicuro ed elogia la Commissione e le autorità statunitensi per aver tenuto conto delle sue perplessità; che, tuttavia, il WP29 indica il permanere di una serie di perplessità attinenti sia agli aspetti commerciali sia all'accesso da parte delle autorità pubbliche statunitensi ai dati trasferiti dall'UE, come ad esempio l'assenza di norme specifiche sulle decisioni con procedura automatizzata e di un diritto generale di opposizione, l'esigenza di garanzie più rigorose circa l'indipendenza e i poteri del meccanismo di mediazione o l'assenza di garanzie concrete che escludano che i dati personali possano essere oggetto di una raccolta indiscriminata e di massa (raccolta generalizzata);

J.  considerando che, nella sua risoluzione del 6 aprile 2017, il Parlamento, pur riconoscendo che lo scudo UE-USA per la privacy contiene miglioramenti significativi in termini di chiarezza delle norme rispetto al precedente accordo UE-USA sull'approdo sicuro, ritiene altresì che permangano importanti questioni per quanto riguarda alcuni aspetti commerciali, la sicurezza nazionale e l'applicazione della legge; che invita la Commissione a condurre, nel corso del primo riesame congiunto annuale, un esame completo e approfondito di tutte le carenze e i punti deboli e a dimostrare in che modo questi siano stati affrontati per garantire la conformità con la Carta dell’UE e il diritto dell’Unione e a valutare scrupolosamente se i meccanismi e le salvaguardie indicati nelle garanzie e nei chiarimenti forniti dall'amministrazione statunitense siano efficaci e praticabili;

K.  considerando che la relazione della Commissione al Parlamento europeo e al Consiglio sul primo riesame annuale del funzionamento dello scudo UE-USA per la privacy e il documento di lavoro dei servizi della Commissione che accompagna il documento, pur riconoscendo che le autorità statunitensi hanno predisposto le strutture e le procedure necessarie a garantire il corretto funzionamento dello scudo per la privacy e concludendo che gli Stati Uniti continuano a garantire un livello adeguato di protezione dei dati personali trasferiti nell’ambito dello scudo per la privacy, hanno formulato dieci raccomandazioni alle autorità statunitensi al fine di affrontare le questioni che destano preoccupazione non solo per quanto riguarda i compiti e le attività del Dipartimento degli Stati Uniti per il commercio (DoC) in quanto amministratore responsabile per il monitoraggio della certificazione delle organizzazioni aderenti allo scudo per la privacy e per l’applicazione dei principi, ma anche le questioni relative alla sicurezza nazionale, come il rinnovo dell’autorizzazione della sezione 702 del FISA, o la nomina di un mediatore permanente e il fatto che i membri dell'Autorità per la tutela della vita privata e delle libertà civili (PCLOB) non siano ancora in carica;

L.  considerando che il parere del WP29, del 28 novembre 2017, dal titolo “EU-US Privacy Shield – First Annual Joint Review”, emesso a seguito del primo riesame congiunto annuale, riconosce i progressi dello scudo per la privacy rispetto alla decisione invalidata “Approdo sicuro”; che il gruppo dell’articolo 29 riconosce gli sforzi compiuti dalle autorità statunitensi e dalla Commissione per mettere in pratica lo scudo per la privacy;

M.  considerando che il WP29 ha individuato una serie di importanti questioni irrisolte che destano notevoli preoccupazioni, sia per quanto riguarda le questioni commerciali che per quanto riguarda l'accesso delle autorità pubbliche statunitensi ai dati trasferiti negli Stati Uniti nell'ambito dello scudo per la privacy (sia nell’ambito dell’applicazione della legge che per obiettivi di sicurezza nazionale) che devono essere affrontate sia dalla Commissione che dalle autorità statunitensi; che ha chiesto l'istituzione immediata di un piano d'azione per dimostrare che tutte queste preoccupazioni saranno affrontate, al più tardi, in occasione del secondo riesame congiunto;

N.  considerando che, nel caso in cui non venga data risposta alle preoccupazioni del WP29 entro i termini indicati, i membri di tale gruppo adotteranno le misure opportune, anche portando la decisione relativa all'adeguatezza dello scudo per la privacy dinanzi ai tribunali nazionali affinché sottopongano la questione alla CGUE per una domanda di pronuncia pregiudiziale;

