TUTELA DEI DATI PERSONALI
Autorità privacy del Baden-Württembërg: dubbi sul trasferimento dei dati UE-USA basato sull'Executive Order del Presidente Biden.
Dopo il rapporto del Centro Studi del Congresso USA - che ha denunciato i limiti dell’Executive Order ("EO") firmato dal Presidente Biden il 7 Ottobre 2022 per recepire il nuovo accordo sul trasferimento dei dati personali dall'Europa verso gli Stati Uniti, evidenziando che potrebbe non superare il probabile vaglio futuro della CGUE, arriva l'ancor più ragionato esame dell’EO da parte dell’Autorità per la protezione dei dati tedesca del Baden-Württembërg, che parla di “deficit significativi” e di “domande senza risposta” dell’Executive Order. Per l’Autoritá tedesca:
(A) vi è una “notevole ambiguità giuridica” e dubbi sul fatto che un EO sia uno strumento adatto per attuare i requisiti del GDPR: è un'istruzione interna (revocabile) al governo e alle autorità e non è una legge approvata dal Congresso;
(B) l’EO non è giuridicamente vincolante, soprattutto per la tutela dei cittadini dell'UE;
(C) non è chiaro il rapporto tra EO e altre leggi USA (es: il Cloud Act);
(D) l'interpretazione del concetto di proporzionalità differisce in UE e negli USA per cui non è chiaro quando, dal punto di vista degli USA, l'accesso per la sicurezza nazionale resta consentito;
(E) i presupposti per i reclami dei cittadini UE e l’accesso al Tribunale dei Dati sembrano ostacolare un pieno esercizio dei diritti;
(F) i denuncianti non sono espressamente informati se sono stati oggetto di attività di intelligence ma ricevono solo un messaggio standard sul completamento dell’istruttoria sulla denuncia;
(G) il Tribunale dei Dati di riesame è istituito nell’ambito dell’Esecutivo, il che contraddice la sua indipendenza giudiziaria;
(H) la CGUE non solo ha chiesto rimedi legali contro le interferenze da parte di agenzie governative ma anche la fine di ogni ingiustificata sorveglianza ma l’EO non fissa regole;
(I) la Commissione UE dovrà ora decidere se esiste una protezione equivalente dei dati personali negli USA ma è opinabile se una decisione di adeguatezza potrà basarsi su un EO;
(L) il Governo USA dovrebbe infine far propria la giurisprudenza UE e impegnarsi con regole europee.
L'analisi è disponibile qui.
(A) vi è una “notevole ambiguità giuridica” e dubbi sul fatto che un EO sia uno strumento adatto per attuare i requisiti del GDPR: è un'istruzione interna (revocabile) al governo e alle autorità e non è una legge approvata dal Congresso;
(B) l’EO non è giuridicamente vincolante, soprattutto per la tutela dei cittadini dell'UE;
(C) non è chiaro il rapporto tra EO e altre leggi USA (es: il Cloud Act);
(D) l'interpretazione del concetto di proporzionalità differisce in UE e negli USA per cui non è chiaro quando, dal punto di vista degli USA, l'accesso per la sicurezza nazionale resta consentito;
(E) i presupposti per i reclami dei cittadini UE e l’accesso al Tribunale dei Dati sembrano ostacolare un pieno esercizio dei diritti;
(F) i denuncianti non sono espressamente informati se sono stati oggetto di attività di intelligence ma ricevono solo un messaggio standard sul completamento dell’istruttoria sulla denuncia;
(G) il Tribunale dei Dati di riesame è istituito nell’ambito dell’Esecutivo, il che contraddice la sua indipendenza giudiziaria;
(H) la CGUE non solo ha chiesto rimedi legali contro le interferenze da parte di agenzie governative ma anche la fine di ogni ingiustificata sorveglianza ma l’EO non fissa regole;
(I) la Commissione UE dovrà ora decidere se esiste una protezione equivalente dei dati personali negli USA ma è opinabile se una decisione di adeguatezza potrà basarsi su un EO;
(L) il Governo USA dovrebbe infine far propria la giurisprudenza UE e impegnarsi con regole europee.
L'analisi è disponibile qui.
