Nella risoluzione del 26 giugno 2018, il Parlamento europeo ha chiesto la sospensione dell’Accordo del Privacy Shield che, dopo la sentenza Schrems (European Court of Justice, Judgement of 6 October 2015, in Case C-362/14 Maximillian Schrems v Data Protection Commissioner), ha sostituito il precedente accordo Safe Harbour, del 2000.
Già al momento della sua adozione numerose voci critiche si erano sollevate contro questo accordo. Il Parlamento riconosce diversi miglioramenti recati da questo accordo rispetto al precedente: tuttavia, persistono ancora, a suo giudizio, seri problemi di tutela e di compatibilità con il diritto dell’Unione.
Il Parlamento si lamenta della assenza di attività adeguata da parte della Commissione europea: l’istituzione “[d]eplores that the Commission and the competent US authorities did not restart discussions on the Privacy Shield arrangement and did not set up any action plan in order to address as soon as possible the deficiencies identified, as called for by the WP29 in its December report on the joint review; calls on the Commission and the competent US authorities to do so without any further delay“.
Queste, tra l’altro, le motivazioni, che si segnalano per i contenuti e le argomentazioni particolarmente stringenti:
1) sottolinea la debolezza dell’accordo, che non tutela i diritti della persona connessi all’uso dei dati: il Parlamento europeo, infatti, “[h]ighlights the persisting weaknesses of the Privacy Shield as regards the respect of fundamental rights of data subjects; underlines the increasing risk that the Court of Justice of the EU may invalidate Commission Implementing Decision (EU) 2016/1250 on the Privacy Shield“;
2) rileva l’assenza di meccanismi efficaci contro la cd. “profilazione automatica”: esso “[r]ecalls its concerns about the lack of specific rules and guarantees in the Privacy Shield for decisions based on automated processing/profiling, which produce legal effect or significantly affect the individual“;
3) tiene conto delle recenti vicende legate alla cessione illecita di dati da Facebook a Cambridge Analytica le quali, però, sono formalmente conformi al Privacy Shield: “Facebook Inc., Cambridge Analytica and SCL Elections Ltd are companies certified within the Privacy Shield framework and as such benefited from the adequacy decision as a legal ground for the transfer and further processing of personal data from the European Union to the United States“;
4) tiene in considerazione il fatto che sia stata presentata un’altra azione di annullamento, che segue il precedente Schrems e che infatti è denominata Schrems II: “an action for annulment (Case T-738/16 La Quadrature du Net and Others v Commission) and a referral by the Irish High Court in the case between the Data Protection Commissioner of Ireland and Facebook Ireland Limited and Maximilian Schrems (Schrems II case) have been brought before the European Court of Justice; whereas the referral takes note that mass surveillance is still going on and analyses whether there is effective remedy in US law for EU citizens whose personal data is transferred to the United States“;
5) ritiene che il difensore civico stabilito negli stati uniti non gode di sufficiente indipendenza: “the Ombudsperson mechanism set up by the US Department of State is not sufficiently independent and is not endowed with sufficient effective powers to carry out its tasks and provide effective redress to EU citizens“; in generale, poi, i ricorsi non sono facilmente accessibili e, pertanto, risultano poco effettivi: “the various recourse procedures for EU citizens may prove to be too complex, difficult to use, and therefore less effective“.
Nelle conclusioni, il Parlamento europeo:
“Calls on the Commission to take all the necessary measures to ensure that the Privacy Shield will fully comply with Regulation (EU) 2016/679, to be applied as from 25 May 2018, and with the EU Charter, so that adequacy should not lead to loopholes or competitive advantage for US companies;
L’Istituzione, inoltre, “Recalls that privacy and data protection are legally enforceable fundamental rights enshrined in the Treaties, the Charter of Fundamental Rights and the European Convention of Human Rights, as well as in laws and case law; emphasises that they must be applied in a manner that does not unnecessarily hamper trade or international relations, but cannot be ‘balanced’ against commercial or political interests“. Questo punto è da sottolineare con forza: in linea con la Corte di giustizia, la tutela della riservatezza, nel contesto delle tecniche di comunicazione odierne, è direttamente inquadrato nei diritti fondamentali della persona ed è saldamente ancorato ai testi normativi dell’Unione che tali diritti proteggono, in primis la Carta “di Nizza”.
Nella lettura offerta dall’Istituzione, infine, “the current Privacy Shield arrangement does not provide the adequate level of protection required by Union data protection law and the EU Charter as interpreted by the European Court of Justice“.
La materia è tutt’altro che risolta. Le precedenti risoluzioni del Parlamento europeo; in questo caso, occorrerà attendere la pronuncia della Corte di giustizia per verificare eventuali, ma concreti, cambiamenti di direzione.
Bruno Carotti