O.  considerando che un ricorso in annullamento (causa T-738/16, La Quadrature du Net e altri contro Commissione) e un rinvio da parte della Corte suprema irlandese nella causa tra il Commissario per la protezione dei dati irlandese e Facebook Ireland Limited e Maximilian Schrems (causa Schrems II) sono stati sottoposti alla Corte di giustizia europea; che il deferimento constata che la sorveglianza di massa è ancora in corso e esamina l'esistenza di una soluzione effettiva nella legislazione degli Stati Uniti per i cittadini dell'UE i cui dati personali vengano trasferiti negli Stati Uniti;

P.  considerando che, l'11 gennaio 2018, il Congresso degli Stati Uniti ha rinnovato l’autorizzazione e modificato la sezione 702 della FISA per sei anni senza affrontare le preoccupazioni espresse nella relazione di riesame congiunto della Commissione e nel parere del gruppo dell’articolo 29;

Q.  considerando che, nel quadro della legge di bilancio omnibus promulgata il 23 marzo 2018, il Congresso degli Stati Uniti ha promulgato il “Clarifying Overseas Use of Data (‘CLOUD’) Act”, che facilita l'accesso delle autorità di contrasto ai contenuti delle comunicazioni e ad altri dati correlati, consentendo alle autorità di contrasto statunitensi di imporre la produzione di dati delle comunicazioni anche se sono conservati al di fuori degli Stati Uniti e permettendo ad alcuni paesi esteri di stipulare accordi esecutivi con gli Stati Uniti per consentire ai fornitori di servizi statunitensi di rispondere a determinati ordini stranieri che chiedono accesso ai dati delle comunicazioni;

R.  considerando che Facebook Inc., Cambridge Analytica e SCL Elections Ltd sono società certificate nell'ambito dello scudo per la privacy e, in quanto tali, hanno beneficiato della decisione sull'adeguatezza come base legale per il trasferimento e il successivo trattamento di dati personali dall'Unione europea agli Stati Uniti;

S.  considerando che, ai sensi dell'articolo 45, paragrafo 5, RGPD, se le informazioni disponibili rivelano che un paese terzo non garantisce più un livello di protezione adeguato, la Commissione abroga, modifica o sospende la sua decisione di adeguatezza;

1.  sottolinea le persistenti carenze dello scudo per la privacy riguardo al rispetto dei diritti fondamentali delle persone interessate; sottolinea il crescente rischio che la Corte di giustizia dell'UE possa invalidare la decisione di esecuzione (UE) 2016/1250 della Commissione sullo scudo per la privacy;

2.  prende atto dei miglioramenti rispetto all'accordo “Approdo sicuro”, anche con l'inserimento di definizioni chiave, obblighi più rigorosi in materia di conservazione dei dati e trasferimenti successivi verso paesi terzi, creazione di un mediatore per garantire ricorsi individuali e una supervisione indipendente, un sistema di pesi e contrappesi che garantisca i diritti delle persone interessate (PCLOB), controlli di conformità interni ed esterni, documentazione e monitoraggio più regolari e rigorosi, disponibilità di varie modalità di ricorso giuridico e ruolo di primo piano per le autorità competenti per la tutela dei dati a livello nazionale nell'istruzione delle denunce;

3.  ricorda che il WP29 ha fissato il termine del 25 maggio 2018 per risolvere le questioni in sospeso: in caso contrario, potrebbe decidere di portare lo scudo per la privacy dinanzi ai tribunali nazionali affinché possano sottoporre la questione alla CGUE per una domanda di pronuncia pregiudiziale(11);

Questioni istituzionali/Nomine

4.  si rammarica del fatto che sia stato necessario così tanto tempo per designare i due membri supplementari, agganciati alla nomina del presidente dell'Autorità per la tutela della vita privata e delle libertà civili, e sollecita il Senato a controllare i loro profili al fine di ratificare la designazione in modo tale da riportare l'agenzia indipendente alla situazione di quorum e consentirle di svolgere le sue missioni di prevenzione del terrorismo e di garanzia della necessità di proteggere la privacy e le libertà civili;

