Il parere dell'EDPB – tipico strumento di soft law reso dal Comitato ai sensi dell'art. 70 par. 1 lett. s GDPR – pur non essendo vincolante data la sua natura (e salvo l'ipotesi in cui, per consuetudine, acquisti invece il carattere della vincolatività, ad esempio per applicazione pratica e costante da parte delle Autorità di controllo) rappresenta un importante strumento di interpretazione e lettura della bozza della decisione di adeguatezza relativa al DPF. Quest'ultimo si basa su un sistema di certificazione con cui le organizzazioni statunitensi si impegnano a rispettare una serie di principi sulla privacy - "EU-U.S. Data Privacy Framework Principles" - compresi i “Principi supplementari” (insieme: i “Principi”) - emessi dal Dipartimento del Commercio degli Stati Uniti (DoC) e contenuti nell'Allegato I della bozza di decisione di adeguatezza. Per poter essere certificata “adeguata” ai sensi del DPF UE-USA, un'organizzazione deve essere soggetta ai poteri di indagine e di applicazione della Federal Trade Commission (FTC) o del Dipartimento dei Trasporti degli Stati Uniti (DoT). Solo chi aderirà ai principi del DPF sarà coperto dalla decisione di adeguatezza.
In particolare, nel proprio parere l'EDPB valuta l'adeguatezza del livello di protezione dei dati personali del DPF chiarificando, da un lato, aspetti positivi e di novità rispetto al previgente regime normativo statunitense in materia e, dall'altro, eventuali aspetti negativi rispetto ai quali richiede chiarimenti.
In sintesi, l'EDPB evidenzia due punti nodali nella propria valutazione:
- i principi, costituenti il quadro giuridico vincolante per le organizzazioni, sono stati in parte modificati e aggiornati con spiegazioni aggiuntive ma, nonostante tali positivi accorgimenti, i principi sono rimasti pressoché invariati rispetto al Privacy Shield e, pertanto, l'EDPB richiama i precedenti commenti sul tema del WP29 (es. in ambito di diritti degli interessati; assenza di definizioni chiare; poca chiarezza);
- l'EO 14086 rappresenta un significativo miglioramento rispetto all'EO precedente, introducendo i concetti di necessità e proporzionalità nel quadro giuridico statunitense sull'intelligence e prevede un nuovo meccanismo di ricorso per i cittadini dell'UE, nonché nuove garanzie per l'indipendenza del Tribunale per il riesame della protezione dei dati (“Data Protection Review Court”, “DPRC”) e poteri più efficaci per porre rimedio alle violazioni; l'EO 14086 garantisce che le norme applicabili ai dati personali di persone statunitensi siano applicabili anche ai dati personali di persone non statunitensi. Ciò nonostante, secondo l'EDPB sussistono criticità connesse alla possibilità di raccolta massiva di dati – collection of bulk data – ammessa (in forza dell'EO 12333) in assenza di una eventuale previa autorizzazione da parte di una autorità indipendente.
Restano, comunque, ulteriori elementi di dubbio sottolineati dall'EDPB, quali:
- l'assenza di coerenza di alcuni concetti e definizioni rilevanti rispetto ai medesimi concetti e definizioni sanciti dal GDPR, in particolare nel DPF vi sarebbe una lacuna in materia di “responsabili del trattamento”, nonostante l'importanza di figura nell'ambito del data transfer flow;
- in materia di diritto di accesso permangono le criticità evidenziate per il Privacy Shield e l'EDPB rimarca il rischio di una limitazione del diritto di accesso così come formulato (invocabile solo nell'ipotesi di “archiviazione” dei dati) anche a causa delle notevoli eccezioni tra cui spicca l'eccezione al diritto di accesso per le informazioni disponibili al pubblico e per le informazioni provenienti da archivi pubblici;
- l'EDPB sostiene che i trasferimenti successivi di dati personali verso Paesi terzi potrebbero portare a interferenze con i diritti fondamentali delle persone; richiede pertanto maggiore chiarezza sulle garanzie imposte dal destinatario iniziale all'importatore nel paese terzo;
- il DPF non fornisce adeguate garanzie in tema di profilazione e trattamenti automatizzati.
Sono, invece, accolti con favore:
- i meccanismi di ricorso previsti per i soggetti interessati, pur evidenziando che gli stessi presentano le medesime caratteristiche già indicate nel Privacy Shield e, quindi, già oggetto di osservazioni del WP29; l'EDPB invita comunque la Commissione a chiarire ulteriormente se tali rimedi consentano all'interessato di avere accesso ai dati personali che lo riguardano, o di ottenere la rettifica o la cancellazione di tali dati;
- gli strumenti investigativi utilizzati per ottenere dati ed informazioni commerciali dalle società statunitensi sono ritenuti – pur nella loro complessità – conformi ai requisiti di necessità e proporzionalità in relazione ai diritti fondamentali alla vita privata e alla protezione dei dati.
Per tutti gli aspetti considerati critici e/o dubbi l'EDPB suggerisce una chiarificazione in sede di approvazione definitiva della decisione di adeguatezza: le eventuali debolezze legate al nuovo assetto relativo al flusso di trasferimento dei dati personali UE-USA dovranno, pertanto, essere valutate dalla Commissione europea che non potrà non tener conto delle evidenze emerse dal parere. Al fine di evitare una nuova stroncatura, al pari delle precedenti decisioni di adeguatezza, l'EDPB conclude auspicando un'attività di supervisione e revisione della decisione che – in loco dei quattro anni previsti dall'art. 45 par. 3 – intervenga invece ogni tre anni (par. 245 del parere, cui in generale si rimanda per una panoramica completa).