5.  esprime la propria preoccupazione per il fatto che l'assenza di un presidente e di quorum abbia limitato la capacità dell’Autorità per la tutela della vita privata e delle libertà civili di agire e di adempiere ai propri obblighi; sottolinea che durante un periodo di quorum insufficiente, l'Autorità per la tutela della vita privata e delle libertà civili non può avviare nuovi progetti di consulenza o supervisione o assumere personale; ricorda che l’Autorità per la tutela della vita privata e delle libertà civili non ha ancora pubblicato la sua tanto attesa relazione sulla condotta delle operazioni di sorveglianza ai sensi dell'ordinanza esecutiva 12333 per fornire informazioni sul funzionamento concreto di questa ordinanza esecutiva e sulla sua necessità e proporzionalità per quanto riguarda le interferenze rispetto alla protezione dei dati in questo contesto; rileva che questa relazione è altamente auspicabile considerando l'incertezza e l'imprevedibilità del modo in cui viene utilizzata l'ordinanza esecutiva 12333; si rammarica del fatto che l'Autorità per la tutela della vita privata e delle libertà civili non abbia pubblicato una nuova relazione sulla sezione 702 FISA prima che fosse nuovamente autorizzata nel gennaio 2018; ritiene che la situazione di quorum insufficiente comprometta seriamente le garanzie e le assicurazioni in materia di conformità e sorveglianza fornite dalle autorità statunitensi; esorta pertanto le autorità statunitensi a nominare e a confermare senza indugio i nuovi membri del consiglio di amministrazione;

6.  alla luce del fatto che la direttiva presidenziale 28 (DP 28) è uno degli elementi centrali su cui è costruito lo scudo per la privacy, chiede la pubblicazione della relazione dell'Autorità per la tutela della vita privata e delle libertà civili sulla DP 28, che è ancora soggetta a privilegio presidenziale e non è pertanto ancora stata pubblicata;

7.  ribadisce la sua posizione secondo cui il meccanismo di mediazione istituito dal Dipartimento di Stato statunitense non è sufficientemente indipendente e non è dotato di sufficienti poteri effettivi per svolgere i suoi compiti e garantire un ricorso effettivo ai cittadini UE; sottolinea che occorre chiarire gli esatti poteri del meccanismo di mediazione, in particolare per quanto riguarda i suoi poteri nei confronti della comunità di intelligence e il livello di ricorso effettivo alle sue decisioni; si rammarica che il mediatore possa solo chiedere l'intervento e informazioni da parte di organismi governativi statunitensi e non possa ordinare alle autorità di porre fine alla sorveglianza illegale o distruggere definitivamente le informazioni; rileva che, sebbene vi sia un mediatore facente funzioni, finora l'amministrazione statunitense non ha nominato un nuovo mediatore permanente, il che non contribuisce alla fiducia reciproca; ritiene che, in assenza della nomina di un Mediatore indipendente, esperto e dotato di sufficienti poteri, le garanzie fornite dagli Stati Uniti in merito alle possibilità di un ricorso effettivo offerte ai cittadini dell'UE siano nulle;

8.  prende atto della recente conferma da parte del Senato di un nuovo presidente e di quattro commissari della Commissione federale per il commercio (Federal Trade Commission – FTC); deplora che, fino a tale conferma, quattro dei cinque seggi dell'FTC siano rimasti vacanti, considerato che l'FTC è l'organismo competente per l'applicazione dei principi dello scudo per la privacy da parte delle organizzazioni statunitensi;

9.  sottolinea che le recenti rivelazioni riguardanti le pratiche di Facebook e di Cambridge Analytica evidenziano la necessità di azioni proattive in materia di sorveglianza e applicazione delle norme che non solo si basino su denunce, ma prevedano controlli sistematici della conformità concreta delle politiche in materia di privacy con i principi dello scudo per la privacy durante tutto il ciclo di certificazione; invita le autorità dell'UE competenti in materia di protezione dei dati ad adottare misure adeguate e sospendere i trasferimenti nei casi di mancata conformità;

Questioni commerciali

10.  ritiene che, per garantire la trasparenza ed evitare false dichiarazioni di certificazione, il Dipartimento del commercio non dovrebbe tollerare che le società statunitensi si esprimano pubblicamente in merito alla loro certificazione in base alla scudo per la privacy prima di aver completato il processo di certificazione e di averle incluse nell'elenco dello scudo per la privacy; esprime preoccupazione per il fatto che il Dipartimento del commercio non si sia avvalso della possibilità prevista dallo scudo per la privacy di richiedere copie dei termini contrattuali utilizzati dalle società certificate nei loro contratti con terzi per garantire la conformità; ritiene pertanto che non vi sia un controllo effettivo sulla reale conformità delle società certificate alle disposizioni dello scudo per la privacy; invita il Dipartimento del commercio a effettuare, in modo proattivo e periodico, verifiche d'ufficio della conformità per monitorare l'effettivo rispetto da parte delle società delle norme e dei requisiti dello scudo per la privacy;

11.  ritiene che le varie procedure di ricorso per i cittadini dell'UE possano rivelarsi troppo complesse, di difficile consultazione e pertanto meno efficaci; osserva che, come sottolineato dalle società che forniscono meccanismi di ricorso indipendenti (IRM), la maggior parte dei reclami è presentata direttamente alla società da persone che cercano informazioni generali sullo scudo per la privacy e il trattamento dei loro dati; raccomanda pertanto che le autorità degli Stati Uniti offrano informazioni più concrete sul sito web dello scudo per la privacy in modo accessibile e facilmente comprensibile alle persone per quanto riguarda i loro diritti e i mezzi di ricorso disponibili;

12.  alla luce delle recenti rivelazioni di uso improprio dei dati personali da parte di società certificate nell'ambito dello scudo per la privacy, quali Facebook e Cambridge Analytica, invita le autorità statunitensi responsabili dell'applicazione dello scudo per la privacy a dar seguito senza indugio a tali rivelazioni nel pieno rispetto delle garanzie e degli impegni assunti per mantenere l'attuale accordo sullo scudo per la privacy e, se necessario, a rimuovere tali società dall'elenco dello scudo per la privacy; invita inoltre le autorità competenti dell'UE in materia di protezione dei dati a indagare su tali rivelazioni e, se del caso, a sospendere o proibire i trasferimenti di dati nell'ambito dello scudo per la vita privata; ritiene che le rivelazioni dimostrino chiaramente che il meccanismo dello scudo non fornisce un'adeguata protezione del diritto alla protezione dei dati;

13.  è seriamente preoccupato per la modifica delle condizioni di servizio di Facebook per gli utenti non UE al di fuori degli Stati Uniti e del Canada, che finora hanno goduto di diritti ai sensi della legislazione UE sulla protezione dei dati e che ora devono accettare Facebook US invece di Facebook Ireland come responsabile del trattamento dei dati; reputa che ciò costituisca un trasferimento di dati personali di circa 1,5 miliardi di utenti verso un paese terzo; dubita seriamente che una simile limitazione senza precedenti su vasta scala dei diritti fondamentali degli utenti di una piattaforma, che di fatto è un monopolio, sia ciò che si prefiggeva lo scudo per la privacy; invita le autorità di protezione dei dati dell'UE a indagare su tale questione;

14.  esprime forte preoccupazione per il fatto che, se la questione non verrà affrontata, questi usi impropri di dati personali da parte di varie entità volti a manipolare le opinioni politiche o il loro comportamento di voto possono rappresentare una minaccia per il processo democratico e la sua idea di fondo secondo cui gli elettori sono in grado di prendere autonomamente decisioni informate e basate sui fatti;

15.  accoglie con favore e sostiene gli inviti rivolti al legislatore degli Stati Uniti a procedere verso una legge omnibus in materia di tutela della vita privata e protezione dei dati;

16.  ricorda le sue preoccupazioni per la mancanza di norme e garanzie specifiche nello scudo per la privacy per le decisioni basate su un trattamento/profilo automatizzato, che producono effetti giuridici o incidono in maniera significativo sull'individuo; prende atto dell'intenzione della Commissione di commissionare uno studio volto a raccogliere prove fattuali e valutare ulteriormente la pertinenza del processo decisionale automatizzato per i trasferimenti di dati nell'ambito dello scudo per la privacy; invita la Commissione a stabilire, qualora lo studio lo raccomandi, disposizioni specifiche sul processo decisionale automatizzato che prevedano garanzie sufficienti; prende atto, a tale riguardo, delle informazioni fornite dalla verifica congiunta secondo cui il processo decisionale automatizzato non può aver luogo sulla base dei dati personali trasferiti nell'ambito dello scudo per la privacy; deplora che, secondo il WP29, "le risposte delle società sono rimaste molto generiche e non è chiaro se tali affermazioni corrispondono alla realtà di tutte le imprese che aderiscono allo scudo per la privacy"; sottolinea inoltre l'applicabilità dell'RGPD alle condizioni di cui all'articolo 3, paragrafo 2, dell'RGPD;

17.  sottolinea che dovrebbero essere apportati ulteriori miglioramenti per quanto riguarda l'interpretazione e il trattamento dei dati delle risorse umane in virtù della diversa interpretazione del concetto di "dati delle risorse umane" da parte del governo degli Stati Uniti, da un lato, e la Commissione e il WP29, dall'altro; concorda pienamente con la richiesta del WP29 alla Commissione di avviare negoziati con le autorità statunitensi per modificare il meccanismo dello scudo per la privacy in merito alla questione;

18.  ribadisce la propria preoccupazione per il fatto che i principi dello scudo per la privacy non seguono il modello dell'UE di trattamento sulla base del consenso, ma consentono un opt-out/diritto di opposizione solo in circostanze molto specifiche; chiede pertanto con insistenza che, alla luce della revisione congiunta, il Dipartimento del commercio collabori con le autorità europee per la protezione dei dati per fornire orientamenti più precisi per quanto riguarda i principi essenziali dello scudo per la privacy, quali il principio della scelta, il principio della comunicazione, i trasferimenti successivi, rapporto tra il responsabile del trattamento e l'incaricato del trattamento e il relativo accesso, che sono molto più in linea con i diritti della persona interessata a norma del regolamento (UE) 2016/679;

19.  ribadisce le proprie preoccupazioni in merito alla reiezione da parte del Congresso nel marzo 2017 della norma presentata dalla Commissione federale per le comunicazioni (FCC) statunitense relativa alla protezione della privacy dei clienti di servizi di banda larga o altri servizi di telecomunicazione, che, in pratica, elimina le norme sulla privacy nel settore della banda larga in virtù delle quali i fornitori di servizi Internet avrebbero dovuto ottenere il consenso esplicito dei consumatori prima di vendere a operatori pubblicitari o ad altre società o condividere con questi ultimi i dati di navigazione in rete e altre informazioni private; ritiene che si tratti di un'ulteriore minaccia alle garanzie in materia di protezione della vita privata negli Stati Uniti;

Questioni in materia di sicurezza nazionale e applicazione della legge

20.  ritiene che il termine "sicurezza nazionale" nel meccanismo dello scudo per la privacy non sia espressamente circoscritto in modo da permettere che le violazioni della protezione dei dati possano essere effettivamente oggetto di riesame giurisdizionale per garantire il rispetto di una rigorosa valutazione di ciò che è necessario e proporzionato; chiede pertanto una definizione chiara di "sicurezza nazionale";

21.  prende atto che il numero degli obiettivi di cui alla sezione 702 del FISA è aumentato a causa dell'evoluzione della tecnologia e delle modalità di comunicazione nonché delle nuove forme di minacce;

22.  deplora che gli Stati Uniti non abbiano colto l'occasione della recente autorizzazione della sezione 702 del FISA per includere le salvaguardie previste nel PPD 28; chiede prove e impegni giuridicamente vincolanti che garantiscano che la raccolta dei dati ai sensi della sezione 702 del FISA non sia indiscriminata e che l'accesso non avvenga su base generalizzata (raccolta in blocco), in contrasto con la Carta dell'UE; prende atto della spiegazione della Commissione e del documento di lavoro dei servizi della Commissione secondo cui tale sorveglianza ai sensi della sezione 702 del FISA è sempre basata su selettori e pertanto non consente la raccolta di dati in blocco; si unisce all'appello formulato dal WP29 a favore di un aggiornamento della relazione dell'Autorità per la tutela della vita privata e delle libertà civili (PCLOB) sulla definizione di "obiettivi", sul "compito dei selezionatori" e sul processo concreto di applicazione dei selettori nel contesto del programma UPSTREAM per chiarire e valutare se in tale contesto si verifichi un accesso in blocco ai dati personali; deplora che i cittadini dell'UE siano esclusi dalla protezione supplementare prevista dalla nuova autorizzazione della sezione 702 del FISA; si rammarica che la nuova autorizzazione della sezione 702 contenga varie modifiche di natura puramente procedurale che non affrontano le questioni più problematiche, come ha altresì sollevato il WP29; invita la Commissione a prendere sul serio la prossima analisi del WP29 sulla sezione 702 della FISA e ad agire di conseguenza;

23.  afferma che la nuova autorizzazione per altri sei anni della sezione 702 della legge sul FISA mette in discussione la legittimità dello scudo per la privacy;

24.  ribadisce la sua preoccupazione per l'ordinanza esecutiva 12333, che autorizza l'Agenzia nazionale per la sicurezza a condividere ingenti quantità di dati privati raccolti senza mandato, ordinanze del tribunale o autorizzazione del Congresso con altre 16 agenzie, tra cui l'FBI, l'Agenzia federale antidroga (DEA) e il Dipartimento della sicurezza interna; deplora l'assenza di qualsiasi controllo giurisdizionale sulle attività di sorveglianza condotte sulla base dell'ordinanza esecutiva 12333;

25.  sottolinea i persistenti ostacoli in materia di ricorso per i cittadini non statunitensi soggetti a una misura di sorveglianza basata sulla sezione 702 del FISA o sull'ordinanza esecutiva 12333 a causa dei requisiti procedurali di "legittimazione ad agire" quali attualmente interpretati dai tribunali statunitensi, in modo da consentire ai cittadini non statunitensi di adire i tribunali statunitensi contro le decisioni che li riguardano;

26.  esprime preoccupazione per le conseguenze dell'ordinanza esecutiva 13768 sul "rafforzamento della sicurezza pubblica all'interno degli Stati Uniti" per i mezzi di ricorso giurisdizionali e amministrativi a disposizione delle persone negli Stati Uniti, in quanto le tutele della legge sulla privacy non si applicano più ai cittadini non statunitensi; prende atto della posizione della Commissione secondo cui la valutazione dell'adeguatezza non si basa sulle tutele previste dalla legge sulla privacy e che pertanto tale ordinanza esecutiva non incide sulla protezione della vita privata; ritiene che l'ordinanza esecutiva 13768 indichi tuttavia l'intenzione dell'esecutivo statunitense di revocare le garanzie in materia di protezione dei dati precedentemente concesse ai cittadini dell'UE e di ignorare gli impegni assunti nei confronti dell'UE durante la presidenza Obama;

27.  esprime profonda preoccupazione per la recente adozione del Clarifying Lawful Overseas Use of Data Act o CLOUD Act (legge recante chiarimento sull'utilizzo legittimo di dati all'estero) (H.R. 4943) che amplia le capacità delle forze dell'ordine americane ed estere di individuare e accedere ai dati di persone attraverso le frontiere internazionali senza ricorrere agli strumenti di assistenza giudiziaria reciproca (MLAT) che prevedono garanzie adeguate e rispettano le competenze giurisdizionali dei paesi in cui si trovano le informazioni; sottolinea che il CLOUD Act potrebbe avere gravi implicazioni per l'UE in quanto è di ampia portata e crea un potenziale conflitto con la normativa dell'UE in materia di protezione dei dati;

28.  ritiene che una soluzione più equilibrata sarebbe stata quella di rafforzare l'attuale sistema internazionale dei MLAT al fine di incoraggiare la cooperazione internazionale e giudiziaria; ribadisce che, come sancito all'articolo 48 RGPD, la mutua assistenza giudiziaria e altri accordi internazionali costituiscono il meccanismo privilegiato per consentire l'accesso ai dati personali all'estero;

29.  deplora che le autorità statunitensi non abbiano rispettato in modo proattivo l'impegno di fornire alla Commissione informazioni tempestive e complete su eventuali sviluppi che potrebbero essere rilevanti per lo scudo per la privacy, compresa la mancata notifica alla Commissione di modifiche del quadro giuridico statunitense, ad esempio per quanto riguarda l'ordinanza esecutiva 13768 del Presidente Trump per il "Rafforzamento della sicurezza pubblica all'interno degli Stati Uniti" o l'abrogazione delle norme sulla privacy per i fornitori di servizi Internet;

30.  ricorda che, come indicato nella sua risoluzione del 6 aprile 2017, né i principi dello scudo per la privacy, né le lettere dell'amministrazione statunitense forniscono chiarimenti e garanzie che dimostrino l'esistenza di effettivi diritti di ricorso giurisdizionale per le persone fisiche nell'UE in relazione all'uso dei loro dati personali da parte delle autorità statunitensi a fini di contrasto e di interesse pubblico, che la Corte di giustizia dell'Unione europea, nella sua sentenza del 6 ottobre 2015, ha ribadito come l'essenza del diritto fondamentale di cui all'articolo 47 della Carta dell'UE;

Conclusioni

31.  invita la Commissione ad adottare tutte le misure necessarie a garantire che lo scudo per la privacy rispetti pienamente il regolamento (UE) 2016/679, che sarà applicato a partire dal venerdì 25 maggio 2018, e la Carta UE, in modo che tale adeguatezza non porti a scappatoie o a vantaggi concorrenziali per le imprese statunitensi;

32.  deplora che la Commissione e le competenti autorità statunitensi non abbiano ripreso le discussioni sull'accordo relativo allo scudo per la privacy, né abbiano elaborato alcun piano d'azione volto ad affrontare quanto prima le carenze individuate, come richiesto dal WP29 nella sua relazione di dicembre sulla revisione congiunta; invita la Commissione e le autorità competenti statunitensi a procedere in tal senso senza ulteriori indugi;

33.  ricorda che la tutela della vita privata e la protezione dei dati sono diritti fondamentali giuridicamente applicabili e sanciti dai trattati, dalla Carta dell'UE e dalla Convenzione europea dei diritti dell'uomo, nonché dalle leggi e la giurisprudenza; sottolinea che essi devono essere applicati in modo da non ostacolare inutilmente il commercio o le relazioni internazionali, ma non possono essere "compensati" da interessi commerciali o politici;

34.  ritiene che l'attuale accordo sullo scudo per la privacy non preveda il livello adeguato di tutela richiesto dal diritto dell'Unione in materia di protezione dei dati e dalla Carta dell'Unione europea secondo l'interpretazione della CGUE;

35.  ritiene che, se gli Stati Uniti non si conformeranno pienamente entro il 1° settembre 2018, la Commissione non abbia agito in conformità dell'articolo 45, paragrafo 5, RGPD; invita pertanto la Commissione a sospendere lo scudo per la privacy fino a quando le autorità statunitensi non ne rispetteranno le sue condizioni;

36.  incarica la commissione per le libertà civili, la giustizia e gli affari interni di continuare a monitorare gli sviluppi in questo settore, comprese le cause dinanzi alla CGUE, e il seguito dato alle raccomandazioni contenute nella risoluzione;

o
o   o

37.  incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio, alla Commissione nonché ai governi e ai parlamenti degli Stati membri e al Consiglio d'Europa.

(1) GU L 119 del 4.5.2016, pag. 1. (2) GU L 119 del 4.5.2016, pag. 89. (3) ECLI:EU:C:2015:650 (4) ECLI:EU:C:2016:970 (5) GU L 207 dell'1.8.2016, pag. 1. (6) GU C 257 del 15.7.2016, pag. 8. (7) http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf (8) http://ec.europa.eu/justice/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf (9) WP 255 disponibile presso http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612621 (10) Testi approvati, P8_TA(2017)0131. (11) https://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782